Es ist keine einfache Zeit für Informanten und Whistleblower: WikiLeaks hat längst nicht mehr die Stellung, die der Seite noch vor zwei Jahren nachgesagt wurde. Und Whistleblower wie Chelsey Manning und Edward Snowden, oder auch die AP-Journalisten, die über vereitelte Bombenanschläge im Jemen berichtet haben, werden mit aller Konsequenz gerichtlich verfolgt und ausgeschnüffelt.
„Wir sind in Amerika an einem Punkt angelangt, an dem die Presse die Anonymität und Sicherheit ihrer Quellen nur noch schützen kann, indem sie nicht weiß, wer ihre Quellen sind“, sagt John Perry Barlow, Mitbegründer der Freedom of the Press Foundation und Gründer der EFF. Doch eine Lösung für dieses Problem ist in Sicht: Ab heute ist mit SecureDrop eine neue Schnittstelle zwischen Informanten und Medien verfügbar.
Aaron Swartz‘ Erbe
Eigentlich war es eine Idee von Aaron Swartz, dem Internet-Aktivisten, der im Januar Selbstmord begangen hat: Wie kann man eine Schnittstelle schaffen, über die Informanten Kontakt aufnehmen können zu Journalisten? Und zwar auf eine sichere, anonymisierte Art? Gemeinsam mit Wired-Journalist Kevin Poulsen und dem Sicherheitsexperten James Dolan entwickelte er ein System, das genau das schaffen sollte. Nach seinem Tod im Januar wurde das Projekt von Poulsen und Dolan alleine weitergeführt. Im Oktober übernahm die Freedom of the Press Foundation das Projekt.
Im Gegensatz zu WikiLeaks ist SecureDrop aber keine Seite, die Informationen annimmt, bearbeitet und veröffentlicht. SecureDrop ist eine Open-Source-Schnittstelle, die allen Stellen – in erster Linie den Medien – offen steht und auch weitere Kommunikation erlaubt, ohne die Anonymität des Informanten zu gefährden. Eingereichte Nachrichten und Dokumente werden zur sicheren Speicherung verschlüsselt. Jeder Informant, der die Plattform nutzt, bekommt danach einen individuellen Nutzernamen, mit dem er weiter Kontakt halten kann, ohne seine Identität preiszugeben.
Dieses Pseudonym kennt aber nur der Informant: SecureDrop ordnet der Quelle für den Dokumentenabruf automatisch einen anderen Namen zu. Nur dieser ist wiederum Mitarbeitern der Organisation oder etwaigen Journalisten bekannt. Für jede einzelne Quelle wird zudem eine Sammlung angelegt, in der sämtliche Nachrichten und eingereichten Dokumente gebündelt werden. Das US-Magazin „New Yorker“ setzt den Code bereits seit Mai 2013 unter dem Namen StrongBox ein und hat laut eigener Aussage bereits gute Erfahrungen damit gemacht.
Test: bestanden
Aber ist es denn auch sicher? Eine ersten Check hat SecureDrop bereits erfolgreich bestanden: Mitte 2013 wurde der Code von einem Team der Uni Washington überprüft – mit dabei waren auch die Sicherheitsexperten Bruce Schneier und Jacob Appelbaum. Dabei fiel nur ein Mangel auf, und der lag nicht mal am System selbst: Die Dokumentation von SecureDrop, bemerkten die Experten, sei so kompliziert, dass der Aufbau eines funktionierenden und sicheren Systems eigentlich nur mit Hilfe der Entwickler möglich sei.
Doch daran arbeite man bereits, ließ die Stiftung wissen. Die Dokumentation wurde überarbeitet, und interessierte Medien können sich auch auf der Seite des Projekts für eine Komplettinstallation eintragen: Der Support kommt kostenlos, nur Reisekosten, Unterbringung und natürlich die Technik vor Ort müssen gestellt werden.
Trotz aller Überprüfungen und Sicherheitsvorkehrungen bleibt die Freedom of the Press Foundation ehrlich: Hundertprozentige Sicherheit könne auch SecureDrop nicht garantieren – Organisationen, die das von sich behaupteten, würden lügen, stellte die Stiftung fest. SecureDrop sei der Wunsch, geschützte Kanäle zum Informationsaustausch zu schaffen. Doch Restrisiken bleiben natürlich bestehen.
