Was Whistleblower vor der Nutzung von Einreichungswerkzeugen prüfen sollten
Was Hinweisgebende prüfen sollten, bevor sie Einreichungswerkzeuge nutzen
Werkzeuge wie SecureDrop, GlobaLeaks und OnionShare können beim Whistleblowing und bei anonymen Hinweisen nützlich sein.
Vor dem Öffnen eines Werkzeugs gibt es jedoch Punkte, die geprüft werden müssen.
Ist das Einreichungsziel vertrauenswürdig? Bleiben Metadaten in den Unterlagen? Lässt sich aus dem Inhalt auf einen selbst schließen? Nutzt man kein Arbeitsplatzgerät und kein Arbeitsnetzwerk? Wie wird nach dem Senden eine Antwort geprüft?
Vor der Werkzeugwahl ordnet man die Risiken.
Werkzeuge schützen nur den Eingang
Werkzeuge für anonyme Hinweise werden genutzt, um den Eingang für Kontakt und Übergabe zu schützen.
Sie löschen jedoch nicht die Herkunft der Unterlagen, interne Protokolle, Dokumentmetadaten oder Rückschlüsse aus dem Inhalt.
| Wobei das Werkzeug hilft | Verbleibendes Risiko |
|---|---|
| Klarnamen-E-Mail vermeiden | In den Unterlagen bleibt der Erstellername |
| Gewöhnliche Cloud vermeiden | Dateizugriffsverläufe bleiben zurück |
| Verbindungsursprung schwerer sichtbar machen | Der Kreis möglicher Personen wird aus dem Inhalt enger |
| Übergabeweg trennen | Schlechte Abläufe am Einreichungsziel sind gefährlich |
Werkzeuge sind wichtig.
Beim Whistleblowing wiegen jedoch manchmal "was gesendet wird" und "an wen es gesendet wird" noch schwerer.
Es ist gefährlich, bei Namen wie SecureDrop, GlobaLeaks oder OnionShare zu denken: "Wenn ich das nutze, werde ich anonym."
Diese Werkzeuge können je nach Situation zu einer sichereren Übergabe beitragen als gewöhnliche E-Mail, Direktnachrichten in sozialen Medien oder Cloud-Freigabe. Sie löschen jedoch Verhaltensfehler der nutzenden Person nicht automatisch.
Wenn man von einem Arbeitsplatzgerät zugreift, bleibt dies in Geräteverwaltungsprotokollen. Wenn man aus einem Arbeitsnetzwerk zugreift, können Proxy- oder DNS-Aufzeichnungen zurückbleiben. Wenn in den Unterlagen Abteilungsnamen oder Erstellerinformationen bleiben, ist die Herkunft erkennbar, auch wenn der Übergabeweg sicher ist.
| Missverständnis | Tatsächlich |
|---|---|
| Mit einem anonymen Werkzeug ist es sicher | Auch Gerät, Netzwerk, Unterlagen und Inhalt müssen geprüft werden |
| genügt | Aus gesendeten Dateien und Verhalten nach dem Senden kann etwas erkennbar sein |
| Wenn das Formular verschlüsselt ist, genügt das | Abläufe und Speichermethoden des Einreichungsziels werden ebenfalls wichtig |
| Wenn man keinen Namen schreibt, ist es sicher | Aus Inhalt und Uhrzeit wird der Kreis möglicher Personen enger |
Einreichungsziel prüfen
Das Einreichungsziel wählt man sorgfältig.
Redaktionen, Anwältinnen und Anwälte, Hinweisgeber-Meldestellen, Prüfstellen, NGOs und externe Anlaufstellen unterscheiden sich bei Schutz, Reaktion und Risiko.
| Prüfpunkt | Grund |
|---|---|
| Betreiber | Wer die Anlaufstelle verwaltet |
| Umgang mit Informationen | Wer Unterlagen und Meldungsinhalt sehen kann |
| Antwortweg | Ob fortgesetzte Kommunikation zusätzliche Spuren erzeugt |
| Rechtlicher Schutz | Verhältnis zu Meldungen im öffentlichen Interesse und Geheimhaltungspflichten prüfen |
| Erfahrung und Erklärung | Ob Risikohinweise und Richtlinien zum Quellenschutz vorhanden sind |
Wichtig ist, einem Einreichungsziel nicht nur deshalb zu vertrauen, weil es ein anonymes Formular gibt.
Man betrachtet Haltung und Erklärungen des Betreibers.
Zu sendende Unterlagen prüfen
Unterlagen müssen vor dem Senden unbedingt geprüft werden.
Man betrachtet Text, Dateinamen, Metadaten, Ersteller, Bearbeitungsverlauf, Versionsnummer, Verteilerbereich sowie Benachrichtigungen oder Bildschirminformationen in Screenshots.
| Prüfpunkt | Warum man ihn ansieht |
|---|---|
| Dateiname | Echter Name, Abteilungsname oder Vorgangsname können enthalten sein |
| Erstellerinformationen | Echter Name oder Organisationsname bleiben zurück |
| Änderungsverlauf | Bearbeitende oder Kommentare bleiben zurück |
| Versionsnummer und Verteilerbereich | Zugriffsberechtigte Personen werden eingegrenzt |
| Spezifische Informationen im Text | Es wird erkennbar, wer die Information kennt |
Auch das Verändern von Unterlagen kann den Beweiswert beeinflussen.
Bei hohem Risiko erwägt man, nicht eigenmächtig zu bearbeiten, sondern Fachleute aus Recht oder Journalismus zu konsultieren.
Nutzungsumgebung prüfen
Es ist gefährlich, von Arbeitsplatzgeräten oder Arbeitsnetzwerken auf Werkzeuge für Hinweise zuzugreifen.
Geräteverwaltung, Proxy, DNS, Firewall, Protokolle und Überwachungssoftware können Aufzeichnungen hinterlassen.
| Prüfpunkt | Grund |
|---|---|
| Gerät | Ob es kein arbeitsplatzverwaltetes Gerät ist |
| Netzwerk | Ob es kein Arbeits-Wi-Fi und keine interne Leitung ist |
| Anmeldestatus | Ob man nicht in einem Klarnamenkonto angemeldet ist |
| Dateisynchronisierung | Ob nicht automatisch in Cloud oder Backup gespeichert wird |
| Benachrichtigungen | Ob keine Informationen in Bildschirmfreigaben oder Screenshots erscheinen |
Die Trennung der Umgebung ist eine Voraussetzung des Werkzeugs.
Wenn eine Trennung nicht möglich ist, ist es vielleicht noch nicht der Zeitpunkt zum Senden.
Inhalt auf das Nötige begrenzen
Beim Whistleblowing steigt mit größerer Informationsmenge die Überzeugungskraft, aber auch das Identifizierungsrisiko.
Bevor man alle Unterlagen gebündelt sendet, überlegt man, was die Gegenseite für eine Entscheidung wirklich braucht. Gerade beim Erstkontakt ist es sicherer, die eigene Identität oder interne Position nicht unnötig offenzulegen.
| Information | Risiko, sie beim Erstkontakt zu weit offenzulegen |
|---|---|
| Abteilungsname | Der Kreis möglicher Personen wird auf einmal enger |
| Detaillierte Arbeitstage | Werden mit Schichten oder Zutritts- und Verlassensprotokollen abgeglichen |
| Originaldatei | Ersteller, Änderungsverlauf und Wasserzeichen bleiben zurück |
| Interne Begriffe | Zugehörige Abteilung oder Erfahrungsjahre werden sichtbar |
| Persönliche Gefühle | Stil und Beziehung lassen eine persönliche Handschrift entstehen |
Natürlich braucht die Mitteilung eines wichtigen Fehlverhaltens Konkretheit. Das Problem ist, von Anfang an alles herauszugeben.
Es kann sicherer sein, Informationen schrittweise herauszugeben, nachdem das Einreichungsziel vertrauenswürdig ist, ein Kontaktweg besteht und der Umgang mit den Unterlagen geklärt wurde.
Beim Whistleblowing hinterlässt übereiltes Senden aus Gerechtigkeitsgefühl Spuren, die sich später nicht zurückholen lassen.
Bei Zweifel nicht eilig senden
Je gefährlicher das Whistleblowing, desto stärker wird der Wunsch, schnell zu informieren. Übereiltes Senden erhöht jedoch Fehler.
Dateien werden nicht geprüft. Das Arbeitsnetzwerk wird genutzt. Man arbeitet weiter, während man in einem Klarnamenkonto angemeldet ist. Die Abläufe des Einreichungsziels werden nicht gelesen.
Solche Fehler werden nach dem Senden zu schwer rückgängig zu machenden Spuren.
| Situation zum Anhalten | Grund |
|---|---|
| Erklärungen des Einreichungsziels wurden nicht gelesen | Der Umgang mit Informationen ist unbekannt |
| Metadaten der Unterlagen wurden nicht geprüft | Ersteller oder Änderungsverlauf bleiben zurück |
| Nur ein Arbeitsplatzgerät ist verfügbar | Es bleibt in Verwaltungsprotokollen |
| Man ist emotional in Eile | Unnötige Informationen werden leichter herausgegeben |
| Rechtliche Auswirkungen sind groß | Fachliche Beratung wird nötig |
Auch die Entscheidung, nicht zu senden, ist Teil der Absicherung. Wenn die Vorbereitung nicht reicht, richtet man zuerst Umgebung und Einreichungsziel ein.
Auch nach dem Senden weiterdenken
Nach dem Senden läuft das Risiko weiter.
Antwortprüfung, Senden zusätzlicher Unterlagen, interne Untersuchung nach der Veröffentlichung, Umgang mit journalistischen Nachfragen, Reaktionen in sozialen Netzwerken. In jeder Phase kann Korrelation entstehen.
| Verhalten nach dem Senden | Vorsichtspunkt |
|---|---|
| Antworten prüfen | Nicht wiederholt aus derselben Umgebung zugreifen |
| Zusätzliche Unterlagen | Neue Metadaten oder Zeitkorrelationen nehmen zu |
| Reaktionen in der Organisation | Nicht durch unnatürliches Verhalten verdächtig werden |
| Äußerungen nach Veröffentlichung | In sozialen Medien oder am Arbeitsplatz nicht überreagieren |
| Fortgesetzte Beratung | Sicheren Kontaktweg beibehalten |
Whistleblowing endet nicht mit dem Sendeknopf.
Man denkt auch das Verhalten nach der Veröffentlichung mit.
Zusammenfassung
Bevor Hinweisgebende Werkzeuge zur Informationsübergabe nutzen, prüfen sie Einreichungsziel, Unterlagen, Umgebung und Verhalten nach dem Senden.
Werkzeuge wie SecureDrop, GlobaLeaks und OnionShare sind nützlich, löschen jedoch die Herkunft der Unterlagen, interne Protokolle, Metadaten und Rückschlüsse aus dem Inhalt nicht automatisch.
Bitte beurteilen Sie Sicherheit nicht allein danach, dass ein anonymes Formular vorhanden ist.
Man prüft, wer es betreibt, was aufgezeichnet wird, wer die Unterlagen sieht und wie nach dem Senden kommuniziert wird.
Die Prüfung vor dem Einsatz eines Werkzeugs beeinflusst die Sicherheit beim Whistleblowing erheblich.
Verwandte Werkzeuge
Tor Project
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
ExifTool
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://exiftool.org/
MAT2
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
SecureDrop
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://securedrop.org/
GlobaLeaks
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://globaleaks.org/
OnionShare
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://onionshare.org/