8 – Digi­tale Sicher­heit

ver­öf­fent­licht von Sarah Ulrich | 3. März 2025 | Lese­zeit ca. 12 Min.

von Runa Sandvik

Zum Ori­ginal auf Eng­lisch

In einem Kapitel für den Reporter’s Guide to Inves­ti­ga­ting War Crimes von GIJN schreibt Matt Hansen, stra­te­gi­scher Direktor der Global Jour­na­lism Secu­rity, dass „Sicher­heit vom ersten Tag an ein zen­traler Bestand­teil des Bericht­erstat­tungs­pro­zesses für Reporter*innen sein sollte, die Kriegs­ver­bre­chen recher­chieren – ins­be­son­dere in einer Zeit zuneh­mender Über­wa­chung, Spy­ware und anderer Bedro­hungen.“

Dieses Credo gilt – unab­hängig von eurem Fokus und egal, ob ihr zu Kriegs­ver­bre­chen, Kli­ma­wandel, Politik, Kor­rup­tion oder etwas ganz anderem recher­chiert.

Die gute Nach­richt ist: Es gibt Tools für digi­tale Sicher­heit die euch schützen, solange ihr diese auf die rich­tige Weise und zur rich­tigen Zeit ver­wendet. Ihr müsst wissen, welche Tools ihr für was nutzen könnt und sicher­stellen, dass sie in euren Arbeits­ab­lauf inte­griert sind. Digi­tale Sicher­heit mag zunächst etwas abschre­ckend wirken, aber eine erhöhte Sicher­heit wird euch helfen, Ver­trauen zu aktu­ellen und zukünf­tigen Quellen, Kolleg*innen und Medi­en­partner*innen auf­zu­bauen und diese zu schützen.

In diesem Kapitel findet ihr zahl­reiche Tipps und Tools, die euch dabei helfen, Konten, Com­puter und Tele­fone, Kom­mu­ni­ka­tion und per­sön­liche Infor­ma­tionen zu schützen. Neben spe­zi­fi­schen Tools und Ein­stel­lungen zeigen wir euch auch Fall­stu­dien, die die Bedeu­tung der digi­talen Sicher­heit bei einer Recherche zeigen.

Ach­tung: Dieses Kapitel ent­hält viele Infor­ma­tionen. Wir emp­fehlen euch daher, es ein- oder zweimal durch­zu­lesen und die Abschnitte erneut zu lesen, die für euch gerade rele­vant sind. So könnt ihr je nachdem eure digi­tale und auch phy­si­sche Sicher­heit in den Fokus nehmen und ver­bes­sern. Je öfter ihr die Schritte übt, desto ein­fa­cher wird es! GIJN bietet zudem Schu­lungen, Work­shops und Bera­tungen für zusätz­liche Unter­stüt­zung an.

Tipps und Tools

In den fol­genden Abschnitten werden spe­zi­fi­sche Tools und Ein­stel­lungen emp­fohlen, die euch dabei helfen, Konten, Com­puter und Tele­fone, Kom­mu­ni­ka­tion und per­sön­liche Infor­ma­tionen zu schützen.

Schutz von Online-​Konten

Ver­wendet einen Pass­wort-​Manager, der euch dabei hilft, sichere, ein­zig­ar­tige Pass­wörter für alle Konten zu erstellen und zu spei­chern. Der Pass­wort-​Manager dient als Tresor für Pass­wörter, sodass ihr euch diese nicht mehr selbst merken müssen. Der Zugriff auf diesen Tresor ist durch ein von euch fest­ge­legtes „Master-​Pass­wort“ geschützt. Ihr könnt den Pass­wort-​Manager auch zum Spei­chern anderer wich­tiger Infor­ma­tionen ver­wenden, z.B. Ant­worten auf Sicher­heits­fragen bei der Anmel­dung (es müssen keine echten Ant­worten sein!), Pass­daten und Tele­fon­num­mern. Android und iOS ver­fügen über inte­grierte Pass­wort-​Manager-​Funk­tionen, bieten jedoch mög­li­cher­weise nicht alle Funk­tionen von 1Pass­wordDash­lane und Bit­warden. Als Jour­na­list*in habt ihr mög­li­cher­weise Anspruch auf eine kos­ten­lose Lizenz für 1Pass­word.

Akti­viert nach Mög­lich­keit die Zwei-​Faktor-​Authen­ti­fi­zie­rung (2FA), auch für Konten, die für E-​Mails, die Spei­che­rung von Doku­menten und soziale Medien ver­wendet werden. Dies kann dazu bei­tragen, dass nie­mand auf euer Konto zugreifen kann, selbst wenn die Person das rich­tige Pass­wort hat. SMS ist die häu­figste Form der Zwei-​Faktor-​Authen­ti­fi­zie­rung, aber auch die unsi­cherste. Nach­richten sind nicht ver­schlüs­selt und können abge­fangen werden. Erwägt statt­dessen die Ver­wen­dung einer mobilen App zur Gene­rie­rung von Zwei-​Faktor-​Codes, wie z.B. Google Authen­ti­cator. Die sicherste, wenn auch weniger ver­brei­tete Option ist die Ver­wen­dung eines phy­si­schen Sicher­heits­schlüs­sels, wie z. B. des Yubikey. Wenn ihr Google für E-​Mails ver­wendet, sollten ihr euch für das Advanced Pro­tec­tion Pro­gram anmelden – eine kos­ten­lose Sicher­heits­funk­tion, die für Jour­na­list*innen und andere Per­sonen mit hohem Risiko ent­wi­ckelt wurde.

Über­prüft regel­mäßig die Daten­schutz-​ und Sicher­heits­ein­stel­lungen für eure Online-​Konten, ins­be­son­dere in den sozialen Medien. Das Ziel besteht hier nicht unbe­dingt darin, das Teilen in sozialen Medien und auf anderen Web­sites zu unter­binden, son­dern sich dar­über im Klaren zu sein – und die Kon­trolle dar­über zu haben –, was ihr wann und mit wem teilen. Pri­vacy Party ist eine kos­ten­lose Browser-​Erwei­te­rung, die es ein­fa­cher macht, Ein­stel­lungen zu über­prüfen und auf einer Reihe von Web­sites Maß­nahmen zu ergreifen.

Wenn ihr ein Apple-​Gerät ver­wendet, akti­viert den erwei­terten Daten­schutz für iCloud, um die dort gespei­cherten Daten zu ver­schlüs­seln. Akti­viert den Pass­wort-​Zurück­set­zungs­schutz auf X (früher Twitter), um es für andere zu erschweren, das Pass­wort für euer Konto zurück­zu­setzen, sowie Login-​Benach­rich­ti­gungen auf Face­book.

Schutz von Com­pu­tern

Instal­liert System-​ und Soft­ware-​Updates, sobald sie ver­fügbar sind. Diese Updates ent­halten nicht nur neue Funk­tionen und Ver­bes­se­rungen, son­dern auch Kor­rek­turen für Sicher­heits­lü­cken, die von Hackern aus­ge­nutzt werden könnten. Um die lokal auf eurer Fest­platte gespei­cherten Infor­ma­tionen zu schützen, könnt ihr die Fest­plat­ten­ver­schlüs­se­lung mit Bit­Lo­cker unter Win­dows und FileV­ault unter macOS akti­vieren. Ihr könnt diese Tools auch ver­wenden, um externe Fest­platten und USB-​Sticks zu ver­schlüs­seln. Wenn ihr sowohl auf dem Mac als auch auf dem PC auf das Lauf­werk zugreifen müssen, sollten ihr statt­dessen Ver­aCrypt ver­wenden. Unter Win­dows kann Micro­soft Defender euer Gerät vor gän­gigen Formen von Adware und Mal­ware schützen.

Jour­na­list*innen arbeiten häufig mit Doku­menten aus unbe­kannten Quellen, sei es eine PDF-​Datei aus einem Forum oder ein Word-​Doku­ment, das von einer anonymen Person gesendet wurde. Diese Doku­mente könnten Mal­ware ent­halten, daher könnt ihr Danger­zone auf eurem Com­puter ver­wenden, um sichere Ver­sionen zu erstellen, die ihr öffnen und über­prüfen könnt. Wenn ihr mit einer großen Menge an Doku­menten arbeiten, solltet ihr einen dedi­zierten Off­line-​Com­puter ver­wenden, um die Dateien zu durch­su­chen. Wei­tere Infor­ma­tionen über die Arbeit mit großen Daten­sätzen im jour­na­lis­ti­schen Kon­text finden ihr in Micah Lees Buch „Hacks, Leaks, and Reve­la­tions“.

Schutz von Mobil­te­le­fonen

Instal­liert System-​ und Soft­ware-​Updates, sobald sie ver­fügbar sind, genau wie bei Com­pu­tern, Tablets und anderen elek­tro­ni­schen Geräten. Wenn euer Mobil­te­lefon das neu­este Update nicht instal­lieren kann, emp­fehlen wir euch drin­gend, ein neueres Modell zu kaufen. Über­prüft die Daten­schutz-​ und Sicher­heits­ein­stel­lungen, ein­schließ­lich Stand­ort­daten und Sperr­bild­schirm-​Benach­rich­ti­gungen, um zu ver­stehen, was euer Telefon tut und was ihr mit wem teilt. Ver­wendet für Android Google Play Pro­tect, um Apps und Daten zu schützen. Ver­wendet für iOS den Lock­down-​Modus, um euch vor aus­ge­klü­gelter Spy­ware wie Pegasus zu schützen. (Lest hier mehr über diese Funk­tion.) Der Lock­down-​Modus wird von macOS, iOS, iPadOS und wat­chOS unter­stützt.

Schutz der Kom­mu­ni­ka­tion

Ver­wendet Mes­sa­ging-​Apps, die eine Ende-​zu-​Ende-​Ver­schlüs­se­lung unter­stützen, wie SignalWhatsApp und Face­book Mes­senger. Signal und WhatsApp können neben Jitsi, Google Meet und Zoom auch für Grup­pen­an­rufe ver­wendet werden. Es ist wichtig zu beachten, dass diese Apps zwar den Inhalt von Anrufen und Nach­richten ver­schlüs­seln, jedoch nicht die Meta­daten – z. B. mit wem ihr kom­mu­ni­zieren, wann, wie lange und wie oft. Tele­gram kann Nach­richten in geheimen Chats ver­schlüs­seln, aber ihr müsst diese Funk­tion akti­vieren. Für Signal erstellt ihr eine PIN und einen Benut­zer­namen, wählt aus, wie Benach­rich­ti­gungen auf dem Sperr­bild­schirm ange­zeigt werden sollen, und ver­wendet ver­schwin­dende Nach­richten. Für WhatsApp ver­wendet ihr die Zwei-​Faktor-​Authen­ti­fi­zie­rungSicher­heits­be­nach­rich­ti­gungen und – wenn ihr eure Chats sichert – akti­viert die Ende-​zu-​Ende-​Ver­schlüs­se­lung für Backups. Um Nach­richten auf Face­book zu schützen, akti­viert ihr die Zwei-​Faktor-​Authen­ti­fi­zie­rung für euer Konto.

Schutz per­sön­li­cher Daten

Wenn ihr in den USA lebt, solltet ihr die Ver­wen­dung von Dele­teMeOptery oder der App Per­mis­sion Slip von Con­sumer Reports in Betracht ziehen, um eure per­sön­li­chen Daten von Daten­bro­kern und anderen Web­sites zu ent­fernen. Diese Tools können auch außer­halb der USA hilf­reich sein. Sucht außerdem nach euch selbst bei Google, um zu sehen, welche Art von Infor­ma­tionen über euch leicht ver­fügbar sind. Lokale Gruppen für digi­tale Rechte können euch mög­li­cher­weise über Dienste beraten, die für euren Wohn- und Arbeitsort rele­vant sind.

Aber was ist mit …

Wichtig ist: Es gibt keine Garantie dafür, dass die hier gege­benen Hin­weise euch voll­ends schützen. Aber wenn ihr die euch zur Ver­fü­gung ste­henden Sicher­heits-​ und Daten­schutz­funk­tionen nutzt, macht ihr es defi­nitiv schwerer für Men­schen, die es auf euch abge­sehen haben, Angriffe durch­zu­führen. Ein E-​Mail-​Konto mit dem Pass­wort „Pass­wort“ oder „123456“ und ohne Zwei-​Faktor-​Authen­ti­fi­zie­rung ist bei­spiels­weise viel weniger sicher als ein Konto mit einem starken, ein­zig­ar­tigen Pass­wort und einer Zwei-​Faktor-​Authen­ti­fi­zie­rung mit einem Sicher­heits­schlüssel. Wenn ihr sicher­stellt, dass ihr die rich­tigen Tools auf die rich­tige Weise und zur rich­tigen Zeit ver­wendet, könnt ihr das, was euch wichtig ist, wesent­lich besser schützen.

Fall­stu­dien

Die Snowden-​Ent­hül­lungen, die Panama Papers und das Pegasus-​Pro­jekt haben gezeigt, wie wichtig es ist, eure Arbeit zu planen und die digi­tale Sicher­heit in euren Recher­che­pro­zess zu inte­grieren. Die Jour­na­list*innen hätten diese Geschichten nicht sicher berichten können, wenn sie die digi­tale Sicher­heit nicht als ent­schei­dend für ihre Arbeit ange­sehen hätten. Wir emp­fehlen euch drin­gend, nach­zu­lesen, wie sie an diesen Pro­jekten gear­beitet haben. Über­legt, welche Arbeits­ab­läufe ihr für eure eigene Recherche gebrau­chen könnt. Im Fol­genden stellen wir drei Fall­stu­dien vor, durch die die Her­aus­for­de­rungen im Bereich der digi­talen Sicher­heit deut­lich werden, mit denen Jour­na­list*innen in der Ver­gan­gen­heit kon­fron­tiert waren.

Das Magazin „Wired“ veröffentlichte einen Artikel, in dem darauf hingewiesen wurde, dass das Foto von Vice über den zurückgezogen lebenden Milliardär und Flüchtling John McAfee Metadaten enthielt, die den Ort der Aufnahme enthielten. Bild: Screenshot, Wired

Im Jahr 2012 ver­folgte Vice den mil­lio­nen­schweren Tech-​Manager John McAfee, der in Mit­tel­ame­rika auf der Flucht war. In einem Artikel mit dem Titel „We Are with John McAfee Right Now, Suckers“ ver­öf­fent­lichten die Jour­na­list*innen ein Selfie mit Foto-​Meta­daten, die darauf hin­deu­teten, dass sie sich irgendwo in Gua­te­mala befanden. Das Magazin Wired ver­öf­fent­lichte kurz darauf einen Artikel mit der Frage: “Oops! Hat Vice gerade den Auf­ent­haltsort von John McAfee mit Foto-​Meta­daten ver­raten?“ Fotos und Videos können Meta­daten wie Datum, Uhr­zeit, Gerä­te­in­for­ma­tionen und Stand­ort­daten ent­halten – und nicht alle Apps, Web­sites oder Ver­öf­fent­li­chungs­sys­teme ent­fernen diese Infor­ma­tionen stan­dard­mäßig. Aber ihr könnt einige der Infor­ma­tionen selbst ent­fernen.

Im Jahr 2015 ent­hüllte ein Doku­ment eines US-​Gerichts, dass die Person, die Gegen­stand einer Recherche der New York Times war, einen Tipp erhalten hatte, weil die IP-​Adresse der Redak­tion wie­der­holt in den Web­server-​Pro­to­kollen auf­tauchte. Macht euch klar, dass grö­ßere Redak­tionen mög­li­cher­weise über ein­deu­tige IP-​Adressen ver­fügen. Jour­na­list*innen sollten wissen, wie sie diese Infor­ma­tionen mit­hilfe eines VPN wie IVPNMullvad oder Pro­tonVPN schützen können, um ihre IP-​Adresse zu ver­schleiern – oder den Tor-​Browser für zusätz­liche Anony­mität ver­wenden.

Im Jahr 2021 wurden zwei nor­we­gi­sche Jour­na­listen, die im Vor­feld der FIFA-​Fuß­ball-​Welt­meis­ter­schaft 2022 zu Bedin­gungen für Arbeits­mi­grant*innen in Katar recher­chierten, von der kata­ri­schen Polizei fest­ge­nommen und mehr als 30 Stunden lang fest­ge­halten, kurz bevor sie nach Hause fliegen konnten. Die Behörden behaup­teten, die beiden hätten vor­sätz­lich Pri­vat­be­sitz betreten. Die Jour­na­listen wurden acht Stunden lang in getrennten Räumen ver­hört, wäh­rend ihre Aus­rüs­tung beschlag­nahmt und gründ­lich durch­sucht wurde. Runa Sandvik – Grün­derin von Gra­nitt und Autorin dieses Kapi­tels – schrieb dar­über, was uns dieser Vor­fall über die Bedeu­tung der digi­talen Sicher­heit lehrt, und wie man seine Arbeit schützen kann, ins­be­son­dere wenn es um die Ver­schlüs­se­lung zum Schutz digi­taler Daten geht.

Zusätz­liche Unter­stüt­zung

Access Now, eine gemein­nüt­zige Orga­ni­sa­tion, die sich für die digi­talen Rechte gefähr­deter Men­schen und Gemein­schaften ein­setzt, betreibt eine rund um die Uhr erreich­bare, kos­ten­lose Digital Secu­rity Hel­pline für Jour­na­list*innen und andere Mit­glieder der Zivil­ge­sell­schaft. Die Orga­ni­sa­tion bietet Unter­stüt­zung bei pro­ak­tiven digi­talen Sicher­heits­prak­tiken sowie bei Bedarf schnelle Not­fall­hilfe. Die Hel­pline beant­wortet alle Anfragen inner­halb von zwei Stunden und unter­stützt der­zeit neun ver­schie­dene Spra­chen: Eng­lisch, Spa­nisch, Fran­zö­sisch, Deutsch, Por­tu­gie­sisch, Rus­sisch, Tagalog, Ara­bisch und Ita­lie­nisch.

Das Secu­rity Lab von Amnesty Inter­na­tional unter­sucht Men­schen­rechts­ver­let­zungen im Zusam­men­hang mit Spy­ware, Über­wa­chungs­tech­no­logie und anderen digi­talen Bedro­hungen, denen die Zivil­ge­sell­schaft aus­ge­setzt ist. Wender euch an das Amnesty Secu­rity Lab, wenn ihr glaubt, dass ihr in irgend­einer Weise Ziel einer digi­talen Über­wa­chung geworden seid. Ihr könnt euch auch an das Citizen Lab der Munk School of Global Affairs an der Uni­ver­sity of Toronto, Kanada, wenden.

GIJN bietet das Jour­na­list Secu­rity Assess­ment Tool an, das auf dem Cyber­se­cu­rity Assess­ment Tool der Ford Founda­tion basiert und Jour­na­list*innen und klei­neren Nach­rich­ten­or­ga­ni­sa­tionen dabei helfen soll, Wege zu finden, wie sie ihre digi­tale und phy­si­sche Sicher­heit ver­bes­sern können. Es wurde bereits auf Ara­bisch, Fran­zö­sisch, Deutsch, Hindi, Indo­ne­sisch (Bahasa), Por­tu­gie­sisch, Rus­sisch, Spa­nisch und Tür­kisch ver­öf­fent­licht.

Für wei­ter­füh­rende Infor­ma­tionen zum Sicher­heits­be­dürf­nisse von Per­sonen mit hohem Risiko lest diesen Leit­faden der US-​ame­ri­ka­ni­schen Cyber­se­cu­rity and Infra­struc­ture Secu­rity Agency (CISA).

Runa Sandvik

Runa Sandvik ist die Grün­derin von Gra­nitt, einem Bera­tungs­un­ter­nehmen, das sich auf die Sicher­heit von Jour­na­list*innen und Men­schen in Risi­ko­ge­bieten auf der ganzen Welt spe­zia­li­siert hat. Ihre Arbeit baut auf Erfah­rungen aus ihrer Zeit bei der New York Times, der Freedom of the Press Founda­tion und dem Tor-​Pro­jekt auf. Sie ist Bera­terin des Tech­ni­schen Bei­rats der CISA, des BUILD-​Pro­gramms der Ford Founda­tion und Mit­glied der Global Cyber­se­cu­rity Group des Aspen Insti­tute. Sie twit­tert unter @runa­sand.

Wei­ter­füh­rende News-​Artikel

Infos
Menu