Journalismus & sichere Hinweiskanäle
Quellenhinweise, Whistleblower-Einsendungen, Dokument-Uploads und Leser-Kontaktformulare — gebaut für Redaktionen, Investigativressorts und freie Journalistinnen, die einen Kanal brauchen, der Quellen wirklich schützt. Zero-Knowledge-Verschlüsselung, Schweizer Hosting und eine Architektur, in der selbst die Plattform nicht weiss, wer Ihnen geschrieben hat.
Investigativer Journalismus hängt an einer einzigen, fragilen Eigenschaft: Eine Quelle muss einen Reporter erreichen können, ohne identifiziert zu werden. Diese Eigenschaft war nie rein technisch — sie kombiniert Rechtsschutz, redaktionelle Praxis und die physischen Vorkehrungen, die Quelle und Reporter gemeinsam treffen. Der Kanal selbst bleibt entscheidend. Ein Hinweis, der über ein Formular eingereicht wird, dessen Anbieter ihn lesen kann, existiert im Klartext auf einem fremden Server, bevor der Reporter ihn überhaupt öffnet.
Schweizerform geht vom Gegenteil aus. Jede Einsendung — ein kurzer Hinweis, ein langer Vermerk, ein hochgeladenes Dokument — wird im Browser des Absenders verschlüsselt, bevor sie unsere Server erreicht. Wir können sie physisch nicht lesen. Für Investigativressorts, öffentlich-interessierte Berichterstatter, Redaktionsleitungen kleinerer Titel und freie Journalistinnen ist das der Unterschied zwischen einem Hinweiskanal, der ernst genommen werden kann, und einem, der nur unsensible Nachrichten empfangen sollte.
Für wen diese Seite gedacht ist
Investigativ- und Politikressorts etablierter Titel, Lokalzeitungen, die Hinweise zu Themen öffentlichen Interesses annehmen, kleine unabhängige Magazine, Podcast- und Dokumentarteams, freie Journalistinnen, die Hinweise direkt entgegennehmen, sowie Presse- und Watchdog-NGOs mit eigenen sicheren Kanälen. Diese Seite behandelt eine technische Kontrolle — sie ersetzt keine Rechts-, Redaktions- oder Quellenschutzberatung, die auf Jurisdiktion und konkrete Geschichte abgestimmt ist.
Warum die meisten Kontaktformulare für Quellen unsicher sind
Die meisten Online-Formular-Tools folgen einem klassischen SaaS-Modell: Der Browser des Absenders sendet Klartextdaten über HTTPS, und der Server des Anbieters speichert sie. Dieser Server kann alles lesen. Ebenso die Mitarbeitenden des Anbieters, dessen Integrationspartner, jede Person, die seine Infrastruktur kompromittiert, und jede Behörde, die dem Anbieter einen rechtmässigen Beschluss zustellt. Für eine Marketingumfrage ist das akzeptabel. Für eine Quelle, die ein Dokument zu einem öffentlich-interessierten Thema teilen will, nicht.
- Eine Quelle sendet eine Beschreibung mutmasslicher Korruption über das Redaktions-Kontaktformular; die Datenbank des Anbieters enthält eine lesbare Darstellung, bevor der Reporter sie liest
- Ein Dokument-Upload enthält einen gescannten Vertrag; die Datei wird vom Antivirus des Anbieters verarbeitet, vom CDN zwischengespeichert und häufig in US-gehosteten Cloud-Regionen abgelegt
- Ein Herausgabeersuchen oder Durchsuchungsbeschluss trifft den Formular-Anbieter; der Zugriff erreicht Quelleninhalte, ohne dass die Quelle je informiert wird
- Der Anbieter erleidet einen Vorfall; sämtliche historischen Hinweise — auch identifizierende — werden auf einen Schlag offengelegt
- Die E-Mail-Benachrichtigungen des Anbieters senden Klartext-Zusammenfassungen an Reporter und exponieren sensible Inhalte ausserhalb jedes verschlüsselten Flows
Quellenschutz ist mehr als ein Policy-Satz
In der Schweiz anerkennen Art. 28a StGB und Art. 172 StPO das Recht der Journalisten, Quellen in den meisten Fällen nicht preiszugeben. In EU-Staaten bestehen vergleichbare Schutzrechte über Art. 10 EMRK und die Empfehlung R(2000)7 des Europarats. Aber diese Privilegien gelten dem Journalismus, nicht dem Formular-Anbieter. Ein Drittbearbeiter mit Klartext-Zugriff auf Einsendungen liegt ausserhalb dieses Privilegs — eine Schwachstelle, an der Quellenvertraulichkeit kompromittiert werden kann, ohne dass der Journalist eingebunden ist.
Wie Schweizerform den Kanal schützt
Schweizerform ist eine Zero-Knowledge-Ende-zu-Ende-verschlüsselte Formularplattform. Die Verschlüsselung geschieht im Browser der Quelle, bevor Daten das Gerät verlassen. Nur Inhaber des formularspezifischen Access Codes können Einsendungen entschlüsseln. Wir — der Anbieter — nicht.
Die Redaktion erstellt Formular und Access Code
Beim Anlegen eines Hinweisformulars erzeugt Schweizerform ein Schlüsselpaar und einen Access Code. Der öffentliche Schlüssel liegt im Formular; der Access Code verbleibt bei der Reporterin oder dem Investigativteam. Unsere Server sehen ihn nie.
Die Quelle sendet von beliebigem Gerät
Beim Öffnen des Formular-Links verschlüsselt der Browser jedes Feld — Narrativ, Anhänge, optionale Kontaktdaten — mit starker symmetrischer Verschlüsselung und verpackt den symmetrischen Schlüssel mit dem öffentlichen Schlüssel des Formulars. Unsere Server erhalten Chiffrate, die sie nicht entschlüsseln können.
Der Reporter entschlüsselt im Browser
Beim Öffnen der Einsendung lädt der Browser das Chiffrat, wickelt den symmetrischen Schlüssel mithilfe des Access Codes ab und entschlüsselt lokal. Der Klartext berührt unsere Server nie.
Die Plattform weiss nicht, wer die Quelle ist
Standardmässig ist die Einsendung anonym. Wir verlangen kein Konto und erfassen keine identifizierenden Metadaten über das hinaus, was für die Chiffrat-Zustellung strikt nötig ist. Ein Herausgabeersuchen, das auf ‚die Identität der Person, die dieses Formular eingereicht hat' abzielt, können wir nicht beantworten — wir besitzen diese Information nicht.
Was Zero-Knowledge leistet — und was nicht
Zero-Knowledge-Verschlüsselung schützt den Inhalt der Einsendung vor uns und vor jedem, der uns zwingen, angreifen oder vorladen könnte. Sie anonymisiert nicht die Netzwerk-Identität der Quelle. Eine Quelle, die von einem Arbeitsgerät über ein Firmennetz sendet, kann ohne weitere Vorkehrungen über Netzwerk-Logs und Geräte-Forensik identifizierbar bleiben. Für hochriskante Quellen sind Tor Browser, ein privates Gerät in einem öffentlichen Netz und das Meiden von Firmensystemen mindestens so wichtig wie die Verschlüsselung des Formulars. Redaktionen mit hochriskanten Hinweiskanälen sollten diese Plattform mit klaren Hinweisen für Quellen kombinieren — und bei entsprechender Bedrohungslage zusätzlich dedizierte Plattformen wie SecureDrop erwägen.
Konkrete journalistische Anwendungsfälle
Allgemeiner Redaktions-Hinweiskanal
Ein einzelnes verschlüsseltes Hinweisformular, von der Kontaktseite verlinkt, ersetzt die ungesicherte ‚tipps@titel'-E-Mail für sensible Einsendungen. Quellen können eine kurze Nachricht senden oder Dokumente anhängen; jedes Feld wird im Browser verschlüsselt, und nur die verantwortliche Person kann entschlüsseln. Für die meisten Geschichten genügt das; hochriskante Fälle verlangen gestaffelte Kanäle obendrauf.
Document-Drop des Investigativressorts
Investigativeinheiten brauchen häufig grosse Dokumente — Verträge, Datensätze, interne Vermerke — von Insidern. Ein dediziertes verschlüsseltes Drop-Formular nimmt Uploads im Browser-verschlüsselten Zustand entgegen, die am Arbeitsplatz der Ermittlerin entschlüsselt und in den gesicherten Arbeitsbereich verschoben werden. Der Anbieter hält nie eine entschlüsselbare Kopie.
Hinweis-Intake für Freie
Freie Journalistinnen haben oft keinen Zugang zu Enterprise-Plattformen für sichere Einsendungen. Ein Schweizerform-Hinweiskanal gibt ihnen dieselbe architektonische Garantie — der Anbieter kann Hinweise nicht lesen — zu Preis- und Betriebskomplexität, die für eine Person tragbar sind.
Chefredaktions-only-Vertrauenskanal
Manche Einsendungen sollten nur die Chefredaktion oder die Rechtsabteilung erreichen, nicht die allgemeine Eingangsbox. Ein separates Formular mit eigenem Access Code, den nur diese Personen halten, schafft einen engeren Kreis — nützlich für Korrekturen mit mächtigen Betroffenen, sensible Quellenansprache oder die Koordination bei rechtlichen Drohungen.
Leserbrief-Kanal mit Identitätsschutz
Meinungs- und Leserbriefressorts erhalten Beiträge von Personen, deren Identität breite Offenlegung gefährden könnte — Dissidentinnen, Minderjährige, Betroffene, Mitarbeitende benannter Organisationen. Ein verschlüsseltes Leser-Kontaktformular schützt ihren Text davor, von Dritten zwischengespeichert, indexiert oder analysiert zu werden — während das Ressort mit der Einreichenden die Zuschreibungsfrage abstimmt.
Intake für grenzüberschreitende Kooperationen
Bei kooperativen Recherchen über mehrere Titel — wenn ein Hinweis eine kleine, vorab definierte Gruppe von Reportern erreichen soll — kann der Access Code pro Formular kollektiv vom Projektteam gehalten werden. Eine einzelne Einsendung wird nur für dieses Projekt entschlüsselbar, nicht für irgendein breiteres Redaktionssystem.
Was Quellen, Gegner und Zwangsmassnahmen sehen
| Perspektive | Generischer Anbieter | Schweizerform |
|---|---|---|
| Quelle beim Ausfüllen | Klartext-Formular, Speicherung in der Anbieter-Cloud | Klartext-Formular, Verschlüsselung im Browser vor Übermittlung |
| Support / Mitarbeitende des Anbieters | Können Hinweise und Anhänge lesen | Können nicht entschlüsseln; sehen nur Chiffrate |
| Herausgabeersuchen gegen den Anbieter | Klartext-Hinweise produzierbar | Nur Chiffrat; ohne Access Code nutzlos |
| Datenvorfall beim Anbieter | Lesbare Hinweise und Anhänge offengelegt | Nur Chiffrat exposed; Inhalt bleibt unlesbar |
Rechtlicher und ethischer Kontext
Die Schweiz kennt einen etablierten gesetzlichen Quellenschutz: Art. 28a StGB und Art. 172 StPO geben Journalisten ein Zeugnisverweigerungsrecht zu ihren Quellen, vorbehältlich eng gefasster Ausnahmen. Die EMRK hat in Fällen wie Goodwin/UK und Sanoma/Niederlande wiederholt bestätigt, dass Quellenschutz ein Eckpfeiler der Pressefreiheit nach Art. 10 ist. Die Empfehlung R(2000)7 des Europarats führt die Prinzipien aus.
Diese Schutzrechte knüpfen am Journalismus an. Sie gelten nicht automatisch für Drittanbieter, die Quellen-Kommunikation im Klartext bearbeiten. Die Wahl des Eingangs-Kanals entscheidet mit, wie viel dieses Schutzes die Architektur tatsächlich gewährt. Ein Zero-Knowledge-Formular verengt den Kreis der Personen und Systeme, die Identität oder Inhalt einer Quelle sehen können — im Geist der Presserechtsprechung, auch wenn die Plattform selbst kein Journalist ist.
Verschlüsselung ist eine Schicht eines Quellenschutzprogramms
Ein glaubwürdiges Quellenschutzprogramm einer Redaktion umfasst auch redaktionelle Praxis (keine öffentliche Zuschreibung, die eine Quelle identifizierbar macht), Opsec-Beratung für Quellen, sorgfältiger Umgang mit Metadaten in Redaktionstools, Clean-Room-Sichtung sensibler Dokumente und juristische Unterstützung bei Zwangsmassnahmen. Schweizerform ist die Ebene des Einreichungskanals — eine Komponente unter mehreren.
Funktionen, die für den Journalismus relevant sind
- Zero-Knowledge-Ende-zu-Ende-Verschlüsselung bei jeder Einsendung — kein Lesezugriff des Anbieters
- Echte anonyme Einreichung — kein Konto, standardmässig keine Quellen-Metadaten erfasst
- Verschlüsselte Dokument-Uploads — Verträge, Vermerke, Bilder, Aufnahmen, PDFs — im Browser der Quelle verschlüsselt
- Mehrsprachige Formulare (EN / DE / FR / IT) — unverzichtbar für Redaktionen mit mehrsprachigem Publikum oder grenzüberschreitenden Recherchen
- Formularspezifische Access Codes je Ressort/Projekt, damit allgemeiner Hinweiskanal und Investigativ-Drop sauber getrennt bleiben
- Schweizer Hosting mit nFADP-ausgerichteter Position — Hinweis-Payloads verlassen die Schweiz nicht
- Audit-Protokoll der Zugriffsereignisse (welcher Reporter wann welche Einsendung geöffnet hat), ohne Inhalt preiszugeben
- Kostenloser Tarif für eine Einzeljournalistin oder einen kleinen unabhängigen Titel, der einen sicheren Hinweiskanal pilotiert
Häufige Einwände
"Wir haben doch eine einfache E-Mail-Adresse für Hinweise."
E-Mail ist der Default, aber auch der am wenigsten kontrollierte Kanal — unverschlüsselt zwischen Mailservern, auf Geräten unbegrenzt aufbewahrt, später durchsuchbar, dem Regime des Mailanbieters unterworfen. Ein klar gekennzeichnetes verschlüsseltes Hinweisformular auf der eigenen Redaktionsseite sagt der Quelle, dass sie sich nicht identifizieren muss, und ergibt eine sauberere rechtliche und technische Position als ein offenes Postfach.
"Wird das nicht für Spam und Hoaxes missbraucht?"
Jeder öffentliche Eingangskanal zieht Rauschen an, und ein Zero-Knowledge-Kanal ist kein Wunder. Die Abhilfen sind operativ: Kanal-Zweck klar erklären, Einsendungen triagieren wie E-Mails, optionale Kategorie-Felder bereitstellen, damit ernsthafte Hinweise aus dem Rauschen trennbar sind. Das Signal ist besser als ein offener Posteingang; perfekt wird es nicht.
"Wenn wir den Access Code verlieren, verlieren wir die Hinweise."
Korrekt — gewollt bei Zero-Knowledge. Empfohlen ist eine dokumentierte Schlüsselverwahrung: versiegelter Umschlag bei der Chefredaktion, Kopie bei der Anwältin des Titels oder ein HSM. Das vermeidet Einzelpersonen-Ausfälle und erhält die Eigenschaft ‚wir können nicht gezwungen werden zu lesen, was wir nicht haben'.
"Wir nutzen für hochriskante Quellen bereits SecureDrop."
SecureDrop setzt ein stärkeres Bedrohungsmodell voraus — Tor-only, isolierte Air-Gap-Workstations, eigene Infrastruktur — und bleibt das richtige Werkzeug für hochriskante Investigativ-Kanäle. Schweizerform ersetzt es nicht. Es ergänzt, indem es die alltäglichen Leser- und Ressort-Hinweise abdeckt, bei denen der volle SecureDrop-Workflow unverhältnismässig wäre — mit derselben Garantie, dass der Anbieter die Einsendungen nicht lesen kann.
Einführung eines Schweizerform-Hinweiskanals
Mit welchen Kanälen beginnen
Ein typisches erstes Paar: ein allgemeines Redaktions-Hinweisformular und ein Document-Drop des Investigativressorts. Getrennt halten, damit klar ist, wer auf welchem Kanal mitliest.
Schlüsselverwahrung vereinbaren
Festlegen, wer den Access Code pro Formular hält (z.B. Hinweiskanal-Redakteur und Leitung Investigativ), das Verfahren dokumentieren und die Wiederherstellung aus der Escrow-Kopie testen, bevor das Formular live geht.
In den relevanten Sprachen publizieren
Für Schweizer Titel üblicherweise DE / FR / IT / EN. Dasselbe Formular rendert in jeder Sprache und bleibt überall Ende-zu-Ende-verschlüsselt.
Begleithinweise veröffentlichen
Eine kurze Seite ‚wie Sie uns sicher kontaktieren' zum Formular: was die Verschlüsselung leistet, was nicht, praktische Hinweise (Gerät nutzen, dem Sie vertrauen; Firmennetze bei sensiblen Hinweisen meiden; Tor für hochriskantes Material erwägen). Ehrlichkeit zu den Grenzen baut Vertrauen.
Den Workflow proben
Mit einer Kollegin eine Test-Einsendung durchspielen: entschlüsseln, über den üblichen Redaktionsprozess führen, Arbeitskopie löschen, wenn die Geschichte erschienen ist. Lücken vor der echten Quelle zu finden, ist viel billiger als danach.
Das Fazit
Quellenschutz ist ein System: rechtliches Privileg, redaktionelle Praxis, Opsec und der Einreichungskanal selbst. Der grösste Teil steht in einer ernstzunehmenden Redaktion bereits. Der Einreichungskanal ist oft das schwächste Glied — weil er billig, bequem und unsichtbar ist, und weil seine Schwächen erst am Tag einer Zwangsmassnahme oder eines Vorfalls sichtbar werden.
Schweizerform bietet eine enge, aber wichtige Verbesserung dieses Kanals: Zero-Knowledge-Ende-zu-Ende-Verschlüsselung auf jedem Formular, Schweizer Hosting und eine Architektur, in der die Plattform selbst nicht weiss, wer Ihnen geschrieben hat. Kein Sicherheits-Upgrade gegen Aufpreis. Keine US-Cloud-Abhängigkeit für Hinweis-Inhalte. Keine für Dritte lesbare Kopie von Quellenmaterial auf einem Server ausserhalb Ihrer Kontrolle.
Starten Sie mit einem einzelnen Hinweis-Formular im kostenlosen Tarif. Schweizer Hosting, Zero-Knowledge-Verschlüsselung und volle EN- / DE- / FR- / IT-Unterstützung — ohne Kreditkarte.
Hinweis: Diese Seite ist allgemeine Information und Marketinginhalt, keine Rechts-, Redaktions- oder Quellenschutz-Beratung. Die Bezugnahmen auf Art. 28a StGB, Art. 172 StPO, Art. 10 EMRK, die Empfehlung R(2000)7 des Europarats, presserechtliche Rechtsprechung und Drittplattformen wie SecureDrop sind konzeptionell zusammengefasst und unterliegen jurisdiktionsspezifischer Auslegung, fallspezifischer Anwendung und künftigen Gesetzesänderungen. Die Verantwortung für Quellenschutz, Rechtsstrategie und redaktionelle Entscheidungen verbleibt bei Redaktion, Chefredaktion oder Journalistin. Für hochriskante Geschichten oder Quellen in feindlichen Jurisdiktionen: qualifizierte medienrechtliche Beratung und eine Digital-Security-Fachperson hinzuziehen, bevor auf einen einzigen Eingangskanal gebaut wird.