Was ist SecureDrop?
SecureDrop ist ein System, mit dem Redaktionen und Organisationen anonyme Hinweise entgegennehmen.
Es ist nicht einfach nur ein Dienst zum Versenden von Dateien. Es ist ein System für den Quellenschutz, das voraussetzt, dass Hinweisgeber mit Browser darauf zugreifen und dass die Redaktion auf der Empfangsseite eine sichere Annahmeumgebung vorbereitet.
SecureDrop ist eine praktische Grundlage, mit der Redaktionen und Organisationen anonyme Hinweise entgegennehmen können. Es wird hier vorgestellt, weil es nicht nur ein Übermittlungsformular ist, sondern den Betrieb sowohl auf der Seite der Hinweisgeber, die Tor Browser verwenden, als auch auf der empfangenden Seite, die Quellenschutz berücksichtigen muss, voraussetzt.
URL : https://securedrop.org/
Dieser Artikel ordnet SecureDrop nicht als "bequemes Übermittlungsformular" ein, sondern als Betriebspraxis für Quellenschutz.
Grundlagen von SecureDrop
SecureDrop ist ein Hinweissystem, mit dem Materialien und Nachrichten anonym gesendet werden können.
In vielen Fällen betreibt die empfangende Seite, etwa eine Redaktion oder NGO, eine SecureDrop-Umgebung, und der Hinweisgeber greift über Tor Browser auf die SecureDrop-Seite dieser Organisation zu.
| Position | Rolle |
|---|---|
| Hinweisgeber | Sendet Materialien und Nachrichten mit Tor Browser |
| Redaktion | Betreibt die SecureDrop-Umgebung und nimmt Einreichungen entgegen |
| Journalist | Prüft empfangene Materialien und behandelt sie unter Berücksichtigung des Quellenschutzes |
| SecureDrop | Dient als Übergabeinfrastruktur für anonyme Hinweise |
SecureDrop wird verwendet, um den Erstkontakt zwischen einer Quelle und einer Redaktion zu schützen.
Die Nutzung beseitigt jedoch nicht automatisch alle Risiken.
Hinweisgeber, die SecureDrop nutzen, greifen normalerweise über Tor Browser darauf zu. Dadurch soll es für die empfangende Seite schwieriger werden, die gewöhnliche Ursprungs-IP-Adresse direkt zu sehen.
Auch wenn der Zugriff über Tor Browser erfolgt, hinterlässt die Nutzung eines Arbeitsplatzgeräts oder eines beruflichen Netzwerks jedoch andere Protokolle. Wenn außerdem die gesendeten Materialien Informationen enthalten, die auf die Person hinweisen, bleibt die Gefahr auch dann bestehen, wenn der Kommunikationsweg verborgen wird.
SecureDrop ist ein System, das einen "anonymen Eingang" schafft. Es ist kein System, das auch den Inhalt der Materialien anonym macht.
Wofür das System schützen soll
SecureDrop versucht vor allem, den Kontaktweg zwischen Hinweisgeber und empfangender Seite zu schützen.
Bei gewöhnlicher E-Mail oder Social-Media-DMs werden das Absenderkonto, die IP-Adresse, der Sendezeitpunkt, angehängte Dateien und Aufzeichnungen beim Diensteanbieter zum Problem. SecureDrop setzt Tor voraus und ermöglicht Einreichungen in einer Form, bei der die Verbindungsquelle des Hinweisgebers schwerer direkt zu sehen ist.
| Was leichter zu schützen ist | Erklärung |
|---|---|
| Quell-IP der Verbindung | Da der Zugriff über Tor erfolgt, ist sie für die empfangende Seite schwerer direkt zu sehen |
| Klarnamenkonto | Kann ohne E-Mail- oder Social-Media-Konto gesendet werden |
| Erstkontakt | Informationen können übermittelt werden, ohne sofort gewöhnliche Kontaktdaten zu nutzen |
| Fortlaufende Nachrichten | Austausch über einen Codenamen ist möglich |
SecureDrop ist als Eingang für anonyme Hinweise stark.
Das Risiko, dass die Quelle aus Dateiinhalten, Metadaten, sprachlichen Merkmalen oder dem Inhalt der Information erschlossen wird, bleibt jedoch gesondert bestehen.
Risiken, die auch mit SecureDrop bleiben
Mit der Nutzung von SecureDrop ist Quellenschutz nicht abgeschlossen.
Der Hinweisgeber hat von einem Arbeitsplatzgerät darauf zugegriffen. Im Material blieb der Name des Erstellers erhalten. Im Text standen Umstände, die nur die betreffende Person kennen konnte. Unmittelbar nach dem Senden blieben innerhalb der Organisation Dateizugriffsprotokolle zurück. In solchen Fällen kann die Quelle über einen anderen Weg verdächtig werden.
| Verbleibendes Risiko | Erklärung |
|---|---|
| Dateimetadaten | Ersteller, Organisationsname, Aufnahmeort und Bearbeitungsverlauf bleiben erhalten |
| Rückschluss aus dem Inhalt | Wenn nur wenige Personen die Information kennen, verengt sich der Kreis der Kandidaten |
| Gerät und Umgebung | Die Nutzung von Arbeitsplatzgeräten oder überwachten Netzwerken ist gefährlich |
| Sendezeitpunkt | Kann mit internen Protokollen oder Ereignissen abgeglichen werden |
| Betrieb der empfangenden Seite | Lecks durch Speicherung, Ansicht und Weitergabe der Materialien auf Journalistenseite |
SecureDrop ist ein System, das einen Teil des Kommunikationswegs schützt.
Um Quellen zu schützen, sind auch die Prüfung der Materialien, Sorgfalt bei der Veröffentlichung und der Betrieb auf der empfangenden Seite notwendig.
Was Hinweisgeber prüfen sollten
Auch Hinweisgeber müssen vor dem Senden prüfen.
Besonders wichtig ist, nicht von Geräten am Arbeitsplatz oder in der Schule zuzugreifen, kein berufliches Netzwerk zu verwenden und nicht in einem Klarnamenkonto angemeldet zu arbeiten.
| Prüfpunkt | Grund |
|---|---|
| Gerät | Auf verwalteten Geräten bleiben Bedienprotokolle zurück |
| Netzwerk | Über Leitungen am Arbeitsplatz oder in der Schule bleiben Verbindungsaufzeichnungen zurück |
| Materialien | Ersteller, Bearbeitungsverlauf und Wasserzeichen bleiben erhalten |
| Text | Nicht zu viele Umstände schreiben, die nur man selbst kennt |
| Antwortprüfung | Nicht wiederholt aus derselben Umgebung zugreifen |
SecureDrop ist sinnvoll, wenn die Redaktion eine sicherere Annahmestelle vorbereitet hat. Wenn jedoch die Umgebung des Hinweisgebers selbst problematisch ist, reicht der Schutz am Eingang allein nicht aus.
Bei Hochrisiko-Hinweisen sollte man vor dem Senden Zeit verstreichen lassen und Materialien sowie Umgebung prüfen.
Verantwortung der empfangenden Seite
SecureDrop ist mit der Installation nicht erledigt.
Die Redaktionsseite braucht eine Betriebsstruktur. Es muss festgelegt werden, wer Einreichungen prüft, auf welchen Geräten sie behandelt werden, wo Materialien gespeichert werden, wie sie innerhalb der Redaktion geteilt werden und wie Metadaten vor der Veröffentlichung geprüft werden.
| Betriebspunkt | Grund |
|---|---|
| Prüfverantwortliche | Begrenzen, wer auf Einreichungen zugreifen kann |
| Dedizierte Umgebung | Nicht mit gewöhnlichen Arbeitsgeräten vermischen |
| Materialspeicherung | Unnötige Weitergabe und Vervielfältigung vermeiden |
| Metadatenprüfung | Vor der Veröffentlichung Informationen prüfen, die zu Quellen führen können |
| Veröffentlichungsentscheidung | Verhindern, dass aus dem Inhalt auf die Quelle zurückgerechnet wird |
Beim Quellenschutz gefährden Fehler auf der empfangenden Seite die Quelle.
"Die andere Person hat anonym gesendet, also ist alles in Ordnung" reicht nicht.
Außerdem muss die empfangende Seite die Existenz von SecureDrop verständlich erklären. Sie muss zeigen, wie der Zugriff erfolgt, was gesendet werden kann, welche Risiken bleiben und wie Antworten geprüft werden.
Ein Kontaktfenster mit unklaren Erklärungen verleitet Hinweisgeber zu gefährlichen Entscheidungen. Ein sicheres System besteht nicht nur aus Technik, sondern auch aus Erklärungen, die bei den Nutzern ankommen.
Situationen, für die SecureDrop geeignet ist
SecureDrop eignet sich für Situationen, in denen jemand Materialien oder Informationen an Redaktionen oder gemeinwohlorientierte Recherchen übermitteln möchte und dabei die eigene Identität schützen will.
Andererseits kann es für einfache Anfragen, allgemeine Beratungen, Notfallmeldungen oder Kontakte, die sofortige Antwort benötigen, ungeeignet sein. SecureDrop ist kein Ersatz für gewöhnlichen Chat oder E-Mail.
| Geeignete Situationen | Ungeeignete Situationen |
|---|---|
| Übermittlung interner Materialien von öffentlichem Interesse | Notfallkontakt, bei dem sofort Hilfe nötig ist |
| Kontakt, der Quellenschutz erfordert | Allgemeine Anfrage |
| Erstkontakt, bei dem Klarnamen-E-Mail vermieden werden soll | Beratung, die schnellen Hin-und-her-Austausch erfordert |
| Hochrisiko-Hinweise | Kontaktfenster, bei denen der Betrieb der Empfangsstelle unklar ist |
Vor der Nutzung sollte geprüft werden, was dieses Kontaktfenster annimmt und wie es antwortet.
Zusammenfassung
SecureDrop ist ein System, mit dem Redaktionen und Organisationen anonyme Hinweise entgegennehmen.
Wenn SecureDrop in Betracht kommt, sollte man auf der offiziellen Website die Erklärungen für Hinweisgeber, die Dokumentation für Betreiber und die Voraussetzungen für die Einführung prüfen.
URL : https://securedrop.org/
SecureDrop setzt Tor voraus und ermöglicht es, Hinweise in einer Form entgegenzunehmen, bei der die Verbindungsquelle einer Quelle und Klarnamenkonten schwerer zu sehen sind als bei gewöhnlicher E-Mail oder Social-Media-DMs.
SecureDrop allein vervollständigt den Quellenschutz jedoch nicht.
Dateimetadaten, Rückschlüsse aus dem Inhalt, Sendezeitpunkt, Geräteumgebung und Betrieb der empfangenden Seite müssen gesondert verwaltet werden.
SecureDrop ist ein Werkzeug, Quellenschutz ist Betriebspraxis.
Verwandte Werkzeuge
Tor Project
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
SecureDrop
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://securedrop.org/
GlobaLeaks
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://globaleaks.org/