Ihre Redaktion liegt in der Kategorie Dokumentation und Richtlinien auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Sicherheit besser aufstellen können.

Wir empfehlen:

A. Dokumentieren Sie Ihre Sicherheitsrichtlinien und Ihren künftigen -Fahrplan

Als etablierte Nachrichtenorganisation verfügen Sie vermutlich über Richtlinienpapiere, Vorgaben und Pläne, die Sie dabei unterstützen, Ihre zentralen Ziele zu erreichen. Wenn es nun darum geht, Ihre Sicherheit zu stärken, sollten Sie außerdem Sicherheitsrichtlinien und einen Sicherheitsfahrplan entwickeln.

Sicherheitsrichtlinien spiegeln den aktuellen Stand Ihrer alltäglichen Sicherheitsmaßnahmen wider. Ein Sicherheitsfahrplan weist hingegen eher in die Zukunft und dient dazu, die mittel- und langfristigen Ziele Ihrer Sicherheitsrichtlinien zu definieren.

Glücklicherweise ist dieses Vorhaben aber kein Hexenwerk und für den Anfang ist eine einfache Dokumentation völlig ausreichend. Die wesentlichen Schritte für die erfolgreiche Entwicklung der Sicherheitsrichtlinien sind:

• Dokumentieren Sie, welche Maßnahmen mehr als 80 Prozent Ihrer Mitarbeiter:innen im Kampf gegen Sicherheitsbedrohungen aktuell ergreifen
• Nehmen Sie eine ehrliche Bewertung Ihres aktuellen Umgangs mit Sicherheitsbedrohungen vor

Je ehrlicher Ihre Richtlinien sind, desto stärker kann sich Ihre Redaktion verbessern. Wenn Sie ganz ehrlich sind, sollten Sie in Ihrer Organisation noch Raum für Verbesserungen finden. So stellen Sie möglicherweise fest, dass nur einige Ihrer Mitarbeiter:innen ein Cybersicherheitstool nutzen oder Ihre physischen Sicherheitsanforderungen befolgen. Wenn Sie Ihre Richtlinien unter die Lupe genommen und Lücken offengelegt haben, können Sie mit der Formulierung eines Sicherheitsfahrplans beginnen.

Die wesentlichen Schritte für die Entwicklung eines Sicherheitsfahrplans sind:

• Erkennen und definieren Sie Ihre zentralen Bedrohungen und Risiken (s. Risikoanalyse und Gefahrenabschätzung)
• Stellen Sie Ihre vorhandenen Richtlinien den zentralen Bedrohungen gegenüber, um herauszufinden, was in Ihrem aktuellen Ansatz fehlt
• Dokumentieren Sie, welche Maßnahmen Sie umsetzen wollen, um Ihren Sicherheitsansatz zu verbessern

Wenn Sie bereit sind, Ihre ersten Sicherheitsrichtlinien zu erstellen, legen wir Ihnen das sehr hilfreiche SOAP Tool ans Herz, das Sie mithilfe von Fragen Schritt für Schritt bei Ihrem Vorhaben unterstützt.

Bedenken Sie, dass sich Ihre Richtlinien nicht nur auf Ihre Mitarbeiter:innen, sondern auch auf Ihre Quellen beziehen sollten. Wenn Sie eine neue Richtlinien erstellen, sollten diese auch Maßnahmen enthalten, um die Identität Ihrer Quellen zu schützen und ihre persönliche Sicherheit zu gewährleisten.

Ihre Redaktion hat in der Kategorie Dokumentation und Richtlinien ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie Ihre Redaktion noch sicherer machen können.

Wir empfehlen:

A. Sorgen Sie freundlich, aber bestimmt, für die Einhaltung der Regeln

Sie haben Zeit und Ressourcen investiert, um Sicherheitsrichtlinien und einen Fahrplan für Ihre Redaktion zu erstellen. Trotz aller Bemühungen stellen Sie jedoch fest, dass einige Mitarbeiter:innen sich nicht immer an die Regeln halten. Das ist nicht unüblich, vor allem in Redaktionen, in denen Sicherheit keine zentrale Komponente der Personalkultur ist.

Doch kein Grund zur Sorge: Es ist zwar zeitaufwändig, aber durchaus möglich, „Sicherheitsdenken“ in einer Redaktion zu verankern. Eine der wirksamsten Methoden, die Mitarbeiter:innen dazu zu bringen, sich mit dem Thema Sicherheit auseinanderzusetzen ist, Sicherheitskonzepte so lange sukzessive in Ihre alltäglichen Abläufe zu integrieren, bis sie Teil der allgemeinen Arbeitsroutine sind.

Hier ein Vorschlag, wie Sie Ihr Team dabei unterstützen können, die Sicherheitsrichtlinien in ihre Arbeit zu integrieren:

1. Überlegen Sie eine wirksame Methode, wie Sie die Einhaltung der Vorgaben durch Ihre Mitarbeiter:innen in den Bereichen, die Sie verbessern wollen, messen können. Halten sie z. B. wöchentliche Check-ins ab oder führen Sie für die Erledigung bestimmter Aufgaben eine verbindliche Frist ein.

2. Besprechen Sie auf Managementebene, wo die „schwächsten Glieder“ aus Sicherheitssicht sind (Mitarbeiter:innen, die es mit Ihrer Richtlinien nicht allzu genau nehmen).

3. Betrauen Sie diese Mitarbeiter:innen mit einfachen Aufgaben, z. B. damit, zu kontrollieren, dass ihre Kolleg:innen eine einfache Anforderung Ihrer Sicherheitsrichtlinien befolgen.

4. Belohnen Sie positive Verhaltensänderungen vor allem bei Mitarbeiter:innen, die sich zuvor nicht an die Vorgaben gehalten haben, durch Lob und andere motivierende Impulse. Seien Sie empathisch.

5. Bestrafen Sie die langsame oder laxe Erfüllung von Vorgaben nicht. Sicherheitsmaßnahmen können auf manche Menschen einschüchternd wirken. Eventuell bietet es sich an, Mitarbeiter:innen, die sich nicht an die Regeln halten, zu einer Deadline Logins oder E-Mail-Zugänge zu verwehren. Andere Dinge, wie die Zwei-Faktor-Authentifizierung, können schlicht als verbindliche Vorgaben eingeführt werden. Seien Sie darauf vorbereitet, in solchen Fällen zusätzlich unterstützen zu müssen.

6. Führen Sie mit Ihren Mitarbeiter:innen ein Tabletop Exercise (TTX) durch, damit sie die mit der Nichteinhaltung der Richtlinien verbundenen Risiken verstehen.

7. Tauschen Sie sich über andere Redaktionen aus, die mit Sicherheitsbedrohungen konfrontiert waren und betrachten Sie diese als Lehrbeispiele. Betonen Sie dabei ggf., wie ähnliche Bedrohungen Ihre Firma treffen könnten.

8. Prüfen Sie nach und machen ggf. nochmal eine TTX.

Machen Sie sich keine Gedanken, wenn Sie dahingehend nur langsam vorankommen. Der vollständige Umbau der Sicherheitsstruktur einer Organisation kann teilweise bis zu einem Jahr oder länger dauern. Widmen Sie sich diesem Prozess konstant über die Zeit.

Ihre Redaktion hat in der Kategorie Dokumentation und Richtlinien bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es einige Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

A. Halten Sie Ihre Richtlinien und Ihren Fahrplan aktuell

Ihre Redaktion verfügt über starke Sicherheitsrichtlinien und -verfahren, und Ihre Mitarbeiter:innen wissen um die Bedeutung von Sicherheit für ihre tägliche Arbeit. Dennoch ist es wichtig, stets im Kopf zu behalten, dass auch die stärksten Richtlinien und der beste Fahrplan angesichts sich weiter entwickelnder Bedrohungen irgendwann veraltet und überholt sind.

Wir empfehlen Ihnen, Ihre Sicherheitsrichtlinien und Ihren Fahrplan als „lebendige“ Dokumente zu betrachten, die regelmäßig aktualisiert werden müssen, um neuen Risiken und Bedrohungen gewachsen zu sein. Diese Dokumente aktuell zu halten, erfordert keinen großen Einsatz, sehr wohl jedoch regelmäßige Check-ins.

Hier ein Vorschlag, wie Sie sicherstellen können, dass Ihre Richtlinien und Fahrpläne stets aktuell sind.

1. Richten Sie eine Arbeitsgruppe ein, die sich bei Auftreten mit neuen Bedrohungen, Risiken und Richtlinien befasst. Diese Gruppe könnte sich zum Beispiel monatlich oder vierteljährlich oder auch seltener, ein- oder zweimal pro Jahr, treffen.

2. Entwickeln Sie Kriterien, um neue Prozesse in Ihre Abläufe aufzunehmen. Bevor Sie eine neue Software oder ein neues Sicherheitsverfahren einführen, sollte die Arbeitsgruppe prüfen, ob diese Entscheidung zu Ihrer bestehenden Sicherheitsrichtlinien bzw. Ihrem bestehenden Sicherheitsfahrplan passt.

3. Benennen Sie eine:n Mitarbeiter:in, der:die für die Aktualisierung der Richtlinien (basierend auf dem Feedback aus der Arbeitsgruppe) verantwortlich ist.

Denken Sie daran, dass Sie Ihre Richtlinien an äußere Kräfte anpassen sollten, um neuen Herausforderungen gewachsen zu sein, da diese sich ebenso verändern, wie die Ziele und Ansätze Ihrer Redaktion.

Ihre Redaktion liegt in der Kategorie Interne Risiken auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Sicherheit besser aufstellen können.

Wir empfehlen:

A. Überprüfen Sie die physische und digitale Sicherheit Ihrer Redaktion

Ihre Mitarbeiter:innen und Quellen sind für die Arbeit Ihrer Redaktion unentbehrlich. Manchmal können deren Entscheidungen und Handlungen Ihre Redaktion jedoch (beabsichtigt oder unbeabsichtigt) in Gefahr bringen. Das ist vor allem in der heutigen digitalen Welt der Fall, wo ein falscher Klick oder eine übersehene Sicherheitseinstellung das ganze Team (und die Menschen, auf die Sie sich für Informationen verlassen) verwundbar machen kann.

Eine der einfachsten Möglichkeiten, Ihre Sicherheit zu überprüfen, ist das Erstellen einer Checkliste physischer und digitaler Sicherheitsmaßnahmen für das Team.

Zum Thema digitale Sicherheit finden Sie hier Tipps für Windows-Geräte und hier Tipps für Mac-Geräte.

In Sachen physische Sicherheit finden Sie hier eine Übersicht der Best Practices für Reporter:innen, die sowohl über nationale als auch über internationale Themen berichten.

Beachten Sie, dass die Sicherheitsschutzmaßnahmen auch auf Quellen angewendet werden sollten. Stellen Sie also sicher, dass die Sicherheits-Checkliste auch Maßnahmen zum Quellenschutz enthält.

Nach Bearbeitung der Checkliste können Ihre Mitarbeiter:innen eine Erklärung unterschreiben, aus der hervorgeht, dass sie grundlegende Maßnahmen ergriffen haben, um die Sicherheitsvorgaben zu erfüllen. Der:die Vorgesetzte kann daraufhin ebenfalls mit seiner Unterschrift bestätigen, dass die Checkliste bearbeitet wurde. Die Unterlagen können zur Personalakte hinzugefügt werden.

Ihre Redaktion hat in der Kategorie Interne Risiken ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion noch weiter verbessern können.

Wir empfehlen:

Nehmen Sie klar verständliche Sicherheitsvorgaben in die Arbeitsverträge auf

Ihre Mitarbeiter:innen verhalten sich beim Thema Sicherheit proaktiv und wissen, wie wichtig die Einhaltung von Sicherheitsrichtlinien ist. Sie treffen sich regelmäßig mit Vorgesetzten, um ihre Sicherheitsbedenken zu besprechen und die vorgeschriebenen Sicherheits-Checklisten zu bearbeiten.

Das ist für Sie der Moment, Sicherheit auch in Stellenbeschreibungen aufzunehmen. So betonen Sie, dass Sicherheit nicht nur Teil ihres Workflows ist, sondern auch eine Kernverantwortung als Mitglied Ihrer Redaktion. Eine wirksame Möglichkeit besteht darin sicherzustellen, dass in Ihren Arbeitsverträgen Aspekte wie Datenschutz und Sicherheit in klarer, aufrichtiger und leicht verständlicher Sprache thematisiert werden. Wir empfehlen die Aufnahme folgender Aspekte:

Sorgfaltspflicht: Welche Verantwortung haben Sie als Nachrichtenorganisation, Ihre Mitarbeiter:innen und deren Quellen zu schützen? Welche Verantwortung haben Ihre Mitarbeiter:innen für ihre eigene Sicherheit und die ihrer Quellen?

Daten: Welche Verantwortung haben Mitarbeiter:innen gegenüber den Daten Ihrer Redaktion und umgekehrt?

Nutzungsbedingungen: Welche rechtlichen Vereinbarungen regeln die Nutzung von Technologie durch Ihre Mitarbeiter:innen, insbesondere von Software, Hardware oder Systemen, die sich im Besitz Ihrer Redaktion befinden?

Nutzungsrichtlinien: Welche Vorgaben und Richtlinien müssen die Mitarbeiter:innen beachten, die auf die internen Systeme Ihrer Redaktion zugreifen?

Richtlinien beim Onboarding: Wie sollen neue Mitarbeiter:innen mit dem Thema Sicherheit vertraut gemacht werden?

Richtlinien beim Offboarding: Welche Maßnahmen müssen ergriffen werden, wenn Mitarbeiter:innen Ihre Firma verlassen?

Es kann sinnvoll sein, bei der Formulierung dieser Punkte eine:n Rechtsanwält:in hinzuzuziehen. Denken Sie daran: Ziel ist es, klar und informativ zu sein und Ihre Mitarbeiter:innen nicht mit juristischen Fachbegriffen zu überfordern. Versuchen Sie, die Sicherheitsvorgaben in ihrem Arbeitsvertrag auf eine Seite, einschließlich Checkliste, zu beschränken und stellen Sie sicher, dass sie von Mitarbeiter:innen und Vorgesetzten unterschrieben werden.

Ihre Redaktion hat in der Kategorie Interne Risiken bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

Denken Sie über die Einführung von Gerätemanagementsystemen nach

Ihre Mitarbeiter:innen tauschen sich regelmäßig mit Vorgesetzten über Sicherheitsrisiken aus und haben die Sicherheitsvorgaben in ihrem Arbeitsvertrag gelesen und geprüft.

Auch die am besten informierten, engagiertesten Mitarbeiter:innen machen jedoch ab und zu Fehler. Einer der häufigsten ist, dass digitale Geräte von Mitarbeiter:innen mit sensiblen Informationen gestohlen, konfisziert oder beschädigt werden oder verloren gehen. Das ist besonders wichtig, wenn sie diese Geräte nutzen, um mit Quellen zu kommunizieren oder arbeitsrelevante Informationen zu speichern.

Wir empfehlen daher, eine mit den Werten und Zielen Ihrer Redaktion konsistente Methode zum Umgang mit digitalen Geräten zu etablieren.

Mithilfe sogenannter „Gerätemanagement“-Software können Organisationen ihre Arbeitsgeräte bspw. aus der Ferne verwalten. Beachten Sie jedoch bei allen praktischen und sicherheitstechnischen Vorteilen solcher Programme, dass stets ein ausgewogenes Verhältnis von Sicherheit und Privatsphäre Ihrer Mitarbeiter:innen gewahrt werden sollte.

Im Bereich Gerätemanagement-Software gibt es Programme wie Google Workspace Device Management, Mobile Device Management von Apple und Prey, mit deren Hilfe Geräte aus der Ferne geortet und Daten gelöscht werden können, sowie Lösungen von Anbietern wie IBM, Citrix oder VMWare.

Darüber hinaus kann ein Technologieanbieter Sie dabei unterstützen, diese Instrumente so zu konfigurieren, dass Ihre dienstlichen Geräte die Sicherheitsrichtlinien „erfüllen“ oder die Möglichkeiten Ihrer Mitarbeiter:innen begrenzen, eigene Software zu installieren oder Einstellungen vorzunehmen.

Ihre Redaktion liegt in der Kategorie Mitarbeiter:innenschulungen und -support auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Sicherheit besser aufstellen können.

Wir empfehlen:

A. Formulieren Sie Erwartungen in Bezug auf Sicherheitskenntnisse

Ihre Mitarbeiter:innen sind leidenschaftlich, engagiert, motiviert und arbeiten hart. Sie sind Expert:innen auf Ihrem Gebiet und lieben ihren Job. Höchstwahrscheinlich sind sie jedoch keine Sicherheitsexpert:innen. Auch wenn man gerne annehmen möchte, dass die meisten Menschen zumindest grundlegende Erfahrung mit Sicherheitsverfahren haben, so ist das doch nicht immer der Fall.

Anstatt anzunehmen, dass Ihr Team jegliche Sicherheitsgrundlagen kennt, sollten Sie lieber davon ausgehen, dass Sie unbeschriebene Blätter vor sich haben. Ausgehend von diesem Standpunkt können Sie eine Reihe wirksamer Maßnahmen ergreifen:

Machen Sie sich mit den Grundlagen von Cybersicherheit vertraut. Zu den besten Einstiegs-Ressourcen zählen der Surveillance Self-Defense Curriculum der Electronic Frontier Foundation und das Data Detox Kit von Tactical Tech.

Machen Sie sich mit den Grundlagen physischer Sicherheit vertraut. Gute Einstiegs-Ressourcen sind der Journalist Security Guide des Komitees zum Schutz von Journalist:innen (Committee to Protect Journalists, CPJ) und Reporting For Change des Institute for War and Peace Reporting.

Beginnen Sie mit dem Training. Lassen Sie Einführungsschulungen für Ihre Mitarbeiter:innen bei Bedarf von einem Sicherheitsdienstleister durchführen. Greifen Sie für physische und digitale Risiken ggf. auf unterschiedliche Dienstleister:innen zurück, wenngleich ein:e gute:r Ausbilder:in wissen sollte, dass beides zusammenhängt.

Kursleiter finden Sie über private Anbieter oder Organisationen wie GIJN, Freedom of the Press Foundation oder Access Now.

Sprechen Sie mit Ihren Mitarbeiter:innen über die Sicherheitshistorie Ihrer Redaktion. In schnelllebigen Redaktionen geht Generationenwissen zu Sicherheitsvorfällen leicht verloren, und neue Mitarbeiter:innen sind sich vieler Risiken nicht bewusst. Dokumentieren Sie diese Historie so gut wie möglich, damit Ihre Mitarbeiter:innen rundum informiert sind.

Durch die Vermittlung grundlegender Hintergründe kann sichergestellt werden, dass alle Mitarbeiter:innen auf dem gleichen Stand sind.

Ihre Redaktion hat in der Kategorie Mitarbeiter:innenschulungen und -support ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie Ihre Redaktion noch sicherer machen können.

Wir empfehlen:

A. Integrieren Sie Schulungen in kleinen Häppchen in Ihren Alltag

Ihre Mitarbeiter:innen haben viel um die Ohren. Denken Sie daran, dass sie die meisten Inhalte, die sie im Rahmen einer Schulung hören, lesen oder sehen wieder vergessen. Das gilt vor allem für Journalist:innen mit Deadlines!

Eine der wirksamsten Lernprinzipien besteht daher darin, die wichtigsten Punkte immer wieder in kleinen Häppchen zu wiederholen. Finden Sie zunächst heraus, was die wichtigsten Verhaltensweisen, Maßnahmen und Instrumente sind, die Ihre Mitarbeiter:innen kennen und anwenden sollten.

Integrieren Sie dann sukzessive einzelne Schulungseinheiten in den Workflow Ihrer Redaktion. Vielleicht widmen Sie einmal monatlich eine Stunde der Wiederholung von Sicherheitsgrundlagen oder nutzen einmal wöchentlich eine Pause für eine Trainingssitzung. Ganztägige Schulungen stören den Arbeitsfluss und führen zu müden, überforderten Mitarbeiter:innen. Wird der Stoff hingegen in kleineren, mundgerechten Schulungseinheiten vermittelt, bleibt er frisch und abrufbar.

Ihre Redaktion hat in der Kategorie Mitarbeiter:innenschulungen und -support bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie Ihre Redaktion noch sicherer machen können. 

Wir empfehlen:

A. Legen Sie eine Wissensdatenbank an 

Präsenz- oder Online-Schulungen sind für die Vermittlung großer Konzepte hilfreich. Um in Ihrer Redaktion für mehr Sicherheit zu sorgen, sollten Sie sich jedoch nicht ausschließlich auf Schulungen verlassen. Hinterlegen Sie dieses Wissen in einer institutionalisierten Datenbank, auf die alle Mitarbeiter:innen jederzeit Zugriff haben.

Eine gute Übergangslösung kann z. B. ein Online-Quiz mit einer 2- bis 3-minütigen Videozusammenfassung sein, um das Wissen Ihrer Mitarbeiter:innen zu überprüfen und ihr Gedächtnis aufzufrischen.

Alternativ gibt es zahlreiche unterschiedliche digitale Lernwerkzeuge – oft bezeichnet als Lernmanagementsysteme (LMS). Wir empfehlen Open-Source-Lösungen wie Moodle und ILIAS oder kommerzielle Tools wie LearnDash (entwickelt für das Content Management System WordPress) oder Docebo.

Möglicherweise benötigen Sie für die Implementierung eines solchen Tools technische Unterstützung, doch der Aufwand macht sich bezahlt. Mit einem gut designten LMS können Sie nicht nur Sicherheitsschulungen aufzeichnen, sondern bieten Ihren Mitarbeiter:innen zudem die Möglichkeit, zeitkritische Fragen auch kurzfristig ohne Ausbilder:in zu beantworten. Die meisten LMS-Plattformen verfügen über einen Scoring-Mechanismus, mit dem Sie die Fortschritte Ihrer Mitarbeiter:innen erfassen können.

Wenn Sie eine nicht-technische Alternative bevorzugen, so können Sie im Büro für spontane Sicherheitsbriefings auf Poster oder andere gedruckte Materialien zurückgreifen. Auch einfache Karteikarten mit sicherheitsbezogenen Fragen eigenen sich gut für fünf- bis zehnminütige Trainingssitzungen.

Ihre Redaktion liegt in der Kategorie Sicherheit auf Reisen auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Sicherheit besser aufstellen können.

Wir empfehlen:

A. Machen Sie sich der Risiken klar

Reisen sind für Journalist:innen eine wunderbare Möglichkeit, eine Zeit lang aus der Alltagsroutine auszubrechen. Wenn Ihre Mitarbeiter:innen auf Reisen sind, befinden sie sich jedoch vorübergehend außerhalb der von zu Hause oder aus dem Büro gewohnten Sicherheitsabläufe. Das birgt dann Risiken, wenn sie ihre Arbeitsgeräte mitführen oder auf sensible Informationen zugreifen. Auch der Verlust von persönlichen Geräten kann eine Bedrohung für Ihre Nachrichtenredaktion, Ihre Mitarbeiter:innen und Ihre Quellen darstellen.

B. Entwickeln Sie Richtlinien fürs Reisen

Wenngleich sich die meisten Mitarbeiter:innen der Risiken, denen sie auf Reisen ausgesetzt sind, bewusst sein dürften, ist es doch wichtig zu betonen, wie verletzlich sie tatsächlich sind, wenn sie unterwegs arbeiten und zu besprechen, welche Folgen der Verlust eines Arbeitsgeräts auf Reisen hat. Zu den weiteren Themen, die es dabei zu bedenken gilt, zählen:

• Wie sollen Mitarbeiter:innen und Ihre Firma mit dem Verlust oder Diebstahl eines Arbeitsgerätes umgehen?
• Verfügt Ihre Redaktion über eine Geräteversicherung für Geschäftsreisen von Mitarbeiter:innen?
• Wie können Mitarbeiter:innen Daten von ihren Geräten sichern und ggf. wiederherstellen?
• Welche Prozesse gibt es für Grenzübertritte mit Arbeitsgeräten bzw. -daten?
• Wie handhaben Sie Reisen in Gebiete mit schlechter bzw. ohne Internetverbindung?
• Wie können Mitarbeiter:innen herausfinden, welche Unterkünfte und Transportmittel sicher sind?
• Welcher Prozess ist für die Sicherheit bei Treffen mit Quellen zu befolgen?
• Wie oft melden sich Mitarbeiter:innen auf Reisen bei ihrer Zentrale oder Redaktion? Was geschieht, wenn ein:e Mitarbeiter:in sich nicht meldet?

Offene und ehrliche Gespräche über diese Themen können helfen, Risiken für die Zukunft zu verringern und Ihre Reisesicherheit zu verbessern.

C. Denken Sie über Richtlinien für den Umgang mit Geräten auf Reisen nach 

Jede Redaktion ist anders, und die Risiken variieren je nach Land und Region stark. Dennoch kann es sinnvoll sein, Richtlinien für den Umgang mit Geräten auf Reisen zu erarbeiten. Denn sie sind oft der Punkt, an dem man am angreifbarsten ist.

Einige Redaktionen setzen auf „Pre-flight“-Kontrollen von Geräten, bei denen sensible Informationen entfernt, bestimmte Apps gelöscht und unterwegs nur die wesentlichen Dienste genutzt werden. Andere Redaktionen verbieten ihren Mitarbeiter:innen grundsätzlich, auf Reisen berufliche oder persönliche Geräte mitzuführen, und händigen ihnen spezifische Reisegeräte aus.

Sprechen Sie mit einem Sicherheitsdienstleister, um herauszufinden, welche Lösung für Ihre Redaktion die beste ist.

D. Schließen Sie, falls möglich, eine Reiseversicherung ab 

Trotz der hohen Kosten sollten Sie außerdem versuchen, Ihre Mitarbeiter:innen über einen geeigneten Versicherungsschutz gegen Unfälle oder Verletzungen bei der Arbeit außerhalb ihres Heimatlandes abzusichern. In manchen Fällen können Redaktionen für international tätige Mitarbeiter:innen reduzierte Versicherungsbeiträge geltend machen.

Ihre Redaktion hat in der Kategorie Sicherheit auf Reisen ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie Ihre Redaktion noch sicherer machen können.

Wir empfehlen:

A. Richten Sie Cloud-Speicherplätze ein

Ihre Mitarbeiter:innen kennen die mit Reisen verbundenen Risiken, und Sie haben sie über die in Ihrer Redaktion geltenden Vorgaben für Geschäftsreisen informiert. Möglicherweise haben Sie für Ihre Mitarbeiter:innen sogar spezifische Reisegeräte angeschafft.

Nun können Sie die Vorsichtsmaßnahmen, die Ihre Mitarbeiter:innen auf Reisen treffen, noch weiter verbessern.

In Sachen Cybersicherheit ist eine der wirksamsten Methoden, sich gegen Diebstahl oder Schäden auf Reisen zu schützen, die Speicherung von Daten in einer Cloud. Das Angebot ist groß. Wir empfehlen auf Reisen die Nutzung eines verschlüsselten Cloud-Speicherdienstes.

Solche Dienste sind zum Beispiel in den USA ansässige Anbieter SpiderOak One oder der Schweizer Dienst Tresorit. Selbst gehostete Lösungen sind bspw. NextCloud oder OwnCloud. Alternativ können Sie Ihre Daten lokal mit einem Tool wie Cryptomator verschlüsseln und bei einem unverschlüsselten Cloud-Speicherdienst wie Dropbox oder Google Drive ablegen. (Daten auf Google Drive und anderen beliebten Diensten sind verschlüsselt, für den jeweiligen Anbieter des Cloud-Speicherdienstes zur Erfüllung rechtlicher Anforderungen jedoch zugänglich.)

B. Überprüfen Sie Ihre internationalen Kontakte

Hinsichtlich der physischen Sicherheit können Sie Ihre Sicherheitsrichtlinien vor der Abreise um vertrauenswürdige Kontakte wie Fixer:innen, Hotels und andere reisebezogene Logistik ergänzen. Ressourcen wie The Field Guide to Accommodation Security des Sicherheitsdienstleisters Spartan9 können Sie dabei unterstützen. Wenn Reporter:innen Ihrer Redaktion in eine neue Region reisen, kontaktieren Sie vor Ort ansässige Nachrichtenredaktionen oder NGOs, um Tipps für vertrauenswürdige Kontakte zu erhalten.

Ein Sicherheitsdienstleister kann Sie bei der Verfeinerung Ihrer Richtlinien unterstützen.

Ihre Redaktion hat in der Kategorie Sicherheit auf Reisen bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie Ihre Redaktion noch sicherer machen können. 

Wir empfehlen:

Sie haben große Fortschritte bei der Sicherheit Ihrer Mitarbeiter:innen und Daten auf Geschäftsreisen gemacht. Ergänzend möchten wir Ihnen noch eine Reihe weiterer Maßnahmen ans Herz legen.

A. Nutzen Sie eigene Reisegeräte

Um Ihre Sicherheit auf Geschäftsreisen weiter zu erhöhen, sollten Sie darüber nachdenken, eigene Reisegeräte zu nutzen. Das kostet Zeit und Geld und erfordert die Ausarbeitung neuer Richtlinien für die sichere Nutzung dieser Geräte. Werden Reisegeräte indes effektiv eingesetzt, können sie einige Risiken deutlich senken, auch wenn sie in die falschen Hände geraten.

B. Schaffen Sie Reisegeräte an und entwickeln Sie Richtlinien für deren Nutzung 

Identifizieren Sie, welche Geräte Ihre Mitarbeiter:innen unterwegs nutzen. Wenn sie auf Reisen für gewöhnlich einen Laptop benötigen, denken Sie über eine zuverlässige, aber nicht allzu teure Alternative wie ein Chromebook nach. Bei Smartphones empfehlen sich Geräte, die nur die Funktionen aufweisen, die für die Arbeit benötigt werden.

Haben Sie die Gerätetypen ermittelt, die für Ihre Redaktion geeignet sind, stellen Sie klare Regeln auf, wie mit den Reisegeräten vor, während und nach der Nutzung umzugehen ist. Dazu gehört wahrscheinlich ein „Pre-flight“-Prozess, um das Gerät vorzubereiten. Außerdem empfiehlt sich nach der Rückkehr ein Gespräch mit dem:der Mitarbeiter:in, der:die das Gerät genutzt hat, um zu erfahren, welchen Herausforderungen es ggf. gab. Zum Schluss (be-)reinigen Sie das Gerät vor und nach jeder Reise gründlich.

Die einzelnen Schritte eines solchen Gerätemanagements können recht zeitaufwändig sein und sollten detailliert formuliert und niedergeschrieben werden. Damit dieser Prozess reibungslos abläuft, können Sie mit einem Sicherheitsdienstleister zusammenarbeiten.

Alternativ können Sie einen Sicherheitsdienstleister bitten, Sie beim Aufbau einer „virtuellen Maschine“ zu unterstützen, die es Ihnen ermöglicht, Ihren Arbeitscomputer zu nutzen, um über einen Webbrowser und eine Software wie VMWare Work Station Player (Linux/PC), Fusion (Mac), oder VirtualBox auf ein anderes, separates Gerät zuzugreifen. Hierfür ist eine Internetverbindung erforderlich, weshalb sich diese Lösung nicht für jede Art von Geschäftsreise eignet. Fragen Sie einen Anbieter, ob dies eine gute Option für Sie sein könnte.

C. Holen Sie sich Unterstützung von externen Organisationen

Reisen Ihre Mitarbeiter:innen in Risikogebiete, sollten Sie erwägen, eine Organisation wie Reporter ohne Grenzen zu kontaktieren, von der sie weitere Ressourcen erhalten und bspw. eine persönliche Schutzausrüstung und anderes Material ausleihen können.

Weitere Organisationen, die helfen können, Ihre Mitarbeiter:innen sowohl zu Hause als auch im Ausland zu unterstützen, sind die ACOS Alliance, Article 19, das Komitee zum Schutz von Journalist:innen (CPJ), das International News Safety Institute, Free Press Unlimited und RISC (Reporters Instructed in Saving Their Colleagues). Freiberufliche Journalist:innenen können für weitere Ressourcen den Rory Peck Trust kontaktieren. 

Ihre Redaktion liegt in der Kategorie Datensicherheit auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Cybersecurity besser aufstellen können.

Wir empfehlen:

A. Überlegen Sie, was wertvoll ist und wie Sie es schützen können

Daten sind das Lebenselixier unserer digitalen Systeme. Die Daten Ihrer Redaktion umfassen unglaubliche Mengen an Informationen.

Viele Redakteur:innen haben Zugang zu immensen Datenmengen, oft mehr, als sie für die sorgfältige Ausübung ihres Jobs realistischerweise benötigen. Angreifer:innen hingegen können, wenn sie sich einen solchen Zugang verschaffen, bedeutenden Schaden anrichten. Eine Möglichkeit, Ihr digitales Risiko zu verringern ist, den Zugang zu unnötigen Daten innerhalb Ihrer Redaktion zu beschränken.

Wenn Sie gerade erst mit dem Datenmanagement beginnen, kann es helfen, vorab folgende Maßnahmen zu ergreifen.

B. Versuchen Sie, den Zusammenhang zwischen Speicherung und Schutz zu verstehen

Haben Sie in Sachen Datenmanagement stets folgende Faustregel im Kopf: „Was nicht da ist, kann nicht gestohlen werden.“ Ein Beispiel: Ihr Kollege benötigt auf seinem Laptop nicht seine Rechercheergebnisse der letzten zehn Jahre. Finden Sie einen sichereren Ort, um diese Informationen zu speichern. Überlegen Sie, ob wirklich jeder in Ihrer Redaktion Zugang zu den E-Mails der letzten zehn Jahre oder das gesamte Personalverzeichnis benötigt. Festzulegen, welche Daten wertvoll und besonders schützenswert sind, hilft Ihnen, die geeigneten Maßnahmen zu ergreifen.

C. Führen Sie eine Übung zur Datenkategorisierung durch

Wenn Sie mit einem technischen Dienstleister zusammenarbeiten, können Sie diese Übung in Ihrem internen System durchführen. Andernfalls können Sie diese Übung auch als Tabletop Exercise (TTX) mit Ihren Mitarbeiter:innen durchführen.

Listen Sie die zentralen Datenquellen innerhalb Ihrer Redaktion auf und bestimmen Sie, wer tatsächlich Zugang zu diesen benötigt. Dazu gehören E-Mail-Archive, Personalverzeichnisse, Finanzdaten und Einzelheiten zu journalistischen Projekten.

Klassifizieren Sie die Daten anschließend ausgehend davon, wie sensibel die Informationen innerhalb der einzelnen Gruppen sind. Abhängig von der Sensibilität der Daten können Sie dann festlegen, ob Ihre Mitarbeiter:innen dauerhaft, für 30 Tage oder für ein überwachtes 24-Stunden-Zeitfenster Zugang erhalten.

Die Daten, die Sie für weniger sensible Beiträge speichern (z. B. Beiträge aus dem Bereich Kunst und Kultur) können so mehr Mitarbeiter:innen für längere Zeiträume zur Verfügung stehen als hochsensible Beiträge (wie Recherchen zu Korruption oder Verbrechen).

Diese Maßnahmen mögen auf den ersten Blick aufwändig wirken. Den bestehenden Datenzugang innerhalb Ihrer Redaktion anzupassen kann jedoch das Risiko, dass Daten durch einen Fehler in die falschen Hände geraten, deutlich senken.

Ihre Redaktion hat in der Kategorie Datensicherheit ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können.

Wir empfehlen:

A. Verringern Sie Datenmenge und Aufbewahrungsdauer

E-Mails sind einer der Hauptbereiche, in denen Firmen dazu neigen, die gute Datenverwaltungspraxis zu vernachlässigen. Eingangspostfächer quillen über vor ungelesenen Nachrichten, während sich im Ausgang die gesendeten Nachrichten mehrerer Jahre sammeln. In einigen Redaktionen verbleibt sensible Korrespondenz mit Quellen gar monatelang in den Posteingängen der Mitarbeiter:innen.

Eine Möglichkeit, Ihre Richtlinien zum Datenmanagement zu verbessern, wäre die Anzahl der E-Mails, die Ihre Mitarbeiter:innen in ihren Posteingängen aufbewahren, nach oben zu begrenzen. Das Archivieren von E-Mails ist relativ einfach, und die Nachrichten müssen dafür nicht gelöscht oder entfernt werden. Stattdessen werden Nachrichten aus dem aktiven Posteingang einfach an einen anderen – sichereren – Ort verschoben. Ein technischer Dienstleister kann Sie bei diesem Prozess unterstützen.

Beginnen Sie beispielsweise damit, alle E-Mails in den Posteingängen Ihrer Mitarbeiter:innen zu archivieren, die älter als fünf Jahre sind. Wenn sich Ihr Team an diese Veränderung gewöhnt hat, versuchen Sie, die Begrenzung auf alle E-Mails anzuwenden, die älter als drei Jahre sind. Manche Redaktionen sind möglicherweise verpflichtet, ihre E-Mails in zugänglichem Format aufzubewahren. Holen Sie vorab Rat bei einem Rechtsanwalt.

Dieser Prozess ist zwar zeitaufwändig, aber weniger E-Mails in den Posteingängen des Teams verringern Ihr Risiko im Falle eines Datenangriffs enorm. Das gilt vor allem dann, wenn Ihre Mitarbeiter:innen ihre E-Mail nutzen, um Quellen zu kontaktieren.

Wenn Sie Ihre E-Mails archiviert haben, legen Sie gemeinsam mit einem technischen Dienstleister fest, wie Sie die verbleibenden Daten Ihrer Redaktion am besten nach Sensibilität kategorisieren. Einige Daten – wie Finanz- oder Steuerdaten – sollten als hochsensibel gelten und verschlüsselt abgelegt werden. Für andere Daten ist möglicherweise nicht so ein hohes Schutzniveau nötig.

Ganz gleich, wo Sie Ihre Daten speichern: richten Sie unbedingt Backups ein, um sicherzustellen, dass eine Kopie Ihrer Daten regelmäßig sicher gespeichert wird. Auch hier kann Sie ein technischer Dienstleister beraten, welcher Backup-Prozess sich für Ihren Bedarf am besten eignet. Wir empfehlen, mindestens einmal im Geschäftsquartal ein Backup durchzuführen.

Ihre Redaktion hat in der Kategorie Datensicherheit bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

A. Planen Sie, den Betrieb Ihrer Redaktion aufrechtzuerhalten 

Eine Krise, die die Arbeit lahmlegt, wünscht sich niemand. Umso mehr sollten wir einen Plan haben, um den Betrieb im Ernstfall aufrechtzuerhalten. Diesen Prozess nennt man „Business Continuity Planning“ – Geschäftskontinuitätsplanung – und er ist von Redaktion zu Redaktion verschieden. Für viele Redaktionen bedeutet Kontinuität, auch im Krisenfall oder bei unerwarteten Ereignissen weiter berichten zu können.

Ein zentrales Element der Geschäftskontinuität ist die Fähigkeit, auf Ihre Daten zugreifen und weiter berichten zu können, auch wenn Sie sich nicht physisch in Ihrem Büro oder an Ihrem Arbeitsgerät befinden. Das wiederum bedeutet, dass Ihre Backups robust genug sein müssen, um den Betrieb unter Verwendung des jüngsten Backups aufrechtzuerhalten. Fragen Sie sich, wie lange Sie Ihr jüngstes Backup nutzen könnten, um Ihren Betrieb fortzuführen bzw. ab wann das nicht mehr möglich wäre. Fällt die Antwort kürzer aus als erwartet, sollten Sie darüber nachdenken, die Intervalle für das Backup Ihrer Daten zu verkürzen.

Wenn Sie die Backup-Intervalle verlängern, sollten Sie auch die Zeit verlängern, die Sie dafür verwenden, die Wiederherstellung Ihrer Backups zu üben. Wir empfehlen, Ihre Backups mindestens einmal jährlich, idealerweise halbjährlich zu testen. Sich auf einen Backup-Prozess zu verlassen, den Sie nicht getestet haben, ist keine sinnvolle Option.

Backups sind auch ein wesentlicher Schutz gegen Bedrohungen durch Ransomware. Bei Ransomware handelt es sich um schädliche Software, die Ihr Gerät verschlüsselt und anschließend ein Lösegeld für die Wiederherstellung verlangt. Wenn Sie ein Backup Ihres Geräts haben, das außerhalb des Geräts (z. B. auf einer externen Festplatte oder bei einem Cloud-Speicherdienst) gespeichert ist, können Sie die Uhr auf die Daten vor dem Ransomware-Angriff zurückdrehen. So können Sie stets auf die vor dem Angriff gespeicherten Daten zugreifen.

B. „Hyperkategorisieren“ Sie Ihre Daten

Um den Datenkategorisierungsprozess fortzuführen, können Sie mit einem Sicherheitsdienstleister zusammenarbeiten. Sie haben festgelegt, welche Mitarbeiter:innen wie lange Zugang zu welchen Daten benötigen. Gehen Sie nun einen Schritt weiter und hyperkategorisieren Sie den Zugang. Ein Beispiel: Ihre Mitarbeiter:innen aus der Buchhaltung benötigen Zugang zu sensiblen Finanzdaten, doch nur die Abteilungsleiterin erhält auch Zugang zu personenbezogenen Daten. Eine solche abgestufte Kategorisierung von Daten kann die Datensicherheit Ihrer Redaktion weiter erhöhen.

Ihre Redaktion liegt in der Kategorie Website-Sicherheit auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Cybersecurity besser aufstellen können.

Wir empfehlen:

Die Website ist für Nachrichtenorganisationen quasi ihre Stimme zur Welt. Das führt dazu, dass es Menschen gibt, die Ihre Berichterstattung torpedieren wollen und zu diesem Zweck Ihre Website verunstalten, hacken oder auf andere Weise angreifen. Glücklicherweise gibt es einige einfache Möglichkeiten, Ihre Internetpräsenz zu stärken. Wir haben drei Tipps für Sie, wie Sie – mit Unterstützung eines technischen Dienstleisters – Ihre Website-Sicherheit verbessern können.

A. HTTP verstehen und implementieren

Wenn Sie eine Website besuchen, sehen Sie die Buchstabenfolge „http“ am Anfang der Internetadresse. Diese ermöglicht der Seite, mit Ihrem Internetbrowser zu kommunizieren und ihn zu orientieren. In den ersten Jahren des Internets war HTTP das Standardformat für die Kommunikation zwischen Websites und Browsern. Heute bietet eine sicherere Kommunikationsform namens HTTPS Nutzer:innen, die Ihre Website besuchen, mehr Schutz. Das bedeutet, dass die Daten von Nutzer:innen, die nach sensiblen Informationen suchen oder Ihnen über ein Formular Informationen übermitteln, verschlüsselt werden.

Suchmaschinen wie Google kennzeichnen Seiten, die nicht HTTPS verwenden, zunehmend als unsicher, was die Anzahl der Nutzer:innen, die Ihre Seite unbeschwert besuchen, reduziert. Ein Grund dafür, HTTPS für Ihren Internetauftritt zu aktivieren. Mehr über HTTPS erfahren Sie in diesem Artikel von CloudFlare.

B. Reduzieren Sie Ihr Risiko für DDoS-Angriffe

Jemand, dem Ihre Berichterstattung nicht gefällt oder der andere davon abhalten möchte, Ihre Arbeit zu lesen oder zu sehen, könnte Ihre Website möglicherweise vorübergehend offline nehmen. Dies geschieht oft über einen Distributed-Denial-of-Service-Angriff (DDoS), bei dem Angreifer:innen Ihre Website mit Anfragen überfluten, um sie vorübergehend lahmzulegen. Ein qualifizierter technischer Dienstleister kann Ihnen durch Installation eines Content Delivery Networks (CDN) helfen, sich gegenüber solchen Angriffen weniger verwundbar zu machen. Ein CDN liefert den Inhalt (Content) Ihrer Website über verschiedene Standorte im Internet aus und verringert so Ihre Abhängigkeit von einem einzigen Server, der im Rahmen eines DDoS-Angriffs leicht außer Gefecht zu setzen ist. Mehr über derartige Angriffe erfahren Sie in diesem Artikel von CloudFlare. Das kostenfreie Tool Galileo von CloudFlare und das ebenfalls kostenfreie Project Shield von Google eignen sich wie auch Deflect von eQualitie ideal als CDNs für zivilgesellschaftliche Organisationen.

C. Verstehen Sie, wie Google-Dorking Ihrer Redaktion schaden kann

Trotz der etwas albern klingenden Bezeichnung handelt es sich beim Dorking um eine ernsthafte Bedrohung für Nachrichtenorganisationen. Beliebte Suchmaschinen wie Google werden genutzt, um innerhalb bestimmter Websites nach Schwachstellen zu suchen. Wenn Ihre Website beispielsweise einen Code-Schnipsel einer veralteten Anwendung enthält, kann ein Angreifer, der danach sucht, unsichere Seiten über Google lokalisieren und angreifen. Ziehen Sie einen technischen Dienstleister zurate, um Bereiche Ihrer Website ausfindig zu machen, die im Hinblick auf den Schutz vor Dorking-Angriffen aktualisiert werden müssen.

D. Halten Sie Ihre Website stets auf dem aktuellen Stand

Viele Nachrichten-Websites werden mit Content Management Systemen (CMS) erstellt, die auch nichttechnischen Nutzer:innen die Möglichkeit bieten, die Seiten einfach zu warten und zu aktualisieren. Wie bei jeder Software müssen auch CMS aktualisiert werden, wenn neue Funktionen und Sicherheitsupdates verfügbar sind. Alle Plug-ins oder Themes sollten ebenfalls aktualisiert werden, um Lücken zu schließen. Ein technischer Dienstleister kann Ihnen helfen, Ihr CMS regelmäßig zu aktualisieren.

Wenn Sie nicht über die Ressourcen verfügen, um Ihre Website regelmäßig zu aktualisieren, denken Sie darüber nach, zu einem gehosteten Anbieter wie Wix oder Squarespace zu wechseln. Diese Services führen gegen eine monatliche Gebühr automatisch alle nötigen Updates durch und sind weniger wartungsintensiv als selbst gehostete Seiten.

Ihre Redaktion hat in der Kategorie Website-Sicherheit ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können.

Wir empfehlen:

Sie haben eine Reihe konkreter Schritte unternommen, um die Schwachstellen Ihrer Website zu verringern. Richten Sie Ihre Aufmerksamkeit nun auf die Informationen, die Sie auf Ihrer Website bereitstellen. Neben der Suche nach technischen Lücken, können Angreifer:innen auch die Website selbst nach wertvollen Informationen durchkämmen. Dazu zählen Details über Ihre Firma, Ihren Standort sowie Ihre Mitarbeiter:innen, die in der Folge für weitere Angriffe genutzt werden. Hier zwei Möglichkeiten, wie Sie Ihr Risiko verringern können:

A. Verstehen Sie den Zusammenhang zwischen Online- und physischer Belästigung

Cyberbullying und Doxxing (die Veröffentlichung von privaten Informationen im Internet) mögen wie rein digitale Risiken wirken, können jedoch auch erste Warnsignale einer physischen Belästigung sein. Geleakte Informationen wie Privatadressen können Mitarbeiter:innen körperlichen Gefahren aussetzen, und Angriffe von Social-Media-Trollen können Hinweise auf ein erhöhtes Belästigungsrisiko in der Realität sein. Verlassen Sie sich nicht darauf, dass Online-Angriffe online bleiben, und erhöhen Sie Ihre physische Sicherheit.

B. Durchsuchen Sie Ihre Website und Ihre Profile in den sozialen Medien nach unnötigen Informationen

Personen, die Sie in Ihrer journalistischen Tätigkeit behindern wollen, werden alle verfügbaren Informationen nutzen, um die Wirksamkeit ihrer Angriffe zu steigern. Das umfasst auch vermeintlich harmlose Details auf Ihrer Website oder Ihren Social-Media-Profilen. Die Nennung vollständiger Namen oder die Veröffentlichung von Mitarbeiterfotos oder biografischen Details von Reportern auf Ihrer Website kann Angreifer:innenn Möglichkeiten eröffnen, ihre Ziele einfacher zu identifizieren.

Denken Sie darüber nach, auf Ihrer Website oder in sozialen Medien wie LinkedIn keine Fotos Ihrer Mitarbeiter:innen zu veröffentlichen und seien Sie vorsichtig mit detaillierten Angaben zu Aufträgen und Standorten. Dokumentieren Sie Ihre Anforderungen in einer offiziellen Richtlinie, damit auch Ihre Mitarbeiter:innen entsprechend handeln.

Ihre Redaktion hat in der Kategorie Website-Sicherheit bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

Sie verfügen über HTTPS und ein CDN. Als nächsten Schritt sollten Sie über die Zusammenarbeit mit einem technischen Dienstleister nachdenken, um genauer zu verstehen, wie Ihre Website genutzt wird. Hier sind einige Tipps, wie Sie weiterhin wachsam bleiben.

A. Aktivieren Sie Rate Limits

Wer Ihrem Journalismus schaden will, wird auf alle verfügbaren Mittel zurückgreifen, um Ihre Arbeit zu verlangsamen oder zu erschweren. Eine Möglichkeit besteht darin, nützliche Funktionen Ihrer Website wie Kontaktformulare mit automatischen Anfragen zu überfluten. Um dieses Risiko zu verringern, können Sie mithilfe eines technischen Dienstleisters Rate Limits aktivieren, welche die Anzahl der Anfragen, die ein einzelner Nutzer an einen bestimmten Bereich Ihrer Website richten kann, begrenzen. Mehr darüber, wie Rate Limits eingesetzt werden können, erfahren Sie in diesem Artikel von Google.

B. Überlegen Sie, wer sich bei Ihrer Website anmelden kann

Ein Content Management System (CMS) kann bei der Veröffentlichung neuer Artikel auf Ihrer Website Zeit und Aufwand sparen. Das Anmelden erfolgt bei diesen Systemen jedoch über eine Live-Login-Seite. Wenn Sie keine proaktiven Schritte unternehmen, kann ein Angreifer auf diese Login-Seite zugreifen, herausfinden, welches CMS Sie nutzen und sich unbefugt Zugang verschaffen.

Um dieses Risiko zu verringern, gibt es technisch mehr oder weniger komplexe Möglichkeiten. Am einfachsten ist die Aktivierung der Zwei-Faktor-Authentifizierung für das CMS Ihrer Website, wodurch bei der Anmeldung ein zusätzlicher Schritt erforderlich wird. Eine weitere Möglichkeit ist die Aktivierung eines Single-Sign-On-Systems (SSO), das allen Mitarbeiter:innen über ein Haupt-Login Zugang bietet. Dies sorgt für eine höhere Benutzerfreundlichkeit und mehr Sicherheit, kann jedoch kompliziert in der Einrichtung sein. Last but not least können Sie einen externen Anbieter beauftragen, den Zugang zu Ihrer Login-Seite auf eine zuvor freigegebene Liste von Nutzer:innen zu beschränken. Hierfür benötigen Sie jedoch ein VPN.

C. Überwachen Sie Ihre Analytics und Ihren Traffic

Wenn Sie Angst vor Angriffen aus einer bestimmten Region haben, können Sie die von Ihrer Website gesammelten Analytics nutzen, um Ihren Traffic zurückzuverfolgen. Ein Anstieg der Auslastung aus einem bestimmten Land kann ebenso ein Warnsignal sein wie plötzliche Veränderungen des Traffics oder der Websites, die zu Ihrer Website weiterleiten.

Außerdem sollten Sie die Suchbegriffe überwachen, über die Nutzer:innen auf Ihre Website gelangen. Negative oder bedrohliche Suchbegriffe, die Traffic auf Ihre Seite lenken, können ein Hinweis auf einen laufenden Angriff auf die Arbeit oder den Ruf Ihrer Redaktion sein. Möglicherweise können Sie diese Suchbegriffe gemeinsam mit einem Sicherheitsdienstleister sogar nutzen, um die Quelle der Angriffe zu ermitteln. Seriöse Dienstleister können Ihnen außerdem helfen und zeigen, wie Sie einzelne Nutzer:innen Ihrer Website überwachen können, die mit Regionen, Ländern oder Internetverbindungen in Zusammenhang stehen, die Sie als riskant identifiziert haben.

Ihre Redaktion liegt in der Kategorie Sicherheit im Büro auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Sicherheit besser aufstellen können.

Wir empfehlen:

Nachfolgend finden Sie zwei Tipps, um die unmittelbaren physischen Sicherheitsrisiken Ihrer Redaktion bei der Arbeit im Büro, an öffentlichen Orten oder im Home Office zu reduzieren.

A. Etablieren Sie eine Zutrittsregel

Etablieren Sie für Büroräume, Coworking Spaces oder das Home Office eine „Last Line of Defense“-Regel, um den Zutritt zu Ihren Räumen zu kontrollieren. Die Einrichtung einer verbindlichen Richtlinie mag eine weitere Hürde für Ihren Zeitplan sein, verschafft jedoch Klarheit darüber, wer Ihre Räume betritt. Einen entschlossenen Angreifer wird die Aufforderung, sich auszuweisen, nicht abhalten können. Opportunistische Bedrohungen durch Personen, die Ihre Schutzmaßnahmen austesten, werden indes möglicherweise abgewendet. Wenn Ihre Mitarbeiter:innen außerhalb des Büros arbeiten und persönliche Treffen abhalten, sollten Sie diese Richtlinien ggf. dahingehend ausweiten, dass sich jede Person vor einem persönlichen Treffen ausweisen muss (das idealerweise nicht im Homeoffice, sondern an einem öffentlichen Ort stattfindet).

B. Etablieren Sie eine Clean-Desk-Richtlinie

Am Ende eines arbeitsreichen Tages ist man schnell geneigt, Geräte und Unterlagen für den nächsten Tag auf dem Schreibtisch liegen zu lassen. Das ist praktisch, bietet jedoch ein einfaches Ziel für Personen, die sich außerhalb der Arbeitszeit Zutritt zu Ihren Büroräumen verschaffen. Etablieren Sie eine Clean-Desk-Richtlinie, die alle Mitarbeiter:innen verpflichtet, vor Verlassen ihres Arbeitsplatzes ihre Geräte und Unterlagen einzuschließen. Diese Richtlinien sollte für alle Büros gelten, auch, wenn Ihre Mitarbeiter:innen zu Hause arbeiten. Hilfreich ist hier eine ausgedruckte Checkliste, die Ihre Mitarbeiter:innen als visuelle Erinnerung am Schreibtisch aufbewahren.

Ihre Redaktion hat in der Kategorie Sicherheit im Büro ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können.

Wir empfehlen:

Sie haben einige wichtige Schritte ergriffen, um die Sicherheit im Büro Ihrer Redaktion zu erhöhen. Wie bei allen Sicherheitsaspekten erfordert die Sicherheit im Büro jedoch einen Ansatz, der sich veränderten Bedrohungen flexibel anpasst. Eine der wirksamsten Möglichkeiten festzustellen, ob Ihre aktuelle Richtlinien Ihren aktuellen Bedrohungen entspricht, ist eine bürointerne Übung.

A. Üben Sie „Last one out“

Um festzustellen, ob die Clean-Desk-Richtlinien Ihrer Redaktion so funktioniert, wie sie sollte, führen Sie eine Schließ-Übung durch. Wenn Sie mehrere Büros betreiben, bitten Sie Mitarbeiter:innen aus allen Regionen um Unterstützung. Wenn sie im Homeoffice arbeiten, können sie die Übung selbstständig durchführen. Wählen Sie eine:n Mitarbeiter:in aus, der:die, kurz nachdem der:die letzte Mitarbeiter:in abends das Büro verlassen hat, noch einmal zurückkommt und überprüft, was herumliegt und was ordnungsgemäß gesichert wurde.

Diese Übung dient nicht dazu, mit dem Finger auf Kolleg:innen zu zeigen, die es mit den Regeln vielleicht nicht so genau nehmen. Vielmehr geht es darum, Schwachstellen aufzudecken und diese in Ihre Clean-Desk-Richtlinien aufzunehmen. Vielleicht müssen Sie für Ihren konkreten Fall spezielle Regeln für den:die Mitarbeiter:in, der:die das Büro als letzte:r verlässt, entwickeln und diese für alle gut sichtbar anbringen. Mitarbeiter:innen, die nicht in Präsenz arbeiten, können in Form eines Handouts an die nötigen Schritte erinnert werden.

B. Richten Sie ein praktikables Sicherheitssystem ein

 Physische Sicherheitssysteme können sehr komplex sein – Video- und Audio-Überwachung, Ausweise, Besucher:innenregistrierung ... Wenn Sie bisher über kein Sicherheitssystem verfügen, müssen Sie jedoch nicht gleich mit der Profiversion beginnen. Suchen Sie sich einen Sicherheitsdienstleister, der eine kostengünstige Lösung mit einer Basisausstattung (z. B. dedizierte Smartphones oder Webcams) für Sie entwirft. Mit zunehmenden Bedrohungen oder höherem Budget können Sie dann nach und nach ausgefeiltere Lösungen installieren lassen.

Ihre Redaktion hat in der Kategorie Sicherheit im Büro bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

Sie verfügen über eine hohe Sicherheit im Büro und ein grundlegendes Sicherheitssystem. Gehen Sie nun einen Schritt weiter und stellen Sie sicher, dass Sie mehr Kontrolle über die Informationen haben, die Ihr Büro verlassen. Eine der häufigsten Schwachstellen vieler Büros ist die Verwendung gedruckter Dokumente, vor allem in Nachrichtenredaktionen. Wenn Sie bereits überprüfen, wer Ihr Büro betreten und worauf zugreifen kann, sollten Sie auch kontrollieren, welche gedruckten Materialien Ihr Büro in Abfall- oder Recyclingcontainern verlassen.

A. Stellen Sie sicher, dass Ihre Mitarbeiter:innen alle physischen Dokumente vernichten

Bestimmen Sie Regeln zur Dokumentenvernichtung, statt Ihre Unterlagen einfach in den Papierkorb zu werfen. Sie verringern dadurch die Menge an Printmaterialien, die für Außenstehende zugänglich sind. Printmaterialien zu vernichten, die keine sensiblen Informationen enthalten, mag unnötig erscheinen. Mithilfe einer verbindlichen Richtlinie findet die Dokumentenvernichtung jedoch leichter Eingang in die alltäglichen Abläufe Ihrer Mitarbeiter:innen. Stellen Sie möglichst an jedem Schreibtisch Schredder auf, die schneller zu erreichen sind als Abfalleimer. Falls Mitarbeiter:innen außerhalb des Büros oder im Home Office arbeiten, sorgen Sie dafür, dass auch ihnen einen Schredder zur Verfügung steht und sie die Richtlinien befolgen können.

Ihre Redaktion liegt in der Kategorie Messaging und Zusammenarbeit auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Cybersecurity besser aufstellen können.

Wir empfehlen:

Für Ihre Redaktion ist die Kommunikation Ihrer Mitarbeiter:innen untereinander und mit ihren Quellen unerlässlich. In einer geschäftigen, hektischen und manchmal externen Arbeitsumgebung wird Sicherheit dabei aus Bequemlichkeit schnell mal vernachlässigt. Es gibt jedoch Mittel und Wege, Ihre Kommunikations- und Kollaborationsplattformen sicherer zu gestalten, ohne den Arbeitsrhythmus zu verlangsamen.

A. Entwickeln Sie ein Verständnis für die Risiken unverschlüsselter Kommunikation

Wenn Ihre Mitarbeiter:innen mit dem Thema Cybersicherheit nicht vertraut sind, haben sie bislang vermutlich auch mit sensiblen Quellen ausschließlich unverschlüsselt über ihr normales Smartphone oder ihre gewohnte E-Mail-Adresse kommuniziert. Möglicherweise ist ihnen dabei nicht klar, wie viele Informationen bei der Nutzung unverschlüsselter Kommunikationswege gehackt, durch Überwachung offengelegt oder im Rahmen gesetzlicher und behördlicher Anfragen beschlagnahmt werden können. Das gilt vor allem dann, wenn Reporter:innen zu sensiblen Themen arbeiten, die mächtige Gruppen betreffen, die genug Einfluss haben, um gewohnte Kommunikationskanäle auszuspionieren. Eine unverschlüsselte SMS an eine Quelle kann von einer Regierungsorganisation oder kriminellen Vereinigung mithilfe von Spyware problemlos mitgelesen werden.

Ihre Mitarbeiter:innen in Sachen Verschlüsselung zu schulen ist ein guter Einstieg in die Thematik. Der Beitrag Communicating with Others in dem Surveillance Self-Defense Curriculum der Electronic Frontier Foundation bietet wertvolle Tipps. Wenn Sie für Ihre Arbeit eine eigene Handynummer nutzen, wechseln Sie zu einer Voice over Internet Protocol (VoIP) Nummer, bei der die Verbindung über das Internet hergestellt wird. Sie finden solche Nummern über Dienste wie Google Voice oder Skype und benötigen so keine länderspezifischen SIM-Karten für Ihr Smartphone. Die Nutzung einer VoIP-Nummer kann Sie auch vor Bedrohungen wie den als Stingrays bekannten Funkzellen-Simulatoren oder Angriffen auf Schwachstellen in der Zelltechnologie wie SS7-Angriffen schützen.

B. Führen Sie verschlüsselte Alternativen ein

Wenn Sie Ihre Mitarbeiter:innen dabei unterstützen möchten, sich an verschlüsselte Kommunikation zu gewöhnen, sollten Sie ihnen diese nicht über Nacht vorschreiben. Führen Sie die Verschlüsselung stattdessen sukzessive ein – vielleicht zunächst für Journalist:innen, die mit hochrangigen Quellen kommunizieren. Vielleicht möchten Sie Mitarbeiter:innen, die schon frühzeitig verschlüsselte Plattformen nutzen, besonders hervorheben. Wer dem Thema noch ablehnend gegenübersteht, kann in eine Arbeitsgruppe berufen werden, die sich mit der Einführung solcher Tools befasst.

Wir empfehlen für verschlüsselte Kommunikation zum Beispiel die Messengerdienste Signal und Wire. Vielleicht sind für Sie aber auch ein selbst gehosteter Workplace Messenger wie Mattermost oder das Kollaborationstool Element eine passende Alternative zu beliebten Anwendungen wie Slack. Ein technischer Dienstleister hilft Ihnen dabei, diese Programme zu installieren oder passende Alternativen zu finden.

C. Lernen Sie, wann Sie welche Plattform am besten verwenden

Anfangs müssen Ihre Mitarbeiter:innen nicht für jede Kommunikation verschlüsselte Plattformen nutzen. Greifen Sie zunächst nur für Ihre sensibelsten Recherchen auf verschlüsselte Programme zurück. Ihre Mitarbeiter:innen verbinden die Verschlüsselung so mit einem höheren Sicherheits- und Vertraulichkeitsniveau, das mit Standardanwendungen nicht zu erreichen ist.

Nicht weniger wichtig sind Richtlinien, die festlegen, wann in der Kommunikation mit Quellen verschlüsselte Systeme verwendet werden müssen. In der Praxis hat es sich für viele Nachrichtenorganisationen bewährt, mit ihrer Quelle zunächst über deren bevorzugte Plattform zu kommunizieren und sie dann nach Bedarf zu bitten, auf eine sicherere, verschlüsselte Plattform umzusteigen.

D. Entwickeln Sie Richtlinien für den Quellenschutz

Als Nachrichtenorganisation brauchen Sie öffentliche und anonyme Quellen, um an Informationen zu gelangen. Dabei schulden Sie Ihren Quellen für das Risiko, dass sie durch den Kontakt mit Ihnen aufnehmen, einen gewissen Schutz. Wenn Sie sich bspw. bereit erklären, eine Quelle anonym zu halten, sollten Sie diese Zusage auch unter juristischem oder politischem Druck aufrechterhalten.

Jede Redaktion geht anders mit dem Thema Quellenschutz um. Sie wählen den Ansatz, der zu Ihrer Arbeit und Ihrem Kontext passt:

• Mit Quellen über die von ihnen selbst bevorzugten Kanäle kommunizieren
• Einen verschlüsselten Kommunikationskanal für hochsensible Informationen anbieten
• Quellen rechtzeitig und klar darüber informieren, welchen Risiken sie sich aussetzen
• Persönliche Treffen an sicheren Orten abhalten
• Notizen oder anderen quellenbezogenen Daten sichern, die elektronisch oder physisch offengelegt werden könnten (z. B. durch Verschlüsselung relevanter Aufzeichnungen oder Einschließen von Notizbüchern).

Hier finden Sie 12 Grundprinzipien, die Sie bei der Erstellung einer Richtlinien für den Quellenschutz beachten sollten.

Ihre Redaktion hat in der Kategorie Messaging und Zusammenarbeit ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können.

Wir empfehlen:

Sie haben bereits einen verschlüsselten Messenger wie Signal oder eine Kollaborationsplattform wie Element eingeführt. Ihre Mitarbeiter:innen binden diese Plattformen in ihre Arbeit ein und haben ein Verständnis für den Unterschied zwischen verschlüsselter und unverschlüsselter Kommunikation. Nachfolgend ein paar Tipps, wie Sie Ihre Kommunikationssicherheit weiter erhöhen können.

A. Testen Sie die erweiterten Einstellungen

Viele verschlüsselte Programme wie Signal und Wire bieten erweiterte Einstellungen, in denen Sie festlegen können, ob und wann Ihre Nachrichten automatisch gelöscht werden, oder dass nicht mehr benötigte Daten verschoben und archiviert werden. Beginnen Sie, diese erweiterten Einstellungen in Ihr alltägliches Handeln einzubinden. Investigativjournalist:innen, die zu besonders sensiblen Themen arbeiten, könnten bspw. einstellen, dass ihre verschlüsselten Nachrichten alle 24 Stunden automatisch gelöscht werden.

B. Erarbeiten Sie Richtlinien für die Aufbewahrungsdauer von Nachrichten

Denken Sie immer daran, dass auch verschlüsselte Daten fortbestehen. Wenn Nachrichten oder Projekte nicht monate- oder jahrelang auf Ihren Geräten verbleiben sollen, überlegen Sie sich Regeln zum Archivieren. Die meisten Programme bieten eine einfache Möglichkeit, Nachrichten in ein Archiv oder auf andere Speichermedien zu exportieren. Wenn Sie nicht sicher sind, wie das geht, hilft Ihnen Ihr technischer Dienstleister weiter.

C. Stellen Sie klare Kommunikationsrichtlinien auf

Verschlüsselte Programme sind nur dann wirksam, wenn sie richtig genutzt werden. Nicht jede Kommunikation zu jedem Beitrag muss über ein verschlüsseltes Programm laufen. Der Austausch zu besonders sensiblen Themen sollte jedoch nicht über unverschlüsselte Plattformen erfolgen. Damit Ihre Mitarbeiter:innen besser einschätzen können, welche Plattform für welchen Beitrag geeignet ist, sollten Sie klare Kommunikationsrichtlinien aufstellen. Ihre Mitarbeiter:innen müssen wissen, wann sie von einer unverschlüsselten Anwendung wie Mattermost oder Slack auf eine verschlüsselte wie z. B. Signal wechseln sollten. Ferner sollten Ihre Mitarbeiter:innen mit den einzelnen Anwendungen umgehen können und wissen, welche verschlüsselt sind und welche nicht.

Dieselben Richtlinien sollten auch für die Kommunikation mit Quellen gelten. Reporter:innen müssen wissen, wann es in Ordnung ist, über unverschlüsselte Kanäle mit Quellen zu kommunizieren, und wann sie ggf. auf verschlüsselte Anwendungen umsteigen sollten.

Darüber hinaus sollten die Richtlinien Hinweise zur Fragmentierung oder Aufteilung von Kommunikationsverläufen auf mehrere unterschiedlichen Plattformen enthalten. Arbeitet Ihre Redaktion z. B. durchgehend über Slack, riskieren Sie weitreichende Schäden, wenn die Plattform gehackt wird oder ausfällt. Versuchen Sie, Ihre Arbeit (und Ihr Risiko) auf verschiedene Kollaborationsplattformen zu verteilen.

Ihre Redaktion hat in der Kategorie Messaging und Zusammenarbeit ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

Ihre Mitarbeiter:innen nutzen weitgehend verschlüsselte Kommunikationsplattformen und wissen, wann sie diese sowohl intern als auch gegenüber Quellen einsetzen sollten. Gehen Sie nun einen Schritt weiter und unterstützen Sie sie dabei, ihre Kommunikation und Kollaboration über diese verschlüsselten Plattformen zu verbessern.

A. Kategorisieren Sie Ihre Nutzung nach Sensibilität

Sie haben mit Ihren Mitarbeiter:innen besprochen, wann sie verschlüsselte Systeme unverschlüsselten vorziehen sollten. Beginnen Sie für noch mehr Sicherheit, die Nutzung verschlüsselter Systeme nach Sensibilität der Informationen oder des Projekts zu kategorisieren. So könnten Sie bspw. festlegen, dass dringende und hochsensible Unterhaltungen auf Signal verbleiben, während die sensible Arbeit zu einer bestimmten Story nur auf einer verschlüsselten Kollaborationsplattform wie Element erfolgen darf. Informationen auf mehrere Orte zu verteilen, macht es schwererer, all Ihre sensiblen Informationen auf einmal abzugreifen.

B. Testen Sie mehrere Plattformen

 Ihre Mitarbeiter:innen sind mit der Fragmentierung bzw. der Verteilung ihrer Arbeit auf mehrere unterschiedliche Anwendungen vertraut. Bei der Arbeit an einem hochsensiblen Projekt können sie das Konzept der Fragmentierung auch auf verschlüsselte Tools ausweiten. In diesem Fall findet die Arbeit zu einem sensiblen Projekt komplett innerhalb verschlüsselter Systeme statt, wird jedoch, statt sich auf nur eine verschlüsselte Plattform zu verlassen, auf mehrere Kollaborationsplattformen verteilt. So könnte die Recherche über Element laufen, während die Beitragsplanung auf Wire erfolgt. Die Menge an Informationen, die Angreifer:innen erbeuten könnten, wird dadurch verringert.

Ihre Redaktion liegt in der Kategorie Rechtliche Risiken auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Sicherheit besser aufstellen können.

Wir empfehlen:

Rechtliche Risiken können komplex sein. Die für journalistische Organisationen geltenden Gesetze variieren je nach Land und Region. Als Nachrichtenorganisation sollten Sie Ihre gesetzlichen Pflichten und Beschränkungen sowie mögliche Risiken im Zusammenhang mit Klagen oder anderen gerichtlichen Schritten kennen. Wenn Sie zuvor noch nie mit eine:r Rechtsanwält:in gesprochen haben, haben wir hier zwei Tipps für Sie:

A. Informieren Sie sich über das Presserecht in Ihrem Land und Ihrer Region

Presserecht kann durchaus kompliziert sein, doch Ihre Mitarbeiter:innen können die Grundlagen lernen. Hervorragende Ressourcen dafür sind (neben einem ortsansässigen Rechtsbeistand) Media Defence und das International Center for Not-For-Profit Law.

B. Sprechen Sie mit eine:r Rechtsanwält:in

Das mag selbstverständlich klingen. Qualifizierte Anwält:innen auf Ihrem Gebiet zu finden, kann jedoch schwierig sein. Wenn Sie einen Termin mit einem Rechtsanwalt oder einer Rechtsanwältin vereinbaren konnten, so sprechen Sie unbedingt über zentrale Fragen der gesetzlichen Haftung. Dazu zählen häufig Themen wie Ehrenschutz, Meinungsfreiheit und Internet Governance. Je nachdem, in welcher Region Sie tätig sind, können die Themen jedoch variieren. Sollten Sie keine Gelegenheit zu einem Gespräch haben, versuchen Sie, Kontakt zu einer freien Rechtsberatung an einer Hochschule oder einem:r Rechtswissenschaftler:in aufzunehmen. Viele Rechtsanwält:innen arbeiten pro bono für die Presse, jedoch nicht alle.

Eine gute Ressource für die Suche nach einem qualifizierten Rechtsbeistand in Ihrer Region ist die International Bar Association, in der Anwält:innen aus der ganzen Welt vertreten sind.

Ihre Redaktion hat in der Kategorie Rechtliche Risiken ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie Ihre Redaktion noch sicherer machen können.

Wir empfehlen:

Sie haben mit einem Rechtsanwalt oder einer Rechtsanwältin über die rechtlichen Risiken für Ihre Redaktion gesprochen und nun vielleicht einen eigenen Rechtsbeistand für Notfälle. Dennoch gibt es auch weiterhin rechtliche Schwachstellen, die Sie verringern können, wenn Sie einige Grundprinzipien der Cybersicherheit anwenden. Wir zeigen Ihnen, wie.

A. Identifizieren und archivieren Sie Ihre Daten

Die Rechtssysteme weltweit sind sehr unterschiedlich. In den meisten gibt es jedoch Fristen, innerhalb derer Rechtsanwält:innen Akteneinsicht (im angelsächsischen Raum als „discovery period“ bezeichnet) verlangen können. Diese beschränkte sich früher vor allem auf Papierunterlagen, heute können Anwält:innen jedoch auch umfangreiche elektronische Informationen anfordern, die für ihren Fall nützlich sein können, z. B. E-Mails, Kurznachrichten und sogar über Kollaborationsplattformen wie Slack versendete Nachrichten. Dies umfasst auch sensible Kommunikationen über Ihre Arbeit und Ihre Quellen.

Während einige dieser Informationen für legitime juristische Zwecke genutzt werden, können Redaktionen durch sogenannte rechtsmissbräuchliche oder frivole Klagen („nuisance lawsuits“ oder „frivolous lawsuits“) in diesem Rahmen verpflichtet werden, sensible Informationen offenzulegen. Eine Möglichkeit, sich gegen solche Verfahren zu wappnen, ist die Identifikation bedenklicher Schlagwörter innerhalb der elektronischen Kommunikation, auf die im Falle einer Klage abgezielt werden könnte. So können Sie nach Beratung durch Ihren Rechtsbeistand gezielt Informationen an einem sicheren Ort (Offline-Speichergeräte oder verschlüsselte Cloud-Speicher) archivieren oder unter „Quarantäne“ stellen.

B. Etablieren Sie Richtlinien zur Datenentfernung

Nicht jede Redaktion verfügt über die finanziellen oder technischen Ressourcen, sensible Daten zu archivieren. Die meisten haben jedoch die Möglichkeit, selektiv E-Mails aus den Posteingängen ihrer Mitarbeiter:innen zu entfernen oder zu löschen. Geht man dabei korrekt vor, kann der Informationsfluss innerhalb Ihrer Redaktion besser gesteuert werden. Bei missbräuchlicher Handhabung kann dieses Vorgehen jedoch einen Eingriff in die Persönlichkeitsrechte Ihrer Mitarbeiter:innen und einen Verstoß gegen Ihre moralische Verantwortung als Arbeitgeber:in darstellen. Wir empfehlen deshalb den meisten Redaktionen die Einrichtung einer leicht verständlichen und klar kommunizierten Richtlinien, die genau festlegt, wann Daten oder Nachrichten von den Systemen Ihrer Mitarbeiter:innen entfernt werden.

Ihre Redaktion hat in der Kategorie Rechtliche Risiken bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie Ihre Redaktion noch sicherer machen können. 

Wir empfehlen:

Nachdem Sie nun damit begonnen haben, Daten zu identifizieren und zu archivieren sowie Richtlinien für die ethisch vertretbare Löschung zu erstellen, können Sie zusätzliche Schritte unternehmen, um die privaten Daten Ihres Unternehmens vor unberechtigten Klagen zu bewahren. Dabei ist es wichtig, sich im Umgang mit rechtlich sensiblen Daten stets von einem Rechtsanwalt oder einer Rechtsanwältin beraten zu lassen, der:die Ihre Situation kennt.

A. Nutzen Sie eine eDiscovery-Plattform

Da die juristischen Ermittlungsverfahren heute eine Vielzahl von Daten umfassen, verwenden viele Anwält:innen eDiscovery-Tools, die es ermöglichen, große Mengen von Informationen digital zu durchsuchen. Auch Sie als Redaktion können Instrumente wie G Suite Vault von Google nutzen, um die eigenen Daten nach Schlagwörtern, Begriffen und Dokumenten zu durchsuchen, die entfernt und archiviert werden sollten. Dazu zählen Dokumente und Dateianhänge von Quellen, Berater:innen oder Lieferant:inneen, die Zugriff auf Ihr System haben. In Zusammenarbeit mit einem Rechtsbeistand können Sie sensible Informationen identifizieren und auf der eDiscovery-Plattform speichern.

B. Testen Sie Ihre Verteidigung in einer jährlichen Übung

Ebenso, wie Sie bürointerne Übungen durchgeführt haben, um Ihre physische Sicherheit und ihre Sicherheitsrichtlinien zu überprüfen, können Sie auch Übungen durchführen, um Ihre Reaktionsfähigkeit auf rechtliche Anfragen zu überprüfen. Simulieren Sie im Rahmen einer solchen Übung eine externe rechtliche Anfrage nach bestimmten Informationen. Ggf. bietet es sich an, Ihren Rechtsbeistand in die Übung mit einzubeziehen. Können Ihre Mitarbeiter:innen die gesuchten Informationen finden und sichern? Ergibt sich daraus ein bestimmtes rechtliches Risiko für Ihre Redaktion? Hindert die rechtliche Anfrage Ihre Redaktion vorübergehend daran, ihrer Arbeit nachzugehen? Zu begreifen, was eine Klage – und sei sie nur fingiert – für Ihre Arbeit bedeutet, kann Sie besser auf den Ernstfall vorbereiten.

Ihre Redaktion liegt in der Kategorie Geräte-Sicherheit und Kompartmentalisierung auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Cybersecurity besser aufstellen können.

Wir empfehlen:

Vielleicht sind Sie bereits mit der der Verteilung Ihrer Daten auf mehrere verschiedene Plattformen vertraut. Eine weitere bewährte Praxis ist die Kompartimentierung, d. h. die Verwendung mehrerer verschiedener Geräte oder Dienste. Wenn Ihre Mitarbeiter:innen ein und dasselbe Gerät für Arbeit und Freizeit nutzen oder sich in ihrer Arbeit komplett auf einen Anbieter wie Google G Suite stützen, sollten Sie darüber nachdenken, Ihren internen Workflow weiter zu unterteilen. Nachfolgend einige Tipps, wie das aussehen könnte.

Erkennen Sie den Zusammenhang zwischen persönlicher und beruflicher Nutzung

Ihre Mitarbeiter:innen führen bei der Arbeit nicht dieselben Gespräche wie Zuhause. Dieselbe Faustregel gilt auch für das digitale Leben. Ein Gerät für persönliche und berufliche Belange zu nutzen, vergrößert die Angriffsfläche sowohl für das Berufs- als auch für das Privatleben.

Ein Beispiel: Ein:e Mitarbeiter:in nutzt seine:ihren Arbeitslaptop, um online zu spielen. Dabei läuft er:sie Gefahr, gehackt zu werden und Zugriff auf sensible berufliche Daten zu ermöglichen. Ein:e Mitarbeiter:in, der:die aus beruflichen Gründen gehackt wird, stellt fest, dass die Angreifer nun auch Zugriff auf seine:ihre persönlichen Daten haben. Verdeutlichen Sie Ihren Mitarbeiter:innen, wie wichtig es ist, die Daten beider Bereiche voneinander zu trennen.

Implementieren Sie die passende Lösung für Ihre Redaktion

Die passende Lösung, um Ihre Mitarbeiter:innen bei der Kompartmentalisierung ihrer Daten zu unterstützen, hängt von einer Vielzahl von Faktoren wie Budget, technisches Know-how und der Verfügbarkeit von Computern und Smartphones in Ihrer Region ab. Mögliche Lösungen sind, geordnet nach Preis und Komplexität, folgende:

• Schaffen Sie für Ihre Mitarbeiter:innen dedizierte Arbeitsgeräte (Laptops und/oder Smartphones) an
  (hohe Kosten, geringe Komplexität)
• Nutzen Sie ein USB-Laufwerk oder eine externe Festplatte, um ein separates Betriebssystem auf die Computer Ihrer Mitarbeiter:innen zu laden
  (mittlere Kosten, hohe Komplexität)
• Erstellen Sie neue Arbeitsaccounts auf den Computern Ihrer Mitarbeiter:innen
  (geringe Kosten, mittlere Komplexität)

 Um diese Richtlinien in Ihrer Redaktion einzuführen, benötigen Sie vermutlich für alle genannten Optionen technische Unterstützung.

Ihre Redaktion hat in der Kategorie Geräte-Sicherheit und Kompartmentalisierung ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können.

Wir empfehlen:

Ihre Mitarbeiter:innen sind mit dem Konzept der Kompartmentalisierung vertraut, und Sie haben erste Schritte unternommen, um in Ihrer Redaktion berufliche und persönliche Daten zu trennen. Nehmen Sie nun weitere Änderungen in Angriff, um diese Abgrenzung weiter zu festigen.

A. Nutzen Sie bestimmte Browser für unterschiedliche Tätigkeiten

Auch innerhalb Ihres Arbeitsgeräts können Sie Ihren Online-Fußabdruck weiter verringern oder aufteilen. Eine Möglichkeit, dies zu tun, ist die Verwendung unterschiedlicher Browser für unterschiedliche Tätigkeiten. Sie verringern dadurch die Möglichkeit, dass ein Angreifer einen Browser kompromittiert und umfassenden Zugriff auf den Suchverlauf und andere Daten Ihrer Mitarbeiter:innen erhält.

B. Speichern Sie weniger Informationen auf Arbeitsgeräten

Anstatt Dateien lokal auf Arbeitsgeräten zu speichern, richten Sie für Ihre Mitarbeiter:innen Möglichkeiten ein, Daten auf verschlüsselten Cloud-Speichern oder externen Speichermedien abzulegen. Das Risiko, dass Angreifer ein Gerät stehlen und dadurch Zugriff auf alle darauf gespeicherten Daten erhalten, wird dadurch verringert. Außerdem empfehlen wir Ihnen, einen technischen Dienstleister damit zu beauftragen, eine Remote-Wipe-Funktion einzurichten, über die Sie Arbeitsaccounts bei Verlust, Diebstahl oder Kompromittierung per Fernzugriff löschen können.

Ihre Redaktion liegt in der Kategorie Geräte-Sicherheit und Kompartmentalisierung auf einem hohen Sicherheitsniveau. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Organisation verbessern können.

Wir empfehlen:

Sie haben große Fortschritte gemacht, indem Sie Ihre Mitarbeiter:innen dabei unterstützt haben, privates und berufliches Leben zu (digital) zu trennen. Ihr nächstes Ziel sollte nun die vollständige Kompartmentalisierung sein, sodass Angreifer von außen nur noch wenige Daten finden können. Für die Umsetzung dieser Maßnahmen benötigen Sie vermutlich Unterstützung durch einen technischen Dienstleister.

A. Verwenden Sie eine Virtual Machine

Wenn Sie über einen Highspeed-Internetzugang verfügen, können Ihre Mitarbeiter:innen eine Software wie VMWare oder Microsoft Hypervisor nutzen oder über ihr eigenes Gerät virtuell auf ein anderes Gerät zugreifen. So können sie arbeiten, ohne viele rückverfolgbare Daten auf ihren Arbeitsgeräten zu hinterlassen. Ihre gesamte Arbeit wird stattdessen auf einem gemeinsamen Laufwerk abgelegt. Für den Fall, dass ihr Gerät elektronisch kompromittiert oder gestohlen wird, besteht nur wenig bis keine Gefahr, dass sensible Informationen offengelegt werden. Diese technische Lösung bringt einen gewissen Wartungs- und Aktualisierungsaufwand für Ihre Arbeitsgeräte mit sich und eignet sich daher nicht für jede Organisation gleichermaßen.

B. Implementieren sie ggf. ein biometrisches System

Viele Organisationen verlassen sich zum Schutz ihrer Arbeitsgeräte vor allem auf Passwörter. Das liegt teilweise daran, dass Organisationen mit Sitz in den USA besser vor der Pflicht zur Offenlegung ihrer Passwörter gegenüber Regierungsbehörden geschützt sind. In anderen Teilen der Welt bieten hingegen biometrische Lösungen (wie Fingerabdruck-Scanner) mehr Schutz und Sicherheit vor Angriffen durch Exekutiv- oder Regierungsorgane. Wenn das auch auf Ihre Region zutrifft, eignet sich eine biometrische Lösung möglicherweise gut für den Zugriff auf Ihre Arbeitsgeräte. Viele biometrische Passwortsysteme bieten Administrator:innen zudem eine aktive Übersicht über alle Geräte, die zu einem bestimmten Zeitpunkt mit dem entsprechenden Netzwerk verbunden sind.

C. Führen Sie Endpunktsicherheitslösungen ein

Organisationen jeder Größe verfügen oft über eine Firewall, um sich vor Bedrohungen von außen zu schützen. Doch was geschieht, wenn die Bedrohung über ein gehacktes oder kompromittiertes Arbeitsgerät von innen kommt? Endpunktsicherheitslösungen wie Microsoft Defender für Endpunkt und Bitdefender GravityZone Ultra Security Suite überwachen die tatsächlich mit dem Netzwerk verbundenen Geräte. Erkennen diese Programme ein ungewöhnliches oder disruptives Verhalten eines dieser Geräte, können sie dieses automatisch vom Netzwerk trennen.

Ihre Redaktion liegt in der Kategorie Softwaresicherheit auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Cybersecurity besser aufstellen können.

Wir empfehlen:

Sie nutzen Software jeden Tag – Internetbrowser, Textverarbeitungsprogramme und viele mehr. Wenn Sie in Ihrer Redaktion jedoch unlizenzierte, illegale oder raubkopierte Software nutzen, gehen Sie ein Risiko ein. Softwarelizenzen sind nicht immer günstig, doch illegale und unlizenzierte, oft aus dem Internet heruntergeladene Versionen, können Malware und andere Bedrohungen mit sich bringen.

Nutzen Sie freie Open-Source-Programme

Für viele der beliebtesten kostenpflichtigen Programme gibt es kostenlose Open-Source-Alternativen. Wir haben einige davon für Sie zusammengestellt.

• Statt Microsoft Office können Sie OpenOffice oder LibreOffice nutzen
• Adobe Photoshop kann durch Canva (es gibt eine Nonprofit-Lizenz), Sumopaint und Pixlr ersetzt werden
• Microsoft Outlook kann durch Mozilla Thunderbird ersetzt werden
• Windows 10 kann durch Ubuntu ersetzt werde

Solche Open-Source-Software ist meist kostenlos und erfüllt ihren Zweck. Dennoch gibt es einige Dinge zu beachten. Achten Sie darauf, Open-Source-Software ausschließlich von zuverlässigen Quellen herunterzuladen. Da für die Wartung von Open-Source-Software häufig nur wenige Personen zur Verfügung stehen, ist diese gegenüber der Software kommerzieller Anbieter möglicherweise nicht ganz so nutzerfreundlich und bietet weniger regelmäßige bzw. überhaupt keine Updates.

Versuchen Sie, Rabatte auf lizenzierte Softwareversionen zu erhalten

Je nach Steuerstatus in Ihrem Land können Sie Anspruch auf Nonprofit-Rabatte auf kommerzielle Programme wie Microsoft Office haben. So bietet der Technologieanbieter TechSoup stark rabattierte Lizenzen für registrierte Nonprofit-Organisationen. Bei einigen größeren Softwareanbietern sind ebenfalls Preisnachlässe erhältlich. Überprüfen Sie vorab, ob Sie aufgrund Ihres aktuellen Rechtsstatus ggf. solche Rabatte in Anspruch nehmen können.

Ihre Redaktion hat in der Kategorie Softwaresicherheit ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können.

Wir empfehlen:

Sie haben die Nutzung illegaler oder unlizenzierter Software aus Ihrer Redaktion verbannt und Alternativen gefunden. Ergreifen Sie im nächsten Schritt Maßnahmen, um Ihre Arbeitssysteme vor nicht vertrauenswürdiger Software zu schützen.

A. Legen Sie klar fest, wer Software installieren darf

Durch die Arbeit mit einem technischen Dienstleister können Sie die Möglichkeiten Ihrer Mitarbeiter:innen, Software auf ihren Arbeitsgeräten zu installieren, einschränken. Am einfachsten geht das, indem Sie Ihren Mitarbeiter:innen keine Administratorenrechte für ihre Arbeitsgeräte zuweisen. Stellen Sie sicher, dass es sich bei dem Administrator um eine vertrauenswürdige Person handelt, die vorzugsweise über technische Erfahrung verfügt. Benennen Sie ggf. außerdem einen mit Zugangsrechten ausgestatteten Backup-Administrator, der einspringen kann, falls Ihr primärer Administrator nicht verfügbar ist und Sie Änderungen an einem Arbeitsgerät vornehmen müssen.

Ggf. können Sie nach Rücksprache mit Ihrem technischen Dienstleister die Software für Ihre Redaktion auf das Angebot beschränken, das in den offiziellen Stores Ihres Betriebssystems (z. B. Microsoft, Apple oder Ubuntu) erhältlich ist. Jede Software, die Sie herunterladen, sollte digital signiert sein, wenngleich auch das keine absolute Sicherheitsgarantie bietet.

Ihre Redaktion hat in der Kategorie Softwaresicherheit bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

Sie regulieren, welche Art von Software in Ihrer Redaktion zum Einsatz kommt und sind bereit, Ihr Sicherheitsgebaren weiter zu verstärken. Hier haben Sie mehrere Möglichkeiten.

A. Führen Sie strikte Richtlinien für die Nutzung persönlicher Geräte ein

Dass gewisse Annehmlichkeiten für Ihre Mitarbeiter:innen wichtig sind, ist klar. Ihnen zu gestatten, ihre persönlichen Geräte mit beruflichen Netzwerken zu verbinden, macht aus Ihrem Bürosystem jedoch schnell ein Internetcafé. Führen Sie stattdessen eine strikte Richtlinien ein, aus der klar hervorgeht, welche Geräte Ihre Mitarbeiter:innen wo nutzen dürfen, auch bei der Arbeit im Homeoffice, und verringern Sie so die Gefahr, dass unwissentlich ein kompromittiertes Gerät mit Ihrem Netzwerk verbunden wird.

B. Ergreifen Sie Maßnahmen für mehr Überblick

Die Arbeit mit einem technischen Dienstleister bietet Gelegenheit, ein Zero-Trust-Netzwerk einzurichten, in dem eine Verbindung mit Ihren internen Systemen nur nach Authentifizierung möglich ist. Eine Möglichkeit ist ein Single-Sign-on-System, bei dem ein Passwort für alle Accounts und Geräte genutzt wird. Alternativ können Sie die Rolle eines Netzwerkadministrators zuweisen, um sicherzustellen, dass alle Mitarbeiter:innen sich über eine zentrale Domain anmelden, die das Tracking und Management aller Verbindungen ermöglicht. Last but not least können Sie eine Gerätemanagementsoftware verwenden, um benötigte Software aus der Ferne zu installieren und Arbeitsgeräte bei Bedarf zu löschen.

Ihre Redaktion liegt in der Kategorie Datenverschlüsselung auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Cybersecurity besser aufstellen können.

Wir empfehlen:

Wenn Sie Verschlüsselung nur mit Codeknacken und Finanztransaktionen verbinden, sind Sie nicht allein. Die meisten Menschen verschlüsseln ihre digitalen Informationen nicht. Angreifer haben so bei Verlust oder Diebstahl des Computers leichtes Spiel mit ihren Daten, selbst wenn der Computer passwortgeschützt ist. Das ist vor allem für Journalist:innen riskant, die mit sensiblen Daten zu tun haben. Nur, wenn die Festplatte Ihrer Geräte voll verschlüsselt ist, sind Ihre Daten (mit einigen, unten aufgeführten Vorbehalten) geschützt. Hier zwei Tipps, wie Ihre Redaktion die Verschlüsselung in ihren Workflow einbinden kann.

A. Aktivieren Sie auf Arbeitsgeräten die Festplattenverschlüsselung

Beauftragen Sie einen technischen Dienstleister damit, auf allen Computern, die Ihre Redaktion für berufliche Zwecke nutzt, die Festplattenverschlüsselung zu aktivieren. Das mag zeitaufwändig sein, vor allem für hektische Redaktionen mit wenigen Pausen, doch kann dieser Vorgang je nach Bedarf gut außerhalb der Bürozeiten durchgeführt werden. Windows Computer müssen dafür mindestens auf Windows 10 Pro geupgradet werden, um die eingebaute Software für die Festplattenverschlüsselung BitLocker zu aktivieren. Bei Apple Computern besteht jederzeit die Möglichkeit, die integrierte Software FileVault zu aktivieren. Linux Computer nutzen Luks, das bei der Installation des Betriebssystems aktiviert werden muss.

Ebenso wichtig ist es zu verstehen, wie Ihr Verschlüsselungssystem funktioniert. Viele Verschlüsselungsprogramme wie Microsoft BitLocker nutzen die Data-at-Rest-Verschlüsselung, d. h. Daten werden nur bei ausgeschaltetem Gerät verschlüsselt. Einige verschlüsselte Cloud-Speicher arbeiten auf dieselbe Weise und verschlüsseln Daten nur dann, wenn der Nutzer nicht aktiv mit dem System verbunden ist. Dieser Punkt sollte bei der Einrichtung dieser Systeme berücksichtigt werden, damit keine Missverständnisse über den Umfang des Schutzes Ihrer Daten aufkommen.

B. Denken Sie über sichere Alternativen zu Festplatten nach

Möglicherweise speichern Sie aktuell einen Teil Ihrer Daten auf externen Festplatten, die tragbar und praktisch sind. Standardmäßig sind die meisten dieser Geräte jedoch nicht verschlüsselt, sodass Ihre Daten für jeden, der im Besitz der Festplatte ist, frei zugänglich sind. Denken Sie darüber nach, diese Geräte durch sicherere Alternativen zu ersetzen. Eine Option wäre, externe Festplatten durch Festplatten zu ersetzen, für die ein physischer PIN-Code benötigt wird. Apricorn und iStorageUK verkaufen solche verschlüsselten Festplatten mit Nummernblock zur Eingabe eines Codes, der den Zugriff auf die gespeicherten Daten ermöglicht.

Ihre Redaktion hat in der Kategorie Datenverschlüsselung ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können.

Wir empfehlen:

Sie haben auf Ihren Arbeitsgeräten die Festplattenverschlüsselung aktiviert und können nun dazu übergehen, auch für andere Speicherarten verschlüsselte Optionen zu nutzen. Eine der beliebtesten Speicherarten für viele Nachrichtenorganisationen sind Cloud-Lösungen oder das Ablegen von Dateien und Informationen auf Servern von Diensten wie Dropbox und Google Drive. Diese Speicheroptionen sind praktisch und günstig, jedoch nicht die beste Wahl, um sensible Informationen für Investigativprojekte zu speichern. Hier eine sicherere Alternative.

A. Nutzen Sie „Zero-Knowledge“-verschlüsselte Cloud-Speicher

Für hochsensible Informationen, wie sie in Investigativprojekten genutzt werden, sollten Sie über einen Anbieter nachdenken, der Cloud-Speicher mit Zero-Knowledge-Verschlüsselung zur Verfügung stellt. Wie der Name sagt, zeichnen sich diese Cloud-Speicher dadurch aus, dass der Anbieter „Null Wissen“ über Ihre gespeicherten Dateien oder Daten hat. Er stellt einzig den Speicherplatz und die Verschlüsselung zur Verfügung, die Sie für die sichere Aufbewahrung Ihrer Daten brauchen. Das bedeutet, dass allein Ihre Redaktion Zugriff auf die gespeicherten Dokumente und Daten hat.

Die Vorteile im Hinblick auf die sichere Speicherung sensibler Informationen liegen auf der Hand. Doch es gibt auch einen Nachteil: Wenn Sie Ihre Zugangsdaten verlieren oder vergessen, können Sie nicht mehr auf Ihre Daten zugreifen. Und da auch der Anbieter keinen Zugang zu Ihren Daten hat, kann er sie auch nicht für Sie wiederherstellen. Daher sollten Sie sich gut überlegen, welche Daten Sie bei einem Zero-Knowledge-Provider speichern, und dabei nur sensible Daten wählen, für die Sie an anderer Stelle ein Backup haben. Beliebte Anbieter von Zero-Knowledge-verschlüsselten Cloud-Speichern sind Tresorit, SpiderOak One und die Open-Source-Alternativen NextCloud oder OwnCloud.

Ihre Redaktion hat in der Kategorie Datenverschlüsselung bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

Ihre Mitarbeiter:innen haben auf allen Arbeitsgeräten die Festplattenverschlüsselung aktiviert und nutzen als zusätzlichen Schutz verschlüsselte Cloud-Speicher. Gehen Sie in Sachen Verschlüsselung nun einen Schritt weiter und zeigen Sie Ihren Mitarbeiter:innen, wie sie einzelne Dateien und Daten auf ihren Arbeitsgeräten verschlüsseln. Ein technischer Dienstleister kann Sie dabei unterstützen, diesen Prozess in Ihren Workflow zu integrieren.

A. Verschlüsseln Sie sensible Daten auf Ihrem Computer

Die empfohlene Festplattenverschlüsselung für alle Geräte hat ihre Grenzen. Was passiert bspw., wenn ein:e Mitarbeiter:in seinen:ihren Arbeitslaptop beim Gang auf die Toilette offen stehen lässt und jemand eine sensible Datei anklickt, die auf dem Desktop liegt? Für diesen Fall empfiehlt es sich, Ihren Mitarbeiter:innen zu zeigen, wie sie einzelne Dateien und Ordner, die nicht in falsche Hände fallen sollten, verschlüsseln können. Zum Öffnen verschlüsselter Dateien wird ein Passwort verlangt. Ganz einfach geht das mit spezifischer Software zur Datenverschlüsselung wie VeraCrypt or Cryptomator. Ein technischer Dienstleister kann Sie dabei anfangs unterstützen.

Wichtiger Hinweis: Bei einigen dieser Programme kann es so aussehen, als wären verschlüsselte Dateien verschwunden und nicht in Dateiordnern oder auf dem Desktop vorhanden. Diese Dateien sind nur dann sichtbar, wenn ein Nutzer die richtige Software öffnet und das Passwort eingibt.

Ihre Redaktion liegt in der Kategorie Passwortmanagement und Authentifizierung auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Cybersecurity besser aufstellen können.

Wir empfehlen:

Passwörter sind wie ein Hausschlüssel: etwas, das Sie jeden Tag nutzen und das leicht gestohlen werden kann. Anders jedoch als bei Schlüsseln nutzen viele Anwender dasselbe Passwort für mehrere Accounts – so, als würden sie ein und denselben Schlüssel für Wohnung, Büro, Auto und Schreibtisch verwenden. Doch ebenso wie für Schlösser gibt es auch für Passwörter und Online-Konten Möglichkeiten, diese sicherer zu machen.

A. Verstehen Sie, wie Passwörter im Internet kompromittiert werden

Passwörter sind für Personen, die auf online verfügbare Informationen Ihrer Redaktion zuzugreifen, von hohem Wert. Dabei kann es sich um Angreifer:innen handeln, die Ihrer Redaktion schaden möchten, oder um Cyberkriminelle, die darauf aus sind, Daten zu stehlen und zu verkaufen. Die meisten Onlinedienste – wie E-Mail- und Social-Media-Plattformen – werden früher oder später Opfer solcher Angriffe. Angreifer:innen verkaufen und handeln mit Passwörtern, bis diese letztlich öffentlich zugänglich im Internet auftauchen.

Früher oder später könnten Ihre Mitarbeiter:innen von einer Sicherheitslücke betroffen sein und mindestens eines ihrer Passwörter wird offengelegt. Wenn sie dieses Passwort für mehrere verschiedene Konten verwenden, erhöhen sie ihr Risiko und das Risiko für die Redaktion.

B. Führen Sie eine Passwortregel ein 

Die meisten Menschen wählen bevorzugt simple und einprägsame Passwörter, die einfach zu knacken sind. Um die Passwörter in Ihrer Redaktion sicherer zu machen, sollten Sie über die Formulierung einer Passwortregel nachdenken. Diese Regel sollte folgendes klären:

• was Ihre Redaktion als sicherers Passwort definiert
• wie Mitarbeiter:innen Passwörter erzeugen können (wir empfehlen hierfür einen Passwort-Manager)
• wo die Passwörter aufbewahrt werden (auch hier empfehlen wir einen Passwort-Manager)
• welche anderen Vorgaben hinsichtlich der Passwortsicherheit gelten, bspw. wie Sicherheitsfragen auf Arbeitsaccounts gehandhabt werden

Darüber hinaus sollten Sie festlegen, in welchen zeitlichen Intervallen Passwörter geändert werden müssen.

C. Richten Sie einen Passwort-Manager ein

Für jeden Onlinedienst, den Ihre Mitarbeiter:innen nutzen, ist ein eigenes Passwort erforderlich. Die meisten von uns nutzen jedoch unzählige verschiedene Onlinedienste, sodass es praktisch unmöglich ist, sich für jeden dieser Dienste ein eigenes Passwort zu merken. Ein sogenannter Passwort-Manager kann bei der Verwaltung von Passwörtern helfen, diese sicher speichern und uns dabei helfen, für unsere Dienste zufällige, stärkere Passwörter zu erzeugen. Einige Passwort-Manager bieten zudem die Möglichkeit, Passwörter für Konten, die von allen regelmäßig genutzt werden, innerhalb der Belegschaft zu teilen.

Beliebte, einfache Passwort-Manager für berufliche Zwecke sind zum Beispiel 1Password Business, LastPass Enterprise, Dashlane, KeePassxc, Keeper und Bitwarden. Ein technischer Dienstleister hilft Ihnen, den passenden Passwort-Manager für Ihre Redaktion zu finden.

D. Richten Sie eine verbindliche Zwei-Faktor-Authentifizierung ein

Ebenso wie wir die Sicherheit unserer Wohnung durch ein Alarmsystem und andere Maßnahmen steigern können, können wir auch unsere Online-Konten für den Fall absichern, dass jemand unbefugt auf unsere Passwörter zugreift. Dieser Prozess ist als Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung bekannt und erfordert etwas, das Sie wissen (Ihr Passwort) in Kombination mit etwas, das Sie haben (ein Authentifizierungscode oder -tool).

Wir empfehlen, die Zwei-Faktor-Authentifizierung für jeden Onlinedienst, der in Ihrer Redaktion zur Anwendung kommt, einzurichten. Über Seiten wie twofactorauth.org in Verbindung mit einem externen Sicherheitsdienstleister können Ihre Mitarbeiter:innen die Zwei-Faktor-Authentifizierung schnell und wirksam für die meisten Geräte aktivieren.

Ihre Redaktion hat in der Kategorie Passwortmanagement und Authentifizierung ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können.

Wir empfehlen:

Ihre Redaktion hat Schritte unternommen, um ihre Passwortprozesse zu stärken. Mit minimalem Aufwand können Sie Ihre Sicherheit auf ein noch stabileres Fundament stellen.

A. Nutzen Sie ein/e Authenticator-App oder -Token

Bei der ersten Aktivierung versenden die meisten Zwei-Faktor-Authentifizierungsdienste in einer SMS einen Code, mit dessen Hilfe Ihre Mitarbeiter:innen dann auf ihre Konten zugreifen können. Da SMS-Mitteilungen jedoch einfach abzufangen und zu manipulieren sind, ist das nicht die sicherste Möglichkeit, Authentifizierungscodes zu übermitteln. Wir empfehlen, statt SMS eine Authenticator-App zu nutzen, die Ihre Mitarbeiter:innen auf ihrem Smartphone installieren, oder, noch sicherer, ein Hardware-Token, das in den USB-Port des Computers eingesetzt wird. Wir empfehlen Authy, Google Authenticator und Microsoft Authenticator. Namhafte Hardware-Token sind Yubikey, Solo Key und Titan Key.

B. Stärken Sie Ihre Passwort-Richtlinien 

Auch die stärkste Passwortregel muss zu den Arbeitsabläufen Ihrer Mitarbeiter:innen passen. Überprüfen Sie Ihre aktuellen Regeln und legen Sie Bereiche fest, die verbessert, stärker und klarer gemacht werden können. Zum Beispiel: Wie soll mit Situationen umgegangen werden, in denen Mitarbeiter:innen keinen Zugriff auf ihre Konten oder die benötigten Zugangsdaten für die Zwei-Faktor-Authentifizierung haben? Diese Fragen vorab zu klären, kann vor allem auf Reisen das Risiko eines unbefugten Eindringens von Angreifern in Ihre Systeme verringern.

Ferner sollten Sie ggf. die Passwortregeln Ihrer Redaktion für Arbeitsgeräte überprüfen. So sollten lokale Administratoren ihre Passwörter bspw. selbst in regelmäßigen Abständen (z. B. alle 180 Tage) zurücksetzen können. Ein technischer Dienstleister kann Sie dabei unterstützen, Ihre aktuellen Regeln zu überprüfen und Verbesserungsmöglichkeiten zu finden.

Ihre Redaktion hat in der Kategorie Passwortmanagement und Authentifizierung bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

Die Einrichtung von Passwort-Managern und einer Zwei-Faktor-Authentifizierung für Einzelkonten erhöht Ihre Sicherheit als Redaktion bereits deutlich. Mit Unterstützung eines technischen Dienstleisters können Sie diese Anstrengungen durch ein organisationsweites Setup auf das nächste Level bringen.

A. Nutzen Sie ein Single-Sign-on-System

Durch Einrichtung eines umfassenden Single-Sign-on-Systems (SSO) verbessern Sie den Workflow und die Sicherheit Ihrer Mitarbeiter:innen. Bei einem SSO verwenden Ihre Mitarbeiter:innen für alle arbeitsbezogenen Konten denselben Nutzernamen, dasselbe Passwort und dieselbe Zwei-Faktor-Authentifizierung. Darüber hinaus verleiht ein solches System Ihrem Administrator mehr Kontrolle über die Sicherheitseinstellungen und darüber, wie Ihre Mitarbeiter:innen ihre beruflichen Accounts nutzen.

Die Einrichtung eines SSO gestaltet sich vor allem in größeren Organisationen mit etablierten Sicherheitsprotokollen nicht immer ganz einfach. Ein technischer Dienstleister kann Sie dabei unterstützen. Wir empfehlen die SSO-Systeme DUO und Okta. Das Advanced Protection Program von Google kann helfen, ein ähnliches System für Nutzer:innen mit hohem Risiko einzurichten. Beachten Sie in jedem Fall, dass für eine hohe Wirksamkeit alle Konten Ihrer Redaktion, für die eine Anmeldung erforderlich ist, in das SSO eingebunden sein müssen.

Der Grund, weshalb SSO-Systeme sicherer sind als die Nutzung unzähliger verschiedener Konten ist, dass Sie Ihre Angriffsfläche verringern. Anstatt mehrere verschiedene Konten und Passwörter zu haben, die Angreifern als Zielscheibe dienen, legt ein SSO-System all Ihre Accounts hinter eine zentrale Barriere mit meist sehr hohem Schutzlevel. Die meisten SSO-Anbieter verlangen als zusätzliche Sicherheitsebene eine Zwei-Faktor-Authentifizierung sowie die Bestimmung eines Administrators, der Konten bei Bedarf deaktivieren kann.

Ihre Redaktion liegt in der Kategorie Updates auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Cybersecurity besser aufstellen können.

Wir empfehlen:

Damit die Software, auf die sich Firmen verlassen, reibungslos und sicher läuft, sind regelmäßige Updates erforderlich. Im Alltag sind Popup-Fenster, die nach der Installation von Updates verlangen, jedoch häufig ein Ärgernis, das bei der Arbeit stört und gerne ignoriert wird. Es gibt jedoch Möglichkeiten, um diese Situation zu entschärfen und Updates zu einem regulären Bestandteil des Technologieeinsatzes Ihrer Redaktion zu machen.

A. Stellen Sie sicher, dass Ihre Mitarbeiter:innen automatische Updates aktivieren

Eine der wirksamsten und zeitsparendsten Möglichkeiten, seine Software zu aktualisieren besteht darin, den Prozess zu automatisieren. Die meisten Programme verfügen über eine automatische Update-Option, bei der die Software bei Bedarf verfügbare Updates installiert und Neustarts durchführt. Wir empfehlen sicherzustellen, dass alle Mitarbeiter:innen diese Option für jede verfügbare Software aktivieren und ihren Vorgesetzten dies per E-Mail bestätigen.

Ihre Redaktion hat in der Kategorie Updates ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können.

Wir empfehlen:

Ihre Mitarbeiter:innen haben automatische Updates für ihre Software installiert – ein wesentlicher Schritt hin zu einem sichereren Workflow. Doch was ist, wenn Sie mehrere Arbeitsgeräte besitzen, die mit unterschiedlichen Versionen unterschiedlicher verschiedener Softwareplattformen laufen? Irgendeine Software ist schnell übersehen und macht die Redaktion angreifbar.

A. Installieren Sie Updates bei Bedarf manuell

Wenn Sie Sorge haben, dass Ihre Mitarbeiter:innen wichtige Updates auf ihren Systemen übersehen, beauftragen Sie einen technischen Dienstleister mit der Einrichtung eines Master-Administrator-Accounts für alle Arbeitsgeräte. Installieren Sie dann zu einem Zeitpunkt, wenn die Geräte nicht genutzt werden (z. B. nach der Arbeit), über den Administrator-Account manuell alle benötigten Updates.

Ihre Redaktion hat in der Kategorie Updates bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

Ihre Redaktion wächst oder verteilt sich auf mehrere Büros in verschiedenen Regionen oder Ländern. Ihre IT kann in einer solchen Situation möglicherweise nicht mehr alle Updates manuell installieren oder sich darauf verlassen, dass Ihre Mitarbeiter:innen automatische Updates aktivieren. Ziehen Sie stattdessen folgende Möglichkeit in Betracht:

Bedarfsgerechte Pushing-Updates für Arbeitsgeräte

In großen Organisationen mit mehreren Niederlassungen kann es sinnvoll sein, Updates von der IT mithilfe einer Gerätemanagementsoftware an Arbeitsgeräte zu „pushen“, ohne physisch im Büro anwesend sein zu müssen. So ist sichergestellt, dass kritische Updates Arbeitsgeräte auf der ganzen Welt erreichen, und Sie als Redaktion mehr Einfluss auf das Software- und Sicherheitsmanagement haben.

Ihre Redaktion liegt in der Kategorie Operativer Fortbestand auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Sicherheit besser aufstellen können.

Wir empfehlen:

Niemand wünscht sich, einen Diebstahl, einen Brand, eine Überschwemmung, eine Naturkatastrophe, eine Pandemie oder die Entführung von Kolleg:innen erleben zu müssen. Doch Krisen gehören zur Realität, und Redaktionen, die Planung und Kontinuität Priorität einräumen, sind besser auf den Ernstfall vorbereitet. Für den Anfang empfehlen wir folgende Schritte.

A. Führen Sie ein Training durch, um sich auf den Worst Case vorzubereiten

Es gibt keinen besseren Zeitpunkt, sich auf eine Krise vorzubereiten, als bevor diese eintritt. Eine Übung kann Ihnen dabei helfen. Wie komplex dieses ausfällt, liegt bei Ihnen. Der Fokus sollte jedoch darauf liegen, wie Ihre Redaktion auf eine Einzelbedrohung wie einen Internetausfall, ein nicht betretbares Büro, eine Naturkatastrophe oder die Festnahme und Inhaftierung eines:einer Kolleg:in reagiert. Finden Sie mit Ihrem Management heraus, wie Ihre Redaktion mit einer solchen Bedrohung umgehen würde, und versuchen Sie, im Training alle Schwachstellen aufzudecken.

Ihre Redaktion hat in der Kategorie Operativer Fortbestand ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können.

Wir empfehlen:

Wenn Sie ein Gefühl für die Risiken haben, die Ihrer Redaktion drohen, können Sie anfangen, für den Krisen- und Katastrophenfall zu planen. Oberste Priorität ist dabei, dass Ihre Pläne dokumentiert und für alle Mitarbeiter:innen zugänglich sind, sowie eine gute Kommunikation in schwierigen Momenten.

A. Erstellen Sie Vorfallsreaktions- und Krisenpläne

In einer Krise neigen viele dazu, besser zu agieren, wenn sie einer klar gegliederten Checkliste folgen können. Nehmen Sie sich die Zeit, einen Vorfallsreaktionsplan für bestimmte Bedrohungen wie Naturkatastrophen oder Internetausfälle zu erstellen. Davon ausgehend können Sie einen Krisenplan entwickeln, der es Ihnen ermöglicht, auch unter schwierigen Bedingungen weiterzuarbeiten. Ein Sicherheitsdienstleister kann Sie in dieser Planungsphase unterstützen.

B. Richten Sie einen alternativen Kommunikationskanal ein

Im Notfall sind Ihre üblichen Kommunikationskanäle wie bspw. Slack oder E-Mail möglicherweise nicht verfügbar. Richten Sie für Krisenfälle einen Account bei einem anderen Dienst ein, z. B. dem verschlüsselten Anbieter ProtonMail oder dem verschlüsselten Messengerdienst Threema. Üben Sie das Einloggen und die Kommunikation über diese Accounts in regelmäßigen Trainingseinheiten alle drei bis sechs Monate.

Ihre Redaktion hat in der Kategorie Operativer Fortbestand bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

Sie verfügen über Pläne für einzelne Krisenfälle. Richten Sie Ihr Augenmerk nun darauf, was Ihre Mitarbeiter:innen benötigen, um auch in schwierigen Momenten ihre Arbeit fortführen zu können. Dies umfasst sowohl technische Lösungen als auch die Förderung ihrer seelischen Gesundheit und ein gutes Stressmanagement.

A. Entwickeln Sie einen geänderten Arbeitsplan für Krisen

In stressigen Situationen ist Ihr Team möglicherweise nicht in der Lage, dieselbe Leistung zu erbringen wir im Normalfall. Reduzieren Sie ggf. das Arbeitspensum auf weniger Wochentage, um einem Burnout vorzubeugen, und stellen Sie Ressourcen für das emotionale Wohlbefinden zur Verfügung. In seine Mitarbeiter:innen zu investieren, zeugt von Solidarität in schwierigen Zeiten, erhöht die Sicherheit Ihrer Redaktion und ermuntert Ihr Team, sich nötige Pausen zu gönnen.

B. Führen Sie Alternativen zu Präsenzmeetings ein

Wenn sich ein Team nicht persönlich treffen kann, kann sich das nachteilig auf die Produktivität auswirken. Der Einsatz beliebter Videokonferenzsysteme eignet sich gut für Standardtreffen. Für thematisch sensiblere Teambesprechungen sollten Sie indes auf sicherere und Ende-zu-Ende-verschlüsselte Alternativen wie Cisco Webex zurückgreifen.

C. Testen Sie eine sichere Kollaborationsplattform

Slack und andere Kollaborationsplattformen sind für die Alltagskommunikation im Büro und nicht sensible Informationen und Projekte sehr nützlich. Für sensiblere Projekte sollten Sie einer verschlüsselten Kollaborationsplattform wie Element oder Semaphor den Vorzug geben. Diese Plattformen haben bisweilen eine leicht steilere Lernkurve und erfordern möglicherweise technische Unterstützung bei der Einrichtung, bieten jedoch ein deutlich höheres Maß an Sicherheit.

D. Entwickeln Sie Richtlinien für die ortsferne Arbeit

Wenn Mitarbeiter:innen Arbeitsgeräte außerhalb des Büros benutzen, bietet es sich an, einfach zu befolgende Richtlinien für Remote-Arbeit aufzustellen. Lassen Sie sich von einem technischen Dienstleister beraten, welches Zugangsniveau für welches Arbeitsgerät sinnvoll ist. So werden die meisten Redaktionen bspw. die Möglichkeiten für ihre Mitarbeiter:innen einschränken wollen, persönliche Software auf ihren Arbeitsgeräten zu installieren.

Ihre Redaktion liegt in der Kategorie Drittanbieterdienste auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Cybersecurity besser aufstellen können.

Wir empfehlen:

Nachrichtenorganisationen verlassen sich in ihrer täglichen Arbeit auf Drittanbieterdienste und -plattformen, von Social-Media-Diensten wie Twitter und Instagram über Software-as-a-Service-Tools (SaaS) wie Adobe Creative Suite bis hin zu Cloud-Speicher-Anbietern wie Dropbox. Drittanbieterdienste können jedoch auch Eingangsstellen für Fehlinformationen, Störungen und Cyberattacken sein. Dieses Risiko gilt vor allem für Social-Media-Plattformen, die schon häufig Ziel von Manipulationen und Störangriffen wurden.

A. Richten Sie für Ihre Redaktion öffentliche und private Social-Media-Accounts ein

In den sozialen Medien ist Kontrolle unverzichtbar. Ein Account, der vorgibt, Ihre Nachrichtenorganisation zu repräsentieren, kann Fehlinformationen verbreiten, Ihre Community in die Irre führen und Ihre Anstrengungen in Misskredit bringen. Um dieser Gefahr vorzubeugen, sollten Sie für Ihre Nachrichtenorganisation einen öffentlichen und einen privaten Account anlegen. Wenn Ihr öffentlicher Account kompromittiert oder attackiert wird, können Sie so über Ihren privaten Account öffentliche Statements und Erklärungen abgeben. Auf den meisten Social-Media-Plattformen können zwei Konten angelegt werden. Eine Ausnahme bildet Facebook, das von seinen Nutzern einen überprüfbaren Klarnamen verlangt. Doch auch Facebook bietet inzwischen spezielle Möglichkeiten für bestimmte Accounttypen, darunter Accounts für Journalist:innen.

 Neben der Einrichtung von zwei parallelen Konten können Sie die Zwei-Faktor-Authentifizierung und andere Sicherheitsfunktionen für alle Drittanbieter-Konten aktivieren und sicherstellen, dass Ihre Mitarbeiter:innen sich mit den Datenschutzeinstellungen der sozialen Netzwerke auskennen und z. B. die Ortungsdienste deaktivieren.

Ihre Redaktion hat in der Kategorie Drittanbieterdienste ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können.

Wir empfehlen:

Sie haben Maßnahmen ergriffen, um das Risiko für die Verbreitung von Fehlinformationen zu senken. Machen Sie Ihre Social-Media-Accounts noch sicherer, um unbefugte Zugriffe oder Übernahmen zu verhindern. Hier zwei Maßnahmen, die Sie in diesem Prozess unterstützen:

A. Verifizieren Sie Ihre Redaktion in den sozialen Medien

Beantragen Sie für alle offiziellen Social-Media-Accounts Ihrer Redaktion eine Verifizierung. Dies erfordert einen eigenen Antragsprozess für jede einzelne Social-Media-Plattform, zeigt der Öffentlichkeit jedoch, dass die besuchte Seite vertrauenswürdig und authentisch ist.

B. Benennen Sie mehrere Administrator:innen

Für alle offiziellen Social-Media-Accounts sollten mehrere Mitarbeiter:innen als Administrator:innen zuständig sein. Verlässt jemand die Redaktion, können die übrigen den Zugang zu dem jeweiligen Account zurücksetzen und andere erforderliche Änderungen vornehmen. Darüber hinaus sollten alle Administrator:innen auf ihren Accounts die Zwei-Faktor-Authentifizierung nutzen, was ggf. einen gemeinsamen Authentifizierungseinrichtungsprozess erforderlich macht

Wenn Ihr Team Social-Media-Managementtools wie TweetDeck, Hootsuite oder Sprout nutzt, stellen Sie sicher, dass sie für alle arbeitsbezogenen Social-Media-Profile einen beruflich verwalteten Account nutzen.

C. Richten Sie eine sichere Plattform für Hinweise von außen ein

Redaktionen verlassen sich beim Finden von und Recherchieren für Stories auf Hinweise von außen. Die Annahme von Hinweisen – vor allem von sensiblen Informationen – über soziale Netzwerke bietet jedoch weder Ihrer Redaktion noch der Quelle den nötigen Schutz. Richten Sie für Hinweise stattdessen einen eigenen, verschlüsselten und geschützten Kanal bei einem Dienst wie WhatsApp, Signal oder SecureDrop ein. Nähere Informationen darüber, wie Nachrichtenorganisationen die Übermittlung von Hinweisen handhaben, finden Sie in diesem Beitrag der Freedom of the Press Foundation.

Ihre Redaktion hat in der Kategorie Drittanbieterdienste bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

Ihre Redaktion hat mit der Aktivierung der Zwei-Faktor-Authentifizierung, der Benennung mehrere Administratoren und der Einrichtung eines sicheren Kanals für Hinweise große Fortschritte bei der Sicherung ihrer Accounts gemacht. Hier zwei weitere Tipps, wie Sie Drittanbieterdienste noch sicherer machen können.

A. Überprüfen Sie, ob Sie Ihren Account löschen oder stilllegen können

Wenn ein:e Mitarbeiter:in Ihre Redaktion verlässt oder vorübergehend nicht verfügbar ist, ist es wichtig, auf von ihr:ihm genutzte Drittanbieterdienste zugreifen und diese stilllegen zu können. Dies gilt grundsätzlich für alle Dienste, ist jedoch besonders bei Social-Media-Plattformen wichtig, die oft sensible Kommunikationen oder innerbetriebliche Mitteilungen enthalten. Indem Sie sicherstellen, dass Mitarbeiter:innen die benötigten Zugangsdaten und -mittel zur Hand haben, können Sie die Risiken, die damit einhergehen, diese Accounts brachliegen zu lassen, senken.

B. Verteidigen Sie sich taktisch klug gegen Doxxing

Doxxing – die Offenlegung personenbezogener Daten im Internet – kann persönlich und beruflich herausfordernd sein und ist ein Angriff, dem Reporter häufig ausgesetzt sind. Glücklicherweise gibt es Möglichkeiten, das Doxxing-Risiko zu senken. Dazu zählt, proaktiv über beliebte Suchmaschinen nach den Namen Ihrer Mitarbeiter:innen zu suchen und diese mithilfe von Diensten wie Abine DeleteMe und Norton LifeLock von den Seiten sogenannter Datenbroker zu löschen.

Für den Umgang mit Internettrollen und anderen Angriffen haben Tools wie Block Party und Anbieter wie Tall Poppy hilfreiche und umsetzbare Tipps parat.

Andere Abwehrmaßnahmen, die Sie ergreifen können, um Ihre Accounts sicherer zu machen, sind die Einrichtung eines vertrauenswürdigen Backup-Zugangs für die Konten bei Drittanbietern für den Fall der Erkrankung, der Inhaftierung oder des Todes von Mitarbeiter:innen sowie die ähnlich klingende Social-Media-Account-Namen mithilfe von Diensten wie DNSTwist zu beantragen.

Ihre Redaktion liegt in der Kategorie Virtual Private Network (VPN) auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Cybersecurity besser aufstellen können.

Wir empfehlen:

Vielleicht hat Ihre Redaktion schon einmal über die Einrichtung eines Virtual Private Network (VPN) nachgedacht, war sich aber bei der Auswahl unsicher. Oder Sie hören zum ersten Mal überhaupt von einem VPN. Ganz egal: Die Nutzung von VPN wird im gesamten Internet angesichts der zunehmenden Bedeutung von Datensicherheit und -schutz immer wichtiger. Wir empfehlen Ihrer Redaktion grundsätzlich die Nutzung eines VPN. So gehen Sie dabei vor:

A. Informieren Sie sich über die Vor- und Nachteile von VPN-Nutzung

Wenn Sie ohne VPN im Internet surfen, kann Ihr Internetdienstanbieter (ISP) genau sehen, welche Websites Sie wann besuchen. Immer mehr Websites tracken ebenfalls eine Vielzahl von Daten ihrer Besucher.

Durch die Nutzung eines VPN verwischen Sie einige der Informationen, die Ihr ISP erfassen kann, sowie einen Teil der Informationen, die von Websites getrackt werden. Sie übermitteln diese Informationen an Ihren VPN-Anbieter, der Ihre Verbindung zum Internet verschlüsselt.

Je nachdem, welchen VPN-Anbieter Sie nutzen, kann dies sicherer, riskanter oder ebenso riskant sein, wie Ihre Daten an Ihren ISP zu übermitteln. Wenn Sie jedoch einen renommierten, kostenpflichtigen VPN-Anbieter wählen, sind Ihre Daten meist sicherer als beim Surfen ohne VPN. Wenn Sie Ihren VPN unter dem Namen Ihrer Redaktion bezahlen, erhöht das Ihre Privatsphäre weiter – und bei Bezahlung über eine Alias-Identität sogar noch mehr.

Ihr technischer Dienstleister kann Sie bei diesem Schritt unterstützen. Beachten Sie jedoch, dass die Nutzung von VPN in einigen Ländern und Regionen verboten ist, und informieren Sie sich vor der Auswahl eines Anbieters über die vor Ort geltenden Beschränkungen.

B. Prüfen Sie Ihr Budget und wählen Sie danach aus

VPNs gibt es in allen Variationen und Preisklassen. Die meisten sind jedoch zum Glück nicht allzu teuer. Aus Sorge um Datensicherheit und Datenschutz raten wir Redaktionen meist davon ab, sich auf komplett kostenlose VPN-Dienste zu verlassen. Viele VPN-Anbieter wie Tunnel Bear und Mullvad bieten kostenlose Jahresabonnements für förderungswürdige Organisationen, doch diese sollten Gruppen überlassen werden, die über geringe bis überhaupt keine finanziellen Ressourcen verfügen. Lassen Sie sich bei der Wahl eines geeigneten VPN von einem technischen Dienstleister beraten und informieren Sie sich über Beiträge wie diesen Leitfaden aus dem New York Times Wirecutter.

C. Verstehen Sie den Unterschied zwischen „Inkognito“-Modus und VPN

Trotz Erklärungen in den Browsern sind Begriffe wie Inkognito- oder Privatmodus für viele Internetnutzer noch immer ein Buch mit sieben Siegeln. Dieser Modus öffnet ein neues Fenster in Ihrem Browser, das nicht speichert, wonach Sie im Netz gesucht bzw. welche Seiten Sie besucht haben. Dies vermittelt den Eindruck, Ihr Browserverlauf wäre komplett sicher, doch Ihr ISP kann dennoch verfolgen, welche Seiten Sie besucht haben, auch wenn Ihr Browser den Verlauf nicht speichert. Ein VPN hingegen hindert Ihren ISP daran, diese Daten zu erfassen, erfasst sie stattdessen jedoch vielleicht selbst.

Während das Surfen im Inkognito- oder Privatmodus Websites daran hindert, Ihre Aktivität im Browser zu verfolgen, tut dies ein VPN allein nicht. Es ist wichtig, dass Ihre Mitarbeiter:innen diese Unterschiede kennen, denn sie entscheiden, welche Maßnahmen sie bei ihrer alltäglichen Arbeit ergreifen.

Ihre Redaktion hat in der Kategorie Virtual Private Network (VPN) ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können.

Wir empfehlen:

Ihre Redaktion kennt die Vor- und Nachteile von VPN-Services und hat eine Reihe bedarfsgerechter Dienste gewählt. Wenn Sie bislang ein kommerzielles Standard-VPN nutzen, sollten Sie erwägen, ob eventuell eine etwas komplexere Option Ihre Sicherheit weiter steigern könnte.

A. Denken Sie über eine funktionalere Alternative nach

Die Einrichtung eines eigenen VPN mag technisch kompliziert sein, bietet Ihnen jedoch mehr Kontrolle über Ihre eigenen Daten und deren Schutz. Anstatt sich auf einen kommerziellen Anbieter zu verlassen, können Sie mit einem eigenen VPN eine besser auf Ihren Sicherheitsbedarf zugeschnittene spezifische Plattform einrichten.

Eine etwas komplexere Alternative bietet Algo des Sicherheitsanbieters Trail of Bits, das Organisationen bei der Einrichtung ihres eigenen VPN-Servers unterstützt.

Ein Tool wie Firefox DoH ist zwar kein VPN, kann Ihre Internetaktivität aber dennoch sicherer machen und in Verbindung mit Ihrem bestehenden VPN-Dienst genutzt werden. Wahrscheinlich benötigen Sie für die Einrichtung dieser Lösungen für Ihre Redaktion Unterstützung durch einen technischen Dienstleister.

Ihre Redaktion hat in der Kategorie Virtual Private Network (VPN) bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

Sie haben Zeit, Geld und Mühe investiert, um die passende VPN-Lösung für Ihre Redaktion zu finden. Weiten Sie Ihre Nutzung privater Netzwerke nun aus, um auch den Zugang zu Ihrer Website und Ihre Suchanfragen im Internet sicherer zu gestalten.

A. Erstellen Sie Listen mit „zulässigen“ und „blockierten“ Nutzern

Die meisten VPN-Dienste bieten die Option, statische IP-Adressen zu generieren. Das bedeutet, dass Ihre Mitarbeiter:innen bei jeder Nutzung dieses VPN dieselbe IP-Adresse – die mit der Internetverbindung verknüpften Identifikationsangaben – nutzen können. Ihre Administrator:innen können so anhand einer Reihe vorab genehmigter IP-Adressen Listen „zulässige“ Nutzer:innen erstellen, die bestimmte Rechte haben – z. B. Zugang zum Backend Ihrer Website oder des Intranets Ihrer Redaktion. Alle anderen Nutzer:innen stehen auf einer „blockierten“ Liste, die ihnen keinen Zugang zu diesen sensiblen Bereichen Ihres Systems ermöglicht. Ein technischer Dienstleister kann Sie bei der Einrichtung solcher Listen im VPN Ihrer Wahl unterstützen.

B. Lernen Sie einzuschätzen, wann Sie Tor nutzen sollten

Der Tor Browser ist bei Journalist:innen beliebt, die vermeiden wollen, dass Ihre Internetaktivitäten von ISP, Regierungen oder anderen Akteur:innen überwacht werden. Tor bietet ein höheres Datenschutzniveau und mehr Anonymität als ein Standardbrowser oder ein VPN, indem es den Traffic eines Nutzers durch eine Reihe von Servern schickt, wodurch es schwer ist, festzustellen, wo Traffic ursprünglich herkommt. Mehr über die Funktionsweise von Tor finden Sie auf der Website des Tor-Projekts.

Viele Redaktionen nutzen Tor nur für sensible Recherchen, da die Suche bisweilen langsamer ist als bei einem Standardbrowser. Zudem muss die korrekte Nutzung des Tools erst erlernt werden. Nichtsdestoweniger ist Tor eine zuverlässige, renommierte Option für anonymes Surfen. Sprechen Sie mit Ihrem technischen Dienstleister darüber, wie sich Tor in Ihren Workflow einbinden lässt.

Ihre Redaktion liegt in der Kategorie Physische Sicherheit auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Sicherheit besser aufstellen können.

Wir empfehlen:

A. Erarbeiten Sie eine Check-in-Regel

Es kommt vor, dass Ihre Reporter:innen aufgrund ihrer Arbeit belästigt und bedroht werden. Verärgern sie mit ihrer Berichterstattung mächtige Organisationen oder Regierungen, laufen sie Gefahr, verfolgt, überwacht oder sogar verhaftet zu werden.

Als Leiter:in einer Nachrichtenredaktion ist es Ihre Pflicht sicherzustellen, dass Ihre Journalist:innen ihre Arbeit so sicher wie möglich ausüben können. Es gibt viele Maßnahmen, die Sie ergreifen können, um die Sicherheit Ihres Teams zu erhöhen. Eine der wirksamsten grundlegenden Maßnahmen ist die Einführung einer verbindlichen Check-in-Regel.

Ein Check-in wird üblicherweise dann verlangt, wenn ein:e Reporter:in im Einsatz ist, und erfolgt in der Form, dass er:sie sich (für gewöhnlich und falls möglich telefonisch) zu bestimmten Zeiten bei einem:einer Redakteur:in meldet. Während des Gesprächs teilt der:die Reporter:in mit, ob er:sie sich unsicher fühlt oder bei der Arbeit etwas Ungewöhnliches oder Alarmierendes bemerkt hat. Meldet sich der:die Reporter:in nicht zu der vereinbarten Check-in-Zeit, leiten die Vorgesetzten die nächste Phase des Plans ein, der üblicherweise darin besteht, Notfallkontakte zu kontaktieren, um zu versuchen, den Status des:der Journalist:in zu überprüfen.

Mehr zum Thema Check-in-Richtlinien und zu anderen Maßnahmen, die Sie für die Sicherheit Ihrer Mitarbeiter:innen ergreifen können, finden Sie in dem Beitrag Pre-Assignment Security Assessment des Komitees zum Schutz von Journalist:innen (CPJ).

Eine weitere mögliche Maßnahme besteht darin, eine Informationspflicht über alle Bedrohungen einzuführen, die ein:e Journalist:in bei der Arbeit erfährt. Manche Mitarbeiter:innen zögern vielleicht, Drohungen oder andere Vorfälle zu melden, aber eine:n Vorgesetzte:n zu informieren, ist wichtig damit Sicherheitspläne bei Bedarf angepasst werden können.

B. Suchen Sie Unterstützung bei regionalen Partner:innen 

Wenn eine:r Ihrer Reporter:innen für seine:ihre Arbeit festgenommen, inhaftiert, bedroht oder angegriffen wird, ist eine der wirksamsten Reaktionen die Kontaktaufnahme zu lokalen, regionalen und globalen Organisationen, die sich für den Schutz der Pressefreiheit einsetzen. Druck von Außenstehenden kann Regierungen, kriminelle Vereinigungen und andere Akteur:innen dazu bewegen, Reporter:innen freizulassen bzw. unversehrt arbeiten zu lassen.

Zu den Gruppierungen, die solche Unterstützung bieten können, zählen das Komitee zum Schutz von Journalist:innen (CPJ), Article 19, Free Press Unlimited, Freedom of the Press Foundation, Reporter ohne Grenzen und Ihr lokaler oder regionaler Presseverband.

Eine weitere Möglichkeit ist, Redaktionen zu kontaktieren, die auf investigativen Journalismus spezialisiert sind, und diese um Unterstützung zu bitten, um sicher arbeiten zu können. Solche Organisationen sind bspw. Organized Crime and Corruption Reporting Project und das International Consortium of Investigative Journalists.

 C. Arbeiten Sie mit einem Rechtsbeistand zusammen

Es gibt mächtige Personen, die lokale Gesetze nutzen können, um Journalist:innen zum Schweigen zu bringen, einzuschüchtern oder zu bedrängen. Ein Rechtsbeistand kann Sie im Umgang mit ungerechtfertigten Klagen, die Ihre Mitarbeiter:innen oder Ihre Arbeit beeinträchtigen, beraten. Dazu zählen Festnahmen, Verhaftungen und Inhaftierungen.

Eine gute Ressource für die Suche nach einem Rechtsbeistand ist die International Bar Association, in der Anwält:innen aus der ganzen Welt vertreten sind. Darüber hinaus können Sie versuchen, Kontakt zu Professor:innen und Studierenden einer örtlichen Hochschule aufzunehmen, die Ihre Redaktion möglicherweise kostenlos unterstützen. In einigen Regionen gibt es auch freie Rechtsberatungen, deren Unterstützung in Anspruch genommen werden kann.

Wenn Ihre Redaktion hingegen plant, langfristig im Bereich des investigativen Journalismus tätig zu sein, sollten Sie einen Rechtsbeistand haben, der Sie bei der Prüfung Ihrer Beiträge vor der Veröffentlichung unterstützt.

D. Bewerten Sie das Risiko jedes Auftrags 

Bevor Sie einen Auftrag übernehmen, sollten Sie mit Ihren Reporter:innen eine Risikobewertung vornehmen. Einige Bereiche der Berichterstattung wie Kunst oder Sport bergen an sich vielleicht ein eher geringes Risiko. Dennoch können Journalist:innen allein aufgrund der Zugehörigkeit zu einer bestimmten Nachrichtenorganisation zur Zielscheibe werden. Deshalb empfehlen wir, wenn möglich vor jedem Auftrag, der Außeneinsätze umfasst, eine Risikobewertung vorzunehmen.

Eine solche Bewertung muss nicht unbedingt viel Zeit in Anspruch nehmen. Entwickeln Sie mit der Zeit Abläufe, die für Sie am besten funktionieren. Im Allgemeinen sollte eine gute Risikobewertung folgende Punkte umfassen:

Benennen Sie vergangene und aktuelle Bedrohungen in Ihrem Bereich/Gebiet

Erstellen Sie eine Liste Ihrer Notfallkontakte und Check-in-Verfahren

Formulieren Sie detailliert, welche Schritte Sie ergreifen, um Ihr Risiko zu verringern

Wenn Sie in Sachen Risikobewertung noch ganz am Anfang stehen, bieten Ressourcen wie die Risikobewertungsvorlage des Komitee zum Schutz von Journalist:innen (CPJ), der UNESCO Safety Guide for Journalists und diese Leitfäden des Rory Peck Trust Hilfestellung.

Ihre Redaktion hat in der Kategorie Physische Sicherheit ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie Ihre Redaktion noch sicherer machen können.

Wir empfehlen:

A. Absolvieren Sie ein körperliches Training 

Wenn Ihre Reporter:innen routinemäßig über hochriskante Ereignisse wie Proteste, zivile Unruhen oder Konflikte berichten, sollten sie ein Sicherheitstraining absolvieren. Viele Reporter:innen nehmen an einem Sicherheits- und Erste-Hilfe-Training (Hostile Environments and Emergency First Aid Training, HEFAT) teil, um sich für Risiken wie Entführungen, Beschuss und Krieg zu wappnen. Organisationen, die HEFAT-Kurse anbieten, gewähren für örtliche oder freie Journalist:innen mit begrenztem Budget häufig Preisnachlässe. Eine gute Übersicht über HEFAT-Anbieter findet sich in diesem Leitfaden der Coalition For Women in Journalism.

Wenn in Ihrer Region keine HEFAT-Kurse angeboten werden, sollten Ihre Reporter:innen zumindest ein Notfall- und Erste Hilfe-Training absolvieren. Diese Kurse richten sich nicht spezifisch an Journalist:innen, können jedoch bei schweren Verletzungen lebensrettende Maßnahmen vermitteln. Der National Safety Council führt eine Liste zertifizierter Erste-Hilfe-Schulungszentren weltweit; das Amerikanische Rote Kreuz bietet Onlinekurse an. Das Komitee zum Schutz von Journalist:innen (CPJ) hat ebenfalls eine Reihe von Online-Videos zum Thema Erste Hilfe erstellt. Über Ihr eigenes Umfeld finden sich darüber hinaus sicher noch weitere Ressourcen.

B. Nutzen Sie persönliche Schutzausrüstung für gefährliche Situationen 

Reporter:innen, die regelmäßig aus der Nähe über gewalttätige Ereignisse berichten – z. B. Fotograf:innen oder Videojournalist:innen – sollten zu ihrem eigenen Schutz eine persönliche Schutzausrüstung tragen. Eine solche Ausrüstung kann kostspielig sein. Mit Unterstützung von Organisationen wie Reporter ohne Grenzen können Nachrichtenredaktionen jedoch teilweise Preisnachlässe erhalten.

Als minimalen Schutz sollten Reporter:innen ihre Augen schützen, um Verletzungen durch Granatsplitter, Trümmer oder Waffen vorzubeugen. Ballistische Brillen, wie sie beim Militär genutzt werden, bieten den besten Schutz. Schutzbrillen aus Sport und Industrie können aber ebenso dazu beitragen, die Augen zu schützen.

Helme werden für alle Situationen empfohlen, in denen Gefahr durch umherfliegende Objekte besteht (Projektile, Steine). Schutzwesten gibt es in unterschiedlichsten Ausführungen für jedes Risikoniveau. Lassen Sie sich von einem Sicherheitsdienstleister beraten, ob und wann Schutzwesten für Ihre Arbeit notwendig sind.

Schließlich sollten alle Reporter:innen, die im Außeneinsatz tätig sind, idealerweise stets ein Erste-Hilfe-Set mitführen und dieses im Notfall auch einzusetzen wissen.

Ihre Redaktion hat in der Kategorie Physische Sicherheit bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

A. Arbeiten Sie in Teams 

Erfahrene Reporter:innen sind oft der Meinung, dass sie allein am besten arbeiten. Doch die Arbeit als Einzelkämpfer:in kann große Risiken bergen. Selbst so einfache Dinge wie in der Öffentlichkeit eine Quelle zu treffen, kann eine:n Reporter:in zur Zielscheibe machen. Viele Journalist:innen, die zu hochriskanten Themen recherchieren, arbeiten zu zweit, oft ein:e Print- und ein:e Fotojournalist:in oder ein:e Radio- und ein:e Videojournalist:in im Team.

So kann eine:r der Journalist:innen ein Interview führen oder Aufzeichnungen durchgehen, während der:die andere die Augen nach möglichen Bedrohungen offenhält. Seit Journalist:innen sowohl in der Öffentlichkeit als auch im Büro und bei sich zu Hause zum Ziel von Hit-and-Run-Attacken wurden, kann dieses Vorgehen zusätzlichen Schutz bieten.

B. Führen Sie zur Überprüfung Ihrer Sicherheitsrichtlinien ein Tabletop Exercise durch 

Sicherheitsrichtlinien sind nur dann wirksam, wenn sie schnell und effektiv umgesetzt werden können. Deshalb ist es wichtig, dass Sie Ihre Richtlinien regelmäßig in einem Tabletop Exercise (TTX) überprüfen. Dies gilt nicht nur für den Bereich Cybersicherheit, sondern auch für Ihre Richtlinien zur physischen Sicherheit.

Nehmen Sie bspw. ein Szenario, in dem Reporter:innen bei einem Interview einer stark gefährdeten Quelle verhaftet werden. Geht aus Ihren Sicherheitsrichtlinien hervor, wie Ihre Reporter:innen digital oder analog verschriftlichte Notizen sicher aufbewahren? Wie und wann sie ihr Büro kontaktieren sollen, um dieses über ihre Festnahme zu informieren?

Zu erkennen, in welchen Bereichen Nachbesserungen erforderlich sind, ist ein wichtiger Schritt hin zu stets aktuellen und wirksamen Sicherheitsrichtlinien.

Ihre Redaktion liegt in der Kategorie Damit Verbundene Risiken auf einem eher niedrigen Sicherheitsniveau und hat noch Raum für Verbesserungen. Doch keine Sorge! Wir haben Tipps zusammengestellt, mit denen Sie Ihre Redaktion in Sachen Cybersecurity besser aufstellen können.

Wir empfehlen:

Belästigung im Internet, Cyberbullying und das Hacken von Websites kann sich zu realen physischen Bedrohungen oder hochgefährlichen Cyberattacken ausweiten. Es mag verlockend erscheinen, solche Ereignisse als Randerscheinung einer aktiven Internetpräsenz abzutun. Die Bedrohungssituationen, die sich daraus erwachsen, können jedoch größer sein, als man denkt. So können Sie einige dieser Risiken abschwächen:

A. Erstellen Sie Richtlinien zum Umgang mit Bedrohungen und Belästigung

Bevor Belästigungen im Internet in Gewalt ausarten, sollten Sie interne Richtlinien zum Umgang mit Bedrohungen und Belästigungen erstellen. So könnten Sie bspw. verankern, dass alle Mitarbeiter:innen, die persönlich oder beruflich im Internet belästigt werden, verpflichtet sind, dies ihren Vorgesetzten zu melden. Auch einzelne Meldungen sollten den Alarmzustand im Büro für mindestens eine Woche erhöhen und eine Reihe sorgfältig dokumentierter Sicherheitsmaßnahmen nach sich ziehen. So sollten zumindest Beweise wie Screenshots gesichert und die Belästigung der von den Urhebern des Verstoßes genutzten Plattform gemeldet werden.

Zudem können Sie erwägen, die Belästigung dem ISP des Urhebers zu melden. Diese sind zwar nicht immer zum Handeln verpflichtet, verfügen jedoch über die Mittel, Kund:innen, die gegen ihre Nutzungsbedingungen verstoßen, zumindest vorübergehend zu sperren. Eine weitere, nicht immer mögliche Maßnahme, um Angriffe zu begrenzen, besteht darin, es den Mitarbeiter:innen zu gestatten, ihre beruflichen Social-Media-Profile privat zu halten.

Für ein besseres Management von Online-Belästigungen in Zukunft empfehlen wir Tools wie Block Party und Anbieter wie Tall Poppy.

Ihre Redaktion hat in der Kategorie Verbundene Risiken ein mittleres Sicherheitsniveau erreicht. Sehr gut! Dennoch gibt es ein paar Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können.

Wir empfehlen:

Sie haben einige wichtige Maßnahmen ergriffen, um Ihre Mitarbeiter:innen vor Belästigungen, Missbrauch und Hacking im Internet zu schützen. Es gibt jedoch noch weitere Schritte, die Sie unternehmen können, um künftige Risiken zu antizipieren und abzuwenden.

A. Unternehmen Sie Schritte, um die Gefahr durch aufkommende Bedrohungen zu verringern

Seien Sie möglichen Gegner:innen einen Schritt voraus und schützen Sie Ihre Mitarbeiter:innen so vor Notlagen und strapaziösen Cyberattacken. Google und andere Suchmaschinen bieten Warnfunktionen, die darauf aufmerksam machen, wenn sensible Informationen wie die Nachnamen von Mitarbeiter:innen oder deren Privatanschriften im Internet auftauchen. Andere kommerzielle Dienste wie TalkWalker und Mention durchsuchen soziale Netzwerke nach bestimmten Stichwörtern. ChangeTower bietet die Möglichkeit, Änderungen an Wikipedia- und anderen Seiten zu erkennen, die häufig einer Belästigung vorausgehen.

Wir raten bei der Nutzung von LinkedIn zu Vorsicht, wenngleich sich die Plattform gut eignet, um herauszufinden, wer sich die Profile von Teammitgliedern ansieht. Innerhalb Ihrer Redaktion können Sie erwägen, spezifische Informationen über Ihre Mitarbeiter:innen (z. B. deren Familien oder Privatleben) zu anonymisieren und Fotos von der Plattform zu entfernen.

Ihre Redaktion hat in der Kategorie Verbundene Risiken bereits ein hohes Sicherheitsniveau erreicht. Hervorragend! Dennoch gibt es noch Verbesserungsmöglichkeiten. Wir haben einige Empfehlungen zusammengestellt, wie Sie die Cybersicherheit Ihrer Redaktion verbessern können. 

Wir empfehlen:

Sie schützen Ihre Mitarbeiter:innen proaktiv vor Belästigungen, Missbrauch und Hacking im Internet. Hier zwei weitere Maßnahmen, die Sie ergreifen können, um dieses Risiko weiter zu senken:

A. Überwachen und entfernen Sie persönliche Informationen online

Wenn Sie Bedenken haben, dass Ihre Mitarbeiter:innen im Internet personenbezogene Daten veröffentlicht haben, können Sie diese mithilfe einiger kommerzieller Anbieter vorübergehend entfernen. Dienste, die solche Leistungen anbieten sind u. a. Abine DeleteMe, PrivacyDuck, Reputation Defender und Norton LifeLock, wobei zu beachten gilt, dass diese vorrangig nur Daten aus US-basierten Marketing- und Sales-Datenbanken löschen.

Darüber hinaus können Ihre Mitarbeiter:innen für berufliche Zwecke virtuelle Rufnummern einrichten, anstatt ihre privaten Rufnummern zu nutzen, und diese auch für Online-Accounts und Messengerdienste wie WhatsApp verwenden. Anbieter wie Google Voice und Skype vergeben virtuelle Rufnummern.

B. Achten Sie auf Warnsignale

Redaktionen, die sich proaktiv mit dem Thema Online-Bedrohungen auseinandersetzen, können schneller reagieren, wenn ihre Projekte oder Mitarbeiter:innen Ziel von Online-Attacken werden. Programme zur Moderation von Inhalten wie Perspective API und The Coral Project nutzen künstliche Intelligenz (KI), um Kommentare zu Ihren Artikeln oder Ihrer Website zu tracken und bewerten. Tools wie CrowdTangle, SMAT (Social Media Analysis Toolkit) und Babel Street können Ihre Redaktion dabei unterstützen, die sozialen Medien nach Fehlinformationen über Ihre Arbeit zu durchsuchen. Darüber hinaus können Sie mit einem technischen Dienstleister zusammenarbeiten, um Ihren Internettraffic nach Anomalien zu durchsuchen wie Trolle, die ihre reale Identität nicht verbergen oder große Mengen Traffic über bekannte Trollseiten wie 8chan zu Ihrer Seite weiterleiten.