Internet-Recherche hört nicht bei den Suchmaschinen auf

 

Die wirklich heißen Geschichten kommen seit einiger Zeit via Twitter, Mail oder per Blog in die Redaktionen. Doch bei der dann erforderlichen Recherche der News im Internet müssen viele Journalisten passen. Dabei sind die erforderlichen Werkzeuge und Programme sogar meist kostenlos zu haben.

 

Die syrische lesbische Bloggerin Amina Arraf wurde für so manches Qualitätsmedium zum größten anzunehmenden Rechercheunfall. Denn ausgerechnet die angeblich so authentische Autorin stellte sich als Fake heraus. Amina war weder lesbisch, noch Bloggerin, noch lebte sie in Syrien. Die Blogeinträge stammten vielmehr von Tom McMaster, ein amerikanischer Doktorand an der Universität von Edinburgh, 40 Jahre alt, etwas korpulent und rotbärtig. Tom McMaster hatte Amina erfunden, weil er auf die unhaltbaren Zustände in Syrien aufmerksam machen wollte.

 

Während in bedeutenden Zeitungen und Zeitschriften die Redakteure noch von Amina Arraf und ihrem Kampf um Selbstbestimmung schwärmten, gar dem staunenden Lesepublikum persönliche Details aus ihrem Leben verrieten, hatte ein Blogger die Internet-Protokoll-Adresse von Amina überprüft und herausgefunden, dass ihr Rechner gar nicht in Damaskus, sondern im schottischen Edinburgh stand.

 

Diese grundlegende Recherche hatten die Edelfedern der Qualitätsmedien nicht vorgenommen. Internet-Recherche gilt vielen noch immer als Buch mit sieben Siegeln oder gar niedere Tätigkeit, die man sich einfach nicht zumuten möchte. Dabei sind die Anlässe für eine etwas gründlichere Internet-Recherche inzwischen wirklich alltäglich geworden.

 

Da wird zum Beispiel einige Wochen vor der Urheberrechtsaffäre des CDU-Bundestagsabgeordneten Siegfried Kauder in einer Twitter-Kurznachricht von „@elderstatesman“ darauf hingewiesen, dass ein Landespolitiker im Südwesten auf seiner Website Bilder urheberrechtswidrig verwendet. Der Twitterer „@elderstatesman“ verweist auf seinen eigenen Blogeintrag, der einige Informationen zu diesem Fall enthalte. Der Blogeintrag im Leserforum einer Zeitschrift enthält auch eine Mail von „elderstatesman“ an den Politiker. Über die Internet-Protokoladresse in der Mail kann „elderstatesman“ identifiziert werden. Ein Anruf bei ihm ergibt, dass er die Urheberrechtsverletzung sorgfältig recherchiert hat. Der Politiker kann also vom Journalisten mit dem Vorwurf konfrontiert werden, was zu einer spannenden Geschichte führt.

 

Das Schöne dabei: Die grundlegenden Werkzeuge für eine solche Internet-Recherche sind zumeist schon in der Redaktion vorhanden. Sie werden nur nicht genutzt. Nicht selten sind Redaktionen beispielsweise mit Tipps von anonymen Informanten konfrontiert. In unserem Büro treffen pro Monat ungefähr zwei Dutzend Recherchetipps von anonymen Hinweisgebern ein. Oftmals sind sie aus leicht zu recherchierenden Motiven verschickt worden. Da will sich zum Beispiel ein Mitarbeiter an seinem Chef für ungerechte Behandlung rächen. Oder ein Journalistenkollege vom Konkurrenzblatt will seine Kollegen auf eine völlig falsche Fährte führen. Hin und wieder nutzen Politiker diesen Weg, um ihren Gegnern aus anderen Parteien etwas ans Zeug flicken zu wollen. Auch Unternehmen greifen manchmal zu einem solchen Mittel, um Mitbewerber zu schädigen.

 

In diesen Fällen ist es immer nützlich, die Identität des anonymen Hinweisgebers aufklären zu können. Das macht die konventionelle Recherchearbeit keineswegs überflüssig, kann sie sogar bereichern. Das geschah auch in einem spannenden Fall von Mailüberwachung im Rathaus des schwäbischen Kleinstädtchens Remseck, über den die Tübinger Journalistin Pia Grund-Ludwig mit ihrem Team vor zwei Jahren recherchierte.

 

Rundfunkanstalten, Lokalzeitungen und überregionale Blätter berichteten recht ausführlich über die Mailüberwachung im Rathaus. Der Landesbeauftragte für den Datenschutz in Baden-Württemberg ermittelte und rüffelte, dass die Überwachung von Mitarbeitermails durch die Rathausspitze so nicht erlaubt sei.

 

Angefangen hatte die Rathaus-Mailaffäre in Remseck mit einer anonymen Mail, die einem Kollegen Pia Grund-Ludwigs zugesandt worden war. Absender war insider.resmeck@eranet.pl.* Der anonyme Tippgeber schilderte genaue Details der Überwachungsmethoden, die die Verwaltungsspitze in Remseck über einen längeren Zeitraum angewendet hatte.

 

Insofern erschien der Hinweis in sich stimmig, so dass ein ganz klasssicher Rechercheplan aufgestellt und umgesetzt wurde. Die Personalratsvorsitzende im Rathaus wurde befragt und äußerte den von ihr schon seit längerem gehegten Verdacht, ihre Mails würden von Dritten mitgelesen werden. Ein als verwaltungskritisch bekannter Stadtrat berichtete im Rechercheinterview, dass ihn Mails in seiner kommunalpolitischen Funktion mit erheblicher zeitlicher Verzögerung erreichten, wenn deren Versandweg über den Mailserver im Rathaus lief. Verwaltungsmitarbeiter berichteten von ihren Mailerfahrungen, die auf installierte Filter hindeuteten.

 

Der Informant schien also durchaus Nachvollziehbares zur Mailüberwachung im Rathaus in seiner Mail mitgeteilt zu haben. Das Rechercheteam wollte ihn aber gern persönlich befragen. Seine Identität musste also ermittelt werden. Im ersten Schritt wurde die in den sogenannten „Kopfdaten“ der E-Mail befindliche Internet-Protokolladresse (62.173.140.122) mit der eigentlichen Webadresse (eranet.pl) verglichen.

 

Alle im Web erreichbaren Computer werden einheitlich adressiert. Die entsprechenden Adressierungsvorschriften sind im sogenannten URL-Format (Uniform Resource Locator) festgelegt. Dabei bedient sich das Web derselben Internet-Protokoll-Adressen wie alle anderen Internet-Dienste auch. Jedem Rechner ist eine eindeutige Adresse zugeordnet, die aus vier Zahlen zwischen 0 und 255 besteht. Rein rechnerisch lassen sich mit dieser Version 4 des Internet-Protokolls (IPv4) etwa vier Milliarden Adressen vergeben. Die IP-Adresse des absendenden Mailrechners lautete nun 62.173.140.122. Doch diese IP-Adresse stimmte nicht mit der URL-Webadresse „eranet.pl“ überein.

 

Das jedenfalls ergab eine Rechercheanfrage an den Domaindienst des „Réseaux IP Européens Network“, einer der Registrare der Internetverwaltung Icann, der in Europa Domainnamen und Webadressen vergibt und die für ein funktionierendes Internet notwendigen Datenbanken mit den Netzwerkinformationen pflegt. Deshalb haben die Rechercheure mit einem auf jedem Windows-PC befindlichen Programm namens „tracert.exe“ den Weg der Mail vom Empfängerserver zum Absender zurückverfolgt. Diese sogenannte Tracing-Abfrage erbrachte 26 IP-Adressen. Über die Server mit diesen IP-Adressen war die Mail also transportiert worden, die letzte ausgegebene IP-Adresse stimmte mit der im Mailkopf angegebenen überein und war vermutlich die Absenderadresse.

 

Die ermittelten IP-Adressen wurden mit dem Geo-Lokationsdienst unter der URL „netip.de“ überprüft. Der Absenderserver stand allerdings nicht in Polen, sondern in Stuttgart. Jedoch war die Mail auch über einen polnischen Internet-Knotenrechner weitergeleitet worden. Eine Anfrage beim Netzservice „ip-lookup.net“ ergab dann IP-Adressen, die mit dieser IP-Adresse eine netzorganisatorische Verbindung aufwiesen, das sind sogenannte „related ip-adresses“.

 

Nachdem das Rechercheteam diese verwandten IP-Adressen mit einer Whois-Anfrage geprüft hatte, stellte sich heraus, dass einem Stuttgarter Rechenzentrum diese IP-Adresse zugeteilt war. Mit einem Anruf beim Administrator dieses Rechenzentrums konnte das Rechercheteam anhand der Netzsegmente der Internet-Protokolladresse recht rasch die Abteilung ermitteln, von deren Rechnern die Mail versandt worden war.

 

An dieser Stelle entschied sich das Rechercheteam für den streng legalen Ermittlungsweg, verzichtete also bewusst auf die technisch mögliche, aber rechtlich zweifelhafte Überwachung des Ports über den die Mail damals versandt worden war. Statt dessen fragten die Kollegen einfach bei den Mitarbeitern des Rechenzentrums nach, ob sie am 9. Juni 2009 um 1:13 Uhr eine Mail mit einer interessanten Information an das Redaktionsbüro geschickt hätten. Das geschah in Einzelgesprächen bzw. individuellen Telefonaten und führte dazu, dass sich der bis dahin anonyme Absender der Mail den Kollegen offenbarte.

 

Diese schon etwas komplexere Internet-Recherche beanspruchte einen Journalisten aus dem Rechercheteam zwei Tage lang. Dem Informanten wurde selbstverständlich Anonymität garantiert, sorgfältig wurden vor der Veröffentlichung alle von ihm gegebenen Informationen darauf überprüft, ob sie in irgendeiner Weise einen Fingerzeig auf die Identität des Informanten geben könnten. Sämtliche Informationen, die auch nur einen entfernten Hinweis auf den Informanten hätten geben können, wurden natürlich nicht veröffentlicht.

 

Zumindest die Rückverfolgung einer Internet-Protokoll-Adresse, um Identitäten abprüfen zu können, oder die Nachverfolgung eines Fotos oder Videos, mit denen ein bestimmter Sachverhalt belegt werden soll, zählen zu den grundlegenden Internet-Recherchen, ohne die eine Redaktion heutzutage eigentlich nicht mehr auskommt. Doch der Fall der angeblichen syrischen Bloggerin Amina Arraf zeigt deutlich, welche Defizite in Sachen Netzrecherche immer noch vorhanden sind.

 

In den journalistischen Grundlagenseminaren für Volontäre und Seiteneinsteiger, die der Südwestdeutsche Zeitschriftenverlegerverband in Kooperation mit der Journalistenakademie des Deutschen Journalistenverbandes Baden-Württemberg veranstaltet, werden deshalb die Methoden der Internet-Recherche gemeinsam mit den klassischen Recherche-Werkzeugen vermittelt. Doch diese Volontärsseminare haben in der Bundesrepublik noch immer eine Art Vorreiterrolle. Denn in nicht wenigen Ausbildungsgängen bleibt völlig unklar, welche Methoden und Werkzeuge für die Internet-Recherche eingesetzt werden.

 

 

*Internet-Protokolladresse und URL aus Gründen den Informantenschutzes geändert

 

Erstveröffentlichung in impresso 4/2011