Beim Quellenschutz erstellt man zuerst ein Bedrohungsmodell.
Ein Bedrohungsmodell ist eine Denkweise, die ordnet, "vor wem, was und in welchem Maß" geschützt werden soll.
Das Risiko ändert sich je nachdem, ob die Quelle angestellt, verbeamtet, aktivistisch tätig, Whistleblowerin oder Whistleblower oder in einer anderen Lage ist. Auch die nötigen Maßnahmen ändern sich je nachdem, ob die Gegenseite eine einzelne belästigende Person, eine Ermittlungsabteilung eines Unternehmens oder eine staatliche Stelle ist.
Wenn man ohne Bedrohungsmodell nur Werkzeuge auswählt, schützt man leicht die falsche Stelle.
Vor wem geschützt werden soll
Zuerst denkt man an die Gegenseite, die versuchen könnte, die Quelle zu identifizieren.
Je nach Gegenseite unterscheiden sich sichtbare Informationen, verfügbare Mittel und Ermittlungsfähigkeit.
Gegenseite
Was sie tun kann
Vorgesetzte oder Kolleginnen und Kollegen am Arbeitsplatz
Arbeitsaufzeichnungen und abteilungsinterne Informationen prüfen und vermuten, wer davon wusste
Unternehmen oder Organisation
Zugriffslogs, Verlauf der Dokumentansicht und interne Untersuchungen nutzen
Prozessgegner
Offenlegung von Aufzeichnungen, Druck auf Beteiligte und Beweissammlung nutzen
Staatliche Stellen
Kommunikationsdaten, Beschlagnahme von Geräten und breite Ermittlungen nutzen
Online-Angreifer
Beitragsverläufe, soziale Netzwerke, Bilder und öffentliche Informationen sammeln
Gegen alle Gegenseiten lässt sich nicht mit derselben Maßnahme gewinnen.
Wenn realistische Bedrohungen zuerst festgelegt werden, lassen sich überzogene und unzureichende Maßnahmen vermeiden.
Was geschützt werden soll
Als Nächstes trennt man die Schutzgüter.
Es reicht nicht, nur den "Namen der Quelle" zu schützen. Auch die Tatsache der Kontaktaufnahme, die Tatsache des Zugriffs auf Unterlagen, die Zugehörigkeit zu einer bestimmten Abteilung, ein Aufnahmeort, Schreibstil und Zeitpunkt werden zu Schutzgütern.
Schutzgut
Konkretes Beispiel
Identität
Name, Gesicht, Zugehörigkeit, Kontaktadresse
Tatsache des Kontakts
Wann mit wem Kontakt aufgenommen wurde
Herkunft der Unterlagen
Ersteller, Betrachtende, Zugriffsrechte
Handlungszeit
Sendezeit, Aufnahmezeit, Login-Zeit
Merkmale im Artikel
Interne Umstände, besondere Formulierungen, Position
Quellen werden auch dann verdächtigt, wenn kein Name erscheint.
Wenn "nur wenige Personen diese Unterlage sehen können", wird schon die Art der Unterlage selbst zu einem starken Hinweis.
Über welche Wege etwas offen wird
Es gibt mehrere Leckpfade.
Kommunikation, Dateien, Artikelinhalt, Weitergabe innerhalb der Redaktion und Reaktionen nach der Veröffentlichung: Von überall aus kann man sich der Quelle nähern.
Wer reagiert, wer schweigt, interne Untersuchung der Organisation
Maßnahmen werden für jeden Leckpfad getrennt bedacht.
Wenn der Artikeltext die Quelle erkennbar macht, hilft es nicht, oder SecureDrop zu verwenden.
Ein häufiges Missverständnis ist die Annahme, dass der Schutz des Kommunikationswegs allein Quellenschutz bedeutet.
Ein sicherer Kontaktweg ist wichtig. Aber der Kontaktweg ist nur ein Teil des Quellenschutzes.
Selbst wenn eine Quelle Unterlagen über ein anonymes Formular sendet, lässt sich die Herkunft eingrenzen, wenn Erstellername, Abteilungsname, Bearbeitungsverlauf oder ein Wasserzeichen für den Verteiler in den Unterlagen bleiben.
Wenn im Artikel steht: "Nach Angaben einer Person, die an dieser Sitzung teilnahm", kann die Kandidatenliste innerhalb der Organisation anhand der Teilnehmenden eingegrenzt werden.
Bereich, den man geschützt zu haben glaubt
Verbleibende Gefahr
Anonymes Formular
Metadaten oder Inhalt der gesendeten Unterlagen verraten etwas
Verschlüsselte Nachricht
Gerätebenachrichtigungen, Kontaktzeit und Logs der Gegenseite bleiben
E-Mail unter Pseudonym
Schreibstil, Anhang und Erstellungsumgebung verraten etwas
Anonyme Bezeichnung im Artikel
Aussageinhalt oder Position verengen den Kreis
Beim Quellenschutz müssen Kontaktweg, Unterlagen, Text und Reaktionen nach der Veröffentlichung zusammen betrachtet werden.
Risikostärke unterscheiden
Nicht jede Recherche braucht Maßnahmen derselben Stärke.
Ein leichtes lokales Thema unterscheidet sich im Risiko von organisierter Kriminalität, Korruption, nationaler Sicherheit oder Whistleblowing.
Risiko
Situation
Nötige Denkweise
Niedrig
Recherche auf Grundlage öffentlicher Informationen
Grundlegende Prüfung und Einwilligung
Mittel
Aussage einer anonym bleiben wollenden Person
Verwaltung von Kontaktweg, Zitaten und Attributinformationen
Hoch
Interne Unterlagen oder Hinweis auf Fehlverhalten
Eigener Kanal, Unterlagenverwaltung, Verhindern von Rückschlüssen aus dem Artikel
Bei Hochrisikorecherchen ist es auch wichtig, nicht eigenmächtig vorzugehen.
Es braucht eine Struktur, in der Redaktion, Fachleute, rechtliche Beratung und Sicherheitsverantwortliche einbezogen werden können.
Was vor der Recherche festgelegt wird
Ein Bedrohungsmodell wird vor der Recherche erstellt, nicht danach.
Wenn einmal per Klarnamen-E-Mail oder Social-Media-DM Kontakt aufgenommen wurde, lässt sich diese Spur später nicht löschen. Wenn Unterlagen in die alltäglich genutzte Cloud hochgeladen wurden, bleiben Logs und Freigabeverläufe zurück.
Vor der Recherche festzulegen
Grund
Kontaktmittel
Der Erstkontakt wird besonders leicht zur Spur
Art des Materialempfangs
Metadaten und Freigabeverläufe verwalten
Speicherort
Zugriffsbereich innerhalb der Redaktion begrenzen
Umgang mit Zitaten
Rückschlüsse auf Zeuginnen und Zeugen vermeiden
Veröffentlichungszeitpunkt
Korrelation mit internen Untersuchungen vermeiden
Bevor man einer Quelle sagt: "Schicken Sie es erst einmal", legt man fest, wie Material entgegengenommen wird.
Was beim Schreiben bedacht wird
Der Schutz von Quellen endet nicht mit dem Empfang der Information.
Beim Schreiben wird entschieden, welche Details, die auf die Quelle hinweisen, erhalten bleiben. Informationen, die Leser brauchen, werden von Informationen getrennt, die Quellen gefährden.
Zum Beispiel kann es nötig sein, zur Erklärung eines Whistleblowing-Inhalts Branchen wie "medizinische Einrichtung", "Kommunalverwaltung" oder "Logistikunternehmen" zu nennen. Nicht immer ist es jedoch nötig, konkrete Filialnamen, Sitzungstage, Funktionsbezeichnungen, Personenzahlen oder nur intern gebräuchliche Bezeichnungen offenzulegen.
Information im Artikel
Zu prüfen
Funktion oder Abteilung
Ob Kandidaten auf wenige Personen eingegrenzt werden
Datum und Uhrzeit
Ob Abgleich mit Zugriffslogs oder Sitzungsprotokollen möglich ist
Aussehen der Unterlagen
Ob Wasserzeichen oder Versionsstände je Verteiler sichtbar sind
Zitat
Ob besondere Formulierungen der Person erhalten bleiben
Veröffentlichungszeitpunkt
Ob er zu stark mit internen Untersuchungen oder Ereignissen zusammenfällt
Wenn Informationen zum Quellenschutz verallgemeinert werden, kann die Überzeugungskraft des Artikels sinken. In diesem Fall wird als redaktionelle Entscheidung behandelt, was bleibt und was gestrichen wird.
Nur "anonym bleiben wollend" zu schreiben, reicht nicht. Die Form muss so gestaltet werden, dass Leser oder Beteiligte nicht rückwärts erschließen können, wer diese Person ist.
Auch der Quelle erklären
Quellenschutz ist nicht nur Sache der Journalistin, des Journalisten oder der Redaktion.
Wenn die Quelle selbst gefährliche Kontaktmethoden nutzt, nach der Veröffentlichung in sozialen Netzwerken reagiert oder in ihrem Umfeld darüber spricht, wird der Schutz schwächer. Deshalb werden bei Hochrisikorecherchen auch der Quelle die wichtigsten Vorsichtspunkte erklärt.
Zu erklären
Grund
Alltagsgerät und Arbeitsleitung vermeiden
Bleibt in internen Logs oder Geräteverwaltung zurück
Unterlagen nicht unverändert senden
Metadaten und Wasserzeichen bleiben
Nach Veröffentlichung nicht zu stark reagieren
Kann als beteiligte Person verdächtig machen
Nicht im Umfeld darüber sprechen
Informationen können über Beratende weiterwandern
Kontaktweg nicht wechseln
Abweichen vom sicheren Weg erhöht Spuren
Um eine Quelle zu schützen, muss geteilt werden, welches Verhalten für sie gefährlich wäre.
Zusammenfassung
Um Quellen zu schützen, braucht es ein Bedrohungsmodell.
Man ordnet, vor wem geschützt wird, was geschützt wird, über welche Wege etwas offen werden kann und wie stark das Risiko ist.
Quellen werden auch ohne Namensnennung verdächtigt.
Kontaktzeit, Art der Unterlagen, Details im Artikel und Veröffentlichungszeitpunkt können den Kreis der Kandidaten verengen.
Der Ausgangspunkt des Quellenschutzes ist, vor der Werkzeugwahl festzulegen, welche Gegenseite und welche Informationen geschützt werden müssen.
Verwandte Werkzeuge
Whistleblower submission
SecureDrop
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Quellenschutz beginnt mit einem Bedrohungsmodell: Wer könnte die Quelle suchen, was muss geschützt werden, über welche Wege entstehen Lecks und wie stark ist das Risiko?