Hier bloggt die Redaktion. Ein Fenster ins Innenleben von ZEIT ONLINE

ZEIT ONLINE startet digitalen Briefkasten

Von 30. Juli 2012 um 16:13 Uhr

Wir haben heute bei ZEIT ONLINE einen digitalen Briefkasten gestartet, mit dem Sie uns anonym und sicher Dokumente und Nachrichten schicken können. Interne Papiere, Verträge, Datenbankauszüge – wenn Sie meinen, dass die Öffentlichkeit von diesen Dokumenten erfahren sollte, haben Sie nun die Möglichkeit, uns davon in Kenntnis zu setzen.

Dass Sie Ihre Anonymität schützen können, ist uns sehr wichtig. Sie müssen uns weder Ihren Namen noch eine Kontaktmöglichkeit nennen.

Wir haben bei der Planung und Umsetzung des digitalen Briefkastens unser Bestes getan, um technisch sicherzustellen, dass niemand mitlesen kann, wenn Sie Dokumente hochladen und niemand Sie dabei beobachtet.

Das Hochladen zu ZEIT ONLINE findet über eine verschlüsselte Verbindung statt; die angekommenen Dokumente werden dann automatisch von allen verräterischen Informationen – den sogenannten Meta-Daten – gereinigt, die Rückschlüsse auf Ihre Identität erlauben könnten.

Auszug aus einer PGP-verschlüsselten Email.

Auszug aus einer PGP-verschlüsselten Email.

Ihre von sämtlichen Meta-Daten gereinigten Dokumente werden anschließend als PGP-verschlüsselte Dateien an ein Team aus erfahrenen Redakteurinnen und Redakteuren von ZEIT ONLINE und DIE ZEIT übermittelt. Wichtiges Detail: Ihre Informationen verbleiben nicht auf dem Briefkasten-Server, sondern werden nach dem verschlüsselten Weiterversand sofort wieder vom Server gelöscht.

Falls Sie erwägen, uns Dokumente über den digitalen Briefkasten zu übermitteln, ist ein Aspekt wichtig: Wir verstehen uns nicht als Leaks-Plattform wie etwa Wikileaks. Alle hochgeladenen Informationen werden journalistisch überprüft und für die Berichterstattung bei ZEIT ONLINE und/oder DIE ZEIT ausgewertet. Ob Dokumente, die uns erreichen, anschließend von uns publiziert werden, entscheidet sich dann im Zuge dieses redaktionellen Sichtungsprozesses.

Der digitale Briefkasten von ZEIT ONLINE wird von uns in vollem Umfang als Open Source Code veröffentlicht. Wir laden Sie herzlich ein, mit dem Code zu experimentieren und ihn ausgiebig zu testen. Vor allem würden wir uns aber freuen, wenn Sie den digitalen Briefkasten auch auf Ihrer Site einsetzen – egal, ob Sie ein Blog betreiben, eine Non-Profit-Organisation ins Netz bringen oder ein Medienunternehmen repräsentieren. ZEIT ONLINE setzt seit vielen Jahren auf Open-Source-Software, etwa beim CMS sowie bei unserer Kommentar- und Blog-Technologie. Es ist uns deshalb ein Anliegen, der Open-Source-Community bei dieser Gelegenheit etwas zurückzugeben.

Sicherheitsregeln: Wie Sie sich bei Ihrer Datenspende schützen sollten

Nach dem Upload: Was geschieht mit Ihrer Datenspende?

Kategorien: Features, Journalismus
Leser-Kommentare
  1. 1.

    Sehr begrüßenswerte Aktion. Super

    • 30. Juli 2012 um 17:02 Uhr
    • Felix
  2. 2.

    Dem kann ich nur beipflichten!

    • 30. Juli 2012 um 17:35 Uhr
    • cleteu
  3. 3.

    Endlich mal eine sinnvolle Idee nach all dem Wikileaks-Gehype! So sieht Journalismus im digitalen Zeitalter aus! Danke, liebe ZEIT-Redaktion. Nach den Datenjournalismusanfängen der Süddeutschen nun der nächste Streich – sehr gut! Gibt wohl doch noch Hoffnung für dieses Land ;-) Aber: warum erst jetzt?

    • 30. Juli 2012 um 17:53 Uhr
    • Mailer
  4. 4.

    Ich finde es hervorragend, dass sich die ZEIT an den Erfahrungen der letzten Jahren mit Whistleblowing ein Beispiel nimmt und überlegt, wie sie das besser machen kann, und Betroffenen ein entsprechend sicheres Angebot machen kann. Besonders gut finde ich, den Quellcode frei zur Verfügung zu stellen!

    Allerdings hielte ich es für sehr sinnvoll, nicht nur den eigentlichen Upload, sondern bereits den Aufruf der Briefkasten-Seite nur verschlüsselt zuzulassen und die Verifizierbarkeit des SSL-Zertifikats auf anderem Wege (Veröffentlichung des Fingerprints in der Druckausgabe, z.B.) zu ermöglichen, so dass Betroffene sicher sein können, dass kein Zwangsproxy die Verschlüsselung umgeht!

    • 30. Juli 2012 um 17:54 Uhr
    • Patrick H.
  5. 5.

    möchte ebenso meine Gratulation für diese Idee aussprechen! Vielen Dank und weiter so, liebe ZEIT!

    • 30. Juli 2012 um 18:00 Uhr
    • kilianj
  6. 6.

    Nette Werbung für die Programmiersprache Python und die verteilte Versionsverwaltung (hier git, mercurial ist aber auch nett). Setzt ihr noch immer bei eurem CMS auf Zope?

    Was den digitalen Briefkasten an sich betrift… Ich hoffe, dass eure Rechtsabteilung geprüft hat, ob das nicht den Tatbestand einer Anstiftung zu einer kriminellen Handlung darstellt.

  7. 7.

    Patrick: Den Aufruf der kompletten Startseite verschlüsselt zu realisieren ist mit Blick auf eingebundene externe Videoplayer, Sharebuttons etc. praktisch unmöglich. Deswegen die jetzige Form der Umsetzung, bei der die sicherheitsrelevanten Bestandteile von einem separaten SSL-Server kommen… siehe https://ssl.zeit.de/briefkasten/submit

    Der SAH1-Fingerprint wird, beginnend mit der kommenden Ausgabe am Donnerstag, immer in der gedruckten ZEIT abgebildet. Sie finden den Fingerprint dann bei den Online-Themenankündigungen.

    Herzliche Grüße,
    Fabian Mohr
    ZEIT ONLINE

  8. 8.

    Die Idee ist auf jeden Fall sehr gut! Danke auch für die Transparenz durch Open-Source, ohne *kann* man so ein Projekt nicht sicher realisieren.

    Ich habe jedoch zwei Kritikpunkte an der Umsetzung:
    1. Man solllte auch den Aufruf der Seite zum Einreichen der Daten ausschließlich per SSL zulassen, sodass sichergestellt ist, dass die eigentliche Übertragung nicht manipuliert werden kann, z.B. durch eine Umleitung auf eine gefälschte Site, die dann die Daten mit Meta-Tags veröffentlicht oder sonstigen Schabernack damit treibt.
    2. Was mich wundert, ist, wie Sie verhindern, dass die IP-Adresse der Datenlieferanten mitgeloggt werden. Haben Sie für dieses Formular explizit den Apache- oder sonstwas-Log deaktiviert oder wie läuft das?
    Ich hätte persönlich nämlich weit weniger Vertrauen zum Formular, wenn meine IP-Adresse aushorchbar auf dem Server liegt…

    Viele Grüße
    Lukas Bestle

    • 30. Juli 2012 um 18:11 Uhr
    • Lukas Bestle
  9. Kommentar zum Thema

    (erforderlich)

    (wird nicht veröffentlicht) (erforderlich)

    (erforderlich)