SecureDrop
Foto Nick Amoscato, thx! (CC BY 2.0)

SecureDrop: der anonyme Briefkasten unter der Lupe

Überall kann man digitale anonyme Briefkästen nutzen, um Geheimnisse preiszugeben. Was steckt eigentlich hinter SecureDrop, das oftmals zum Einsatz kommt?

Diverse Verlage machen es Wikileaks nach. Fast überall kann man digitale anonyme Briefkästen nutzen, um Geheimnisse von Firmen oder Behörden preiszugeben. Was steckt eigentlich hinter der Software SecureDrop, die dabei häufig zum Einsatz kommt?

SecureDrop vorgestellt

Die Enthüllungsplattform Wikileaks gibt es nunmehr seit 11 Jahren. Julian Assange und sein Team haben dabei nicht nur, wie im eigenen Slogan angekündigt, Regierungen den Spiegel vorgehalten, um sie zu knacken. Sie haben es insbesondere auf die Schattenseiten von US-Behörden, US-Army, US-Politikern u.v.m. abgesehen. Dennoch war Assange mit seiner Vorgehensweise dazu in der Lage, die Verlagsbranche ein wenig zu verändern. Denn heutzutage unterhält fast jedes Medium über mindestens einen eigenen Briefkasten, wo man analog und wahlweise auch digital seine Geheimnisse hinterlassen kann. Die Verlage hoffen dabei, kostenlos an brisante Informationen zu gelangen, um sie zu Geld zu machen. Engagierte Journalisten sehen darin hingegen eine realistische Möglichkeit, dass Redaktionen wieder zur vierten Gewalt im Staat aufsteigen können.

So weit die Theorie. Doch in der Praxis ist noch keine der Software-Lösungen so weit ausgereift, um alle Beteiligten mit absoluter Sicherheit zu schützen. Daran sieht man erneut, dass das Thema Whistleblowing noch immer sehr neu ist. Am weitesten entwickelt ist die Open-Source Webanwendung SecureDrop. Sie dient neben den Alternativen Globaleaks und Strongbox als Möglichkeit, damit Hinweisgeber anonym und möglichst gefahrlos mit Journalisten kommunizieren können. Alle drei Lösungen sind in groben Zügen gleich aufgebaut, der Teufel steckt wie üblich im Detail. Der digitale Briefkasten für Tippgeber bedarf aber sowohl bei der Installation als auch beim Betrieb einiges an Fachwissen. Wer nicht gerade Techniker ist, braucht einen oder muss sich fortbilden. Deswegen werden nicht nur in Berlin Workshops angeboten, um kleineren Redaktionen den Einsatz von Globaleaks, Strongbox & Co. zu ermöglichen. Wer es sich leisten kann, beschäftigt dafür einen eigenen Informatiker.

Der Teufel steckt im Detail

Geschrieben wurde die Software SecureDrop ursprünglich von Aaron Swartz (Mitbegründer von Reddit) und dem Journalisten Kevin Poulsen. Die Freedom of the Press Foundation setzte die Entwicklung vor drei Jahren fort, nachdem Swartz Selbstmord beging. SecureDrop benötigt neben dem Knowhow sehr viel Ausrüstung. Zunächst einmal drei physikalisch voneinander getrennte Server. Zudem ein frisch installierter Computer, auf dem das Betriebssystem Tails läuft, von dem Edward Snowden lange Zeit geschwärmt hat. Last, but not least einen USB-Stick, um die geleakten Daten im verschlüsselten Zustand vom Server auf den vom Internet getrennten Tails-PC zu kopieren. Damit wird verhindert, dass die Daten durch den Einsatz von Schadsoftware ungewollt verbreitet werden können.

Alles ist auf Sicherheit getrimmt. Wer etwas in diesen Briefkasten einwerfen will, muss die Webseite über das Tor-Netzwerk ansurfen, was die Spuren des Whistleblowers verwischt. Dem Hinweisgeber wird für seinen Benutzernamen lediglich ein zufällig erstelltes Pseudonym mitgeteilt. Bei nachfolgenden Anmeldungen mit diesem Code-Namen können Journalisten mit dem Informanten kommunizieren oder weitere Dokumente empfangen, die sofort mittels OpenPGP verschlüsselt werden. Wer nicht über den Schlüssel verfügt, kann die Dokumente nicht einsehen. In der Redaktion muss es einen Verantwortlichen geben, der die PGP-Schlüssel tagsüber verwaltet und bei Abwesenheit sicher deponiert. Damit steht und fällt die Sicherheit und auch eine mögliche strafrechtliche Verfolgung des Geheimnisverräters mit dem Verantwortungsgefühl dieses Mitarbeiters.

Einsatz von Tails zwingend erforderlich

In der Risikoanalyse der Nichtregierungsorganisation ACLU wird mit Nachdruck darauf hingewiesen, dass SecureDrop mit sehr viel Vorsicht und Sorgfalt angewendet werden muss. So darf auf dem neu installierten Computer kein herkömmliches Betriebssystem laufen. Dieses könnten Geheimdienstmitarbeitern oder Hacker kompromittieren. Ansonsten würde der Rechner wie eine perfekte Überwachungsmaschine fungieren. Die Schnüffler könnten dann mittels Keylogger und anderer Schadsoftware jedes Dokument, Mausklick und sogar jeden Tastendruck sehen, den der Journalist bei der Bedienung seines Gerätes betätigt. Deswegen ist es auch so wichtig, dass der PC, auf dem die Dokumente entpackt werden, dauerhaft ohne Internetverbindung bleibt.

Ein stummer Fisch kann keine Geheimnisse ausplaudern. Tails ist ein gutes OS, weil man es auf Sicherheit getrimmt hat. Zudem versagen dort  mindestens 90% aller Viren und Trojaner. Dem Whistleblower muss zudem klar sein, dass ihm das Anonymisierungs-Netzwerk Tor nie absolute Sicherheit bieten kann. So kann man Surfer trotz Tor auch über Cookies oder andere Details ihrer Hardware identifizieren. Von daher ist für Whistleblower schon aus Sicherheitsgründen die Nutzung eines Internetcafés Pflicht.

Software noch weit von Version 1.0 entfernt

SecureDrop ist noch weit von der ersten offiziellen Version 1.0 entfernt. Die Software wurde im Laufe der letzten Jahre mehrfach von Forschern untersucht, die im Quellcode immer wieder leichte bis mittelmäßig gravierende Schwachstellen feststellen konnten. Auch wird immer bemängelt man, dass für Journalisten ohne eine zusätzliche Ausbildung die Benutzerführung zu kompliziert sei. Ein Forscherteam der Universität von Washington, an dem auch Bruce Schneier und Jacob Appelbaum beteiligt waren, zog im August 2013 das Fazit, dass man als Whistleblower ein Experte für IT Sicherheit sein muss, wenn man nicht aufgedeckt werden will. Für den Einsatz in einem modernen Industriestaat sei SecureDrop schlichtweg noch nicht bereit. Eingesetzt wird die Software trotzdem in vielen Redaktionen, weil es an ernsthafter Konkurrenz mangelt. So auch bei BalkanLeaks, Globe & Mail, Gawker, der Washington Post, dem New Yorker, The Intercept und in vielen anderen Verlagen.

Wir haben vor fünf Monaten beim Guardian-Kolumnisten Trevor Timm, der bei SecureDrop für Pressekontakte zuständig ist, nachgefragt, was es mit den bisher aufgedeckten Lücken auf sich hat. Obwohl die Anfrage im Namen des österreichischen JournalistenClubs für die Zeitschrift Statement durchgeführt wurde, bekamen wir seit November 2016 keine Antwort auf unsere Anfrage. Zeit genug hätte Mr. Timm zumindest für seine Antwort gehabt.

Wahl zwischen Pest und Cholera

Fazit: Wer sich für eine der drei Software-Lösungen für anonyme Briefkästen entscheiden will, hat es schwer. Das ist irgendwie wie die Wahl zwischen der Pest und Cholera. Sie alle beinhalten ihre eigenen Vor- und Nachteile. SecureDrop beinhaltet ein durchdachtes Konzept und wurde bisher offenbar gut umgesetzt. Es ist aber, ähnlich wie Globaleaks und Strongbox auch, noch nicht zu 100 Prozent ausgereift. Wer es einsetzen will, muss zudem über viel Ausrüstung, Fachwissen oder im Idealfall einen eigenen Techniker verfügen. Version 0.3.11 von SecureDrop erschien im Februar 2017. Bis zur Version 1.0 wird sicher noch jede Menge Zeit vergehen.

Update: Mittlerweile hat das Projekt die Version 1.5.0 von SecureDrop veröffentlicht.

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.