Wie man als Whistleblower anonym bleibt

180622-whistle.jpg
Wer sie bläst, darf sich keine Unachtsamkeiten erlauben. (Bild: Call in the Troops, Alan Levine/Flickr.com, CC BY 2.0)

spite77 bei steemit.com, mit dem ich gelegentlich unter seinem bürgerlichen Namen Raoul René bei Radio Stadtfilter Nerdfunk betreibe, stellt hier ausführlich eine neue Funktion von Mozilla vor. Sie heisst Firefox Send, die man unter send.firefox.com findet: Man lädt dort eine Datei mit maximal einem GB grösse hoch, die automatisch verschlüsselt wird und während 24 Stunden für eine vorgegebene Anzahl Downloads zur Verfügung steht.

Das klingt interessant, wobei man sich natürlich fragen kann, weswegen man Dateien nicht einfach über die Teilen-Funktion bei einer der vielen Onlinie-Dateiablagen weitergibt, die man eh schon nutzt. Also Dropbox, Onedrive, iCloud oder Swisscom MyCloud (siehe Die einheimische Datenwolke). Wenn man Wert auf den automatischen Ablauf der Datei legt, kommt auch Wetransfer (siehe Vier Tricks fürs altehrwürdige E-Mail) infrage. Braucht es da tatsächlich noch einen Dienst?

Das Interessante an Firefox’ Lösung ist natürlich die anonyme Nutzungsmöglichkeit. Man braucht sich nirgends einzuloggen, sondern lädt die Datei hoch, gibt den Link weiter und macht sich wieder aus dem Staub. Firefox gibt an, nur wenige Daten zum Vorgang zu speichern und das meiste davon nach Ablauf der 24 Stunden komplett zu löschen.

Stellt sich also die Frage: Ist Send It anonym genug, um von Whistleblowern genutzt zu werden, um unerkannt ein heikles Dokument weiterzugeben? Ich war nie in der Situation, das tun zu müssen, aber es hat einen gewissen Reiz sich zu überlegen, wie man das tun würde. Send It wäre sicherlich ein heisser Kandidat, wobei ich tunlichst darauf achten würde, dass ich nicht bei Firefox Sync angemeldet bin. Ich würde Send it mutmasslich in Kombination mit Tor (Tor ist ein Menschenrecht) verwenden.

180620-firefox-send.png
Die etwas kurze Verfügbarkeitsdauer von 24 Stunden lässt sich bislang nicht hochsetzen.

Doch wie gibt man dann den Link weiter? Man könnte Threema anonym nutzen, wobei sich die Frage stellt, wie man an die Threema-ID des Empfängers herankommt. Bei der Mailadresse ist es einfacher – darum würde ich es mit Protonmail probieren (Verschlüsselt webmailen). Auch das am besten via Tor. Und natürlich mit einem Konto, das nur für diesen einen Zweck eingerichtet worden ist.

… allerdings könnte man dann auch gleich die Datei als Attachment schicken. Denn zwei Dienste zu nutzen, erzeugt doppelt so viele Datenspuren. Protonmail lässt allerdings höchstens 25 MB für Anhänge zu. Darum wäre für grössere Anhänge Send it doch sehr willkommen.

Ein unkalkulierbares Risiko bleibt. Nämlich das digitale Dokument selbst. Bei dem ist die Gefahr riesig, dass die Datei viel mehr Informationen über einen preisgibt, als einem Whistleblower lieb sein kann. Word beispielsweise packt sehr viele Metadaten in ein Dokument, dass man als Urheber unter Umständen sehr leicht identifizierbar ist. Man kann diese Informationen mit dem Document Inspector herauslöschen – aber man muss auch daran denken.

Auch ein PDF kann sehr viele Metadaten enthalten und ein Foto sowieso. Wenn man beispielsweise geheime Dokumente mit seinem Smartphone fotografiert, so wie das für Spione bekanntlich zum täglichen Brot gehört, enthält das Bild einen Zeitstempel und ein GPS-Signal. Je nach Smartphone und App-Ausstattung wird es automatisch bei Clouddiensten wie iCloud oder Google Fotos hochgeladen. Das führt dazu, dass ein Geheimdienst oder ein hartnäckiger Ermittler ein abgefangenes Whistleblower-Dokument bei den gängigen Clouddiensten suchen könnte. Im Fall eines Treffers wäre alles verloren.

Dass solche digitalen Spuren kein theoretisches Problem darstellen, zeigt«Ars Technica» im Beitrag How Manafort’s inability to convert a PDF file to Word helped prosecutors auf: Der ehemalige Trump-Wahlkampfmanager Paul Manafort hat eine gefälschte Gewinn- und Verlustrechnung verschicken wollen. Er hat dazu eine PDF-Datei in ein Word-Dokument umgewandelt, um Änderungen vornehmen zu können. Weil er nicht selbst in der Lage war, es wieder als PDF abzuspeichern, hatte er es seinem Assistenten Richard Gates geschickt. Da während des Prozesses das Dokument mehrfach per Mail hin und her ging, konnte die Staatsanwaltschaft die Entstehungsgeschichte des gefälschten Dokuments genau nachvollziehen.

Auch Ausdrucken und ganz klassisch per Post Verschicken hilft übrigens nicht unbedingt. Das zeigt der Artikel Vom Drucker verraten: NSA-Dokument enttarnt Whistleblowerin von heise.de. Drucker geben unter Umständen den Maschinen-Identifikations-Codes (MIC) aus. Er gibt (annähernd unsichtbar) an, wann und auf welchem Drucker ein Dokument ausgedruckt worden ist. So lässt sich in vielen Unternehmen das Dokument auf einen digitalen Druckjob zurückführen. Und damit weiss man auch, von welcher Maschine und welchem Nutzerkonto er gestartet wurde.

Das Problem liegt darin, dass es schwierig bis unmöglich ist, die potenziellen Fallen überhaupt zu erkennen. Wer traut sich zu, mit einem Hex-Editor seine megabytegrossen Dokumente durchzusehen, ob da allenfalls Mac- oder IP-Adressen, unerwünschte Zeitstempel, Namen von Windows-Benutzerkonten, Nutzer-Mailadressen, Dateiverzeichnisäste oder andere verräterische Informationen mitgespeichert worden sind? Moderne Dateiformate sind derartig komplex, dass man sich selbst als Experte nicht sicher sein kann, was da alles drinsteckt.

Als Whistleblower bleibt nur maximale Vorsicht: Man muss seine Dokumente in möglichst simplen (metadatenfreien) Formaten bereitstellen. Sie wann immer möglich auf fremden Computern noch einmal speichern oder besser: konvertieren. Papierdokumente auf billigen, alten und zufällig ausgewählten Druckern ausgeben und probehalber in einem beliebigen Copyshop noch einmal kopieren. Das am besten schwarzweiss und mit einem so alten Gerät wie überhaupt möglich – und zu einem Zeitpunkt, für den man ein sicheres Alibi hat.

Autor: Matthias

Diese Website gibt es seit 1999. Gebloggt wird hier seit 2007.

Kommentar verfassen