Heise und wir laden ein: Workshop zu sicherem Quellenschutz

Richtiger Quellenschutz will gelernt sein. CC BY-NC-ND 2.0, via flickr/Jamison

In Kooperation mit netzpolitik.org veranstaltet Heise am 6. April 2017 einen Praxis-Workshop zu „Quellenschutz 2.0 – Sichere Kommunikation für Journalisten“. Referenten sind netzpolitik.org-Autor Ulf Buermeyer und c’t-Redakteur Holger Bleich. Der eintägige Workshop in Hannover ist auf 15 Teilnehmer begrenzt, ein Ticket kostet 820 Euro.

Spätestens durch die Enthüllungen des Whistleblowers Edward Snowden ist deutlich geworden, dass unverschlüsselte Kommunikation per Handy und im Internet stets bedeutet: NSA und Co. lesen mit. Die Vorratsdatenspeicherung 2.0 droht ebenfalls das Berufsgeheimnis von Journalistinnen und Journalisten zu unterlaufen. Daraus ergeben sich neue Herausforderungen, um Quellen zu schützen: Verschlüsselte Kommunikation sollte eine Selbstverständlichkeit sein – nicht nur für investigativ arbeitende Kolleginnen und Kollegen. Gleichwohl setzen bis heute nur wenige Medienschaffende konsequent auf Technologien wie PGP/GPG, Tor, Jabber und Tails, um ihre Kommunikation und damit Informantinnen und Informanten zu schützen.

31 Ergänzungen

    1. Entweder hat sich ins Datum ein +5 eingeschlichen oder man möchte den „Eliten“ ein elitäres Erleben ermöglichen, wofür die natürlich auch gern zahlen. Künstliche Verknappung halt.
      Oder … nö, das möcht ich jetzt nicht auflösen, da die feinen Herrschaften nicht mehr drauf reinfallen könnten, so sie sich herabließen, hier zu lesen.

  1. Was für ein Irrsinn für diesen „kurzen Lehrgang“ satte 820 Euro abzuverlangen.
    Werte Journalisten, wer noch von Euch wirklich noch etwas im Hirn haben sollte außer Propaganda der lese sich mit vorher eingeschalteten Verstand in das Privacy Handbuch ein.
    https://privacy-handbuch.de/
    Da steht wirklich alles was ihr zum Thema sichere Kommunikation etc. wissen müsst. Und zwas kostenlos! Fragen können mittels verschlüsselter Mail auch an die Macher des Privacy Handbuch gestellt werden.
    https://privacy-handbuch.de/autoren.htm
    Da bekommt ihr kostenlos wirklich kompetente Antworten auf eure Fragen. Wie Mail’s verschlüsselt werden steht da auch unter anderem darin.
    Wer für das Privacy Handbuch zu blöd ist dem hilft auch nicht der Lehrgang für satte 820 Euro !!!

  2. die beiden workshop-leiter werden sicherlich gute arbeit machen, keine frage. aber ich frage mich schon (auch wie die anderen hier bisher), ob das ein richtiger weg ist.

    es gibt eine reihe von menschen, die ähnliche angebote auf ehrenamtlicher basis anbieten, sei es via cryptoparty oder via direkter, persönlicher beratung und „schulung“ jenseits der öffentlichkeit, z.b. mittels direktem kontakt. wenn heise und netzpolitik.org nun so etwas für sehr viel geld anbieten, dann kann das im schlimmsten falls sehr demotivierend, ja sogar spaltend wirken und diese ganze bemühte szene ein wenig eindampfen.

    gemeinschafts-fördernd ist das jedenfalls nicht unbedingt.

    aber nochmals: die beiden leute, die das machen, sind fraglos kompetent und engagierte streiter in der sache, daran soll sich diese kritik nicht festmachen.

    aber vielleicht gibt es auch gute argumente für dieses workshop-szenario, die leuten wie mir nicht gleich in den sinn kommen. ich bin für gegenargumente offen. (hoffentlich. :) )

    1. Du musst es so sehen, das ist ein bezahltes Meet&Greet, man bezahlt nicht für den Content, den man sich auch sonst überall im Netz besorgen kann, sondern für das Feeling und vielleicht hinterher sogar für das Vitamin B. Wer das braucht, der soll das machen – Netzpolitik wird sich sicherlich über diese „Spende“ riesig freuen! :)

  3. @Kommentatoren: Niemand hat die Absicht, selbstorganisierte Crypto-Parties abzuschaffen. Wer es sich leisten kann und will, 820 Euro für einen durchgeplanten Workshop auszugeben (ein Teil der Einnahmen geht an uns), ist aber natürlich herzlich eingeladen.

    1. Niemand hat die Absicht eine Mauer zu bauen. :>

      Schöne Idee der Workshop.
      Sind ja viele Menschen keine Autodidakten und wenig technikaffin.
      In der Generation „Joffe“ gibt es sicher Handlungsbedarf.
      Und jeder Euro der dort verschwindet und bei Netzpolitik erscheint ist ein Gewinn.
      Kann man imho das nächste mal noch teurer machen.

      1. Halt Stop … doch nicht teurer.
        Kann man doch sicher von der Steuer absetzen so ein Workshop …
        dann ist das Steuersäckle kleiner …
        das muss das Proletariat wieder quer finanzieren …
        ich muss für mein Einkommen arbeiten.
        Hört auf mein Geld zu verschwenden. =)

  4. Ihr „das ist zu teuer“-Schreier würdet EUch eventuell auch bedanken, wenn BLÖD-Redakteur*innen zur Cryptoparty kommen und sechs Stunden lang Beratung bei Installation und Test von PGP, Jabber, Veracrypt und diversen weiteren Späßen (Seminar: Tails, Crypto-USBstci, Betrieb von Securedrop (o.ä.)) erfragen würden.

    DAS IST EINE DIENSTLEISTUNG MIT VOLLBETREUUNG DURCH ARBEITENDE MENSCHEN. Ja sicher bezahlt man das! (Und wer keine Cryptoparty in der Stadt hat, bekommt den Besuch bei der Nächsten in 150km Entfernung nicht als Dienstreise bezahlt.) -> 8 Stunden Seminar, Raummiete, Fressen, Orga, technische Betreuer und dazu als Redner ein technikaffiner Richter und ein Heise-Redakteur.

    Cryptopartys sind Ehrenamt, das vermittelte Wissen mag eventuell zu 100% stimmen, aber es erfordert immer noch, dass sich Medienmacher*innen sich danach weiter einlesen und selbst Technikwissen anhäufen, um sicherzugehen, dass das Erlernte stimmt. Das mach mal neben nem Vollzeitjob, wenn du als WIndoofnutzer bei Null anfängst.
    Wenn dein WIssen aus der Cryptopart nicht funktioniert gibts nämlich nen Arschtritt aus der Chefetage für schlechten Quellenschutz. Weil der dann sinnlos war.
    Und genau für solche Chefmenschen kann das Seminar helfen, praktisch zu Erleben, wie gut und machbar Quellenschutz geht, damit das dann in den Redaktionen auch mal gemacht wird.

    so, genug gekotzt. jetzt können alle, die es wollen, das Onlinehandbuch lesen und die ÖR und andere Medien mal in die Puschen kommen. Bei Cryptoparties können sie für Auffrischung oder Neueunstieg von Kolleg*innen immer noch vorbeikommen.

    1. DAS IST EINE DIENSTLEISTUNG MIT VOLLBETREUUNG DURCH ARBEITENDE MENSCHEN.

      Schreischrift, oder?
      Betreutes Arbeiten, oder?
      Wer seine Quellen nicht schützen kann,
      dem steckt man halt nichts als Whistleblower.
      Der „stirbt halt aus“, weil er den Anforderungen seines Berufes nicht gewachsen ist.
      Kann ja umschulen auf Gärtner, nichts gegen Gärtner … ein ehrenvoller Beruf … im Gegensatz zum Springerschmierfink.

      Die deinem Beitrag innewohnende Anspruchshaltung triggert mich hart am frühen morgen … vielleicht nehm ich das auch gerade nur so wahr … maybe.

      15×850 = 12750 afaik … für einen Tag Arbeit.
      Nur mal um dich in der Realität einzunorden …
      So ein Durchschnittsarbeiter verdient 30000 …
      pro Jahr.

        1. Und über eine Vollzeitstelle für 2000 brutto freut sich, wer studiert und viel Geld in die eigene Weiterbildung investiert hat, auch.

      1. Ja, Schreischrift für die Schreihälse.
        und jetzt zu deiner Rechnung
        15*820=12.300, abzüglich Steuern sind es noch 9963 Euro.
        Sagen wir 16 Personen (inkl. Referenten und Helfer) a 60 Euro Tagungspauschale (Raummiete, Essen,Kaffee): 800 Euro
        Technikmiete: 200 Euro
        2 Referenten zu 50 Euro brutto pro Stunde (das ist im ITbereich eher niedrig), arbeiten je 4Tage zu 8 STunden (inklusive Vorbereitung): 3200 Euro
        1 Person für Orga (Briefe und Flyer verschicken, Redaktionen hinterhertelefonieren, Anmeldungen annehmen) zu 30 Euro brutto 10 Tage a 8 Stunden:2400 Euro

        bleiben jetzt noch ca. 2500 Euro übrig. Davon dürfen dann Heise und Netzpolitik sowie Werbung etc bezahlt werden.

        WOW. Da fühl ich mich auch doll getriggert.
        so vong Kostenrahmen bei echten Seminaren bim ich jetzt voll be1druckt.

        und um mit dem sarkasmus aufzuhören: Journalist*innen haben den Beruf irgendwann mal gelernt. Per Volontariat, nebenbei oder als Quereinstieg on the job. Damals(TM) gab es Telefon, Fax und Post. Da hat man Dokumente in den Safe getan. Fertig.
        Journalist*innen sind eben nicht per se ITcracks. Und es wäre schade, wenn sie nur deshalb ausstürben, weil Ihnen zwar jemand für Geld beibringt, wie man Rosen züchtet, nicht aber, wie man Mails verschlüsselt.
        Journalist*innen können aber recherchieren, Netzwerke aufbauen, einordnen und am Ende nen lesbaren Text oder ein verttändliches Ton/Bilddokument aus den Angaben einer Quelle machen. ITcracks müssten das erst lernen. Für Geld.

          1. Seit man (Du) vom Netto Bruttobeträge abtaschenspielern möchtest.

            Jetzt setzte dich bitte hin und findest im Selbststudium den Unterschied zwischen Mehrwert- und Vorsteuer heraus.

      2. nachtrag: wer sagt eigentlich dem whistleblower, dass er/sie weiß, ob journalist des vertrauens die quelle adäquat schützen kann? haben solche journis ein prädikat und gibts ne whistleblower-ausbidlung, um solche journis zu erkennen?

        was ist das für eine undurchdachte anspruchshaltung an rüstungskonzernbuchhalterin müller, die dackel züchtet und zehn jahre lang schwarzgelder aus illegalen waffenhandel in den büchern versteckt hat? was ist das für eine haltung gegenüber polizist meier, der 6 monate lang akribisch über die rassistischen kontrollen und schikanen seiner kollegen buch geführt hat? sollen diese menschen in ihrem offenbarungswilen erst noch zehn jahre nach ner passenden redaktion suchen? oder sollten redaktionen das flächendeckend bieten?
        eben. deswegen braucht es weiterbildung.

    2. > Wenn dein WIssen aus der Cryptopart nicht funktioniert gibts nämlich nen Arschtritt aus der Chefetage für schlechten Quellenschutz. Weil der dann sinnlos war.

      Ach darum geht es dir! Du möchtest was Offizielles, am besten ein Zertifikat, was dir Sachen bescheinigt, die du an einem Tag mal andeutungsweise benutzt hast. Und wenn sich im Nachhinein nun doch mal herausstellt, dass du nicht in der Lage bist, deine Quellen zu schützen, dann hast du zum Glück jemanden, auf den du zeigen kannst!?

      WinWin!

      1. Nein, es ist ein Schutz für Arbeitnehmer*innen, wenn sie Maßnahmen ergreifen, die sich als nicht sichr genug herausstellen. Dann kann man entweder darauf verweisen, dass man da privates Hörensagen aus dem Hackspace umme Ecke angewendet hat oder eben das von der Redaktionsleitung genehmigte Seminarwissen.
        Ist auch eine Frage in Versicherungsfällen sowie evtl. der IT-Compliance.

        Und bevor Du mir vorwirfst, ICH benötigte ein Zertfifikat, um jemanden im Schadensfall zu beschuldigen: schweig! Ich bin a) nicht im Medienbusiness und b) ich nutze die Crypto, die ich brauche bereits.

    3. Danke für den Kommentar. Wir liefern hier weiterhin regelmäßig kostenlose Informationen zum Thema für alle, die sich nicht ein solches Seminar leisten können oder wollen (was in diesem Fall in der Regel eh vom Arbeitgeber als Weiterbildung bezahlt wird).

  5. „11:30 – 11:30 Uhr Installations-Runde!

    Installation von GPG und Jabber!
    Sportlicher Zeitrahmen.
    Warum wird eigentlich auf WIN und MAC beschränkt?
    Wie sicher ist es einzuschätzen, wenn alle die gleiche Software benutzen?
    Lustig dürfte das auch mit den Adminrechten werden, falls jemand den Dienstrechner mitbringen möchte. Ich weiß zumindest von einer großen Zeitung, wo das definitiv nicht möglich wäre.

    1. „… sowie einen Rechner mit Windows oder MacOS zu der Veranstaltung mitzubringen.“
      Indeed o.O
      Klingt wie eine Passage aus dem Buch
      „Warum ich das Rennen verlor,
      bevor der Startschuss fiel.“ :>

      Es gab mal in der 56k Zeit eine nicht ganz ernstgemeinte „Hacking 101.txt“ …
      Da war der erste weise Satz
      „Hast du eine Fensterbox, formatiere sie.“ :P

      1. ja, du kannst die leute überzeugen, nen linux in ihre firmen-infrastruktur einzubinden. der dann aufgrund magelnder vorkenntnisse der einfachheit halber auf root läuft.
        oder du kannst dort ansetzen, wo die redaktionen sind und hoffen, dass das bewusstsein für satrke schutzmaßnahmen mit dem seminar wächst. (davon abgesehen: das seminar bespricht TAILS. so what?)

        1. @Tomas
          Den Maulwürfen vom BND und Verfassungsschutz gehen 820 Euro am Allerwertesten vorbei,die Allgemeinheit zahlt ja für die Bagage.
          Etwas Paranoia wäre ratsam,ansonsten besteht die Gefahr Kahls SI Abteilung und Maaßens Spezis mit am Tisch sitzen zu haben und dann hätten wir diese Geschichte mit den Böcken und den Gärtnern.

          1. und wieso sollten bnd und bfv sich bei nem seminar einschleichen, wenn sie bundestrojaner und selektoren für den großabgriff haben oder ihre leute in die it der unternehmen schicken können?
            glaube nicht, dass die da mit verseuchten installern auf usb-sticks auftauchen und sagen „nimm das, brauchste nich runterladen“

            oder habe ich deine angeratene paranoia noch nicht erfasst?

          2. Sehr schön, wie Du erklärt hast, warum zum Ende der Veranstaltung darauf verwiesen werden sollte, daß man nun mit der tollen Verschlüsselung Kochrezepte austauschen möge und zum Austausch von Informationen in den Wald geht.

          3. Also ich habe ja beim Tag der Offenen Tür am Glücksrad einen USB-Stick gewonnen, schön aus Holz und mit der Aufschrift: Die Bundesregierung.

            Hat erst einmal gut gewirkt im Copyshop. Nur leider will er nicht so richtig, genau genommen gar nicht. Mitleidiger Blick des Angestellten: „Kaufen Sie sich einen Neuen!“. Letzter Versuch beim Türken im Handyshop nebenan, der mir dann – leicht fassungslos – nach Fehlversuch an seinem Laptop doch einen neuen verkaufen mußte. Aber als Schlüsselanhänger macht er sich weiter gut. Image ist halt alles ;-)

  6. Hoffentlich werden die Workshop-Teilnehmer auch auf den Unterschied von persistenten/statischen Guard Nodes / Entry Guards im TBB ohne! TAILS und
    ständig wechselnden Guard Nodes / Entry Guards im TBB mit! TAILS hingewiesen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.