Sie möchten sich unserer Mission anschließen? Hier sind einige Ideen zum Mitmachen.
Sind Sie ein Whistleblower?
Wenn Sie selbst Hinweise weitergeben wollen, sollten Sie Ihre Optionen gut abwägen.
Erfahren Sie mehr darüber, wie Sie sich schützen können.
Wie Sie anonym bleiben, wenn Sie Hinweise weitergeben
Die Aufdeckung von Fehlverhalten ist immer mit persönlichen Risiken verbunden. Daher entscheiden sich viele Whistleblower dafür, Informationen anonym zu übermitteln. Keine Form der Kommunikation kann die Sicherheit vollständig garantieren. Sie können jedoch die Wahrscheinlichkeit, anonym zu bleiben, erhöhen, indem Sie entsprechende technische Vorkehrungen treffen und sich entsprechend verhalten.
Weiter
Keine Verwendung von persönlichen Endgeräten
Jeder hinterlässt bei der Nutzung von Endgeräten zahlreiche Spuren und kann durch Cookies, Tracking-Tools, Spyware, Staatstrojaner, Vorratsdatenspeicherung und Spionagechips ausspioniert werden. Dies erleichtert es Behörden und Arbeitgebern, herauszufinden, wer der Whistleblower ist und welche vertraulichen Informationen weitergegeben wurden. Ein Besuch unserer Website oder der anderer Hinweisgeber (Medien usw.) kann ausreichen, um Verdacht zu erregen.
Die Verwendung von persönlichen (dienstlichen oder privaten) Endgeräten sollte daher beim Whistleblowing vermieden werden. Nutzen Sie stattdessen verschiedene und wechselnde öffentliche Bibliotheken und Internetcafés für Recherchen, die Einreichung von Berichten und die weitere Kommunikation im Zusammenhang mit Whistleblowing. Greifen Sie von dort niemals auf Seiten oder Dienste (E-Mail, soziale Medien, Kundenkonten usw.) zu, die mit Ihnen persönlich verbunden sind. Stellen Sie sicher, dass der jeweilige Standort (insbesondere der Bildschirm) nicht von Sicherheitskameras aus sichtbar ist und sich nicht in unmittelbarer Nähe eines Ihrer häufigen Aufenthaltsorte (Wohnung, Arbeitsplatz, Sportverein usw.) befindet.
Verschlüsselungstechniken und Software
Nachfolgend finden Sie einen Überblick über die technischen Lösungen, mit denen Sie es besonders schwierig machen können, Sie zu verfolgen. Bei den meisten dieser Lösungen handelt es sich um Open-Source-Lösungen. Sie sind nicht nur kostenlos, sondern werden auch von einer großen Gemeinschaft gepflegt. Das bedeutet, dass potenzielle Schwachstellen in der Regel frühzeitig entdeckt und dauerhaft behoben werden.
Weiter mit Verschlüsselungstechniken und Software
Tor-Browser
Wir hinterlassen ungewollt unzählige Hinweise auf unsere Identität im Internet. Sie können diese Spuren minimieren, indem Sie den kostenlosen Tor-Browser verwenden. Nachdem Sie den Tor-Browser gestartet haben, klicken Sie auf „Verbinden“, um sich mit dem Tor-Netzwerk zu verbinden. Wenn Sie mit dem Tor-Browser surfen, wird Ihr Datenstrom zunächst verschlüsselt (und für Sie nicht nachweisbar) und über verschiedene Server geleitet, anstatt direkt zum eigentlichen Ziel. Dadurch wird Ihre IP-Adresse und damit der Standort Ihres Computers verschleiert. Internetseiten werden dadurch etwas langsamer geladen. Der Tor-Browser blockiert außerdem Browser-Plug-ins wie Flash, RealPlayer und QuickTime, die von Hackern leicht manipuliert werden können. Sie sollten daher von der Installation von Plug-ins oder Erweiterungen für den Tor-Browser absehen.
Aber auch bei der Verwendung des Tor-Browsers gilt Folgendes: Wenn Sie anonym surfen wollen, müssen Sie sich entsprechend verhalten. Wer sich in sozialen Netzwerken anmeldet oder sich mit echten Daten im Tor-Browser registriert, verliert seine Anonymität.
Verschlüsselte Datenträger (Pen Drive, externe Festplatte)
Sie sollten sensible Dokumente und Dateien nicht auf Ihren geschäftlichen oder privaten Geräten speichern, sondern sie direkt auf ein verschlüsseltes externes Laufwerk (z.B. einen USB-Stick) herunterladen. Am sichersten ist es, einen neuen USB-Stick bei einem Händler zu kaufen, bar zu bezahlen und ihn nur im Zusammenhang mit Whistleblowing zu verwenden.
Die Open-Source-Software Veracrypt bietet eine sehr gute Verschlüsselung. Die Dateien werden unauffällig in einem sogenannten „Container“ mit professioneller 256-Bit-Verschlüsselung gespeichert. Um Zugang zu erhalten, müssen Sie das Passwort kennen und wissen, welche Verschlüsselungssoftware verwendet wurde. Optional erstellt Veracrypt zusätzlich zum Passwort eine sogenannte Schlüsseldatei, die separat gespeichert wird (z.B. Token oder Smartcard). Noch mehr Sicherheit bieten sogenannte „versteckte“ Container, deren Dateien auch nach der Entschlüsselung unsichtbar sind und nur durch Eingabe eines weiteren Passworts geöffnet werden können.
Eine gute Anleitung zur Einrichtung von Veracrypt finden Sie hier. Alternativ können Sie auch einen USB-Stick kaufen, auf dem bereits eine Verschlüsselungssoftware installiert ist. Wenn Sie Ihre Daten und Dokumente nicht mehr benötigen, können Sie sie und alle Spuren davon mit einer speziellen Löschsoftware dauerhaft löschen. Die deutschen Computerspezialisten von heise.de empfehlen u.a. die Open-Source-Software Eraser und File Shredder. Maximale Sicherheit können Sie erreichen, indem Sie das externe Laufwerk anschließend physisch zerstören. Bei SSD-Festplatten oder Pen Drives müssen Sie die einzelnen Speicherchips beschädigen.
Entfernung von Metadaten
Jede digitale Datei enthält etwas versteckte so genannte Metadaten, die zum Beispiel verraten können, wann, wo, von wem und mit welcher Software eine Datei erstellt wurde und welche Schriftarten verwendet wurden. Informationen, die möglicherweise Rückschlüsse auf Ihre Identität zulassen und daher so weit wie möglich entfernt werden sollten.
Einige Medien-Whistleblowing-Portale tun dies automatisch. Sie müssen sich jedoch nicht darauf verlassen, sondern können spezielle Software verwenden, um viele, wenn nicht sogar alle Metadaten selbst zu entfernen. Das Linux-basierte Betriebssystem Tails (siehe unten) enthält zum Beispiel den Metadata Cleaner. Das Ausdrucken von Dokumenten ist eine weitere Methode, um die Weitergabe von Metadaten zu verhindern. Aber auch dies bietet keine unbegrenzte Sicherheit: Geheimdienste erstellen manchmal mehrere fast identische Kopien desselben Dokuments, die sich nur durch winzige Tippfehler unterscheiden. Wird ein sensibles Dokument veröffentlicht, kann der Whistleblower anhand dieser Tippfehler identifiziert werden. Weitere Informationen über die Entfernung von Metadaten finden Sie hier.
Tails – das Komplettpaket für Whistleblower
Das Linux-basierte Betriebssystem Tails bietet das Komplettpaket für Whistleblower und andere Personen, die so wenig digitale Spuren wie möglich hinterlassen möchten. Standardmäßig werden alle Daten und Dokumente automatisch und dauerhaft gelöscht, wenn Tails heruntergefahren wird. Wenn Sie einzelne Dateien speichern möchten, können Sie einen verschlüsselten und passwortgeschützten „dauerhaften Speicher“ einrichten. Tails enthält auch viele nützliche Programme und Komponenten für Whistleblower, z.B. den Tor-Browser und den Metadata Cleaner zum Entfernen von Metadaten. Tails bietet auch Programme zur Bearbeitung von Texten, Tabellen und PDFs.
Tails ist Linux-basiert und kann über einen USB-Stick oder eine DVD auf jedem PC oder Laptop gestartet werden – unabhängig davon, welches Betriebssystem dort normalerweise verwendet wird. Zum Einrichten benötigen Sie einen USB-Stick mit mindestens acht Gigabyte Speicherplatz. Nach der Installation von Tails werden alle Daten auf dem USB-Stick automatisch gelöscht. Aus Sicherheitsgründen ist es nicht empfehlenswert, den USB-Stick für andere Zwecke als Tails zu verwenden. Laden Sie zunächst Tails herunter und „verifizieren“ Sie es online. Anschließend können Sie es mit dem Programm balenaEtcher auf dem Stick installieren. Ausführliche Informationen zum Einrichten und Verwenden von Tails finden Sie hier auf Englisch, hier (Paywall) und hier auf Deutsch.
Nach der Installation von Tails müssen Sie Ihr Endgerät über den USB-Stick starten. Wie das funktioniert, hängt von Ihrem Gerät und Betriebssystem ab. Bei den meisten Windows-basierten Geräten müssen Sie neu starten, indem Sie die UMSCHALT-Taste gedrückt halten und dann beim Hochfahren in den Optionen „Gerät verwenden“ und dann „USB-Speicher“ auswählen. Bei Apple-Geräten müssen Sie in der Regel den USB-Stick vor dem Start einstecken und beim Einschalten sofort die Alt-Taste drücken. Wählen Sie im folgenden Menü „EFI-Boot von“(Quelle).
Das Booten mit Tails dauert in der Regel etwas länger als mit Ihrem herkömmlichen Betriebssystem. Die Benutzeroberfläche kann anfangs etwas gewöhnungsbedürftig sein. Wie Sie den oben erwähnten „Persistent Storage“ zum Speichern von Dokumenten einrichten, erfahren Sie hier. Wie Sie den vorinstallierten Metadata Cleaner verwenden, um verräterische Metadaten zu entfernen , erfahren Sie hier.
Tails gilt als ein sehr sicheres Betriebssystem. Wenn jedoch das BIOS, die Firmware oder die Hardware Ihres Computers kompromittiert wird oder Sie bei der Verwendung von Tails verräterische Spuren im Internet hinterlassen (siehe Erläuterungen zum Tor-Browser), stößt es an seine Grenzen.
Geschützte Kommunikation
Wie wir dank eines der bekanntesten Whistleblowers, Edward Snowden, wissen, lassen sich elektronische Nachrichten relativ leicht ausspionieren und lesen. Durch den Einsatz von Verschlüsselungstechniken kann dies erheblich erschwert werden. Nachrichten können nur gelesen oder verstanden werden, wenn der Empfänger über einen speziellen „Schlüssel“ verfügt. Diese Art der Verschlüsselung ist bei einigen E-Mail- und Messenger-Diensten Standard, bei anderen kann sie mit vertretbarem Aufwand eingerichtet werden. Für die Benutzerfreundlichkeit ergeben sich daraus keine wesentlichen Einschränkungen. In den folgenden Abschnitten erläutern wir mehr dazu.
Weiter mit geschützter Kommunikation
Emails
Die Verschlüsselungssoftware GnuPG (Open Source) oder PGP ist eine kostenlose und plattformübergreifende Software zum Verschlüsseln von E-Mails. Die einzige Voraussetzung ist, dass die andere Person ebenfalls PGP verwendet und dass Sie deren „öffentlichen“ Schlüssel kennen. Verschlüsseln Sie die E-Mail vor dem Versand mit dem öffentlichen Schlüssel des Empfängers und senden Sie Ihren öffentlichen Schlüssel als Anhang mit. Der Empfänger verwendet dann seinen „privaten“ Schlüssel, um Ihre E-Mail zu entschlüsseln, und seinen „öffentlichen“ Schlüssel, wenn er Ihnen ebenfalls in verschlüsselter Form antworten möchte. Sie sollten niemals Ihren privaten Schlüssel weitergeben.
PGP ist standardmäßig im E-Mail-Programm Thunderbird vorinstalliert und muss nur noch eingerichtet werden. PGP kann jedoch auch ohne Thunderbird mit der Browser-Erweiterung Mailvelope verwendet werden. Das BSI hat eine Liste mit weiteren Tools für Windows und Apple OS zusammengestellt. Mehr über PGP und wie Sie es mit verschiedenen Providern und E-Mail-Programmen einrichten können, erfahren Sie in diesem Artikel von netzpolitk.org.
Einige Journalisten nutzen E-Mail-Konten des Schweizer Anbieters Proton. Auch Privatanwender können dort relativ einfach eine E-Mail-Adresse einrichten. E-Mails zwischen Proton-Nutzern werden automatisch mit PGP verschlüsselt; dasselbe gilt für E-Mail-Konten bei Tutanota. Wenn Sie nach dem Absenden der Benachrichtigung keinen weiteren Kontakt mit dem Adressaten haben möchten, können Sie sogenannte „Einmal- oder Wegwerf-E-Mail-Adressen“ einrichten, z.B. bei https://www.nervmich.net/ oder https://10minutemail.com/. E-Mail-Adressen können dort schnell und ohne Preisgabe persönlicher Daten eingerichtet werden. Das E-Mail-Konto wird einige Stunden nach der Eröffnung gelöscht.
Aber selbst wenn der Inhalt verschlüsselt ist oder Sie anonyme E-Mail-Konten verwenden, kann Ihr Weg durch das Internet protokolliert und über diese Metadaten zu Ihnen zurückverfolgt werden. Sie können dieses Risiko erheblich verringern, indem Sie den bereits erwähnten Tor-Browser verwenden.
Messenger-Dienste (Signal, Threema)
Die meisten beliebten Messenger-Dienste werben inzwischen mit der Möglichkeit, Nachrichten verschlüsselt zu versenden („Ende-zu-Ende-Verschlüsselung“), so dass sie nur vom Kommunikationspartner gelesen werden können. Sicherheitsexperten haben jedoch Zweifel an der Gültigkeit dieser Zusicherung für Messenger-Dienste wie WhatsApp.
Edward Snowden empfiehlt den Messenger-Dienst Signal. Als Open-Source-Projekt können eventuell auftretende Schwachstellen schnell von unabhängigen Experten behoben werden. Da Signal immer mit einer Handynummer verknüpft ist, können Geheimdienste anhand der Metadaten nachvollziehen, wer die App nutzt – aber nicht, mit wem er kommuniziert und welche Inhalte er ausgetauscht hat.
Der Messenger-Dienst Threema kann ohne Angabe von persönlichen Daten genutzt werden. Er ist im Gegensatz zu Signal gebührenpflichtig (einmalige Zahlung von ca. 4 Euro) und weit weniger verbreitet. Beide Messenger-Dienste bieten Apps für Android, iOS, PC und Mac und können zum Versenden von Nachrichten und Dateien sowie für verschlüsselte Videoanrufe genutzt werden.
Whistleblower-Portale und elektronische anonyme Briefkästen
Anlaufstellen für Whistleblower in den Medien, Behörden und Unternehmen setzen zunehmend auf Whistleblower-Portale oder spezielle elektronische Postfächer, um Meldungen entgegenzunehmen. Einige dieser Whistleblower-Portale verfügen über einen sogenannten Feedback-Kanal. Wenn Sie eine Meldung einreichen, erhalten Sie einen Code oder ein Passwort, mit dem Sie sich bei einem speziell für Sie eingerichteten Postfach anmelden können. Über dieses Postfach können Sie nach der Meldung weiterhin anonym mit dem Adressaten kommunizieren. Auf diese Weise kann der Adressat Sie über den Stand der Angelegenheit auf dem Laufenden halten und Sie bei Bedarf um zusätzliche Informationen bitten.
Wie gut diese Whistleblowing-Portale Ihre Anonymität tatsächlich schützen, hängt u.a. von der verwendeten Software ab. Open-Source-Lösungen wie SecureDrop und GlobaLeaks stehen für hohe Sicherheitsstandards. Die meisten kommerziellen Anbieter werben auch damit, dass die Daten beim Up- und Download verschlüsselt werden und dass keine IP-Daten gespeichert werden. Dennoch wird empfohlen, dass Sie auf diese Portale nur mit dem Tor-Browser zugreifen. Wenn Sie den Tor-Browser nicht verwenden, löschen Sie nach dem Hochladen der Dateien zumindest den Browserverlauf oder den Cache.
Beitrag
Der Postdienst gilt als vergleichsweise sicher. Wenn Sie anonym bleiben wollen, geben Sie nicht Ihre echten Absenderdaten an und geben Sie die Post nicht in der Nähe Ihrer Wohnung, Ihres Arbeitsplatzes oder anderer Orte ab, die Sie häufig besuchen. Sie können vermeiden, Fingerabdrücke zu hinterlassen, indem Sie Baumwoll- oder Latexhandschuhe tragen.
Telefon
Wenn Sie den Adressaten nicht kennen, ist der Erstkontakt per Telefon oft einfacher. Einige Kontaktstellen für Whistleblower berücksichtigen dies und bieten telefonische Kontaktmöglichkeiten an.
Telefonanrufe können über die Nummer zurückverfolgt werden, auch wenn sie nicht überwacht werden. Verwenden Sie nach Möglichkeit eine Prepaid-SIM-Karte, die nicht von Ihnen oder einer mit Ihnen verbundenen Person gekauft wurde. Seit 2017 muss beim Kauf von Prepaid-SIM-Karten in Deutschland ein Ausweis vorgelegt werden. Rufen Sie am besten von einem Festnetzanschluss an, der nicht auf Ihren Namen registriert ist und von Dritten nicht zu Ihnen zurückverfolgt werden kann.
Verzichten Sie nach Möglichkeit darauf, bei dem Telefonat Ihren Namen zu nennen und geben Sie nur die nötigsten Informationen an. Falls nötig, können Sie ein persönliches Treffen mit der Person, die Sie anrufen, vereinbaren oder eine andere Möglichkeit, detaillierte Informationen zu liefern.
Krypto-Handys bieten ein hohes Maß an Schutz, aber nur, wenn die andere Person das gleiche Gerät verwendet. Dies rechtfertigt in der Regel nicht den hohen Anschaffungspreis
Verhalten nach Einreichung des Berichts
Nur eine kleine Gruppe von Personen hat normalerweise Zugang zu besonders sensiblen oder vertraulichen Informationen. Selbst wenn Sie Ihre Meldung anonym einreichen, ist es daher leicht, Sie als Whistleblower zu identifizieren, wenn Sie durch auffälliges Verhalten auf sich aufmerksam machen. Ändern Sie daher Ihr Verhalten nicht, nachdem Sie die Meldung eingereicht haben.
Es ist verständlich, wenn Sie das Bedürfnis haben, mit jemandem über Ihren Bericht zu sprechen. Selbst wohlmeinende Menschen können, ob absichtlich oder unabsichtlich, den Schutz Ihrer Anonymität gefährden, insbesondere wenn sie unter Druck gesetzt werden. Informieren Sie so wenige Personen wie möglich und vergewissern Sie sich, dass sie ein gesetzliches Zeugnisverweigerungsrecht haben (z.B. Anwälte, Journalisten).