Anonymität für Whistleblower
Der gefährlichste Fehler beim Whistleblowing ist die Annahme: "Solange ich meinen Namen nicht nenne, bin ich anonym."
Interne Dokumente, Zugriffsrechte, Verteilerkreis, Erstellerinformationen, Bearbeitungsverlauf, interne Begriffe, Zeitpunkt der Veröffentlichung, Kontaktweg. All das kann Material sein, um den Kreis möglicher Hinweisgeber einzugrenzen.
Beim Whistleblowing ist die Gegenseite nicht unbedingt ein gewöhnlicher Leser.
Es kann Personen geben, die interne Protokolle der Organisation, Dokumentenmanagementsysteme, E-Mail-Verläufe, Ein- und Ausgangsaufzeichnungen, Geräteverwaltung und Zugriffsrechte einsehen können. Man muss nicht nur öffentliche Informationen betrachten, sondern auch bedenken, dass sie mit internen Aufzeichnungen der Organisation abgeglichen werden können.
Dieser Artikel ordnet, welchen Bereich Whistleblower betrachten sollten, wenn sie über Anonymität nachdenken.
In Situationen, in denen rechtliche Einschätzungen oder Sicherheitsentscheidungen nötig sind, entscheiden Sie nicht allein anhand dieses Artikels, was zu tun ist. Es ist wichtig, eine zur Situation passende Beratungsstelle zu nutzen, etwa eine Anwältin oder einen Anwalt, eine Arbeitsberatungsstelle, eine vertrauenswürdige Redaktion oder eine Unterstützungsorganisation.
Bei Whistleblower-Anonymität ist die Gegenseite stark
Bei gewöhnlichen anonymen Beiträgen sucht die Gegenseite oft nach öffentlichen Informationen oder Hinweisen im Web.
Beim Whistleblowing werden zusätzlich Informationen aus dem Inneren der Organisation genutzt.
Wer konnte auf dieses Dokument zugreifen? Wer war in dieser Besprechung? Wer gehört zu der Abteilung, die diese Formulierung verwendet? Wer bediente zu diesem Zeitpunkt ein Gerät? Solche Informationen sind für Außenstehende nicht sichtbar, können innerhalb der Organisation aber überprüfbar sein.
| Korrelierte Information | Was erkennbar wird |
|---|---|
| Verteilerkreis des Dokuments | Der Kreis der Personen, die das Material sehen konnten, wird enger |
| Zugriffsprotokolle | Es kann erkennbar sein, wer das Dokument wann geöffnet hat |
| Interne Begriffe | Abteilung, Rolle oder Projekt werden vermutet |
| Erstellerinformationen | Das Gerät oder Konto, mit dem die Datei erstellt wurde, kann zurückbleiben |
| Zeitpunkt der Veröffentlichung | Wird mit Arbeitszeit, Pausen und Verhalten nach Dienstschluss abgeglichen |
| Kontaktweg | E-Mail-, Cloud-, Social-Media- und Geräteprotokolle bleiben zurück |
Bei der Anonymität von Whistleblowern ist es wichtig, die Fähigkeiten der Gegenseite nicht zu niedrig einzuschätzen.
"Von außen ist es nicht erkennbar" bedeutet nicht, dass es auch aus dem Inneren der Organisation nicht erkennbar ist.
Das Original nicht unverändert herausgeben
Beim Umgang mit internen Dokumenten ist es ein großes Risiko, das Original unverändert zu senden.
Office-Dateien, PDFs, Bilder und Screenshots behalten Informationen außerhalb des eigentlichen Textes. Dazu gehören Erstellername, Bearbeitungsverlauf, Kommentare, Dateipfade, Vorlagennamen, Erstellungszeitpunkt, Druckinformationen, interne Kennungen, Wasserzeichen und Verteilnummern.
| Hinweis | Erklärung |
|---|---|
| Erstellername | In Office- oder PDF-Dateien können Benutzername, Organisationsname oder Gerätename zurückbleiben |
| Änderungsverlauf | Es kann zurückbleiben, wer welchen Teil bearbeitet hat |
| Kommentare | Prüfer, Abteilungsnamen und interne Gespräche werden sichtbar |
| Dateiname | Vorgangsnamen, Verantwortliche, Datum oder Verwaltungsnummern können enthalten sein |
| Wasserzeichen und Kennungen | Bei individuell verteilten Materialien können sie auf den Empfänger hinweisen |
| von Bildern | Aufnahmezeit, Gerät und GPS können zurückbleiben |
Vor Veröffentlichung oder Einreichung trennt man Original und Arbeitskopie.
Das Original muss möglicherweise als Beweis gesichert werden. Bei dem, was an externe Stellen geht, prüft man dagegen Metadaten, spezifische Ausdrücke, Kennungen, Dateinamen und sichtbare Details in Bildern.
Wenn jedoch der Beweiswert eine Rolle spielt, kann unbedachtes Bearbeiten ein anderes Problem verursachen.
Bei rechtlichen Verfahren, arbeitsrechtlichen Konflikten, Strafsachen und schwerwiegenden Meldungen im öffentlichen Interesse sollten Sie mit Fachleuten klären, was bearbeitet wird und was als Original erhalten bleibt.
Einen sicheren Melde- oder Einreichungskanal wählen
Beim Whistleblowing sind Empfänger und Übermittlungsweg sehr wichtig.
Wenn man Materialien unverändert an ein persönliches Social-Media-Konto, normale E-Mail, Cloud-Freigabe, anonymes Forum oder Ähnliches sendet, bleiben Kommunikationsprotokolle und Kontoinformationen zurück. Selbst wenn die Gegenseite gute Absichten hat, können Informationen durchsickern, wenn die Abläufe auf Empfängerseite schwach sind.
Einige Redaktionen und NGOs stellen Mechanismen bereit, um anonyme Hinweise entgegenzunehmen.
SecureDrop ist ein Open-Source-System, mit dem Redaktionen und NGOs anonyme Hinweise entgegennehmen können. Es ist für Zugriff über , Reduzierung von Metadaten und verschlüsselte Einreichung konzipiert. Wichtig ist, den Anleitungen auf der offiziellen Seite der Organisation zu folgen, die es betreibt.
URL : https://securedrop.org/
GlobaLeaks ist freie und quelloffene Software zum Aufbau von Whistleblowing-Plattformen. Redaktionen, Organisationen, öffentliche Stellen, Unternehmen und ähnliche Einrichtungen können sie als Meldesystem nutzen.
URL : https://globaleaks.org/
Tor Browser wird genutzt, um die IP-Adresse der nutzenden Person für das Ziel schwerer direkt sichtbar zu machen. Bei anonymen Einreichungssystemen wie SecureDrop kann die Nutzung von Tor vorausgesetzt werden.
URL : https://www.torproject.org/
Diese Mechanismen werden vorgestellt, weil sie beim Whistleblowing tatsächlich als Eingänge genutzt werden.
Ein Werkzeug zu nutzen macht Anonymität jedoch nicht vollständig. Vom Arbeitsplatzgerät zugreifen, mit einem Klarnamenkonto recherchieren, Firmen-Wi-Fi nutzen, Originaldateien unverändert senden, direkt nach der Einreichung ungewöhnlich handeln. Solche Fehler schwächen die Wirkung der Werkzeuge.
Arbeitsplatzgeräte und Netzwerke nicht überschätzen
Was man beim Whistleblowing am meisten vermeiden sollte, ist die unbewusste Nutzung von Geräten oder Netzwerken, die von der Organisation verwaltet werden.
Auf PCs von Unternehmen oder Schulen, Dienst-Smartphones, internem Wi-Fi, s, per MDM verwalteten Geräten, E-Mail-Konten und Cloud-Speichern bleiben Protokolle und Verwaltungsinformationen zurück.
| Umgebung | Zurückbleibende Informationen | Hinweis |
|---|---|---|
| Dienst-PC | Anmeldung, Dateioperationen, Drucken, USB, Browserverlauf | Administratoren können dies unter Umständen prüfen |
| Internes Wi-Fi | Verbundenes Gerät, Verbindungszeit, Ziel | Verbindungen zu Tor oder externen Diensten können auffallen |
| Dienst-E-Mail | Senden und Empfangen, Weiterleitung, Anhänge, Suchverlauf | Kann später geprüft werden |
| Cloud-Speicher | Ansichts-, Freigabe- und Downloadverlauf | Wer wann geöffnet hat, bleibt zurück |
| Drucker | Druckende Person, Zeitpunkt, Anzahl der Kopien, Dokumentname | Auch bei Papiermaterialien können Protokolle zurückbleiben |
Eine von der Organisation verwaltete Umgebung steht nicht unbedingt auf Ihrer Seite.
Wenn man Anonymität betrachtet, trennt man Geräte, Kommunikationswege, Konten und Dateiumgang. Wie weit diese jeweils getrennt werden sollten, hängt von der Größe des Risikos ab.
Bei hohem Risiko sollte man den Verfahren von Fachleuten oder vertrauenswürdigen Eingängen folgen.
Aus dem Inhalt wird der Kandidatenkreis enger
Auch wenn Metadaten entfernt werden, kann der Kandidatenkreis durch den eigentlichen Text enger werden.
Whistleblowing-Inhalte enthalten Informationen, die nur einem begrenzten Personenkreis bekannt sind. Besprechungsnamen, Abteilungsnamen, Datum und Uhrzeit, Vorgangsnummern, Formulierungen im Dokument, Ausdrucksweisen beteiligter Personen, Umstände vor Ort. Wenn sie unverändert erscheinen, beginnt die Schlussfolgerung: "Wer konnte auf diese Information zugreifen?"
| Hinweis im Text | Warum der Kandidatenkreis enger wird | Denkweise für den Umgang |
|---|---|---|
| Besprechungsdatum und -uhrzeit | Teilnehmende und Betrachtende sind begrenzt | Den Zeitpunkt im nötigen Umfang verallgemeinern |
| Abteilungsname | Mögliche Zugehörigkeiten werden enger | Die für das öffentliche Interesse nötige Granularität bedenken |
| Interne Begriffe | Eine bestimmte Abteilung oder ein Projekt wird erkennbar | Durch allgemeinere Ausdrücke ersetzen |
| Dokumentnummer | Wird mit Verteilerkreis und Verwaltungssystemen abgeglichen | Vor Veröffentlichung prüfen, ob sie verborgen werden sollte |
| Ton und Reihenfolge der Erklärung | Berufsfeld oder Position der schreibenden Person werden sichtbar | Dritte lesen lassen und Korrelation prüfen |
Wenn der Inhalt jedoch zu stark verallgemeinert wird, sinkt die Glaubwürdigkeit des Hinweises.
Was verborgen und was erhalten bleibt, hängt vom Zweck ab. Öffentliches Interesse, Beweiswert, Ziel der Kontaktaufnahme, rechtliche Verfahren und Sicherheit müssen gleichzeitig bedacht werden.
An dieser Stelle ist es sinnvoll, eine vertrauenswürdige Fachperson oder Redaktion zu konsultieren, statt allein weiterzugrübeln.
Zusammenfassung
Bei der Anonymität von Whistleblowern muss man bedenken, dass die Gegenseite interne Protokolle der Organisation und Informationen aus dem Dokumentenmanagement sehen kann.
Auch ohne Namensnennung wird der Kandidatenkreis durch Dokumentmetadaten, Erstellerinformationen, Verteilerkreis, Zugriffshistorie, interne Begriffe, Veröffentlichungszeitpunkt und Kommunikationswege enger.
Senden Sie Originale nicht unverändert. Prüfen Sie Informationen außerhalb des Dateiinhalts. Wenn jedoch Beweiswert nötig ist, bearbeiten Sie Materialien nicht unbedacht, sondern konsultieren Sie Fachleute.
Mechanismen wie SecureDrop, GlobaLeaks und Tor Browser werden für Whistleblowing und anonyme Hinweise genutzt. Werkzeuge allein reichen jedoch nicht aus, um Sicherheit herzustellen. Man verwaltet die Korrelation von Geräten, Netzwerken, Konten, Dateien und Verhalten gleichzeitig.
Whistleblowing ist hochriskant.
Wenn rechtliche Einschätzung oder Sicherheitsentscheidung eine Rolle spielen, handeln Sie nicht allein. Konsultieren Sie eine vertrauenswürdige Redaktion, eine Anwältin oder einen Anwalt, eine Unterstützungsorganisation oder Fachleute.
Verwandte Werkzeuge
ExifTool
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://exiftool.org/
MAT2
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
qpdf
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
SecureDrop
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://securedrop.org/
GlobaLeaks
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://globaleaks.org/