Schützen

Für Journalisten, Aktivisten und alle, die mit sensiblen Quellen umgehen, ist digitale Sicherheit kein abstraktes Anliegen, sondern ein praktischer Teil der Arbeit. Die Einsätze sind höher als für einen gewöhnlichen Nutzer: Eine durchgesickerte Kontaktliste kann eine Quelle enttarnen, und ein kompromittiertes Konto kann Monate sorgfältiger Recherche oder Organisation zunichtemachen. Dieser Leitfaden ist ein Ausgangsrahmen, kein Ersatz für eine angepasste Schulung, wenn das Risiko ernst ist.

Beginnen Sie mit der Bedrohungsmodellierung

Alles Sinnvolle beginnt mit der Bedrohungsmodellierung – ehrlich zu entscheiden, wer Ihre Informationen wollen könnte und was er tatsächlich tun könnte, um an sie zu gelangen. Ein Lokalreporter, ein Auslandskorrespondent und ein Gemeindeorganisator stehen sehr unterschiedlichen Gegnern gegenüber, und die richtigen Vorkehrungen ergeben sich aus diesem Bild statt aus einer generischen Liste. Sich übermäßig auf die falsche Bedrohung vorzubereiten verschwendet Aufwand; sich unzureichend auf die echte vorzubereiten ist gefährlich.

Die Grundlagen, nur umso mehr

Dieselben Grundlagen, die gewöhnliche Nutzer schützen, schützen auch Sie, nur zählen sie hier mehr. Ein Passwortmanager mit einzigartigen Passwörtern für jedes Konto, Zwei-Faktor-Authentifizierung überall dort, wo sie angeboten wird, und ein gut gesichertes E-Mail-Konto bilden die Grundlage. Da die E-Mail der Wiederherstellungsschlüssel für die meisten anderen Dienste ist, ist es oft die einzelne nützlichste Maßnahme, die Sie ergreifen können, sie mit einem starken Passwort und einem zweiten Faktor zu sperren.

• Beginnen Sie mit der Bedrohungsmodellierung: Wer ist der realistische Gegner?
• Bevorzugen Sie einen Hardware-Schlüssel oder eine Authenticator-App gegenüber 2FA per SMS
• Nutzen Sie standardmäßig Ende-zu-Ende-verschlüsselte Nachrichten und E-Mail
• Achten Sie auf Metadaten – wer wen kontaktiert hat, kann eine Quelle enttarnen
• Verschlüsseln Sie Geräte, kompartimentieren Sie Konten und hüten Sie sich vor Phishing
• Sicherheit ist kollektiv: Schützen Sie Quellen und Kollegen, und holen Sie bei hohem Risiko fachkundige Hilfe

Bevorzugen Sie speziell bei der Zwei-Faktor-Authentifizierung einen Hardware-Sicherheitsschlüssel oder eine Authenticator-App gegenüber per SMS verschickten Codes. SMS-Codes können über Angriffe auf das Telefonnetz oder über SIM-Swapping abgefangen oder umgeleitet werden, wobei ein Angreifer einen Betreiber dazu bringt, Ihre Nummer auf sein Gerät zu übertragen. Ein physischer Schlüssel ist aus der Ferne deutlich schwerer zu überwinden und seinen geringen Preis für Konten mit hohem Risiko wert.

Verschlüsseln Sie die Kommunikation und achten Sie auf Metadaten

Schützen Sie Ihre Kommunikation standardmäßig mit Ende-zu-Ende-Verschlüsselung. Ende-zu-Ende-verschlüsselte Nachrichten bedeuten, dass nur Sie und Ihr Gegenüber lesen können, was Sie senden, und das Verwenden verschwindender Nachrichten, wo es angebracht ist, begrenzt, wie viel sensibler Verlauf sich auf jedem Gerät ansammelt. Für E-Mail hält ein Ende-zu-Ende- oder Zero-Access-verschlüsselter Anbieter die gespeicherte Korrespondenz privat vor dem Anbieter, was zählt, wenn eine einzige Anordnung sie sonst offenlegen könnte.

Denken Sie sorgfältig über Metadaten nach, denn die Verschlüsselung des Inhalts verbirgt sie nicht. Selbst wenn der Textkörper einer Nachricht verschlüsselt ist, kann der Datensatz, wer wen wann und von wo kontaktiert hat, eine Quelle für sich allein enttarnen. Metadaten zu reduzieren bedeutet, Werkzeuge zu wählen, die sie minimieren, bewusst damit umzugehen, welche Konten und Nummern Sie miteinander verknüpfen, und anzuerkennen, dass das Muster Ihrer Kommunikation ebenso verräterisch sein kann wie ihr Inhalt.

Sichern Sie die Geräte und kompartimentieren Sie

Sichern Sie die Geräte selbst, nicht nur die Konten. Vollständige Festplattenverschlüsselung schützt, was auf einem Laptop oder Telefon ist, falls es verloren geht oder beschlagnahmt wird, ein starker Zugangscode ist weit besser als eine kurze PIN oder eine Gesichtsentsperrung, zu der man Sie zwingen kann, und schnelle Software-Updates schließen die bekannten Schwachstellen, auf die sich echte Angriffe stützen. Ein entsperrt oder ungepatcht gelassenes Gerät untergräbt jede umsichtige Entscheidung bei den Konten.

Kompartimentieren Sie, um den Schaden zu begrenzen, wenn etwas schiefgeht. Sensible Arbeit von persönlichen Konten zu trennen, verschiedene Identitäten oder Geräte für verschiedene Projekte zu nutzen und quellenbezogenes Material isoliert zu halten sorgt dafür, dass eine Kompromittierung sich nicht in eine vollständige Offenlegung verwandelt. Diese Disziplin ist mühsam, was gerade der Grund ist, sie in eine Routine einzubauen, statt unter Druck zu improvisieren.

Das menschliche Glied, und Sicherheit als kollektive Aufgabe

Denken Sie daran, dass das schwächste Glied oft menschlich ist, nicht technisch. Phishing – eine überzeugende Nachricht, die Sie dazu verleitet, ein Passwort einzugeben oder eine Anmeldung zu bestätigen – überlistet starke Verschlüsselung, indem es sie umgeht. Vor dem Klicken innezuhalten, unerwartete Anfragen über einen zweiten Kanal zu prüfen und Dringlichkeit selbst als Warnsignal zu behandeln schützt Sie vor den Angriffen, die in der Praxis am häufigsten gelingen.

Behandeln Sie Sicherheit schließlich als kollektiv statt individuell. Ihre Schutzmaßnahmen sind nur so viel wert wie die der Menschen, mit denen Sie kommunizieren, daher hebt das Teilen bewährter Praktiken mit Quellen und Kollegen die Sicherheit aller zugleich. Wenn das Risiko hoch ist, suchen Sie Organisationen und Trainer, die auf den Schutz von Journalisten und Aktivisten spezialisiert sind; dieser Leitfaden weist die richtige Richtung, doch ernste Situationen verdienen fachkundige, kontextangepasste Hilfe.