Ob als Brief, als E-Mail oder Nachricht in einem Messenger-Dienst. Brisante Informationen mit den richtigen Personen zu teilen kann wahrlich Berge versetzen, gewissen CEOs den Tag verderben oder gar Regierungen in Bedrängnis bringen.
Nur wie, ohne dass man selbst dafür zu Rechenschaft gezogen wird? Zeit für SUMO, sich Leaking-Plattformen bzw. digitalen Briefkästen und deren Bedeutung zu widmen.
Sonntagmorgen. Heute werden sicherlich wenig Menschen auf den Straßen Wiens unterwegs sein, immerhin ist Lockdown. Gute Bedingungen, nicht gesehen zu werden. Die Tasche ist gepackt, die Kaffeetasse leer und die Lichter in der Wohnung sind abgedreht. Auf zu einem Postkasten, aber wo findet man einen? In der Postfiliale in der Weintraubengasse ist bestimmt einer, allerdings würde man da auf den Überwachungsaufnahmen zu sehen sein. Als schon mit Winterjacke in der Tür Stehender nochmal das Handy rausgeholt und nachgesehen, naja, sofern es funktionieren würde. Der Standortfinder der Post ist nicht auf Handys abgestimmt – also Laptop nochmal hochfahren und nachsehen. Aja, gleich um die Ecke, sehr gut! Dann kann ja nichts mehr schief gehen. Kurz vor Verlassen des Hauses läuft einem der Nachbar über den Weg: man kommt ins Gespräch und verlässt gemeinsam das Haus. Man unterhält sich über aktuelle Themen wie Corona oder die Baustelle im Haus, die allen auf die Nerven geht. „Das war ja früher mal ein Puff, bis die Hausverwaltung sie hat rauswerfen lassen – kommt davon, wenn man die Miete nicht bezahlt“, sagt er mit erheitertem Gemüt. „Ich habe mir einen Coronabart wachsen lassen“, erklärt der pensionierte Ur-Wiener und streift sich dabei über diesen. „Wofür rasieren, man darf ja eh nichts machen darf. Was für Zeiten! Bin ich gespannt, wann dieses Lokal endlich aufsperrt und ob überhaupt. Der Besitzer meinte. er lädt uns ein, sobald es fertig ist. Hoffentlich auf mehr als nur ein Achterl“, fährt er scherzend fort. Das Wetter ist typisch für Wien: Grau in Grau. Es hat 10 Grad und es riecht nach Herbst, obwohl es Winter ist. Man geht gemeinsam Richtung Heinestraße Ecke Mühlfeldgasse, wo sich der nächstgelegene Briefkasten befindet. Er ist weniger daran interessiert, etwas abzusenden, eher etwas abzustauben; die Sonntagsausgaben von „Kurier“, „Krone“ und „Österreich“ – aber ohne Geld einzuwerfen, versteht sich ja. Der Postkasten ist mit Graffiti beschmiert und sieht eher danach aus, als ob er die besten Stunden seines Daseins schon erlebt hätte. „Entleerung Montag-Freitag, 16:00“ steht auf einem Zettel hinter einer kleinen zerbrochenen Scheibe. Ist der Nachbar schon weg? Sehr gut, dafür warten einige andere auf die Buslinie 5B. Das Bauchgefühl drängt zum nächsten Briefkasten. Bei einem deutlich „gesünder“ aussehenden Postkasten angekommen, sind Sticker zu erkennen. „Team Christkind“ steht darauf – hoffentlich wird Weihnachten noch etwas. Der Blick auf das Infokärtchen hinter der intakten Glasscheibe ist zwar möglich, allerdings etwas verärgernd. Neben der Tatsache, dass auch dieser Postkasten erst am Montag um 16:00 entleert wird steht auch noch daneben mit Edding draufgeschmiert: „Fuck you“. Ob dies ein Zeichen ist? Ist der Postkasten direkt in der Filiale vielleicht doch die bessere Option oder soll ich es über digitalem Wege versuchen? Immerhin sollten die Dokumente so schnell wie möglich die richtigen Menschen erreichen und das so anonym wie es nur geht!
Um sich ein Bild über digitale und anonyme Kontaktaufnahmemöglichkeiten zu verschaffen, sprach SUMO mit Hannes Munzinger, Digitalinvestigativ– und Datenjournalist bei der „Süddeutschen Zeitung“, und Markus Sulzbacher, Projektleiter des anonymen Briefkastens sowie Web-Ressortleiter bei „DER STANDARD“.
EU-Angriff auf verschlüsselte Kommunikation
Kurz nach dem Terroranschlag auf das Herz Wiens äußerte sich Gilles de Kerchove, Leiter der Anti-Terror-Koordination der EU, in der „ZiB“ gegenüber den Datenschutzbestimmungen der EU. Seiner Meinung nach erschweren diese es deutlich, in Ermittlungen auf Handydaten und E-Mails Verdächtiger zuzugreifen. Dem wolle die EU nun entgegentreten: Schwache Verschlüsselung, ein Generalschlüssel oder eine Hintertür soll es den Sicherheitsbehörden ermöglichen, leichter auf Handydaten zugreifen zu können. Martin Blatter, Chef des Schweizer Messenger-Dienstes „Threema“, steht dem sehr kritisch gegenüber – er ist nicht der einzige. In der am 29.11.2020 erschienenen „Welt am Sonntag“ äußerte er sich wie folgt: „Diese Forderungen nach einem Generalschlüssel zeugen von der Unbedarftheit der Behörden. Wir haben gar keinen Generalschlüssel, den wir hinterlegen könnten. Die Verschlüsselung wird von den Nutzern vorgenommen und nicht von uns.„ Der Eingriff in die Verschlüsselung soll sich dabei nicht nur auf Messenger-Dienste beschränken, sondern auch auf E-Mails und Play-Chats von Videokonsolen abzielen, vermutet „STANDARD“-Webressortleiter Sulzbacher.
Ein Zugriff auf das Smartphone geht allerdings auch anders, nämlich mit einem sogenannten Bundestrojaner. Der Verfassungsgerichtshof hat 2019 die Vorlage von Türkis-Blau abgelehnt, dennoch möchte man laut Regierungsprogramm diesen „verfassungskonform“ umsetzen. „Wie der nun, obwohl der erste Entwurf schon einmal abgeschmettert wurde, verfassungskonform sein soll, ist eine gute Frage. Mein Eindruck ist bei so etwas immer, dass hier viel von Menschen geredet wird, die keine Ahnung von der Technik haben und sich das alles immer sehr einfach vorstellen, um es nett zu formulieren“, ärgert sich Sulzbacher. Laut dem Projekt- und Ressortleiter wurden während dem Tierschützer-Prozess und jenem gegen den Islamisten Mohamed Mahmoud ein Bundestrojaner verwendet. „Die Strafverfolger haben sich damals so geholfen, indem sie gesagt haben, dass es kein Bundestrojaner sei, sondern irgendwie eine Software, die alle zwei Sekunden Screenshots macht und wohin schickt“, fährt er fort. Also ein Bundestrojaner? „Genau.“
Der Weg zum sicheren Hafen
Im Falle der Panama-Papers, bei denen ca. 11,5 Millionen Dokumente geleakt wurden, wäre der klassische postalische Weg undenkbar gewesen. Gab es damals den digitalen Briefkasten der „Süddeutschen Zeitung“ schon und wurde der hierfür genutzt? Laut Munzinger wurde der Briefkasten erst 2018 mit den „Implant Files“ ins Leben gerufen, demnach nein. Wie die Dokumente ihren Weg zum Investigativ-Team gefunden haben, darf der Journalist nicht verraten, auch wenn die Story über verschlüsseltem Weg begann. „Wenn wir über die Vermögensverhältnisse von Vladimir Putin schreiben, dann müssen wir damit rechnen, dass ein russischer Geheimdienst versucht, Kommunikationswege nachzuverfolgen, eben um zu der Quelle zu kommen“, fährt Munzinger fort. Bei Geschichten, die über den Briefkasten kommen und der Pfad demnach nicht nachvollzogen werden kann ist man etwas offener. Nicht um die Quelle offenzulegen, sondern weil man als „Süddeutsche Zeitung“ möchte, dass der digitale Briefkasten genutzt wird.
Auch beim „STANDARD“ möchte man die Nutzung des Briefkastens anregen, über den, laut Sulzbacher, mehr eintrudle als mit der Post. „Man sollte nicht unterschätzen, was alles über den Briefkasten kommt.“ Der anonyme Briefkasten hält dennoch Überraschungen bereit. „Da gab es diesen Hackerangriff auf die ÖVP und da wurde bei uns quasi die ÖVP-Buchhaltung in den Briefkasten eingeworfen. Wir wussten zu dem Zeitpunkt noch nicht, dass diese Infos über einen Hack beschafft wurden“, erinnert sich der Projektleiter im Gespräch mit SUMO.
Digital vs. Analog
Im Falle der ÖVP–Spenderlisten, die durch einen Hack beschafft wurden, ist es für die jeweiligen Personen von oberster Priorität anonym zu bleiben. Welche Variante ist nun zu empfehlen, die Post oder doch lieber digital? „Ich finde beides gut. Aber für die LeserInnen ist die digitale Version um etliches einfacher“, meint der Projektleiter des digitalen „STANDARD“-Briefkastens. Munzinger sieht dies ähnlich. Laut dem Investigativjournalisten sollte man sich aber dennoch fragen, ob der digitale Weg, den man geht, Metadaten produziere oder nicht. In autokratischen Staaten beispielsweise sei das einfache Absenden eines Briefes ohne Absender/in meist nicht möglich. „Wenn man wirklich Grund zur Annahme hat, dass man mit sehr aufwendigen Mitteln verfolgt wird, zum Beispiel als Whistleblower in autokratischen Staaten oder als Whistleblower aus der Geheimdienstwelt, dann würde man natürlich empfehlen, dass man den möglichst sichersten Weg geht“, so Munzinger im SUMO-Interview. Er sei der Meinung, dass die Kontaktaufnahme über das Smartphone (außer bei zentralverwalteten Diensthandys) und einem verschlüsselten Messenger-Dienst in vielen Fällen ausreiche. Wenn es um Webbrowser am Computer geht, meint Sulzbacher: „Der Tor Browser ist bei unserem Briefkasten nicht zwingend notwendig, um anonym zu bleiben. Es ist möglich, den Briefkasten mit einem normalen Browser zu verwenden, wir raten dennoch zum Tor Browser.“
Varianten digitaler Briefkästen
Die vollanonyme digitale Kontaktaufnahme verkompliziere für die weitere Recherche einiges, beispielsweise falls man Rückfragen hat. „Eigentlich ist der Briefkasten für die meisten NutzerInnen eine Einbahnstraße, die werfen etwas ein und das war es dann“, konstatiert Sulzbacher. Man sorge für Anonymität, indem man unter anderem nicht mitlogge; es gebe keine Logdateien. Logdateien sind Aufzeichnungen von Aktionsmeldungen, wie z.B. dem Hochladen von Dateien. Demnach sei es für das Team von „DER STANDARD“ nicht möglich, nachträglich mit den WhistleblowerInnen in Kontakt zu treten, außer sie würden eine Nachricht dazulegen. Die Technik hinter dem digitalen Briefkasten wurde mit Hilfe von Open-Source–Komponenten im Hause selbst aufgebaut. Ein Hausgeheimnis, so der Projektleiter. „Wir hatten es am Anfang auch mit ‚Signal‘ und ‚WhatsApp‘ versucht, aber das hat leider nicht so funktioniert, wie wir uns das vorgestellt haben. Es ist scheinbar für unsere LeserInnen einfacher, und es geht viel um Einfachheit, das ganz normal über einen Webbrowser hochladen zu können“, erläutert Sulzbacher weiter.
Bei der „Süddeutschen Zeitung“ hingegen setzte man auf die Vielfalt an Möglichkeiten, denn jede Quelle habe unterschiedliche Fähigkeiten in der Nutzung. Eine All-in-One–Lösung gäbe es laut Munzinger nicht. Auf Sicherheit setzte man mit „Secure Drop“, einer Plattform zum anonymen und verschlüsselten Austausch von Dokumenten, Videos oder Bildern. „Natürlich ist ‚Secure Drop‘ eine besonders sichere und viele sagen die beste Lösung. Allerdings muss man dafür natürlich erstmal den Tor Browser haben und unsere Adresse dazu finden“, fährt der Investigativjournalist fort. Laut ihm sei das schon eine Hürde, die manche gar nicht überspringen können oder wollen, und deswegen biete die „Süddeutsche Zeitung“ auch sehr einfache Möglichkeiten an, wie auch zum Beispiel „ProtonMail“, ein verschlüsselter E-Mail-Dienst. Ebenfalls findet man auf der Kontaktseite des Investigativ-Teams der „Süddeutschen Zeitung“ die IDs der Redakteure für den verschlüsselten Messenger-Dienst „Threema“. „Wir bieten eigentlich alles an, damit jede Quelle die uns erreichen will einen Weg nutzen kann, der ihr gerecht wird und sich mit dem dann auch wohlfühlt“, so Munzinger zur Vielfalt bei der deutschen Tageszeitung.
Viel hilft viel
Ob jedes Medienunternehmen einen digitalen Briefkasten anbieten sollte, das liege laut Munzinger im Ermessen der jeweiligen Handelnden. In Deutschland bieten neben der „Süddeutschen Zeitung“ auch noch der „SPIEGEL“ und „ZEIT Online“ eine Leaking-Plattform an. Laut dem Journalisten sei nicht der Briefkasten entscheidend, sondern vor allem die handelnden AkteurInnen dahinter, die JournalistInnen, denn die sorgen dafür, ob eine Quelle Vertrauen in ein Medium habe oder nicht. „Warum kommt Material bei uns an? Weil man uns vertraut, weil wir Historie haben, weil wir die ‚Panama Papers‘ bekommen haben und die Quelle bis heute nicht offengelegt wurde und nicht in Gefahr ist, wie das in anderen Fällen geschehen ist. Ich glaube, es ist wichtiger, dass man vertrauenswürdige JournalistInnen präsentieren kann, als dass man jetzt eine digitale Plattform hat“, konstatiert Munzinger.
Markus Sulzbacher sieht dies anders. Seiner Meinung nach sei es wirklich wichtig, dass jedes Medienhaus in Österreich einen digitalen Briefkasten zu Verfügung stelle, sofern man es schaffe, diesen halbwegs sicher (Betonung auf halbwegs) hinzubekommen, sodass die InformantInnen dementsprechend geschützt sind. Dies sei unabhängig davon ob im Print-Bereich oder Fernsehen, denn auch die „ZiB 2“ oder „PULS4“ könnten aus den eingeworfenen Informationen gute Storys machen. Die Kosten seien im Vergleich zu anderen Dingen minimal, man benötige lediglich die technische Infrastruktur und laut Sulzbacher am wichtigsten: eigene Rechner, die durch Verschlüsselung gut abgesichert sind.
von Lukas Pleyer