SecureDrop
Open-Source Software-Platform für sichere Kommunikation zwischen Journalisten und ihren Quellen
From Wikipedia, the free encyclopedia
SecureDrop (englisch Sicherer Einwurf) ist eine freie Plattform zur sicheren Kommunikation zwischen Journalisten und Whistleblowern. Die Webanwendung wurde ursprünglich unter dem Namen DeadDrop von Aaron Swartz, James Dolan und Kevin Poulsen entwickelt.[6]
| SecureDrop | |
|---|---|
|
| |
 Screenshot der Ansicht für Whistleblower. | |
| Basisdaten | |
| Hauptentwickler | Freedom of the Press Foundation |
| Entwickler | Aaron Swartz[1][2], Freedom of the Press Foundation[3], Kevin Poulsen, James Dolan |
| Erscheinungsjahr | 2013 |
| Aktuelle Version | 2.13.0[4] (4. Dezember 2025) |
| Betriebssystem | Linux, Tails |
| Programmiersprache | Shell, Python |
| Lizenz | AGPL[5] |
| deutschsprachig | nein |
| securedrop.org | |
Die erste Instanz der Plattform wurde am 14. Mai 2013 unter dem Namen Strongbox von The New Yorker eingeführt.[7] Nach dem Tod von Aaron Swartz wurde das Projekt im Oktober 2013 von der Freedom of the Press Foundation übernommen und unter dem Namen SecureDrop fortgeführt.[5] Inzwischen gibt es Installationen von verschiedenen Organisationen,[8] darunter sind auch The Guardian[9], The Washington Post[10], The Intercept,[11], die New York Times[12], die Süddeutsche Zeitung[13][14] und der Heise-Verlag.[15][16]
2016 erhielt SecureDrop den FSF Award.
Sicherheit
SecureDrop verwendet das Tor-Netzwerk zur Anonymisierung; es soll eine sichere Kommunikation zwischen Whistleblowern und Journalisten ermöglicht werden.[6] Installationen von SecureDrop sind deswegen nur als Tor Onion Services mit einer .onion-Adresse erreichbar. Beim Upload der sensiblen Dokumente, wird dem Whistleblower ein zufällig generierter Code-Name zugewiesen. Mit diesem können die Journalisten Nachrichten an den Whistleblower hinterlassen. Die Nachrichten können nur durch SecureDrop und mit dem richtigen Code-Namen abgerufen werden.[7]
Audits
Vor der Veröffentlichung jeder Hauptversion wird, von einem sich jedes Mal ändernden externen Expertenteam, ein Sicherheitsaudit durchgeführt.[17]
Im August 2013 wurde der erste Sicherheitsaudit von einem Team der University of Washington, zu dem unter anderem Bruce Schneier und Jacob Appelbaum gehörten, durchgeführt. Sie empfanden SecureDrop als ein technisch anständiges System, bemängelten aber die technische Kompetenz, die von Journalisten vorausgesetzt wird. Fehler in der Anwendung von Journalisten könnten die Anonymität der Quellen gefährden.[18]
Der Quelltext der Version 0.2.1 wurde vor der Veröffentlichung von der Berliner Sicherheitsfirma Cure53 überprüft.[19] In der Zusammenfassung des Penetrationstest-Berichts wurde angegeben, dass keine kritischen Fehler gefunden wurden. Zudem wird SecureDrop als gut gesicherte Anwendung mit geringen Angriffsmöglichkeiten beschrieben.[20]
Vor der Veröffentlichung der Version 0.3 wurde ebenfalls ein Sicherheitsaudit von dem Sicherheitsunternehmen iSECpartners, unter der Leitung von Valentin Leon und Jonathan Chittenden, durchgeführt. Es wurden dabei zwei Schwachstellen entdeckt, welche jedoch als „schwer ausnutzbar“ eingestuft wurden und vor der Veröffentlichung ausgebessert wurden. Keine der entdeckten Schwachstellen wurde als kritisch eingestuft.[17]
Funktionsweise
Die bereitgestellten Dokumente werden mit OpenPGP verschlüsselt und zu einem abgetrennten Spiegelserver übertragen. Journalisten greifen mit einer Verbindung durch das Tor-Netzwerk auf den Server zu und speichern die verschlüsselten Dokumente auf einem USB-Speicherstick. Ein vom Internet getrennter Computer wird mit einer Live-CD gestartet; vor jeder Benutzung werden alle Daten komplett von diesem Computer gelöscht. Die zur Entschlüsselung benötigten Schlüssel sind auf einem weiteren USB-Stick gespeichert. Die Dokumente können jetzt entschlüsselt und für die Veröffentlichung vorbereitet werden.[5][6][7]
