Menü

SecureDrop soll Whistleblower schützen

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 26 Beiträge
Von

Die Freedom of the Press Foundation (FPF) hat SecureDrop freigegeben, nachdem der Quellcode des sicheren Upload-Angebots von Sicherheitsexperten geprüft wurde. SecureDrop basiert auf DeadDrop, dem letzten Projekt des verstorbenen Aaron Swartz. SecureDrop soll vom US-Sicherheitsexperten James Dolan betreut werden, der auch die eng verwandte StrongBox des New Yorker installiert hat.

SecureDrop ist lauf FPF für alle Whistleblower gedacht, die nicht wie Edward Snowden darin ausgebildet sind, ihre Informationen umfassend zu sichern. Journalisten bemerkten zusehends, wie wichtig es ist, Informanten und Informationen zu schützen, erläutert Micah Lee, Chief Technology Officer der FPF. "SecureDrop ist der sicherste Weg, den wir kennen, wenn ein anonymer Whistleblower Informationen an Journalisten schicken und dennoch seine Identität schützen will." Mit dem Angebot eröffne die Freedom of the Press Foundation eine "neue Ära der Sicherheit für Journalisten und Redaktionen", heißt es weiter. Mehrere große Nachrichtenagenturen und Zeitungen sollen SecureDrop unterstützen. Wer sie sind, will die Foundation im Laufe der nächsten Wochen bekannt geben. Sie hat ein Kontaktformular eingerichtet, mit dem kleinere Redaktionen technische Hilfe bei der Einrichtung von SecureDrop anfordern können.

(Bild: CC-BY-2.0, basheertome )

SecureDrop ist eine in Phyton entwickelte Web-Anwendung, die alle Dateien, die ein Whistleblower absetzt, mit GPG verschlüsselt. Jeder Whistleblower bekommt einen Codenamen, weitere ID-Details werden nicht abgefragt. Über einen weiteren, ihnen zugewiesenen Codenamen können Journalisten den Whistleblower kontaktieren und nachfragen, ohne den möglicherweise kompromittierenden Austausch von E-Mails. Das Material, dass von Whistlerblowern eingestellt wird, wird automatisch zu einer "Sammlung" zusammengefasst, bei der die jeweils letzten Einsendungen ganz oben auf der Inhaltsangabe der Sammlung stehen. SecureDrop benötigt drei physikalisch getrennte Server: den öffentlich erreichbaren, einen für die sichere Speicherung der Dokumente und der Nachrichten für den Whistleblower beziehungsweise die Redaktion und einen Server, der die beiden anderen Systeme fortlaufend überwacht.

Ein Forscherteam der Universität Washington unter der Leitung von Alexei Czeskis hat nach Angaben der FPF den gesamten, noch DeadDrop genannten Quellcode untersucht, um Schwachstellen zu finden und auszumerzen. Außerdem hätten der bekannte Sicherheitsexperte Bruce Schneier und der Internet-Aktivist und Tor-Entwickler Jacob Appelbaum am Audit mitgearbeitet. Das Audit bescheinigt dem Programm eine durchaus gute Implementation, bemängelt aber die unzureichende Benutzerführung und empfiehlt größte Vorsicht beim Einsatz innerhalb von Staaten, die feindlich gegen Whistleblower agierten: "Wir glauben nicht, dass DeadDrop weit genug entwickelt ist, um in einem Ökosystem installiert werden zu können, in dem der Nationalstaat als Gegner von DeadDrop-Nutzern auftritt, die selbst keine Experten [in puncto Sicherheit und Verschlüsselung] sind." Als besondere Kritikpunkte führen die Forscher in ihrem Bericht auf, dass die Metadaten nicht dokumentiert sind, die Software nicht versioniert wurde und dass auf sichere VPN-Verbindungen vertraut wird.

Obwohl das eigentliche Programm von SecureDrop lange vor den ersten Enthüllungen des Whistleblowers Edward Snowden fertig war, seien zwei wichtige Verbesserung eingefügt worden, die direkt auf den von Snowden gewonnenen Erkenntnissen fußen, erklärte Micah Lee. SecureDrop versteht sich nicht als Konkurrenz zur StrongBox oder von Globaleaks. Die Freedom of the Press Foundation weist auf ihre Spendenseite hin, mit der unter anderem die Weiterentwicklung von SecureDrop unterstützt werden kann. Zuletzt hatte die FPF mit den Spendengeldern einen unabhängigen Stenographen im Prozess um die Whistleblowerin Chelsea Manning finanziert. (anw)