ORN #54 Große Dateien sicher verschicken
... und wie man mit verdächtigen Download-Links umgeht.
Hey, willkommen zur 54. Ausgabe des Online-Recherche Newsletters!
Wer würde eine Gruppe aus fremden Leuten schon mit den eigenen Recherche-Unterlagen allein lassen? Genau das geschieht, wenn wir Daten ohne sichere Verschlüsselung verschicken. Sie liegen dann auf fremden Servern herum. Drei Werkzeuge lösen das Problem.
Die Geschichte aus dem Werkstatt-Interview beginnt mit der E-Mail einer unbekannten Quelle. Darin werden brisante Infos versprochen, hinter einem Download-Link. Draufklicken oder nicht? Im Gespräch erzählt SZ-Redakteurin Lea Weinmann, was sie getan hat.
ProtonDrive: Verschlüsselt Dateien speichern und teilen
🔑 Wofür braucht man das? ProtonDrive ist ein kostenloser Cloud-Speicher mit Ende-zu-Ende-Verschlüsselung, für den man einen Account benötigt. Man kann dort Dateien ablegen und mit anderen teilen. Anders als bei Google Drive, Dropbox oder WeTransfer können die Betreiber aufgrund der Verschlüsselung jedoch nicht sehen, was für Dateien das sind. Auch etwaige Ermittlungsbehörden oder Geheimdienste können die Dateien nicht entschlüsseln.
⚙️ Wie funktioniert das? ProtonDrive gehört zu einem Bündel an Diensten des Schweizer Anbieters Proton. Dazu gehören auch E-Mail, ein Kalender und ein VPN. Der Speicherplatz in der kostenlosen Version von ProtonDrive ist auf zwei bis fünf Gigabyte begrenzt. Ab fünf Euro im Monat gibt es mehr Speicherplatz und mehr Funktionen.
📌 Was muss man beachten? Dateien auf Proton Drive lassen sich per Link mit anderen teilen (Rechtsklick > teilen). Per Klick auf das Zahnrad-Symbol lässt sich der Link zusätzlich mit einem Passwort schützen und mit einem Ablaufdatum versehen. ProtonDrive funktioniert im Browser, als Desktop-App für MacOS und Windows und als mobile App für iOS und Android.
Send: Verschlüsselt Dateien verschicken ohne Account
🔑 Wofür braucht man das? Mit Send lassen sich Dateien mit Ende-zu-Ende-Verschlüsselung schnell und ohne Account verschicken. Die Obergrenze sind 2,5 Gigabye. Zuerst öffnet man Send im Browser, wählt eine oder mehrere Dateien aus und schickt sie dann zu den Send-Servern. Sie werden beim Upload verschlüsselt. Fürs Herunterladen und Entschlüsseln erhält man einen Link oder QR-Code, den man weitergeben kann. Um Server-Kapazitäten zu schonen, haben Links nur eine kurze Haltbarkeit von bis zu drei Tagen.
⚙️ Wie funktioniert das? Entwickelt wurde Send ursprünglich vom Firefox-Anbieter Mozilla. Das Projekt wurde aber im Jahr 2020 eingestellt. Der niederländische Entwickler Tim Visée führt es auf eigene Faust fort und finanziert den Betrieb mit Spenden. Da der Quellcode öffentlich ist, gibt es mehrere Instanzen von Send. Das heißt, verschiedene Menschen bieten ihre eigene Version an.
📌 Was muss man beachten? Es gibt keine Garantie, dass alle Instanzen von Send so funktionieren, wie versprochen. Wurde der Dienst wirklich nicht manipuliert, lassen sich die Dateien unbeschadet herunterladen? Interessierte können den Quellcode auch nutzen, um eine eigene Instanz aufzusetzen.
7zip: Ordner zuerst lokal verschlüsseln
🔑 Wofür braucht man das? Wer für den Dateiversand auf Cloud-Dienste ohne Ende-zu-Ende-Verschlüsselung angewiesen ist, kann die Dateien auch auf dem eigenen Gerät verschlüsseln. Das klappt etwa mit der kostenlosen Software 7zip für Windows, Linux und MacOS oder mit Keka für MacOS.
⚙️ Wie funktioniert das? Die Software komprimiert die gewünschten Dateien oder Ordner ins sogenannte 7z-Format und versieht sieht sie auf Wunsch mit sicherer Verschlüsselung und einem Passwort. Die so verschlüsselten Inhalte können dann auch über weniger vertrauenswürdige Cloud-Dienste geteilt werden. Wer sie entschlüsseln und entzippen möchte, muss dann zuerst das korrekte Passwort eintippen.
📌 Was muss man beachten? Das für den Zip-Ordner gewählte Passwort ist nur dann effektiv, wenn es auf einem separaten, sicheren Weg die Empfänger*in erreicht, etwa per verschlüsseltem Messenger. 7zip hat nur für Windows eine nutzerfreundliche, grafische Oberfläche. Beim Verschlüsseln sollte man ein Häkchen setzen bei "Dateinamen verschlüsseln". Für Linux und macOS gibt es 7zip nur im Terminal, also mit Textbefehlen. Wer sich das ersparen möchte, kann für macOS zum ähnlichen Programm Keka greifen.
Interview: Geheime Unterlagen aus Moskaus Propaganda-Schmiede
Verdächtiger könnte eine E-Mail kaum aussehen. Eine unbekannte Quelle meldet sich schier aus dem Nichts und verspricht brisante Dokumente hinter einem Download-Link. Ist das nur ein Trick, um Schadsoftware in die Redaktion zu schleusen?
Die ominöse E-Mail der Quelle landet auch auf dem Schreibtisch von Lea Weinmann aus dem Investigativteam der Süddeutschen Zeitung. Nach reiflicher Vorbereitung startet sie den Download – und erhält interne Dokumente einer professionellen Propaganda-Schmiede aus Russland, der Social Design Agency.
Das Werkstatt-Interview über die gemeinsame Recherche von unter anderem SZ, MDR, WDR und dem estnischen Medium Delfi.
ORN: Lea, was ist die Social Design Agency, und was habt ihr über sie herausgefunden?
Lea Weinmann: Nach außen tritt die Social Design Agency wie eine gewöhnliche PR-Agentur auf, inklusive Website. Aber anhand der geleakten, internen Unterlagen konnten wir einen genauen Einblick bekommen, wie die Agentur im Auftrag des Kreml massenhaft Desinformation in sozialen Medien verbreitetet, und zwar mit der Gründlichkeit einer Behörde. Zum Beispiel Facebook-Kommentare unter Beiträgen großer Nachrichtenmedien, Kommentare auf Twitter oder Karikaturen auf Telegram. Im Fokus waren Länder wie Deutschland, Frankreich, Polen und die Ukraine.
ORN: Was wurde genau geleakt?
Lea: Das Leak ist 2,4 Gigabyte groß. Da gibt es einmal Excel-Tabellen, Zehntausende Zeilen lang, die säuberlich mit Links dokumentieren, was wo gepostet wurde. Es gab auch Links zu einem nicht geschützten Cloudspeicher, wo wir beispielsweise Screenshots der Facebook-Kommentare einsehen konnten. Das war besonders nützlich, weil Facebook viele der Kommentare inzwischen gelöscht hatte. Es gab auch Word-Dokumente mit Zielsetzungen der Agentur, Zusammenfassungen, worüber westliche Medien gerade berichten, und Protokolle, die zeigen, dass die Agentur im Auftrag der russischen Regierung arbeitet. Wir konnten auch viele interne E-Mails lesen, die Namen von Angestellten enthielten.
„Abstruse E-Mails nicht sofort ignorieren“
ORN: Wie kam dieses Leak zu euch?
Lea: Eine Quelle hat sich per E-Mail bei mehreren Nachrichtenmedien gemeldet, auch bei der taz und bei Delfi aus Estland. In der E-Mail stand nicht viel drin – außer dem Hinweis auf das Leak und einen Download-Link.
ORN: Episches Leak zu verschenken, klicken Sie hier – könnte eine E-Mail suspekter klingen?
Lea: Die Recherche zeigt, dass man solche abstrusen E-Mails nicht sofort ignorieren sollte. Ich habe die Quelle zunächst gebeten, auf einen sicheren Kanal zu wechseln und mir mehr zu erzählen. Das hat das Vertrauen in den Link etwas erhöht. Das Leak habe ich schließlich mit dem sicheren Betriebssystem Tails über den Tor-Browser heruntergeladen. Man installiert Tails auf einem USB-Stick und startet den Rechner dann über diesen Stick.
ORN: ... um das eigene Gerät vor Schadsoftware zu schützen.
Lea: Genau. Wir haben die Dateien außerdem selbst mit einem Virenscanner geprüft und unsere Medienpartner von Delfi haben sie dem Security-Team vom OCCRP zur zusätzlichen Prüfung vorgelegt. Auch unseren Recherche-Partnern von NDR und WDR habe ich das Leak auf USB-Sticks mit Tails geschickt. Dafür musste ich erst mal etwa ein Dutzend USB-Sticks kaufen gehen. Einzelne Dokumente habe ich mit Dangerzone konvertiert. Das Tool öffnet verdächtige Dateien in einer sicheren Umgebung und wandelt sie in sicherere PDFs um.
ORN: Wie habt ihr das Leak verifiziert?
Lea: Wir waren uns schon nach kurzer Recherche sicher, dass mindestens ein großer Teil der Dokumente echt ist. Die Agentur hatte ihre Aktivitäten ja genau dokumentiert. Viele Links aus den Tabellen haben noch funktioniert, gerade bei X, wo kaum moderiert wird. Einzelne Karikaturen habe ich auch mit der Bilder-Rückwärtssuche Google Lens gesucht. In den Suchergebnissen fand ich einen Bericht über russische Propaganda auf Telegram, verfasst von Vignium. Das ist eine Dienststelle der französischen Regierung, die solche Einflussnahmen aufdecken soll.
ORN: Das heißt, Karikaturen aus der Agentur sind schon längst auf dem Radar der Behörden gelandet?
Lea: Richtig, allerdings hatte Vignium die Verbindung zum Ursprung der Karikaturen noch nicht eindeutig nachweisen können. Wir haben außerdem die Namen der Menschen recherchiert, die in dem Leak auftauchen und passende Accounts auf Facebook und VKontakte gefunden.
ORN: Welche Hürden hatte die Recherche?
Lea: Vor allem die Sprachbarriere. Die Unterlagen waren auf Russisch. Aber vieles davon erschien uns zu vertraulich, um es mit einem Online-Tool übersetzen zu lassen. Ich möchte mich auch nicht auf eine maschinelle Übersetzung verlassen, wenn ich Passagen im Wortlaut zitiere. Ohne unsere beiden russisch- und ukrainischsprachigen Kolleginnen bei der SZ und beim WDR hätten wir die Recherche nicht machen können.
“Tappen wir hier in eine Falle?”
ORN: Könnte dieses Leak nicht selbst Teil einer gezielten Kampagne sein – damit Medien berichten und Menschen das mulmige Gefühl bekommen, Russland habe schier überall seine Finger im Spiel?
Lea: Wir haben uns natürlich auch immer wieder gefragt: Cui bono? Tappen wir hier in eine Falle? Ich halte es aber für sehr unwahrscheinlich, dass die Dokumente gezielt geleakt wurden. Es würde keinen Sinn ergeben, absichtlich die Namen und Kontaktdaten von so vielen Angestellten zu offenbaren. In unserem Artikel haben wir auch klargemacht, dass fraglich ist, wie wirksam die Bemühungen der Agentur sind. Offenbar setzt sie sehr auf Masse. Für viele Posts gab es kaum Aufmerksamkeit. Aus den Dokumenten geht auch hervor, dass die Agentur zum Teil mit ihrer eigenen Arbeit unzufrieden ist. Und dass sie sich bemüht, die Kennzahlen zu erfüllen, um weitere Aufträge zu erhalten.
ORN: Welche Folgen hatten die Recherche?
Lea: Es gab viele Anfragen von NGOs und Forschungsgruppen, die das Leak näher untersuchen wollen, unter anderem von CeMAS. Das ist eine gemeinnützige Organisation, die unter anderem zu Desinformation forscht. Die Social Design Agency war schon vorher auf dem Schirm von Behörden und Fachleuten, und zwar durch die sogenannte Doppelgänger-Kampagne. Dabei wurden die Websites großer Nachrichtenmedien nachgebaut, um Falschinformationen zu verbreiten. Schon seit 2023 ist die Social Design Agency auf der Sanktionsliste der EU.
ORN: Und die Agentur macht einfach weiter?
Lea: Davon gehen wir aus. Ein X-Account, über den wir im Text geschrieben haben, "Sandra", war auch Wochen nach der Veröffentlichung noch aktiv und ist immer noch online. Der Account hat eine Weile lang täglich Memes gepostet, jeweils das gleiche Motiv zehnmal hintereinander.
ORN: Das klingt ziemlich plump. Wie bedrohlich kann das sein?
Lea: Auch wenn das Bild abgegriffen ist, würde ich es mit dem steten Tropfen vergleichen, der den Stein aushöhlt. Es ist eine Bedrohung, die wir weder über- noch unterschätzen sollten. An vielen Leuten dürften solche Posts abperlen. Aber bei manchen könnten sie auf fruchtbaren Boden fallen. Es muss in der breiten Öffentlichkeit ankommen, dass es diese Art von Einflussnahme gibt, täglich. Und gerade mithilfe von generativer KI lässt sie sich skalieren.
An der Recherche beteiligt waren außerdem NDR, WDR, Delfi (Estland), Profil (Österreich), Dossier Center, Fronststory/Vsquare (Polen), DR (Dänemark), Shomrim (Israel), Schemes/RFE/RL (Ukraine), De Standaard (Belgien), NRC (Niederlande).
Das war’s für diese Ausgabe. 💫 Wenn du mir auf Mastodon oder Bluesky folgst, liest du regelmäßig Neuigkeiten rund um Netzpolitik, Databroker und digitale Gewalt.
Vor der Online-Veröffentlichung erscheint dieser Newsletter zuerst gedruckt und teils gekürzt im Medium Magazin. Für deinen Recherche-Alltag habe ich ein verschlagwortetes Online-Archiv aller Beiträge zusammengestellt und eine Linkliste mit noch mehr Tools.
Danke fürs Lesen, viel Erfolg bei der Recherche und bis zum nächsten Mal 💛
Sebastian