Wenn Kontaktadressen für Recherchen mit gewöhnlichen persönlichen Konten vermischt werden, wird Quellenschutz schwächer.
Klarnamen-E-Mail, privates Smartphone, persönliche Social-Media-Konten, gewöhnliche Cloud und Arbeitschat sind praktisch. Werden sie aber für Kontakte mit Quellen genutzt, vermischen sich Benachrichtigungen, Verläufe, Kontakte, Anmeldestatus und Freigabeverläufe.
Für Journalistinnen und Journalisten dient Kontentrennung nicht nur dem eigenen Schutz.
Sie ist eine Grundlage, damit Kontakt mit Quellen nicht an unnötigen Orten zurückbleibt.
Warum Trennung nötig ist
Wenn Kontaktmittel vermischt werden, entsteht unbeabsichtigte Korrelation.
Mit einer privaten E-Mail mit der Quelle schreiben. Über gewöhnliche Social-Media-Dienste eine DM senden. Unterlagen in die private Cloud legen. Einen Screenshot in den Arbeitschat posten. Solche Handlungen erzeugen Spuren an mehreren Orten.
Vermischung
Zurückbleibendes Risiko
Private E-Mail
Private Kontakte und Quelle bleiben in derselben Umgebung
Klarnamen-Social-Media
Follow-Beziehungen und frühere Posts verbinden sich mit Recherchekontakt
Privates Smartphone
Benachrichtigungen, Fotos, Kontakte und Anruflisten vermischen sich
Gewöhnliche Cloud
Eigentümername, Freigabeverlauf und Synchronisierungslogs bleiben
Arbeitschat
Breitet sich auf Beteiligte außerhalb der Redaktion aus
Ohne Trennung wird unklar, wo Kontaktpunkte mit der Quelle zurückgeblieben sind.
Journalistinnen und Journalisten arbeiten oft unter eigenem Namen. Öffentliche E-Mail-Adressen, Social-Media-Konten, Konten des Mediums, persönliche Smartphones und Redaktionschats gehören zum Alltag. Wenn Kontakte zu Hochrisikoquellen in diese Umgebung gemischt werden, breiten sich Spuren in Benachrichtigungen, Verläufen, Dateien, Kontakten und Cloud-Freigaben aus.
Zweck der Kontakttrennung ist nicht nur, die Identität der Journalistin oder des Journalisten zu verbergen. Es geht darum, Kontakt mit Quellen nur an nötigen Orten zurückzulassen. Der Zustand soll nachvollziehbar machen, wo Spuren zurückbleiben.
Einheiten der Trennung
Trennung bedeutet nicht nur, einen anderen Kontonamen zu verwenden.
E-Mail, Gerät, Browser, Cloud, Kontakte, Speicherort und Benachrichtigungen werden getrennt.
Zu trennen
Grund
E-Mail-Adresse
Quellenkontakt von normaler Arbeit und Privatem trennen
Browser
Anmeldestatus, s und Verlauf nicht mischen
Gerät
Benachrichtigungen, Dateien, Kontakte und Fotos trennen
Cloud
Eigentümernamen und Freigabeverläufe nicht mischen
Speicherort
Zugriffsbereich auf Unterlagen begrenzen
Bei Hochrisikorecherchen werden eigene Geräte oder eigene Umgebungen erwogen.
Auch bei niedrigerem Risiko ist mindestens die Gewohnheit nötig, nicht mit gewöhnlichen persönlichen Konten zu mischen.
Die Tiefe der Trennung hängt vom Rechercherisiko ab. Bei gewöhnlichen Kommentarrecherchen kann eine berufliche E-Mail ausreichend sein. Bei Whistleblowing, Arbeitsproblemen mit Vergeltungsrisiko, politischer Repression, Kriminalitätsopfern, Minderjährigen oder Recherchen mit Bezug zu Aufenthaltsstatus wird eine eigene Umgebung erwogen.
Art der Recherche
Denkweise zur Trennung
Gewöhnliche Recherche
Mit beruflichen Kontaktwegen verwalten
Recherche, die Quellen benachteiligen kann
Eigene E-Mail und eigenen Speicherort nutzen
Whistleblowing
Erstkontakt, Unterlagen und Antwortweg trennen
Hochrisikorecherche
Eigenes Gerät, eigene Kommunikation und Fachberatung erwägen
Starke Trennung erhöht den Aufwand. Wenn der mögliche Schaden für die Quelle groß ist, gehört dieser Aufwand aber zum Quellenschutz.
Auch der Quelle Trennung erklären
Selbst wenn die Journalistenseite trennt, bleiben Spuren, wenn die Quelle aus ihrer gewohnten Umgebung Kontakt aufnimmt.
Wenn sie mit Klarnamen-E-Mail, Arbeitsgerät, Firmen-WLAN, beruflicher Cloud oder persönlichen Social-Media-Konten Kontakt aufnimmt, entstehen in diesem Moment Aufzeichnungen.
Handlung auf Quellenseite
Risiko
Senden vom Arbeitsgerät
Bleibt in Geräteverwaltung oder Netzwerklogs
Klarnamen-E-Mail nutzen
Absender ist direkt sichtbar
Berufliche Cloud verwenden
Eigentümer, Betrachtungsverlauf und Freigabeverlauf bleiben
DM über persönliche Social-Media-Konten
Kontobeziehung bleibt
Mit Alltagssmartphone fotografieren
Fotometadaten und Synchronisierung bleiben
Auch keine gefährlichen Kontaktmethoden nahezulegen, gehört zur Verantwortung der Journalistenseite.
Bevor man sagt: "Schicken Sie es hierhin", prüft man, welche Spuren dadurch entstehen.
Quellen kennen sich nicht unbedingt mit den technischen Details der Informationsweitergabe aus. Wenn nur "Senden Sie die Unterlagen" gesagt wird, können sie über Arbeitsgerät, Klarnamen-E-Mail, berufliche Cloud oder persönliche Social-Media-Konten senden. In diesem Moment entstehen starke Spuren.
Die Journalistenseite muss beim Erstkontakt sagen, welche Informationen besser nicht gesendet werden. Zum Beispiel: nicht vom Arbeitsgerät senden, interne Unterlagen nicht an eine Klarnamen-E-Mail anhängen, nicht in die normale Cloud hochladen, zuerst nur den Überblick besprechen.
Auch bei Trennung nicht unvorsichtig werden
Auch getrennte Konten können über Schreibstil, Kontaktzeiten, Gerät, IP, Browserinformationen und Dateiumgang verbunden werden.
Verbleibende Korrelation
Erklärung
Login-Fehler
Im Recherchebrowser in ein persönliches Konto einloggen
Benachrichtigungen
Erscheinen in Bildschirmfreigabe oder Screenshot
Dateisynchronisierung
Rechercheunterlagen gelangen in die gewöhnliche Cloud
Schreibstil
Dieselben Formulierungen oder Signaturen verwenden
Zeit
Immer zur gleichen Tageszeit Kontakt aufnehmen
Trennung ist nicht mit einmaliger Einrichtung erledigt.
Wichtig ist, sie im täglichen Betrieb nicht zu vermischen.
Auch in getrennten Umgebungen passieren Betriebsfehler. Im eigenen Browser die private E-Mail öffnen. Auf dem Recherchegerät private Social-Media-Apps installieren. Rechercheunterlagen in die gewöhnliche Cloud verschieben. In einem Screenshot Namen der Quelle oder Benachrichtigungen sichtbar machen. Das sind Fehler der alltäglichen Nutzung, nicht der Einstellung.
Auch Speicherorte für Rechercheunterlagen trennen
Wenn Kontaktwege getrennt sind, aber Speicherorte für Unterlagen vermischt werden, bleibt Risiko. Werden Dateien von Quellen in persönlicher Cloud oder allgemeinen gemeinsamen Redaktionsordnern abgelegt, wächst der Kreis der Zugriffsberechtigten. Dateiname, Vorschaubild, Synchronisierungsverlauf oder Bearbeitungsverlauf können die Quelle sichtbar machen.
Für Rechercheunterlagen werden Betrachtende, Speicherort, Backup und Löschkriterien festgelegt. Hochriskante Unterlagen werden nicht in den normalen Arbeitsordner gelegt, sondern an einem Ort getrennt, auf den nur nötige Personen zugreifen können.
Trennungszustand regelmäßig prüfen
Wenn eine Recherche lange dauert, bricht die anfängliche Trennung leicht auf. Für eine eilige Rückfrage wird die gewöhnliche E-Mail benutzt. Unterlagen werden vorübergehend an ein persönliches Gerät gesendet. Für Bearbeitung werden sie in die normale Cloud verschoben. Wenn sich solche Ausnahmen stapeln, weiten sich Kontaktpunkte mit der Quelle aus.
Zu prüfen
Grund der Prüfung
Kontaktwege
Ob Gespräche mit Quellen in die gewöhnliche Umgebung geraten sind
Geräte
Ob Benachrichtigungen, Verläufe oder Dateien zurückbleiben
Cloud
Ob Eigentümername, Freigabeverlauf oder Bearbeitungsverlauf erscheinen
Speicherort
Ob mehr als die nötigen Personen Zugriff haben
Antwortweg
Ob von der Quelle gefährliche Kontaktmethoden verlangt werden
Trennung ist keine Ersteinstellung, sondern eine operative Praxis, die bis zum Ende der Recherche aufrechterhalten wird.
Zusammenfassung
Die Trennung von Kontaktmitteln und Konten ist eine Grundlage des Quellenschutzes.
Wenn private E-Mail, Klarnamen-Social-Media, privates Smartphone, gewöhnliche Cloud oder Arbeitschat für Kontakte mit Quellen vermischt werden, breiten sich Spuren aus.
Zu trennen sind E-Mail, Browser, Gerät, Cloud, Speicherort und Benachrichtigungen.
Auch auf Quellenseite braucht es die Rücksicht, Optionen jenseits von Klarnamen-E-Mail, Arbeitsgerät und beruflicher Cloud zu erklären.
Trennung ist keine Einstellung, sondern Praxis.
Verwandte Werkzeuge
Whistleblower submission
SecureDrop
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.