Rechercheprotokoll
Wer ist ... insider.remseck?
Die Journalistin Pia Grund-Ludwig hat mit ihren Kollegen aufgedeckt, wie im Rathaus vom Remseck Mails überwacht wurden. Voraussetzung dafür: Die Journalisten mussten ihren anonymen Informanten identifizieren. Ein Rechercheprotokoll.
1. Kopfdaten vergleichen
Im ersten Schritt verglich das Rechercheteam die in den Kopfdaten der E-Mail befindliche Internet-Protokolladresse (62.173.140.122) mit der eigentlichen Webadresse (eranet.pl). Dabei stellte sich heraus, dass IP-Adresse und URL (Unified Resource Locator, das ist die Webadresse) nicht übereinstimmten.
Die erste Rechercheanfrage stellte das Team an den Domaindienst des Réseaux IP Européens Network (RIPE), einen der fünf Registrare der Internetverwaltung Icann, der in Europa Domains und Webadressen vergibt und die für ein funktionierendes Internet notwendigen Datenbanken mit den Netzwerkinformationen pflegt. Dabei ergab sich, dass die vom polnischen Eranet genutzten Internet-Protokolladressen nicht mit der in den Kopfdaten der Mail genannten IP-Adresse übereinstimmten. Häufig kann mit dieser Anfrage bei RIPE bereits ermittelt werden, welcher Organisation oder Person diese Web-Domain gehört. Damit sind dann die postalische Adresse des Domaininhabers, der Name des Administrators, seine Mail-Adresse und seine Telefonnummer verfügbar.
2.Tracen
In einem zweiten Schritt haben die Rechercheure mit einem auf jedem Windows-PC befindlichen Programm namens tracert.exe den Weg der Mail vom Empfängerserver zum Absender zurückverfolgt. Das war nötig, weil die Anfrage bei RIPE keine weiteren Daten erbracht hatte. Diese sogenannte Tracing-Abfrage ergab 26 IP-Adressen. Über die Server mit diesen IP-Adressen war die Mail also transportiert worden, die letzte ausgegebene IP-Adresse stimmte mit der im Mailkopf angegebenen überein und war vermutlich die Absenderadresse.
Die ermittelten IP-Adressen wurden mit dem Geo-Lokationsdienst netip.de überprüft, um den physikalischen Weg der mit der Mail verknüpften Datenpäckchen durch Europa nachvollziehbar zu machen. Der Absenderserver stand demnach nicht in Polen, sondern in Stuttgart. Jedoch war die Mail auch über einen polnischen Internet-Knotenrechner weitergeleitet worden. Eine Anfrage beim Netzservice ip-lookup.net ergab dann IP-Adressen, die mit dieser IP-Adresse eine netzorganisatorische Verbindung aufwiesen, das sind sogenannte related ip-adresses. Dadurch kann sich der Rechercheur gegebenenfalls weitere Indizien über den Domaininhaber verschaffen.
3. Whois-Abfrage
Nachdem das Rechercheteam diese verwandten IP-Adressen mit einer Whois-Anfrage (von Englisch "who is") geprüft hatte, stellte sich heraus, dass diese IP-Adresse einem Stuttgarter Rechenzentrum zugeteilt war. Mit einem Anruf beim Administrator dieses Rechenzentrums konnte das Rechercheteam die Abteilung ausfindig machen, von deren Rechnern die Mail versandt worden war. Der Domaininhaber war also ermittelt.
4. Persönliche Anfrage
An dieser Stelle entschied sich das Rechercheteam für den streng legalen Weg, verzichtete also bewusst auf die technisch mögliche, aber rechtlich zweifelhafte Überwachung des Ports, über den die Mail damals versandt worden war. Stattdessen fragten die Kollegen einfach bei den Mitarbeitern des Rechenzentrums nach, ob sie am 9. Juni 2009 um 1:13 Uhr eine Mail mit einer interessanten Information an das Redaktionsbüro geschickt hätten. Das geschah in Einzelgesprächen beziehungsweise Telefonaten und führte dazu, dass sich der bis dahin anonyme Absender der Mail den Kollegen offenbarte.
Aktuelle Kommentare zu diesem Text
Kommentare werden moderiert.
