Haben Sie von dem Durchbruch bei der Therapie von Brustkrebs gehört? Oder davon, dass viele Dinosaurier Federn hatten? Vielleicht von dem neuen Schwarzen Loch, dem schwersten, das man bisher gefunden hat?
Die Chancen sind groß, dass Journalisten solche und ähnliche Neuigkeiten aus der Wissenschaft aus ein und derselben Quelle an Sie herangetragen haben: EurekAlert. Die Onlineplattform ist die wichtigste Zentrale des Wissenschaftsjournalismus weltweit. Will eine Uni oder ein Forschungsinstitut, dass seine Veröffentlichungen von Journalisten aufgegriffen werden, wendet sich die Einrichtung an diese Seite.
Die Plattform sammelt die zumindest anscheinend spannendsten wissenschaftlichen Veröffentlichungen und präsentiert sie Journalisten auf dem Silbertablett: Reporter, die sich registrieren lassen, können dort neue Veröffentlichungen aus vielen Fachjournalen wie „Science“ oder „The Lancet“ bereits vor deren Publikation herunterladen.
Sie können so ihre Geschichten recherchieren und vorbereiten. Sobald die Sperrfrist abgelaufen ist, gehen schließlich überall auf der Welt in vielen Sprachen dieselben Wissenschaftsstorys online. Immer wieder läuft dieser Mechanismus ab. Tag für Tag. Woche für Woche. Bis Mittwochmorgen.
Eine verdächtige Twitter-Nachricht
Denn seit einigen Stunden ist die Seite offline. Der Grund: ein Hackerangriff. Und im Zentrum des Hacks und seiner Auswirkungen stehe ich.
Vergangenen Sonntag, am 11. September, hatte sich ein Nutzer über den Kurznachrichtendienst Twitter an mich gewandt: „Hallo Herr Hummel, ich weiß, dass Sie von eurekalert.org wegen einer Sperrfristverletzung bis Oktober ausgeschlossen sind. Wenn Sie Interesse haben, kann ich Ihnen einen Account besorgen, mit dem Sie wieder auf Informationen unter Sperrfrist zugreifen können.“
Ich war ebenso überrascht wie skeptisch. Ich hatte tatsächlich im April versehentlich die Sperrfrist für eine Veröffentlichung über die Drakegleichung missachtet. Sofort bekam ich E-Mails aus den USA und sogar einen Anruf aus Washington, wo EurekAlert sitzt. Eilig nahm ich die zu früh platzierte Meldung wieder offline. Das wurde von EurekAlert „belohnt“. Statt eines sofortigen Ausschlusses bekam ich nur eine „Bewährungsstrafe“ von 90 Tagen.
In diesem Zeitraum durfte sich ein solcher Vorfall nicht wiederholen. Es war übrigens das erste Mal in sechs Jahren, dass mir so ein Fehler unterlief. Der Grund: Ich hatte im Stress des Alltags das Ende der Sperrfrist falsch aus der US-amerikanischen Zeitangabe berechnet.
„Ich habe Tausende Zugangsdaten beschaffen können“
Ein Hacker hatte im System von EurekAlert nun offenbar Informationen über diesen Zwischenfall gefunden, diese aber falsch gedeutet. Ich war ja nur auf Bewährung, nicht gesperrt. Meine journalistische Neugier war durch den Kontakt geweckt worden. Zum Schein ging ich auf das Angebot ein.
Gleichzeitig informierte ich Brian Lin, Redaktionsleiter für strategische Inhaltsplanung bei EurekAlert, über den Fall. „Das ist sehr besorgniserregend“, antwortete Lin per Mail. Er bedankte sich für den Hinweis und bat um weitere Informationen. „Wir werden sicherstellen, dass diese Person nie wieder Zugriff auf EurekAlert erhält“, verkündete er.
Wenige Stunden später meldete sich der Hacker wieder: „Entschuldigung wegen der späten Antwort“, schrieb er (oder sie). Er gab mir einen Nutzernamen und ein Passwort, um mich auf der Seite anzumelden. Sie funktionierten. „Das System von EurekAlert ist sehr schlecht geschützt. Es war nicht schwer, die nötigen Informationen zu sammeln. Ich habe Tausende Zugangsdaten beschaffen können.“
Das Großartige an diesen Accounts sei, dass ich nun auch über Veröffentlichungen berichten könne, die noch nicht freigegeben seien, erklärte der Hacker. „Es gibt niemanden mehr, der Sie deshalb dauerhaft sperren könnte. Wenn Sie einen neuen Account brauchen, dann fragen Sie einfach mich.“
Ich gab den Nutzernamen und das Passwort an Brian Lin von EurekAlert weiter. Er bedankte sich abermals: „Wir haben unser IT-Sicherheitsteam zu dem Fall hinzugezogen. Nach meinem Kenntnisstand ist so etwas bisher noch nie vorgekommen.“ Die Seite ging daraufhin in der Nacht von Dienstag auf Mittwoch offline.
An ihrer Stelle findet sich im Moment ein Verweis auf den Hack, der am 9. September stattgefunden haben soll. Man arbeite an einer Lösung, mit der registrierte Nutzer ihr Passwort zurücksetzen können. Zum Zeitpunkt des Erscheinens dieses Artikels ist eurekalert.org noch immer offline.
Das sorgte weltweit für Aufregung, wie ich über Twitter verfolgen konnte, während ich diesen Artikel schrieb. EurekAlert ist wie ein Filter für Wissenschaftsjournalisten: Es erleichtert die Arbeit, weil man dort viele der wichtigen Veröffentlichungen an einem Ort findet.
Es schafft eine Art Chancengleichheit, weil alle Journalisten mit Zugang zu der Plattform bis zum Ende der Sperrfrist Zeit haben, ihre Geschichten zu schreiben. So ist die Seite die mächtigste Zentrale des Wissenschaftsjournalismus auf der Welt geworden.
Die Kehrseite: EurekAlert hat 12.000 registrierte Nutzer in 90 verschiedenen Ländern, berichtete WIRED im Mai zum 20-jährigen Bestehen der Plattform. Im täglichen Geschäft bestimmt die Website den Takt und die Themen der Berichterstattung vieler Nachrichtenseiten. Schwemmen immer ähnlich klingender Berichte in den sozialen Netzwerken sind die Folge, wenn die Sperrfrist für eine reizvolle Studie fällt.
Was nicht bei EurekAlert zu finden ist, nimmt nur wahr, wer länger sucht. Und was Journalisten nicht wahrnehmen (oder nicht wahrnehmen wollen), existiert als Information für die breite Bevölkerung nicht. Ein tieferer Blick in die Wissenschaft wird, in Zeiten von klickgetriebenem Journalismus, der unter starken Sparzwängen steht, dadurch immer seltener.
Die Inszenierung eines vermeintlichen Durchbruchs
Man kann die Aktion „meines“ Hackers womöglich auch als Schlag gegen das Wissenschaftssystem und dessen Kommunikationsstrategien deuten. Der Sperrfristmechanismus, der Neuigkeiten künstlich erzeugen soll, wo es in der Wissenschaft doch fast nie plötzliche revolutionäre Durchbrüche gibt, und die Filterfunktion von EurekAlert gehören dazu.
In den Tagen vor dem Angriff beschwerte der Hacker sich via Twitter über zu viel Werbung auf der Seite von EurekAlert. Mir schrieb er, ursprünglich habe er überlegt, die Accounts zu verkaufen.
„Aber das wäre ein logistischer Albtraum geworden. Und außer denjenigen, die von EurekAlert gesperrt wurden, hätte ich schwer Käufer gefunden.“ Also habe er (oder sie) beschlossen, stattdessen Leuten zu helfen, die wegen einer missachteten Sperrfrist keinen Zugriff mehr haben (oder von denen er das zumindest glaubte). Leuten wie mir.
Es fiel mir nicht leicht, mich an EurekAlert zu wenden und jemanden zu verraten, der mir doch eigentlich helfen wollte. Ich habe es trotzdem getan. Ob das richtig war, da bin ich immer noch nicht sicher. Was ich mir von diesem Artikel verspreche: eine Debatte über Sinn und Zweck von Sperrfristen in der Wissenschaft und dem Publikationssystem dahinter. Dieser Bericht könnte ein Anfang sein.
