Mein eigener anonymer Briefkasten
Falls ihr mir Material für eine Story sicher und anonym zusenden wollt, habe ich dafür jetzt ein abgesichertes Kontaktformular eingerichtet.
Der deutsche E-Mail-Anbieter Tutanota stellt Journalisten kostenlos ein verschlüsseltes Kontaktformular namens Secure Connect zur Verfügung. Tutanota war so nett, mir einen Zugang einzurichten, so dass ich nun meine eigene sichere Kontaktmöglichkeit für Quellen und Informanten zur Verfügung stellen kann. Bei Heise war ich Gründungsmitglied des Investigativ-Teams und Teil der Gruppe, welche die SecureDrop-Instanz für das Whistleblower-Kontaktformular des Verlages evaluiert, modifiziert, installiert und gewartet hat.
Seitdem ich diese Firma verlassen habe, kann ich natürlich nicht mehr deren Infrastruktur nutzen. Während meines ersten Jahres als Freelancer habe ich viele Male darüber nachgedacht, einen eigenen sicheren Briefkasten für Whistleblower bereitzustellen. Allerdings bin ich zu dem Schluss gekommen, dass der Aufbau und die Pflege einer eigenen SecureDrop-Instanz auf sichere Art und Weise mit den Ressourcen eines Ein-Personen-Betriebes nicht möglich ist.
Ich finde, dass die Nutzung des Tutanota-Systems ein guter Kompromiss ist. Natürlich bedeutet es, dass ich dem Unternehmen und der End-to-End-Verschlüsselung von deren Server vertrauen muss. Und es bedeutet auch, dass das Kontaktformular keine zusätzliche Sicherheit für den Hinweisgeber erzwingt, wie es SecureDrop tut. Aber auf der anderen Seite ist es sehr einfach zu benutzen. Und Whistleblower haben natürlich immernoch die Möglichkeit, mein Kontaktformular mit Tails und/oder dem Tor Browser zu besuchen, auch wenn die Seite selbst kein Hidden Service ist.
Wie ihr mich sicher kontaktieren könnt
Wenn ihr mir Informationen für eine Story sicher und anonym schicken wollt, könnt ihr das jetzt tun, indem ihr https://drop.fab.industries/contactform/secure besucht und den Anweisungen auf der Seite folgt.
Achtung: Wenn ihr diesen Link von einem Computer in einem Unternehmen – z.B. bei eurem Arbeitgeber – öffnet, ist es sehr wahrscheinlich, dass deren Systeme einen Besuch dieser URL protokollieren. Es ist auch sehr wahrscheinlich, dass automatisierte Systeme erkennen, um welche Art von Seite es sich handelt. Das kann eure Identität als Whistleblower aufdecken. Es ist am besten, das Kontaktformular von einem Netzwerk aus zu besuchen, das gänzlich unter eurer Kontrolle steht. Oder, noch besser, von einem öffentlichen Netzwerk aus. Aber selbst dann solltet ihr euch bewusst sein, dass ihr wahrscheinlich Spuren wie die MAC-Adresse eures Rechners irgendwo in einem Log hinterlasst.
Bitte beachtet immer grundlegende Opsec-Regeln und sorgt für Plausible Deniability eurerseits. Selbst professionelle Journalisten, denen Quellenschutz sehr am Herzen liegt, machen Fehler und enttarnen Informanten unter Umständen aus Versehen. Seid vorsichtig und bringt euch nicht in Gefahr!
Damit im Hinterkopf bin ich natürlich immer auf der Suche nach investigativen Geschichten und kann wahrscheinlich behaupten, dass ich mehr über IT-Security, Opsec und sichere Kommunikation weiß, als die meisten anderen Journalisten. Wenn ihr mir über dieses Kontaktformular Material für eine valide Geschichte schickt, verspreche ich, dass ich a) vor nichts zurückschrecke, um diese so prominent wie möglich zu veröffentlichen und b) alles in meiner Macht stehende tun werde, um eure Anonymität als Quelle zu schützen.
Meiner Überzeugung nach ist Quellenschutz für einen Journalisten von größter Wichtigkeit und eine sehr ernste Angelegenheit der Berufsehre. Der Hauptgrund für die Erstellung dieses sicheren Kontaktformulars ist die Tatsache, dass mir Quellen oft unglaublich sensible Informationen über weniger sichere Kanäle schicken. Ich würde diesen Umstand sowohl zum Wohle der Quellen als auch zu meinem eigenen Schutz gerne verbessern. Und natürlich hoffe ich auch, dass die Bereitstellung eines solchen Kontaktformulars etwaigen Whistleblowern die Kontaktaufnahme mit mir einfacher macht.
Ihr könnt das Kontaktformular natürlich auch dafür nutzen, um ein persönliches Treffen zu vereinbaren. Ich bin nicht über ein unauffälliges Treffen an einem öffentlichen Ort erhaben.
→ Kommentar-Thread zu diesem Post im Fediverse
Aufmacherbild: Nathan Dumlao