Journalistische Kommunikation läuft heute größtenteils über E-Mail, Messenger und Meetingtools. Wer investigativ recherchiert, brisante Projekte plant oder mit gefährdeten Quellen im In- oder Ausland zusammenarbeitet, muss sich und seine Partner:innen schützen. Dazu gibt es – auch für freie Journalist:innen – Beratungsangebote von kompetenter Seite.

Stellen wir uns einen fiktiven Fall vor, nahe am journalistischen Alltag: Jonas F., freier Journalist mit den Schwerpunkten Umwelt und Klima, schreibt über Mülltransporte aus Deutschland in Drittländer. Dabei stößt er auf Spuren illegaler Aktivitäten, die in einen autoritär regierten afrikanischen Staat führen. Für seine Recherche braucht er jetzt Input von Aktivist:innen und Journalist:innen aus diesem Land. Eine Nichtregierungsorganisation (Non-Governmental Organization, NGO) vermittelt F. entsprechende Kontakte. Einige der Quellen leben im deutschen Exil, andere arbeiten noch in ihrer Heimat.

Vor der Kontaktaufnahme zögert F. In der Regel kommuniziert er über seinen normalen Mail-Account, telefoniert mit seinem Smartphone, legt seine Dokumente in der Cloud eines großen Tech-Konzerns ab. Kann er das in diesem Fall genauso handhaben? Werden Gespräche möglicherweise abgehört? Werden Transkripte mitgelesen? Gefährdet er womöglich seine Gesprächspartner:innen vor Ort?  F. erinnert sich daran, dass Journalist:innen mit der Abhörsoftware Pegasus angegriffen wurden.

F.s eigene digitale Kompetenz ist von seinem normalen Arbeitsalltag geprägt. Noch nie hat er eine Mail mit einem System wie PGP (Pretty Good Privacy) verschlüsselt, er war nie mit dem Tor-Browser im Internet unterwegs und hat auch bei seinem iPhone keine besonderen Sicherheitseinstellungen aktiviert. Er fühlt sich überfordert und sucht nach einer Stelle, die ihn in Sachen digitaler Eigensicherung kompetent berät.

Wer hilft Medienschaffenden bei der digitalen Eigensicherung?

Unterstützung könnte F. zum Beispiel bei Viktor Schlüter bekommen. Schlüter ist Interimsleiter des Digital Security Lab bei der journalistischen NGO Reporter ohne Grenzen (RSF). Sein Labor hilft Journalist:innen, die befürchten, dass zum Beispiel ihr Telefon oder ihr Computer überwacht werden, eine Spähsoftware auf ihren Geräten installiert wurde oder ihre Accounts übernommen wurden oder werden könnten. Beim Security Lab können sie eine kostenfreie Sicherheitsberatung zu ihrer Informationstechnologie (IT) buchen.

Viktor Schlüter ist Interimsleiter des Digital Security Lab bei Reporter ohne Grenzen (RSF) und Mitgründer des Vereins Digitale Freiheit. Im Rahmen der europäischen Initiative #Reclaimyourface engagiert er sich gegen biometrische Massenüberwachung. Foto: RSF

Der etwa halbstündige IT Security Check-up klärt dann Fragen, wie z. B.: Wie nutzt man Passwörter? Welche Geräte setzt man ein? Was kann man verbessern? „Wir machen das per verschlüsseltem Videocall, meist mit (dem Messenger) Signal. Ein einfaches Telefonat wäre nicht verschlüsselt und kommt deshalb aus Sicherheitsgründen nicht infrage“, beschreibt Schlüter das Verfahren beim Check-up. Inhaltlich geht es in den Terminen öfter um Smartphones als um PCs oder Laptops. „Smartphones bieten mit ihren vielfältigen Kommunikationsmöglichkeiten, etwa per WLAN und Mobilfunk, oder über Messenger-Dienste wie Telegramm, Signal und WhatsApp, die größeren Möglichkeiten für Angreifende. Wir beraten aber auch dabei, wie man einen Computer sicher aufsetzt“, sagt Schlüter.

Ein weiterer Ansprechpartner für Beratungssuchende ist der Journalist und IT-Trainer Daniel Moßbrucker. Als Journalist berichtet Moßbrucker für die NDR-Magazine Panorama und STRG_F vorwiegend über Pädokriminalität, Darknet und Online-Betrug. Als Trainer bietet er Journalist:innen, Medienhäusern und NGOs seit 2015 Trainings zu digitaler Sicherheit an.

„Mich hat der Fall Snowden damals sehr beschäftigt. Ich hatte Workshops zum Thema gesucht, aber keine gefunden. So habe ich mich selbst eingearbeitet und später mit der Beratung von Kolleg:innen begonnen“, schildert Moßbrucker die Motive für seine Beratungsarbeit. Meistens ist er für Institutionen aktiv, etwa als Referent für Internetfreiheit bei Reporter ohne Grenzen oder als Fachberater digitale Sicherheit bei der Deutsche Welle Akademie. Für ein Projekt der Universität Hamburg zur Stärkung des Digitalen Quellenschutzes hat er zusammen mit seiner Kollegin Annkathrin Weis bundesweit 21 Redaktionen in Sachen IT-Sicherheit fit gemacht, darunter lokale Medienhäuser wie Schleswig-Holsteinische Zeitung in Flensburg, die Hannoversche Allgemeine (HAZ) in Hannover und die Sächsische Zeitung in Dresden, aber auch überregionale Medien wie die taz, t-online oder Spiegel.

Neben der persönlichen Beratung durch IT-Expert:innen gibt es auch Selbstlernangebote, mit denen man seine individuelle IT-Sicherheitskompetenz verbessern kann.

Ein kostenfreies Training zur digitalen Eigensicherung bietet der Journalist Max Hoppenstedt (u. a. Spiegel-Netzwelt) mit seinem Online-Kurs „Digitale Sicherheit“ bei der Reporterfabrik von Correctiv an. In den sechs Kapiteln des Kurses – jeweils bestehend aus einem Video, Materialien zum Download und Testaufgaben – geht es um Themen wie z. B. die Verschlüsselung von Kommunikation via E2E (End-to-End) und PGP, den Einsatz verschiedener SIM-Karten, Datenschutzeinstellungen auf dem Smartphone und dem Computer oder die Nutzung des Tor-Browsers.

Beratung für Festangestellte und Freie

Die Beratungen des Digital Security Lab bei RSF und auch die Beratungsarbeit von Daniel Moßbrucker richten sich vorwiegend an Redaktionen, sind aber auch für freie Journalist:innen buchbar. „Wir haben Teams und Redaktionen aus ganz Deutschland und aus anderen europäischen Ländern hier. Aber wir beraten auch selbstständige freie Journalist:innen bei ihren Sicherheitsvorkehrungen“, beschreibt Viktor Schlüter vom Digital Security Lab bei RSF seine Klientel.

Auch Daniel Moßbrucker macht vorwiegend Organisationen – Medienhäuser und NGOs – IT-fit, oft auch in Form eines sogenannten Threat Modeling, eines individuellen Sicherheitskonzepts zur Abwehr digitaler Gefahren.

Dabei sind für Moßbrucker freie Journalist:innen in Bezug auf digitale Sicherheit eine ganz besonders interessante Gruppe. „Einerseits arbeiten sie komplett ohne den Schutz zentraler IT-Abteilungen, andererseits sind sie deshalb auch komplett flexibel. Sie können individuell entscheiden, welche freien, oft auch kostenfreie Programme und Apps sie nutzen möchten“, erklärt der IT-Journalist.

Ratschläge der Experten

Für Viktor Schlüter und für Daniel Moßbrucker – aber auch im Online-Kurs von Max Hoppenstedt – spielt der Schutz des eigenen Smartphones eine zentrale Rolle bei der digitalen Eigensicherung.

Daniel Moßbrucker ist freier Journalist, Speaker und Security-Trainer für Journalist:innen. Sein Schwerpunkt liegt auf den Themen Überwachung, Datenschutz und Internetregulierung. Zu seinen Auftraggebern als Journalist und Trainer gehören Redaktionen überregionaler Medien, Medienverbände und -gewerkschaften, NGOs sowie Aus- und Weiterbildungseinrichtungen. Foto: RSF

„Speziell die Messenger sind ein Segen für den Journalismus. Mit denen lässt sich heute Sicherheit einem Ausmaß herstellen, das vor zehn Jahren noch undenkbar gewesen wäre. Das sind Tools, mit denen du dich auch vor den stärksten Geheimdiensten der Welt schützen kannst“, sagt Daniel Moßbrucker.

Konkret nennt er die Messenger Signal und Threema. Die Kommunikation mit ihnen müsse nicht einmal mehr separat verschlüsselt werden, wie etwa der Mailverkehr mithilfe von PGP. Mit Signal könne man direkt geschützt telefonieren, chatten oder Dokumente austauschen. „Das Wichtigste ist: Diese Sicherheit gilt auch für die Quelle, egal wie technisch versiert sie ist“, betont Daniel Moßbrucker.

Als weitere nützliche Tools nennt er den Tor-Browser und den kommerziellen Cloud-Dienst Tresorit. Letzterer sei nicht ganz preiswert, aber empfehlenswert.

Victor Schlüter vom Digital Security Lab bei RSF erklärt die Gefährdung von Mobiltelefonen anhand eines konkreten Beispiels. „Vor etwa zwei Monaten haben wir den Fall zweier Journalisten aus Togo aufgedeckt, deren Smartphones mit der Spyware Pegasus angegriffen worden waren. Diesen Fall haben wir auch veröffentlicht“.

Häufigste Einfalltore für Angriffe seien nach wie vor unsichere Passwörter und nicht installierte Sicherheits-Updates, im Grunde also die Vernachlässigung der Prävention, des „digitalen Zähneputzens“, wie es Schlüter formuliert. Oft würden Geräte, besonders Android-Handys, eingesetzt, für die es keine Sicherheits-Updates mehr gibt oder deren Updates zu spät kommen. Oder es würden auf den Geräten wichtige Sicherheits-Features nicht aktiviert, wie etwa der Blockierungsmodus beim iPhone. Der könne aber zahlreiche Spyware-Angriffe verhindern.

„Generell empfehlen wir den Einsatz von iPhones mit aktiviertem Blockiermodus oder den Einsatz von GrapheneOS – das ist ein gemeinnütziges Open-Source-Betriebssystem für Google Pixel-Handys, das speziell auf Datenschutz und Sicherheit ausgerichtet ist. Diese beiden Varianten bieten ein ausreichend hohes Sicherheitslevel“, sagt Schlüter.

Wann sind Sicherheitsvorkehrungen oder Beratung sinnvoll?

Das Digital Security Lab arbeitet global und unterstützt meist Kolleg:innen aus Ländern mit einer verschärften Bedrohungslage. Das sind oft Länder auf den unteren Plätzen der Rangliste der Pressefreiheit von Reporter ohne Grenzen. Aber auch deutsche Redaktionen, Teams und einzelne Kolleg:innen nehmen den Service in Anspruch.

„Letztlich geht es immer um eine individuelle Einschätzung der eigenen Bedrohung. Es hängt sehr von Fragen ab wie zum Beispiel: In welchem Zusammenhang recherchiere ich? Wovor muss ich mich konkret schützen? Sitze ich in einem relativ ,sicheren‘ Land und recherchiere in einem Land mit einer hohen Bedrohungslage? Oder arbeite ich vor Ort, in einem unsicheren Land? Vor welchen Entitäten muss ich mich schützen? Laufen nachrichtendienstliche Aktivitäten gegen mich?“, zählt Viktor Schlüter einige Kriterien für die Notwendigkeit einer Sicherheitsberatung beim Lab auf.

Daniel Moßbrucker betont, wie wichtig es ist, bei der individuellen Gefährdungsanalyse nicht die eigene Person, sondern immer das Gegenüber in den Fokus zu stellen. Die Frage ist: Wer sind die potenziellen Gegner und welche Mittel haben sie? Daran sollten sich die Sicherheitsmaßnahmen ausrichten. In einer klassischen Gefährdungssituation befänden sich vor allem investigative politische Journalist:innen. „Als politischer investigativer Journalist ist man in Deutschland strafrechtlich gegenüber deutschen Behörden recht gut abgesichert. Von dieser Regel gibt es aber auch einige Ausnahmen, zum Beispiel im Bereich der digitalen Überwachung von Kommunikation“, sagt Moßbrucker.

Bei internationalen Recherchen sähe das aber ganz anders aus. Für den ägyptischen Geheimdienst etwa gäbe es keine rechtlichen Beschränkungen, einen deutschen Korrespondenten zu überwachen. Auch für US-amerikanische, russische oder brasilianische Geheimdienste seien deutsche Journalist:innen sozusagen „vogelfrei“. „Für manche Geheimdienste ist es einfach komfortabel, wenn Journalist:innen in ihrem Operationsgebiet recherchieren. Wenn sie technisch dazu in der Lage sind, werden diese Dienste natürlich versuchen, auf Informationen dieser Journalist:innen zuzugreifen“, ist sich Moßbrucker sicher.

Neben ihrer Gefährdung in bestimmten professionellen Zusammenhängen sind Journalist:innen – als ganz normale User:innen – auch den gewöhnlichen Gefahren des Internets ausgesetzt. Dazu gehören Risiken wie ein Angriff von Ransomware, die Verschlüsselung der eigenen Daten von Dritten oder die Nutzung der IT als Einfallstor für Virenangriffe aufs Firmennetz.

„Ebenfalls zu Gefährdeten können Kolleg:innen werden, wenn sie über organisierte Kriminalität, oder Menschenhandel recherchieren, wenn sie sich mit Opfern solcher Straftäter getroffen haben, wenn ihr Name und ihre Wohnadresse in der Öffentlichkeit bekannt werden. Auch das Entwenden und Entsperren der Hardware kann ein digitaler Angriff sein. Das sind ebenfalls klassische Szenarien“, zählt Moßbrucker auf.

Fazit

Wer brisante Recherchen durchführt und mit gefährdeten Quellen arbeitet, sollte sich entweder individuell beraten lassen oder die genannten Sicherheitsvorkehrungen ergreifen. Eine gute erste Orientierung bieten Selbstlernangebote und Online-Trainings. Viele Schutzmaßnahmen – zum Beispiel starke Passwörter, Zwei-Faktor-Authentifizierung, Installation der aktuellen Sicherheits-Updates, Aktivierung von Sicherheitseinstellungen beim Smartphone, sichere Messenger und ein geschützter Cloud-Dienst zur Dokumentenablage – sollten aber sowieso Standards im persönlichen digitalen Alltag sein. Denn Prävention – „digitales Zähneputzen“ – ist für die Jounalist:innen und ihre Quellen (unter Umständen überlebens-)wichtig!

Titelillustration: Esther Schaarhüls

Das Magazin Fachjournalist ist eine Publikation des Deutschen Fachjournalisten-Verbands (DFJV).

Der Autor Gunter Becker schreibt seit Beginn der 1990er Jahre als freier Autor über elektronische Medien, Internet, Multimedia und Kino Anfangs für die taz, dann für den Tagesspiegel und im neuen Millennium vorwiegend für Fachmagazine, wie ZOOM und Film & TV Kamera. Für das verdi-Magazin Menschen Machen Medien verfolgt er die Entwicklung nachhaltiger Filmproduktion, die Diversität in den Medien und neue Medienberufe.