Eine E-Mail senden. Per Social-Media-DM ansprechen. Anrufen. Einen Cloud-Link schicken. Eine Videokonferenz öffnen. All das ist als Kontakt normal, wird beim Quellenschutz aber zu wichtigen Aufzeichnungen.
Das Problem ist nicht nur der Inhalt des Gesprächs.
Wer mit wem, wann und über welchen Dienst Kontakt hatte: Schon diese Tatsache kann Material sein, um Quellenkandidaten einzugrenzen.
Spuren je Kontaktmittel
Bei Recherchekontakten bleiben je nach Mittel unterschiedliche Informationen zurück.
Kontaktmittel
Zurückbleibende Spur
E-Mail
Absender und Empfänger, Betreff, Zeitpunkt, angehängte Dateien, Header
Auch bei verschlüsselten Apps bleiben die Tatsache des Kontakts und Benachrichtigungen auf dem Gerät als eigenes Problem bestehen.
Verschlüsselung ist wichtig, um den Gesprächsinhalt zu schützen. Beim Quellenschutz ist aber auch wichtig, wer mit wem Kontakt hatte. Betreffzeilen von E-Mails, Sende- und Empfangszeiten, Telefonnummern, Betrachtungsverläufe von Cloud-Links und Teilnahmeverläufe von Videokonferenzen sind Spuren, die getrennt vom Gesprächstext bestehen.
Zum Beispiel kann auf dem Gerät der Quelle eine Benachrichtigung erscheinen, auch wenn der Inhalt eines verschlüsselten Chats nicht gelesen wird. Schon das Anzeigen von Inhalten über einen Cloud-Link kann Eigentümername oder Betrachtungszeit zurücklassen. Bei Recherchekontakten trennt man Inhalt und Tatsache des Kontakts.
Der Erstkontakt ist besonders wichtig
Beim Quellenschutz kann der Erstkontakt der gefährlichste Moment sein.
Die Quelle schreibt von ihrer alltäglichen E-Mail-Adresse. Die Journalistin antwortet über ein Klarnamen-Social-Media-Konto. Unterlagen werden in eine gewöhnliche Cloud hochgeladen. Solche ersten Handlungen lassen sich später nicht ungeschehen machen.
Erste Handlung
Zurückbleibendes Problem
Kontakt per Klarnamen-E-Mail
Absender, E-Mail-Adresse und Zeit bleiben
Kontakt per Social-Media-DM
Kontobeziehung und Gesprächsverlauf bleiben
Senden vom Arbeitsgerät
Bleibt in Organisationslogs oder Geräteverwaltung
Unterlagen in Cloud ablegen
Eigentümername, Freigabeverlauf und Betrachtungslogs bleiben
Telefonische Beratung
Anrufliste und Nummer bleiben
Bei Hochrisikorecherchen ist "erst normal Kontakt aufnehmen und später auf eine sichere Methode wechseln" gefährlich.
Von Anfang an wird ein Eingang vorbereitet, der zum Bedrohungsmodell passt. Ein sicherer Eingang meint hier nicht, alle Spuren zu löschen, sondern nach einer Entscheidung darüber, wem was anvertraut wird, Aufzeichnungen zu reduzieren.
Der Erstkontakt lässt sich später nicht neu beginnen. Eine Anfrage aus der normalen E-Mail, eine DM im Klarnamen-Social-Media-Konto, Zugriff vom Arbeitsgerät oder Upload in eine gewöhnliche Cloud bleiben als erste Aufzeichnung bestehen. Selbst wenn man danach zu einem sichereren Chat wechselt, bleibt die Linie, wer zuerst Kontakt hatte.
Die Journalistenseite muss einen Eingang vorbereiten, bei dem Leser und Quellen am Anfang nicht raten müssen. Wenn es nur ein gewöhnliches Kontaktformular gibt, wird die Quelle dorthin senden. Wenn Hochrisikoinformationen möglich sind, werden sichere Kontaktmittel, Hinweise und Informationen, die beim Erstkontakt nicht gesendet werden sollten, klar gemacht.
Kontakte trennen
Auch Journalistinnen und Journalisten müssen gewöhnliche Kontakte von Hochrisikorecherchekontakten trennen.
Wenn Klarnamen-Social-Media, private E-Mail, privates Smartphone und die übliche Cloud unverändert genutzt werden, vermischt sich der Kontakt zur Quelle mit anderem Leben und anderer Arbeit.
Zu trennen
Grund
E-Mail-Adresse
Kontakt mit Quellen nicht mit Privatem oder normaler Arbeit mischen
Gerät
Benachrichtigungen, Verlauf und Dateien trennen
Cloud
Klarnamenkonten und Bearbeitungsverläufe vermeiden
Chat
Recherchegespräche von persönlichen Gesprächen trennen
Speicherort
Zugriffsbereich auf Unterlagen begrenzen
Trennung schützt nicht nur Journalistinnen und Journalisten.
Sie ist eine Mindestordnung zum Schutz der Quelle.
Klarnamenaktivität von Journalistinnen und Journalisten lässt sich nicht immer vollständig von Quellenschutz trennen. Viele Journalistinnen und Journalisten arbeiten unter eigenem Namen und veröffentlichen Kontaktadressen. Wenn aber auch Kontakte zu Hochrisikoquellen in die gewohnte Umgebung gemischt werden, weiten sich die Spuren der Quelle aus.
Eigene E-Mail, eigenes Gerät, eigener Browser, eigener Speicherort und eigene Benachrichtigungseinstellungen können den Spurenbereich verkleinern. Besonders Cloud-Synchronisierung und Benachrichtigungen brauchen Aufmerksamkeit. Wenn Namen von Quellen oder Unterlagen auf Alltagsgeräten oder in einer Bildschirmfreigabe erscheinen, ist das bereits ein Risiko.
Auch Kontaktinhalte enthalten Hinweise
Nicht nur das Kommunikationsmittel, sondern auch der Inhalt des Gesprächs braucht Aufmerksamkeit.
Nachrichten wie "wegen der Sitzung gestern", "eine Unterlage, die nur Ihre Abteilung kennt" oder "bitte um diese Uhrzeit senden" grenzen die Quelle ein, wenn sie später gesehen werden.
Gesprächsinhalt
Risiko
Abteilung oder Funktion
Zugehörigkeit der Quelle wird sichtbar
Sitzungsname oder Datum
Teilnehmende werden eingegrenzt
Name der Unterlage
Personen mit Zugriffsrechten werden eingegrenzt
Sendeanweisung
Handlungszeit wird mit Logs abgeglichen
Besondere Formulierung
Merkmale der aussagenden Person erscheinen
Bei sichererem Kontakt ist es auch wichtig, nicht mehr konkrete interne Informationen als nötig im Gesprächsverlauf zu hinterlassen.
Je genauer die Quelle erklärt, desto leichter werden die Tatsachen sichtbar. Gleichzeitig führen Abteilung, Datum, Sitzungsname, Unterlagenname, Funktion und besondere Formulierungen im Gesprächslog zur Quelle zurück. Beim Erstkontakt bleibt man beim nötigen Minimum und klärt den Umgang mit Detailunterlagen erst nach der Wahl eines sicheren Weges.
Auch die Anweisung an die Quelle "senden Sie jetzt" braucht Vorsicht. Der Sendezeitpunkt kann mit internen Logs abgeglichen werden. Bei sicherer Recherche zählt nicht nur, was gesendet wird, sondern auch wann, von wo und mit welchem Gerät.
Spuren bleiben auch nach der Recherche
Spuren von Recherchekontakten werden auch nach der Veröffentlichung zum Problem. Nach Erscheinen eines Artikels kann die Organisation prüfen, "wer diese Information kannte". Dann können E-Mails, Anruflisten, Cloud-Ansichten, Zugriffe auf interne Unterlagen, Druckvorgänge, USB-Nutzung und Zutrittsprotokolle der Quelle betrachtet werden.
Was nach Veröffentlichung betrachtet wird
Auswirkung auf die Quelle
Zugriffe auf interne Unterlagen
Eingrenzung, wer Unterlagen gesehen hat
Sendezeit
Abgleich mit Kontaktzeiten zur Journalistin oder zum Journalisten
Telefon- und E-Mail-Verlauf
Tatsache des Kontakts wird sichtbar
Cloud-Verlauf
Ansicht oder Freigabe von Unterlagen bleibt
Konkretheit des Artikels
Wissende Personen sind begrenzt
Quellenschutz ist nicht nur ein Problem während des Kontakts. Erstkontakt und Materialumgang werden so gestaltet, dass auch Untersuchungen nach der Veröffentlichung mitgedacht sind.
Vor dem Kontakt Hinweise vorbereiten
Die Journalistenseite bereitet Hinweise vor, die Quellen sichere Entscheidungen erleichtern. "Senden Sie Hochrisikoinformationen nicht vom Arbeitsgerät oder von der Klarnamen-E-Mail." "Bevor Sie Unterlagen senden, besprechen Sie zunächst nur den Überblick." "Angehängte Dateien können Metadaten enthalten." Schon solche Hinweise können Fehler beim Erstkontakt verringern.
Hinweise werden nicht gelesen, wenn sie zu lang sind. Zuerst werden Dinge genannt, die nicht getan werden sollten, nutzbare Kontaktmittel und Punkte, die vor dem Senden geprüft werden. Sicherer Recherchekontakt bedeutet nicht, die ganze Mühe der Quelle aufzubürden, sondern dass die empfangende Seite den Eingang gestaltet.
Zusammenfassung
Bei Recherchekontakten wird nicht nur der Gesprächsinhalt, sondern auch die Tatsache des Kontakts zur Spur.
E-Mail, Social-Media-DM, Telefon, Chat, Cloud-Freigabe und Videokonferenz hinterlassen jeweils Logs, Benachrichtigungen und Kontoinformationen.
Bei Hochrisikorecherchen wird schon für den Erstkontakt ein sichererer Eingang vorbereitet.
Wichtig ist auch, Recherchekontakt nicht mit Alltagskonten und Alltagsgeräten zu mischen.
Quellenschutz beginnt in der Kontaktphase, bevor der Artikel geschrieben wird.
Verwandte Werkzeuge
Breach check
Have I Been Pwned
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Recherchekontakte hinterlassen Spuren wie Konten, Zeiten, Logs, Benachrichtigungen, Cloud-Verläufe und Erstkontaktinformationen, auch wenn Inhalte verschlüsselt sind.