Wie andere große Medien hat auch die Süddeutsche Zeitung ein anonymes Postfach im Darknet. Es setzt auf High-End-Anonymisierungstechnologie und soll potenziellen Whistleblowern maximalen Schutz bieten. Vanessa Wormer hat das Projekt mit aufgebaut.

Vanessa Wormer, Leiterin des Datenteams der Süddeutschen Zeitung (Foto: Stephanie Füssenich)

Die New York Times macht es, die Washington Post, der Guardian, die taz und auch die Süddeutsche Zeitung: sie bieten eine anonyme Anlaufstelle für potenzielle Whistleblower an. Das Postfach der Süddeutschen steht im so genannten Darknet, einem anonymen Bereich des Internets, der sich nur mit dem Anonymisierungsbrowser Tor betreten lässt. Vanessa Wormer ist Leiterin des Datenteams der SZ. Zusammen mit dem SZ-Entwickler Felix Ebert hat sie das anonyme Postfach (Darknet-Link, „normale“ Landing Page) aufgebaut, das auf der Open-Source-Software Securedrop basiert. Sie meint: ein solches Postfach einzurichten, ist komplex, aber keine Raktenwissenschaft. Auch anderen Redaktionen empfiehlt sie, die Technologie einzusetzen.

     Die SZ bietet ein Postfach für Whistleblower im Darknet an. Was bringt das?
Das Securedrop-Postfach ist unsere zentrale Anlaufstelle für Whistleblower. Das ist der Kanal, der am meisten Sicherheit bieten kann. Es gibt Menschen, die sich anonym an uns wenden wollen, und es gehört zum Kern unseres Arbeitsethos, dass wir unsere Quellen schützen. Das Postfach lässt sich nur mit dem Browser Tor aufrufen, mit dem man anonym surfen kann, weil die IP-Adresse verschleiert wird.

     Auch Sie als Redaktion können bei dem Securedrop-Postfach nicht herausfinden, wer die Quelle ist, oder?
Securedrop kann eine Art Lebensversicherung für Whistleblower sein. Ein Informant könnte auch uns gegenüber anonym bleiben, wenn er oder sie sich das wünscht. Aber dazu muss natürlich auch der Informant selbst Sicherheitsvorkehrungen treffen und beispielsweise dafür Sorge tragen, dass man ausgehend von den übermittelten Dokumenten keine Rückschlüsse auf seine Identität ziehen kann.

     Die SZ bietet auf einer Landing Page auch andere Kanäle zur Übermittlung von Leaks an. Inwiefern ist das Postfach sicherer als die sonstigen Kanäle?
Man kann uns verschlüsselte E-Mails schreiben. Die haben aber den Nachteil, dass man die Metadaten auslesen kann und dass der Betreff nicht verschlüsselt ist. Dann bieten wir die Kommunikation mit Messengern wie Signal und Threema an. Aber hier ist der Dateitransfer mitunter schwierig, außerdem sind das Smartphone und die IP-Adresse nur eingeschränkt sicher und anonym. Auch der Tor-Browser hat immer mal wieder Schwachstellen, deshalb kann auch ein Securedrop-Postfach nicht 100%-ige Sicherheit bieten. Aber wir nähern uns mit Securedrop den 100% an, insbesondere wenn von der Quelle alle zusätzlich empfohlenen Sicherheitsmaßnahmen genutzt werden.

Das Darknet-Postfach der SZ unter der Adresse rx4g2bilxipcryde.onion lässt sich nur mit dem Tor-Browser aufrufen (und der lässt sich hier herunterladen). Es gibt zwei Funktionen. Option Eins: Whistleblower laden Ihren Leak hoch. Option Zwei: In der Vergangenheit haben sie bereits etwas hochgeladen und nutzen die Rückkanal-Funktion.

     Es gibt verschiedene Lösungen für Darknet-Postfächer. Die taz nutzt für ihr Postfach (Darknet-Link) ein selbst gebautes System. Das Sportsleaks-Postfach (Darknet-Link) des Sportjournalisten Hajo Seppelt basiert auf der Technologie Globaleaks und es gibt die Technologie Securedrop. Wieso haben Sie sich für Securedrop entschieden?
Das war für uns die naheliegende Lösung. Securedrop ist ein Software-Paket von IT-Experten und -Expertinnen der Freedom of the Press Foundation. Viele internationale Kolleginnen und Kollegen nutzen die Software, etwa bei der New York Times und dem Guardian. Wir haben uns bei einigen rückversichern können, dass die Software auch im Alltag gut funktioniert.

     Wie läuft die Kommunikation über das Postfach konkret ab?
Whistleblower landen wahrscheinlich als erstes auf der Landing Page der SZ. Dort bekommen sie erklärt, welche Kommunikationskanäle wir anbieten, wieso Securedrop der sicherste Kanal ist, und sie sehen die Webadresse des Postfachs. Die Adresse des Postfachs endet nicht auf .de, sondern auf .onion. Die Adresse funktioniert nicht mit einem normalen Browser, sondern nur mit dem Tor-Browser. Den Tor-Browser hat man vielleicht schon installiert oder lädt ihn sich herunter. Dann kopiert man die .onion-Adresse in die Adressleiste des Browsers, klickt Enter und landet auf der Securedrop-Oberfläche der SZ.

     Und dann?
Dann kann man uns anonym eine Nachricht übermitteln oder gleich eine Datei schicken. Securedrop ist die beste Lösung für den Erstkontakt. Wir können dann auch besprechen, ob es vielleicht mehr Sinn macht, sich zu treffen oder ob vielleicht gar kein so hohes Maß an Anonymität erforderlich ist. Oder der Whistleblower hat so große Datenmengen, dass sie die Obergrenze des Postfachs überschreiten. Auch dann würden wir uns einen anderen Weg überlegen.

Als erstes sehen die Whistleblower einen „Geheimcode“ (hier geschwärzt) und schreiben ihn sich auf. Damit können sie sich später als Whistleblower X oder Y einloggen und schauen, ob die Redaktion geantwortet hat.

     Und es gibt einen Rückkanal …
Wir als SZ können über das Postfach antworten. Der Informant oder die Informantin bekommt beim ersten Besuch auf dem Postfach ein Codewort angezeigt und notiert sich das. Dann kommt er oder sie später zurück zum Postfach, gibt das Codewort ein und kann die Antwort der SZ-Redaktion lesen.

     Ich frage mich, ob es bei einem solchen Postfach nicht eine kleine Sicherheitsschwäche gibt: Whistleblower gehen mit ihrem normalen Browser und ihrer echten IP-Adresse auf die Landing Page der Süddeutschen, erfahren dort vom .onion-Postfach und rufen dann mit dem Tor-Browser das Darknet-Postfach auf. Lässt sich über den zeitlichen Zusammenhang nicht schlussfolgern, dass die Person, die auf der Landing Page ihre IP-Adresse hinterlassen hat und die Person, die mit dem Tor-Browser das versteckte Postfach besucht, wohl dieselbe ist?
Das ist ein guter Punkt, über den wir uns auch Gedanken machen. Allerdings läuft unsere Kontakt-Seite unter der Hauptdomain von SZ.de und ist wie alle anderen Unterseiten HTTPS-verschlüsselt. Ein Angreifer kann in der Regel nicht mitlesen, wer gerade welche Unterseite von SZ.de besucht. Aber wir wissen natürlich, dass gewisse Nachrichtendienste die Möglichkeiten dazu hätten. Deshalb wollen wir als nächsten Schritt zusätzlich künstlichen Netzwerkverkehr auf der Kontakt-Seite erzeugen, damit es noch schwieriger ist, eine Person eindeutig zu identifizieren. Wir halten uns da an die Empfehlungen der Freedom of the Press Foundation.

Dann können die Whistleblower den Leak hochladen, zusammen mit einer begleitenden Nachricht für die Redaktion.

     Was passiert in der Redaktion, wenn ein Leak eintrifft?
Wir bekommen über den Securedrop-Server verschiedene verschlüsselte E-Mails. Zum einen sind das mehrmals am Tag Sicherheitshinweise unseres Monitoring-Servers. Zum anderen bekommen wir einmal am Tag eine Email, ob eine Nachricht eingegangen ist. Dann wählen wir uns auf dem Securedrop-Server ein und lesen die Nachricht.

     Wie läuft das ab?
Dafür sind mehrere Schritte notwendig. Ich brauche zwei Notebooks und drei USB-Sticks. Das erste Notebook ist mit dem Internet verbunden. Ich starte das Notebook und verwende dafür einen der USB-Sticks, auf dem das mobile Betriebssystem Tails installiert ist. Per Tor-Browser greife ich auf die Oberfläche von Securedrop zu und lade die noch verschlüsselte Nachricht des Whistleblowers auf einen Transfer-USB-Stick herunter. Der Stick ist nur dazu da, Dateien von Securedrop auf das andere Notebook zu übertragen. Dieses zweite Notebook wiederum ist weder mit dem SZ-Hausnetz noch mit dem Internet verbunden. Nur dieses Notebook kann die Nachricht entschlüsseln. Die Nachricht bleibt in der isolierten Umgebung des zweiten Laptops, Securedrop nennt das die Secure-Viewing-Station. Wir notieren uns ein paar Sätze auf Papier oder machen ein Foto von einer Datei, aber wir übertragen sie nicht in unsere normale Arbeitsumgebung.

     Das klingt ganz schön aufwendig …
Insgesamt muss ich fünf lange Passwörter eingeben. Das macht nicht immer Spaß. Wenn man sich einmal vertippt, muss man das lange Passwort von Neuem eingeben. Der gesamte Prozess hat am Anfang schon mal eine Stunde gedauert, weil man jedes Mal nachdenken musste, was der nächste Schritt ist. Mittlerweile sind es vielleicht zehn bis 15 Minuten.

     Wie gehen Sie mit Metadaten um? Entfernt Securedrop automatisch die Metadaten einer PDF oder eines Bilds oder müssen Sie das mit einem integrierten Software-Tool manuell machen?
Die Metadaten werden nicht automatisch entfernt. In manchen Fällen empfiehlt es sich auf Seiten des Informanten, die Metadaten zu entfernen, bevor ein Dokument an uns übermittelt wird.* Und wir haben auf Seiten der SZ natürlich auch die Möglichkeit, die Metadaten zu entfernen, zum Beispiel für den Fall, dass wir ein bestimmtes Dokument veröffentlichen wollen. So haben wir das zum Beispiel bei den Panama Papers gemacht.

     *Hinweis von Torial: Zur Entfernung von Metadaten empfiehlt die Freedom of the Press Foundation das Software-Werkzeug Metadata Anonymisation Toolkit (MAT), das auch im mobilen Betriebssystem Tails enthalten ist. MAT gilt als Goldstandard für die Entfernung von Metadaten, es gelten allerdings einige Einschränkungen: Mediendateien lassen sich gut bereinigen, Textformate hingegen weniger gut. Außerdem pausiert der Entwickler von MAT gerade, seine Projektseite verlinkt zur Zeit auf das Programm MAT2.*

     Wer hat alles Zugriff auf das Postfach?
Drei Leute aus dem Investigativ-Team haben Zugriff und ein Entwickler für die Wartung. Die Hardware wird sicher verwahrt.

     Das Securedrop-Postfach gibt es seit November 2018, Sie haben es bei der Veröffentlichung der „Implant Files“ öffentlich vorgestellt. Welche Erfahrungen haben Sie bisher mit dem Postfach gemacht?
In der Regel bekommen wir mehrmals in der Woche Einsendungen. Nach einer Veröffentlichung wie dem Strache-Video sind es deutlich mehr als sonst. Unter den Einsendungen sind ernsthafte Hinweise. Es gibt aber auch Trolle und viele Verschwörungstheorien, das können wir schnell rausfiltern. Es gibt auch Hinweise, die nicht in Geschichten münden, weil sie kein öffentliches Interesse berühren, das groß genug ist. Ich kann nach einem halben Jahr noch nicht sagen, ob das Postfach definitiv die Mühe wert gewesen ist. Unsere Hoffnung ist, dass sich profilierte Whistleblower mit wirklich großen Enthüllungen eher über Securedrop an uns wenden. Wir signalisieren ihnen, dass wir gewappnet sind und ihnen ein maximales Maß an Sicherheit bieten wollen.

     Gab es schon größere Leaks, die über das Securedrop-Postfach kamen?
Wenn es die gegeben hätte, könnte ich nicht darüber reden. Wir vermeiden zu sagen, wie uns Quellen erreicht haben.

     Das Darknet-Postfach liefert ein hohes Grundlevel an Anonymität, was sollten Whistleblower sonst noch beachten, um Risiken zu minimieren?
Das Wichtigste ist, uns nicht mit Geräten des Arbeitgebers zu kontaktieren, sondern private Geräte zu nutzen. Es macht auch immer Sinn, nicht das Netzwerk in der Privatwohnung oder am Arbeitsplatz zu nutzen, sondern in ein Café oder einen sonstigen Ort mit öffentlichem WLAN zu gehen. Auch wenn Securedrop die Verschleierung der IP-Adresse implementiert hat, lässt sich die eigene Sicherheit noch weiter erhöhen. Idealerweise nutzt die Quelle eine verifizierte Version des Betriebssystem Tails, das gezielt für die Bewahrung der Privatsphäre und Anonymität des Nutzers entwickelt wurde. Dies kann über einen USB-Stick von einem beliebigen Rechner aus genutzt werden und reduziert deutlich die Gefahr eines kompromittierten Betriebssystems.

     Wie einfach oder kompliziert war es, das Postfach einzurichten?
Es ist schon komplex, da viele verschiedene Dinge zu beachten sind. Aber die technische Dokumentation auf Seiten von Securedrop ist sehr gut und hilfreich. Bei der SZ haben mein Kollege Felix Ebert, der Entwickler ist, und ich das Postfach gemeinsam eingerichtet. Wir haben beide jeweils zwischen fünf bis sieben Arbeitstage investiert. Das geht von der Hardwarebestellung, Servereinrichtung, Firewall-Konfiguration bis zum Testen der Software. Und ein solches Postfach ist kein Oneshot, man muss es dauerhaft betreuen.

     Inwiefern würden Sie ein .onion-Postfach auch anderen Redaktionen empfehlen?
Ich würde ein Securedrop-Postfach allen empfehlen. Jede Redaktion muss sich in den nächsten Jahren darüber Gedanken machen, welche Wege sie Informanten und Informantinnen anbieten möchte, auch Regionalzeitungen. Die Einrichtung und Betreuung klingt anspruchsvoll, aber es ist machbar. Ein Entwickler mit Server-Administrationserfahrung kommt mit der sehr guten Dokumentation von Securedrop weiter. Securedrop ist ein großes Geschenk der Freedom of the Press Foundation, die uns diese Lösung bereitgestellt hat, die so viel Sicherheit mitbringt. Jede Redaktion, die das mit ihren Ressourcen stemmen kann, sollte dieses Geschenk auch annehmen.

     Irgendwelche Erfahrungen und Tipps aus der Praxis, wenn Redaktionen so etwas machen wollen?
Man muss die Chefredaktion überzeugen, dass man das braucht, dann sind auch die technischen Hürden zu meistern. Man muss sich Sparringspartner in der Redaktion suchen, vielleicht auch in der IT-Abteilung. Securedrop ist keine Standardsoftware eines Medienunternehmens, bei der die IT-Abteilung Hurra schreit. Da muss man Überzeugungsarbeit leisten. Man muss vielleicht die normalen Pfade verlassen, aber es geht auf jeden Fall.

Links:

• Landing Page des SZ-Postfachs im normalen Netz
• Darknet-Postfach der SZ (nur mit dem Tor-Browser aufrufbar)
• Torial-Artikel zu Globaleaks
• Torial-Artikel zu journalistischen Darknet-Tools