Das Bedrohungsmodell, das man beim Whistleblowing zuerst bedenken sollte
Beim Whistleblowing erstellt man zuerst ein Bedrohungsmodell.
Ein Bedrohungsmodell ist eine Denkweise, mit der man ordnet, "vor wem, was und über welche Wege" geschützt werden soll.
Beim Whistleblowing ist die Gegenseite häufig kein externer Angreifer, sondern die eigene Organisation. Die Organisation kann Verteiler von Unterlagen, Zugriffsprotokolle, Geräteverwaltung, Zutritts- und Verlassensprotokolle sowie E-Mail-Verläufe besitzen.
Deshalb muss man vorsichtiger denken als bei gewöhnlichen anonymen Beiträgen.
Vor wem schützen
Zuerst überlegt man, wer versuchen könnte, die hinweisgebende Person zu identifizieren.
Vorgesetzte, Rechtsabteilung, IT-Abteilung, Revision, Geschäftsleitung, externe Untersuchungsfirmen und je nach Fall Ermittlungsbehörden. Je nach Gegenüber sind unterschiedliche Informationen sichtbar.
| Gegenüber | Sichtbare Informationen |
|---|---|
| Direkte Vorgesetzte | Arbeitsinhalt, Arbeitszeit, wer unzufrieden war |
| IT-Abteilung | Geräteprotokolle, Zugriffsverläufe, E-Mail, Cloud-Verlauf |
| Rechts- und Revisionsabteilung | Verteilte Unterlagen, Beteiligte, Untersuchungsaufzeichnungen |
| Geschäftsleitung | Befugnisse in der Organisation, Untersuchungsanweisungen, Disziplinarentscheidungen |
| Externe Untersuchungsfirma | Befragungen, Protokollanalyse, Untersuchung von Beteiligten |
Wenn unklar bleibt, wer das Gegenüber ist, schätzt man die Stärke der Maßnahmen falsch ein.
Beim Whistleblowing ist die Gegenseite kein bloßer Leser. Sie kann organisationsinterne Befugnisse, Protokolle, Befragungen, Revision und rechtliche Schritte nutzen. Direkte Vorgesetzte kennen Beziehungen und Unzufriedenheit. Die IT-Abteilung kann unter Umständen Geräte- und Cloud-Verläufe sehen. Rechtsabteilung und Revision untersuchen Verteiler und Beteiligte.
Wenn man die Fähigkeiten der Gegenseite unterschätzt, reichen die Maßnahmen nicht aus. Wenn man umgekehrt alle als staatliche Akteure betrachtet, wird jedes Handeln unmöglich. Man muss realistische Gegenüber und Fähigkeiten trennen.
Was schützen
Geschützt wird nicht nur der Name.
Auch Zugriff auf Unterlagen, Sendezeitpunkt, die Tatsache einer Beratung, Erstellerinformationen von Dokumenten, Beziehung zur Abteilung und Reaktion nach der Veröffentlichung sind Schutzobjekte.
| Schutzobjekt | Konkretes Beispiel |
|---|---|
| Identität | Name, Abteilung, Berufsfunktion, Arbeitsort |
| Tatsache des Zugriffs | Aufzeichnung über Öffnen, Drucken oder Herunterladen von Unterlagen |
| Tatsache der Kontaktaufnahme | Wer wann konsultiert wurde |
| Herkunft der Unterlagen | Ersteller des Dokuments, Verteilerbereich, Versionsnummer |
| Zeitlicher Ablauf des Verhaltens | Wann gesehen, wann gesendet und wann veröffentlicht wurde |
Beim Whistleblowing wird manchmal wichtiger, "wer zu diesem Zeitpunkt handeln konnte", als "wer es hatte".
Wenn man als Schutzobjekt nur den Klarnamen betrachtet, übersieht man wichtige Risiken. Auch die Tatsache des Zugriffs auf Unterlagen, die Tatsache der Beratung, Druckzeitpunkt, Verlauf geöffneter Dateien und Reaktion nach der Veröffentlichung sind Schutzobjekte. Die Organisation sucht manchmal weniger nach dem Namen selbst als nach "Personen, die diese Information berührt haben".
Beim Whistleblowing schützt man Identität, Verhalten, Unterlagen, zeitlichen Ablauf und Beteiligte getrennt. Wenn eines davon durchsickert, verbindet es sich mit anderen Informationen und der Kandidatenkreis wird enger.
Wo es durchsickert
Man trennt die Orte, an denen etwas durchsickern kann.
Interne Systeme, Geräte, Cloud, Dokumente, Kommunikation, Einreichungsziel und der Artikel nach der Veröffentlichung. In jeder Phase gibt es Hinweise.
| Leckpfad | Beispiel |
|---|---|
| Interne Systeme | Dateizugriff, Download, Druckprotokolle |
| Gerät | USB-Verbindung, Screenshot, App-Startverlauf |
| Dokument | Ersteller, Organisationsname, Änderungsverlauf, Kommentare |
| Kommunikation | E-Mail, DM, Anruf, IP, Uhrzeit |
| Einreichungsziel | Protokolle der empfangenden Seite, Aufbewahrungsmethode, Antwortweg |
| Nach der Veröffentlichung | Artikelinhalt, Veröffentlichungszeit, Art der Unterlagen |
Beim Whistleblowing kann die Phase vor der Einreichung gefährlich werden.
Denn schon beim Suchen, Öffnen, Kopieren oder Drucken von Unterlagen bleiben Aufzeichnungen.
Leckpfade bestehen nicht nur aus dem Sendeweg. Suchverlauf beim Finden der Unterlagen, Anzeigen auf einem Dateiserver, Cloud-Download, Druckernutzung, Aufnahme mit dem Smartphone, Synchronisierung in eine private Cloud und gespeicherte Beratungsnotizen werden alle zu Hinweisen.
Auch nach der Veröffentlichung entsteht ein Leck. Konkretheit von Artikel oder Meldungsinhalt, Veröffentlichungszeitpunkt, zusätzliche Informationen und Reaktionen am Arbeitsplatz werden zu Material für die Suche nach der hinweisgebenden Person. Im Bedrohungsmodell trennt man vor dem Handeln, beim Senden und nach der Veröffentlichung.
Risikogröße trennen
Whistleblowing hat eine große Spannweite.
Eine leichte interne Beratung, arbeitsrechtliche Probleme, Rechtsverstöße, Bilanzfälschung, schwerwiegende Meldungen im öffentlichen Interesse und Informationen nahe an Staatsgeheimnissen haben völlig unterschiedliche Risiken.
| Risiko | Situation | Denkweise |
|---|---|---|
| Niedrig | Allgemeine Arbeitsplatzberatung | Beratungsstelle und Umgang mit Aufzeichnungen prüfen |
| Mittel | Arbeitsprobleme oder Belästigung | Beweissicherung, Beratungsstellen und Vergeltungsrisiko betrachten |
| Hoch | Bilanzfälschung, Rechtsverstöße, organisiertes Fehlverhalten | Rechtliche Beratung und Auswahl des Einreichungsziels sind wichtig |
| Sehr hoch | Betrifft Staat, öffentliche Sicherheit oder schwerwiegende Geheimnisse | Nicht ohne Fachleute handeln |
Je höher das Risiko, desto wichtiger wird es, einen vertrauenswürdigen Beratungsweg zu suchen, statt zuerst ein anonymes Werkzeug anzufassen.
Die Risikogröße ändert sich nicht nur nach dem Inhalt, sondern auch nach der Stellung der hinweisgebenden Person. Festangestellte oder prekär Beschäftigte, Studierende, ausländische Staatsangehörige, mögliche Auswirkungen auf Familie, Isolation am Arbeitsplatz oder frühere Vergeltung. Dieselbe Information kann je nach Stellung zu unterschiedlichem Schaden führen.
Bei hohem Risiko ist es wichtig, nicht allein zu handeln. Man sucht Beratungsstellen, die zur Situation passen, etwa Anwältinnen und Anwälte, Unterstützungsorganisationen oder Redaktionen mit Erfahrung im Quellenschutz.
Fragen zum Erstellen eines Bedrohungsmodells
Vor dem Handeln beantwortet man die folgenden Fragen.
| Frage | Zweck |
|---|---|
| Wie viele Personen kennen diese Information | Die geringe Zahl möglicher Personen prüfen |
| Bleiben Aufzeichnungen über den Zugriff auf diese Unterlagen | Risiko interner Protokolle betrachten |
| Ist das Einreichungsziel vertrauenswürdig | Umgang auf Empfängerseite bedenken |
| Wer gerät nach der Veröffentlichung unter Verdacht | Vergeltung nach der Veröffentlichung annehmen |
| Gibt es rechtliche und sicherheitsbezogene Beratung | Gefahr von Alleingängen reduzieren |
Wenn viele Punkte nicht beantwortet werden können, ist es noch nicht der Zeitpunkt zum Senden.
Sie sollten zuerst geprüft werden.
Ein Bedrohungsmodell lässt sich leichter ordnen, wenn man es auf Papier schreibt. Doch auch diese Notiz selbst braucht Vorsicht. Wenn man Details auf einem Arbeitsplatzgerät, in einer Klarnamen-Cloud oder in einem gemeinsamen Ordner hinterlässt, entsteht eine neue Spur. Man ordnet sie in einer sicheren Umgebung und auf das notwendige Minimum begrenzt.
Aus dem Bedrohungsmodell Maßnahmen ableiten
Ein Bedrohungsmodell endet nicht beim Nachdenken. Aus ihm entscheidet man Maßnahmen.
| Erkannte Sache | Nächste Maßnahme |
|---|---|
| Nur wenige Personen hatten Zugriff auf die Unterlagen | Inhalt oder Veröffentlichungszeit anpassen |
| Arbeitsplatzgeräteprotokolle sind stark | Keine zusätzlichen Gerätehandlungen ausführen und Beratungsstelle suchen |
| Einreichungsziel ist unklar | Vor dem Senden Betreiber und Protokollrichtlinie prüfen |
| Rechtliches Risiko ist groß | Anwältin, Anwalt oder Fachstelle konsultieren |
| Familie oder Kolleginnen und Kollegen sind betroffen | Veröffentlichungsbereich und Inhalt überprüfen |
Ein Bedrohungsmodell dient nicht nur dazu, Handeln zu stoppen. Es ist ein Werkzeug, um zu entscheiden, was zuerst geprüft, wo reduziert und wen konsultiert wird.
Zusammenfassung
Beim Whistleblowing erstellt man zuerst ein Bedrohungsmodell.
Man ordnet, vor wem geschützt wird, was geschützt wird, wo etwas durchsickert und wie groß das Risiko ist.
Organisationen können Protokolle über Zugriff auf Unterlagen, Gerätehandlungen, Cloud, E-Mail, Zutritt und Verlassen sowie Drucken besitzen.
Vor der Nutzung anonymer Werkzeuge prüft man Herkunft der Informationen, Einreichungsziel, Rückschlüsse nach der Veröffentlichung sowie rechtliche und sicherheitsbezogene Beratungswege.
Das Bedrohungsmodell ist die erste Karte zur Risikoordnung beim Whistleblowing.
Verwandte Werkzeuge
SecureDrop
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://securedrop.org/
GlobaLeaks
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://globaleaks.org/