ANLEITUNG WHISTLBLOWER-BOX

Sie haben vertrauliche Informationen die Sie uns sicher übermitteln wollen?
Um uns heikle Daten und Informationen zukommen zu lassen, können Sie unser SecureDrop-System nutzen. Diese Software ermöglicht eine verschlüsselte Kommunikation, anonym und sicher.

Was müssen Sie bei SecureDrop beachten?
Um Ihre Identität zu schützen ist es wichtig zu beachten kein Netzwerk oder Gerät zu nutzen, das Rückschlüsse auf Sie liefern kann. Wir empfehlen daher öffentliche WLAN-Netzwerke und Geräte die Sie selbst verwalten können.
Bitte vermeiden Sie vor allem folgendes: Greifen Sie auf keinen Fall im Netzwerk Ihres Arbeitgebers auf SecureDrop zu und verwenden Sie für die Kommunikation mit uns keine Geräte die Ihrem Arbeitgeber gehören. Vermeiden Sie außerdem über Ihr Heim-Netzwerk auf Secure-Drop zuzugreifen, sondern nutzen am besten ein öffentliches WLAN. Sie können dafür ein (idealerweise sonst nicht von Ihnen besuchtes) Café aufsuchen oder bspw. eine Bibliothek. Vergewissern Sie sich, dass Ihr Bildschirm nicht von Kameras aufgezeichnet werden kann.

Wie kann ich Secure-Drop nutzen?

  • Laden und installieren Sie den Tor-Browser unter https://www.torproject.org/de/download/. Der Tor-Browser schützt Sie davor, Spuren im Internet zu hinterlassen.
  • Sobald Sie die Installation abgeschlossen haben, starten Sie den Tor-Browser und geben Sie die Adresse ein, mit der Sie uns erreichen: http://ap7huapd7gjekgaq6cfpuafzwgd47kervuqje5nt2d5c5y3xsnorknad.onion/
    Achten Sie darauf, dass diese URL ausschließlich im Tor-Browser zugänglich ist.
  • Nachdem Sie sich auf der Secure-Drop-Seite von ZackZack befinden, folgen Sie dort den weiteren Anweisungen, um uns Vertrauliches zu übermitteln. Bei ihrem ersten Besuch erhalten Sie einen Codenamen. Bitte merken Sie sich diesen gut. Mit diesem Codenamen können Sie immer wieder anmelden, sowie Nachrichten unserer Journalisten erhalten.

Wie sicher ist sicher?
Hundertprozentige Sicherheit kann von keinem Tool garantiert werden. Um Ihre Anonymität zu sichern ist es daher besonders wichtig, sich an oben genannte Anweisungen zu halten. Zusätzliche Sicherheit können sie erlangen, indem Sie einen Computer eigens für diesen Prozess verwenden oder das alternative Betriebssystem Tails (https://tails.boum.org/) nutzen. Weitere Infos finden Sie auch unter: https://securedrop.org.

Alle Informationen, die Sie uns senden, werden verschlüsselt auf unserem Server gespeichert und anschließend mittels eines Computers entschlüsselt, der keine Verbindung zum Internet hat. Rückschlüsse auf die Quelle sind damit nicht mehr möglich – solange das geschickte Material selbst keine Hinweise auf Sie enthält. Aus Sicherheitsgründen empfehlen wir, Nachrichten, die Sie von uns erhalten nach dem Lesen zu löschen, auch wir entfernen die Nachrichten von unseren Servern.

Selbstverständlich unterliegt das gesamte SecureDrop-Projekt strengen Kontrollen, um sicherzustellen, dass Dritte keinen Zugang zu Ihren Meta-Daten oder dem Inhalt haben – nur ausgewählte Journalisten haben Zugang zu dem gesendeten Material. Die Server mit Ihren Beiträgen werden regelmäßig von Experten geprüft. Die Nutzung von Secure-Drop erfolgt auf eigenes Risiko. Und zu guter Letzt: Sprechen Sie mit niemanden darüber!

Gibt es andere Möglichkeiten, Material zu schicken?
Sie können uns Dokumente auch per Post zukommen lassen. Die Sendung ist dann relativ sicher, wenn Sie nicht Ihren richtigen Namen nennen und das Paket am besten nicht in Ihrer unmittelbaren Umgebung aufgeben.

Die Anschrift der ZackZack-Redaktion:
Reumannplatz 7/6 OG.
1100 Wien

Die eingereichten Dokumente/Nachrichten werden mit einem 4096 bit langem RSA key verschlüsselt.
Der private Teil des Schlüssels (welcher zum Entschlüsseln der Einreichungen dient), befindet sich auf einem PC, welcher niemals mit dem Internet verbunden ist.
Zugriff auf die Einreichungen haben nur ausgewählte Redakteure. Ihr Zugriff ist jeweils mit einer Diceware Passphrase, bestehend aus sieben zufällig ausgewählten Wörtern und einer 2-fachen Verifizierung via einer Authentifizierungs-App gesichert. Ein Brute-Force Angriff bräuchte alleine um die Passphrase zu knacken mehr als eine Trillion Jahre.

Nachdem die Einreichungen heruntergeladen wurden, werden sie ausschließlich auf einer externe Fingerprintscanner-Festplatte mit 256-Bit-AES-Hardwareverschlüsselung gespeichert um sie auf den „Entschlüsselungs-PC“ zu übertragen.