Nachdem Wikleaksgründer Gesicht, Julian Assange wegen Vergewaltigungsvorwürfen verhaftet worden ist und in Grossbritannien seine Auslieferung an Schweden zu verhindern versucht, hat sein Anwalt gewarnt, dass man im Besitze von “thermonuklearen” Dokumenten sei, die man, sollte es zum eigenen Schutz notwendig werden, veröffentlichen wird. Damit macht er eine interessante Analogie zur nuklearen Abschreckung, auf die er vielleicht besser verzichtet hätte.

Vorschaubild für wikileaks.jpg

Dies “thermonukleare Option” ist ein verschlüsseltes Dokument, dass in den Weiten des Internets verteilt wurde. Das Dokument mit Namen insurance.aes256 enthält vermutlich alle Dokumente, in dessen Besitz Wikileaks (noch) ist, jedoch völlig unredigiert, mit Namen von Geheimagenten, geheimen Anlagen etc. Was genau darin steht und wie gefährlich dies für die USA sein könnte, kann kaum jemand abschätzen. Die Dokumente sind gemäss Times mit einem kaum zu knackenden 256-stelligen Code verschlüsselt. Würde Assange etwas zustossen, würde der Schlüssel freigegeben. In Assanges Anwalts Analogie wäre dies das Äquivalent zum Drücken des roten Knopfes zur Lancierung eines Nuklearschlages.

Wie erfolgsversprechenden ist diese Drohung im Lichte der nuklearen Abschreckungstheorie? Das Ziel nuklearer Abschreckung (hier meine ich die realen Bomben) ist, wie der Name schon verrät, Abschreckung. Ihr Ziel ist es, dass ein effektiver Nuklearschlag gar nicht nötig wird, will man damit den Gegner doch von einem Angriff abhalten. Man will glaubhaft machen, dass die Konsequenzen eines jeden Versuchs einer Attacke grauenhaft sein würden und nahezu zwangsläufig auf ein nukleares Armageddon zuführen würde.

Damit Abschreckung aber funktioniert, müssen gewisse Bedingungen erfüllt sein. Eine der wichtigsten dieser Bedingungen ist die Glaubwürdigkeit der Drohung. Ein Element der Glauwürdigkeit ist, dass das Zerstörungspotential für eine nukleare Antwort wirklich vorhanden sein muss oder zumindest muss der Gegner davon überzeugt sein, dass es vorhanden ist. Wer einmal Poker gespielt hat weiss, dass das dies das einzige ist, was wirklich zählt: Nicht was man auf der Hand hat, sondern was die anderen glauben, das man auf den Tisch legen kann. Um diese Glaubwürdigkeit zu erreichen, muss man auch sicherstellen, dass diejenigen die abgeschreckt werden sollen, keine Möglichkeit sehen, diese Kapazität zu zerstören (zum Beispiel mit einem schnellen, unerwarteten Erstschlag).

Das zweite Element ist, dass es glaubwürdig gemacht werden muss, dass man den entsprechenden Schlag auch ausführen wird, falls man angegriffen wird. Das ist weniger einfach, als das es auf den ersten Blick erscheinen mag. Dies hängt damit zusammen, dass was vor einem Angriff (ex ante) als eine rationale Handlung erscheint, ist dies nicht mehr unbedingt, nachdem der Angriff schon stattgefunden hat (ex post). Ziel der Drohung ist es schliesslich, die Nuklearwaffe gar nie benutzen zu müssen, eben einen Angriff abzuwenden. Wenn dieser Angriff aber schon vorbei ist, dann ist ein Nuklearwaffeneinsatz überflüssig. Man kann ihn bestenfalls noch mit Rachegelüsten oder einem “wie du mir so ich dir” begründen, doch die rationale Motivation (das Verhindern eines Angriffs) existiert nicht mehr. Dies gilt natürlich nicht, wenn ein solcher Schlag als taktisches Element gemacht wird, weil man von einer längeren Auseinandersetzung ausgeht und somit auf eine Schwächung des Gegners setzt. Doch die Idee von Abschreckungspotential ist in der Regel die Drohung mit schneller und totaler Zerstörung.

Vorschaubild für pilzwolke.jpg

Überträgt man diese Logik auf die Drohung des Anwalts von Assange, die “thermonukleare Option” zu wählen, kann man einige Rückschlüsse ziehen, wie erfolgsversprechend diese Strategie sein könnte:

Vermutlich weiss die US Regierung nicht, was für Materialien Wikileaks besitzt. Sie können zwar Vermutungen anstellen, kennen aber kaum Details. Diese Unsicherheit spielt Assange in die Hände und es ist schwer festzustellen ob er bezüglich der Brisanz nur blufft. Diese Restzweifel können also die Drohung als grösser erscheinen lassen, als das sie effektive ist, würde man den Inahlt der Dokumente kennen. Eine Risikoabschätzung wird schwieriger und man wird wohl eher seinen konservativen Neigungen nachgeben wollen, es nicht einzugehen (vielleicht hat man etwas übersehen, etc.).

Durch die Art und Weise wie Assange insurance.aes256 verteilt hat, ist auch ein Zerstörung kaum möglich. Der Schlüssel könnte hingegen natürlich aufgespürt werden. Entweder um zu sehen, was die Dokumente sind oder um ihn zu zerstören (vermutlich einfacher). In letzterem Fall, kann natürlich trotzdem nicht ausgeschlossen werden, dass eines Tages ihn jemand trotzdem knackt. Dies ist eine Art zusätzliche Rückversicherung.

Das grösste Fragezeichen betreffend der Glaubwürdigkeit ist jedoch das vorher/nachher Problem. Wann genau soll der Schlüssel freigegeben werden? Man möchte damit verhindern, dass Assange etwas zustösst. Im Moment wo dies aber passieren würde, würde eine unredigierte Veröffentlichung bestenfalls noch Rachecharakter haben, sonst aber kaum sinnvoll sein, da sie per Definition nichts mehr verhindern kann. Wenn der Schlüssel beim Haftbefehl, der jetzt ausgestellt worden ist, nicht freigegeben wurde, warum soll er zu einem späteren Zeitpunkt und falls ja wann (Auslieferungsentscheid, Verurteilung in Schweden wegen Vergewaltigung, neues Verfahren wegen Geheimnisverletzung, Auslieferung in die USA)? Im Moment wo er freigegeben wird, verliert er jede Funktion und weitere Schritte können nicht mehr verhindert werden. Genau das will man aber. Darum ist es immer in Assanges Interesse (zumindest solange er lebt), dass der Schlüssel nicht veröffentlicht wird. Weiss man das aber, verliert die “thermonukleare Option” ihren Wirkung, da nur die Gewissheit des Einsatzes wirklich abschreckt. Er müsste also seine Gegner davon überzeugen, dass er etwas tun würde, das nicht in seinem Interesse ist. Nur so würde die Abschreckung glaubhaft sein.

Kommentare (26)

  1. #1 KommentarAbo
    Dezember 7, 2010

  2. #2 ali
    Dezember 7, 2010

    Ich wurde auf Twitter darauf hingewiesen, dass Assange zumindest offiziell nicht “Wikileaksgründer” ist. Trotzdem wird er in den Medien oft als solcher bezeichnet und ich bin daher fälschlicherweise davon ausgegangen, dass dies korrekt sei. Ich habe dies im Artikel korrigiert.

  3. #3 rolak
    Dezember 7, 2010

    /vielleicht besser verzichtet hätte/ sehe ich auch so.

  4. #4 cer
    Dezember 7, 2010

    Passt doch, hat er eben Masseninformationswaffen .

  5. #5 maximo
    Dezember 7, 2010

    Soll die nukleare Abschreckung eigentlich vor nuklearen Angriffen abschrecken oder vor jeder Art von Angriffen? Einen Angriff mit konventionellen Waffen kann man wohl kaum mit Atomwaffen begegnen (normalerweise!). Aber auch der Angreifer würde doch davon ausgehen, dass er nicht mit einem Atomkrieg rechnen muss. Aber natürlich, sicher kann er sich nicht sein, vor allem dann, wenn sein Gegenüber unberechenbar oder nicht einschätzbar ist. Das sieht man ja auch in Nordkorea.

  6. #6 ali
    Dezember 7, 2010

    @maximo

    Soll die nukleare Abschreckung eigentlich vor nuklearen Angriffen abschrecken oder vor jeder Art von Angriffen?

    Das kommt sich ganz auf die Nukleardoktrin an. Am Anfang war die Idee schon, jeden Angriff mit einem totalen nuklearen Vernichtungsschlag (MAD; mutually assured destruction) zu beantworten. Einige Militärtheoretiker meinten gar, konventionelle Waffen würden deshalb völlig überflüssig werden und längerfristig verschwinden.

    Im Laufe der Zeit wurden vielen dann die Risiken mehr und mehr bewusst (selbst ein kleiner Irrtum könnte ja auch zu einem Nuklearschlag führen). Einige Atommächte deklarierten darum nie einen nuklearen Erstschlag zu machen und nur auf einen Nuklearschlag mit eben einem solchen zu antworten. Man versucht auch via Doktrin die Eskalationszeit zu verlängern (sozusagen ‘nukleare Warnschüsse’ in weniger besiedeltes Gebiet etc.)

  7. #7 Markus Hirsch
    Dezember 7, 2010

    Wenn der Schlüssel beim Haftbefehl, der jetzt ausgestellt worden ist, nicht freigegeben wurde, warum soll er zu einem späteren Zeitpunkt und falls ja wann (Auslieferungsentscheid, Verurteilung in Schweden wegen Vergewaltigung, neues Verfahren wegen Geheimnisverletzung, Auslieferung in die USA)?

    Ich denke, was Assange viel mehr als Deine Beispiele Sorgen macht, sind die lauter werdenden Rufe nach seiner Ermordung.

    Und anders als bei einem thermonuklearen Schlag blieben nach diesem Akt aller Vorraussicht nach die Leute am Leben, die es sich dann beim nächsten Mal — wenn der nächste Wikileaks-Repräsentant um sein Leben fürchten muss — anders überlegen könnten. Insofern wäre auch ein Schlag nach Assanges Tod nicht notwendigerweise irrational oder ein schlichter Racheakt.

  8. #8 Sven Türpe
    Dezember 7, 2010

    Darum ist es immer in Assanges Interesse (zumindest solange er lebt), dass der Schlüssel nicht veröffentlicht wird.

    Dann wäre Großbritannien kein besonders günstiger Ort, sich der Polizei zu stellen.

    Eine verlässliche Zerstörung des Schlüssels halte ich für unmöglich. Es handelt sich um eine kleine Datenmenge, man kann sich grob eine Zeile voller zufälliger Buchstaben in einem Buch oder hier im Blog vorstellen. Der Schlüssel ist kopierbar und an keinen Träger gebunden und man weiß nie, ob man alle Kopien erwischt hat.

    Hingegen besteht durchaus die Möglichkeit, dass sich die Adressaten der Versicherung Kenntnis vom Klartext der verschlüsselten Daten verschaffen. Dazu gibt es viele Möglichkeiten: beispielsweise das Brechen der Verschlüsselung mit einer der Öffentlichkeit nicht bekannten Methode; Kopieren des Schlüssels an einem Aufbewahrungsort; peinliche Befragung eines Schlüsselinhabers, sofern der Schlüssel in Köpfen aufbewahrt wird (was sich bei einem langen, zufällig gewählten Schlüssel aber schwierig gestaltet); und so weiter. Damit erhielte man, möglicherweise unbemerkt, wertvolle strategische Informationen. Umgekehrt kann der Versicherte das Risiko eines solchen Angriffs kaum einschätzen.

  9. #9 koz
    Dezember 7, 2010

    @ali

    “Nachdem Wikleaksgründer Gesicht, Julian Assange wegen Vergewaltigungsvorwürfen verhaftet worden ist”

    Das ist so zwar technisch richtig, suggeriert aber dass er quasi auf der Flucht festgenommen wurde. Er hat sich jedoch freiwillig gestellt:

    https://www.tagesschau.de/ausland/assange138.html

    https://www.heise.de/newsticker/meldung/Wikileaks-Mitgruender-Julian-Assange-bleibt-in-Gewahrsam-4-Update-1148545.html

    https://www.focus.de/politik/weitere-meldungen/julian-assange-wikileaks-gruender-stellt-sich-in-london_aid_579559.html

    Ich finde das muss betont werden.

  10. #10 seppi
    Dezember 7, 2010

    Noch ist Wikileaks 1.0 nicht in der Lage, alle Finanzströme (online und in Echtzeit) zu kartieren und offen zu legen. Stattdessen kommen ja nur veraltete Dinge raus, die eh niemand interessiert (z.B. ob Westerwelle schwul ist oder nicht).
    So werden wir auch nie wissen, ob in der vergangenen Woche Schmiergelder von Putin an Sepp Blatter (FIFA) gezahlt wurden. Selbst ein solch neues Wikileaks (2.0) würde hier nichts ausrichten — weil nämlich Sepp Blatter sicher in bar in einer Bar bezahlt wurde.
    Also: möglicherweise alles gefälscht, nichts kontrollierbar! Und weit davon entfernt, online und in Echtzeit alle Finanztransaktionen verfolgen zu können….

  11. #11 ali
    Dezember 7, 2010

    @koz

    Dass er sich selbst gestellt hat war mir bewusst. Es ist vielleicht etwas irreführend es so zu formulieren wie ich es tat, wenn man das “Stellen” als wichtigen Aspekt der Geschichte betrachtet, “technisch” ist es aber eben korrekt. Er ist verhaftet worden.

    Aus Interesse: Warum denkst du es ist wichtig in diesem Zusammenhang, dass er sich gestellt hat und nicht einfach abgeholt wurde?

  12. #12 anon
    Dezember 8, 2010

    Ich schätze Herrn Assenge als ziemlich clever ein und vermute daher stark, dass “insurance.aes256” wiederum mehrere passwortgeschützte Archive enthält. So kann er Schritt für Schritt eine Bombe nach der anderen Platzen lassen ohne auf einen Schlag sein ganzes Pulver zu verschießen.

    Desweiteren besteht noch die Möglichkeit, dass es sich nicht um einen “roten Knopf”, sondern um einen “Dead man’s switch” handelt, so dass das Schlüssel automatisch über einen E-mail Verteiler versandt wird, wenn nicht alle x Std. eine
    bestätigung (oder Lebenszeichen) erfolgt. Auch dann stellt sich die Frage nach einem Motiv für einen möglichen ‘Zweitschlag’ nicht.

    MFG

  13. #13 koz
    Dezember 8, 2010

    @ali

    “Es ist vielleicht etwas irreführend es so zu formulieren wie ich es tat”

    Naja, es soll bitte nicht als Vorwurf verstanden sein. Du bist ja bei weitem nicht der einzige der die Schlagzeile “Wurde verhaftet” dem korrekteren “Hat sich gestellt” (und wurde darufhin festgenommen) vorzieht. Aber wie du schon selbst sagst, es ist irreführend. Wenn man sich die Berichterstattung um Assange mancherorts so ansieht, entsteht leicht der Eindruck dass da das Bild vom
    “verrückten Anarcho-Hacker-Vergewaltiger auf der flucht vor Recht und Gesetz wurde von den Behörden dingfest gemacht”
    propagiert wird. Und so ist es nunmal nicht gewesen.
    Und ich finde es macht einen enormen Unterschied ob jemand “auf der Flucht” verhaftet wird – oder sich eben den Vorwürfen freiwillig stellt.

  14. #14 Sven Türpe
    Dezember 8, 2010

    Desweiteren besteht noch die Möglichkeit, dass es sich nicht um einen “roten Knopf”, sondern um einen “Dead man’s switch” handelt, so dass das Schlüssel automatisch über einen E-mail Verteiler versandt wird, wenn nicht alle x Std. eine
    bestätigung (oder Lebenszeichen) erfolgt.

    Kann man so etwas mit vertretbarem Aufwand geheimdienstfest bauen? Also so, dass sowohl die Vertraulichkeit des Schlüssels bis zur gewollten Veröffentlichung als auch die Verfügbarkeit der Funktion gewährleistet sind und außerdem die regelmäßige Interaktion zuverlässig möglich bleibt?

  15. #15 PeteH
    Dezember 8, 2010

    Kann man so etwas mit vertretbarem Aufwand geheimdienstfest bauen?

    Ja! Einfach einen Server irgendwo hinstellen, der sobald er nicht einen entsprechenden Input bekommt die Massenmail (oder zB Tweet) absendet.
    Problem wäre nur wenn nur eine Person davon wüsste welche täglich Kontakt aufnehmen muss.
    Bei direkter Kommunikation zu diesen Server könnte ein Überwacher leicht die Kommunikation mitschneiden und somit den Zielserver ermitteln können. Man könnte dann mit einer Reihe von indirekt kommunizierender Server arbeiten (Man hinterlässt zB täglich einen Tweet, ein weiterer Server überprüft ob der tägliche Tweet vorhanden ist). Je nach dem erschwert dies den eigentlichen Zielserver auf zu finden.
    Wobei ich in diesen Falle damit rechnen würde, dass ein paar Vertrauenspersonen über das Passwort verfügen.

    PS: Das wäre auch mal eine Idee für einen neuen Webdienst (Marktlücke).
    Namensvorschlag „WikiLifeinsurance“. ^^ Ein paar Paranoide hätte man sicherlich als Kunde! 😀

  16. #16 Redfox
    Dezember 8, 2010

    @ Türpe:

    Wenn man das TOR Netzwerk als vertrauenswürdig einstuft:

    https://www.torproject.org/docs/hidden-services.html.en

  17. #17 ali
    Dezember 8, 2010

    @anon

    Ein schrittweises Veröffentlichen wäre tatsächlich funktionaler. Aber nur um allfällige juristischen Anschuldigungen oder Aktionen die ihn nicht direkt an Leib und Leben bedrohen abzuwenden wen bei solchen noch weitere Eskalationsstufen denkbar sind. Dann müsste man sich aber Fragen, warum die erste Stufe noch nicht “gezündet” wurde. Wenig würde die Glaubwürdigkeit der Abschreckung erhöhen, wie ein Schuss vor den Bug. Der Wechsel von Worten zu Taten hat aber nicht stattgefunden. Ein anderes Problem in diesem Zusammenhang ist, gerade wenn juristisch vorgegangen wird, kann ein plötzliches zurückkrebsen nach Veröffentlichungen unter Umständen schwierig sein (wieder wäre eine totale Prävention durch Abschreckung eigentlich wünschenswerter).

    Wenn ihm die Geheimdienste tatsächlich nach dem Leben trachten würden, dann ändert auch eine Schrittweise Veröffentlichung nichts.

  18. #18 MartinS
    Dezember 8, 2010

    Für mein Verständnis wird hier viel zu viel darüber diskutiert, ob und wie die Drohung technisch durchführbar wäre.
    Dabei finde ich es viel wichtiger darauf hinzuweisen, dass Assange (unterstellt, dass sein Anwalt in seinem (Assange’s) Sinn spricht) Wikileaks plötzlich zum persönlichen Vorteil instrumentalisiert. Er benutzt unveröffentlichtes Material als privates Druckmittel zum Schutz vor Strafverfolgung.
    Die Tatsache, dass wirklich brisantes Material zurückgehalten wurde (sofern dieses Material tatsächlich existiert), ist ja durchaus begrüßenswert, aber dann genau diese Brisanz als Drohung einzusetzen, zeigt doch wie schnell ein Wissensvorsprung persönlich genutzt werden kann. Ich finde, dass seine Integrität dadurch einen nicht wieder gut zu machenden Schaden erlitten hat.
    Wissen ist Macht und Macht korrumpiert.
    Hat er womöglich aus seinem Wissen über Großbanken (Veröffentlichung nächstes Jahr) auch schon ‚Vorteile’ gezogen? Welche ‚Joker’ hat er noch in der Hinterhand? Alle Spekulationen sind jetzt erlaubt!
    Sein Anwalt hat ihm einen Bärendienst erwiesen: Als Bluff untauglich und als tatsächliche Drohung moralisch verwerflich.
    Ja, ich bin tatsächlich kein WikiLeaks-Fan.

  19. #19 marco
    Dezember 8, 2010

    Normalerweise sollte es der Justiz total egal sein welche politischen Folgen ihre Handlungen haben.

  20. #20 verschlüsseler
    Dezember 8, 2010

    Warum 256bit AES? Das lässt sich (nicht nur) mit Regierungsmitteln innerhalb weniger Stunden knacken.

  21. #21 Michael
    Dezember 8, 2010

    @verschlüsseler

    Dann beschreib bitte wie. Und jetzt bitte keine Spekulation ala “Die CIA hat eventuellerweise vielleicht ggf. ein Backdoor eingebaut” sondern eine klare Ansage.

  22. #22 BreitSide
    Dezember 8, 2010

    xxx

  23. #23 Sven Türpe
    Dezember 9, 2010

    Wie man AES in ein paar Stunden knackt, würde mich auch brennend interessieren. Innerhalb weniger Stunden kann man vielleicht den Schlüssel aus einem Geheimnisträger herausfoltern, aber das zählt nicht als knacken, wenngleich es den Zweck erfüllt.

  24. #24 Sven Türpe
    Dezember 9, 2010

    Man könnte dann mit einer Reihe von indirekt kommunizierender Server arbeiten (Man hinterlässt zB täglich einen Tweet, ein weiterer Server überprüft ob der tägliche Tweet vorhanden ist). Je nach dem erschwert dies den eigentlichen Zielserver auf zu finden.

    Den Zielserver muss ich als Gegner gar nicht finden. Wenn regelmäßige Lebenszeichen dafür sorgen, dass der Zielserver keine Dummheiten macht, dann muss ich ihm nur diese Lebenszeichen zuführen. Je mehr Stationen der Kommunikationsweg hat, desto mehr Möglichkeiten bieten sich. Man könnte die Labenszeichen natürlich mit einem Authentizitätsnachweis versehen, aber das macht die Sache wieder komplizierter sowie auch anfälliger gegen versehentliche Auslösung. Und auch dann würde es reichen, die Quelle der Lebenszeichen hochzunehmen und unter eigener Regie weiter zu betreiben.

    Ich glaube, mit technikfixierten Nerdphantasien dieser Art kommen wir der Implementierung nicht näher. Wer sagt denn überhaupt, dass der Release-Mechanismus für den Schlüssel irgend etwas mit dem Internet zu tun hat? Genauso gut könnte irgendwo ein Testament hinterlegt sein, das ein Bankschließfach bezeichnet, in dem … und so weiter.

  25. #25 jitpleecheep
    Dezember 9, 2010

    verschlüsseler: “Warum 256bit AES? Das lässt sich (nicht nur) mit Regierungsmitteln innerhalb weniger Stunden knacken.”

    Bwahahahaha.
    Kindchen, geh woanders trollen. Kriegst auch nen Lolli.

    Sven Türpe: “Wer sagt denn überhaupt, dass der Release-Mechanismus für den Schlüssel irgend etwas mit dem Internet zu tun hat?”

    Ich denke ja an die einfachste Lösung: sein Anwalt ist im Besitz des Schlüssels.

  26. #26 AndreasM
    Dezember 9, 2010

    Bisher ist ja noch nichts geschehen, das den “Abschuss” dieser “Informationswaffe” (oder Teilen davon, wenn es tatsächlich so aufgebaut ist) rechtfertigen würde.
    Da kommt ja erstmal der Rechtsweg in England und dann Schweden und zumindest anfänglich kommt es ihm eher gelegen, wenn offen sichtbar ist, das gegen ihn vorgegangen wird.

    Menschen sind emotional und Rachegelüste sind da durchaus eine gute Motivation, da die Hemmschwelle für diese “Informationswaffe” vermutlich deutlich niedriger als beim Einsatz einer Nuklearwaffe sein wird.