Tipps für Tippgeber

Bei der Sicherheit für Whistleblower gibt es keine universellen Ratschläge; man muss seine Vorkehrungen an den eigenen Bedarf anpassen, ohne dass es dabei allzu unbequem wird. Das gilt auch für die folgenden Tipps für Tippgeber.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Tipps für Tippgeber
Lesezeit: 4 Min.
Inhaltsverzeichnis

Grundvoraussetzung ist ein sicheres und sauberes System; nutzen Sie Antiviren-Software und halten Sie System und Anwendungen auf dem aktuellen Stand.

Es ist eine schlechte Idee, Informationen oder Daten von Ihrem Arbeitsplatz oder überhaupt aus dem Netz Ihrer Firma zu verschicken. Sie hinterlassen dabei immer Spuren. Selbst wenn es bei den Informationen gar nicht um Ihre Firma geht, gefährden Sie Ihren Job, weil diese nicht in diesen Vorgang involviert sein will.

Wenn Sie Daten weitergeben wollen, kopieren Sie diese auf einen USB-Stick. Am besten verschlüsseln Sie den etwa mit dem TrueCrypt-Nachfolger VeraCrypt. So ist sichergestellt, dass ohne Ihr Zutun niemand auf diese Informationen zugreifen kann. Alternativ können Sie zum Beispiel auch ein ZIP-Archiv mit einem Passwort schützen. Das können Sie etwa mit dem kostenlosen Tool 7zip erstellen. Am besten verwenden Sie dabei das 7z-Format, das anders als ZIP-Dateien auch die im Archiv enthaltenen Dateinamen verschlüsselt.

Sie können den heise Tippgeber dann später ohne großes Risiko etwa bei sich zu Hause nutzen. Achten Sie auf die exakten Schreibweise der URL https://heise.de/tipps und das grüne Schloss-Symbol. Brechen Sie bei eventuellen Zertifikatswarnungen sofort ab. Durch die https-Verschlüsselung weiß selbst jemand, der Ihre Internet-Verbindung überwacht, nicht, ob Sie gerade heise-Security-News via HTTPS lesen (das ist mittlerweile möglich) oder uns über den heise Tippgeber Informationen zuspielen.

Über das anonyme Kontaktformular können Sie uns nur Text, aber keine Dateien übermitteln. Bei weniger brisanten Dingen können Sie jedoch die (verschlüsselten) Daten etwa bei einem One-Click-Hoster wie transfer.sh hochladen und uns die URL und Passwort über das heise-Tippgeber-Kontaktformular übermitteln. Beachten Sie dabei jedoch, dass der Upload-Server unter Umständen Ihre IP-Adresse protokolliert. Im Zweifelsfall sollten Sie lieber unseren sicheren Briefkasten via Tor nutzen.

Die Nutzung von Tor beim Übermitteln brisanter Daten bietet mehr Anonymität. Um das mit maximalem Schutz zu kombinieren, ist unser sicherer Briefkasten für heise Tippgeber als Tor-Service realisiert. Sie erreichen ihn über den Tor-Browser, den Sie einfach herunterladen, installieren und starten.

Selbst eine Überwachung Ihrer Internet-Verbindung zeigt damit nicht mehr als die Tatsache, dass Sie Tor benutzt haben. Auch das können Sie vermeiden, indem Sie nicht Ihr eigenes Netz, sondern ein öffentlich zugängliches benutzen, also etwa einen offenen Hotspot.

Sie hinterlassen immer noch Spuren auf Ihrem PC. Möglicherweise bereits auf Ihrem System platzierte Überwachungs-Software kann trotz Tor-Verschlüsselung auf die brisanten Informationen zugreifen und auch protokollieren, wann und wem Sie sie übermittelt haben. Starten Sie deshalb auf dem Rechner das speziell gesicherte, garantiert saubere Live-System Tails. Es wickelt alle Internet-Verbindungen über Tor ab. Und wenn Sie den PC später neu starten, gibt es darauf keine Spuren mehr von dem, was Sie unter Tails damit gemacht haben.

Bleiben die Daten selbst: Es kann natürlich sein, dass diese Daten Hinweise auf Ihre Identität geben. Sie können diese zum Teil selbst entfernen, etwa mit dem in Tails enthaltenen Metadata Anonymisation Toolkit (MAT). Wir empfehlen allerdings, dass Sie die Daten lieber im Originalzustand belassen und dem Investigativ-Team der c’t-Redaktion vertrauen, dass wir verantwortungsbewusst mit den von Ihnen gelieferten Informationen umgehen. Wir werden dabei alles uns Mögliche tun, um Ihre Identität zu schützen und Schaden von Ihnen fernzuhalten.

Der wichtigste Tipp für Whistleblower überhaupt: Reden Sie mit niemandem über Ihre geheimen Aktivitäten. Viele anonyme Whistleblower fliegen nicht etwa wegen verräterischer Spuren auf, sondern durch Verrat im persönlichen Umfeld. Chelsea Manning, die uns damals noch als Bradley die Augen für Kriegsverbrechen im Irak ("Collateral Murder") öffnete, sitzt heute in einem US-Gefängnis, weil sie sich dem Ex-Hacker Adrian Lamo anvertraut hatte und der die Information an US-Behörden weitergab. (ju)