Verschlüsseltes Archiv — Praxis für Redaktionen

Diese Anleitung richtet sich an Redaktionen, die ein verschlüsseltes Archiv für Recherche-Material aufsetzen wollen — Quellen-Korrespondenz, Originaldokumente, Audio-Aufnahmen, Interview-Transkripte. Sie ersetzt nicht die rechtliche Beratung im Einzelfall, ist aber so konkret wie möglich gehalten.

Rechtsgrundlage

Der journalistische Quellenschutz nach § 53 Abs. 1 Nr. 5 StPO und das verfassungsrechtlich abgesicherte Recht aus Art. 5 Abs. 1 Satz 2 GG verpflichten Redaktionen, Vorkehrungen zu treffen, die Quellen vor Identifikation schützen. Das BVerfG hat in Cicero (BVerfGE 117, 244) klargestellt: Die Vorkehrungen müssen technisch wirksam sein, nicht nur formell.

Eine Redaktion, die unverschlüsselte Recherche-Dateien auf einem unverschlossenen Server vorhält, riskiert einen Beschlagnahme-Zugriff nach § 94 StPO, gegen den der Pressevorbehalt formal greift, faktisch aber das Material kompromittiert ist, bevor es einer Pressekammer vorgelegt werden kann.

Schicht 1 — Geräte-Verschlüsselung

macOS: FileVault 2 mit Institutional Recovery Key. Aktivierung über Systemeinstellungen, Recovery-Key in einem getrennten 1Password-Tresor mit zwei Mitwissern (Vier-Augen-Prinzip).

Linux: LUKS2 mit Argon2id (cryptsetup ≥ 2.4). Beispiel:

cryptsetup luksFormat --type luks2 --pbkdf argon2id /dev/sdX1

Windows: BitLocker mit XTS-AES-256 (Group Policy auf Domain-Controller setzen, lokale Defaults sind XTS-AES-128).

Schicht 2 — Dateien-Verschlüsselung

Für einzelne Dateien empfiehlt sich age (https://age-encryption.org/, v1.2.x), ein modernes Verschlüsselungs-Werkzeug von Filippo Valsorda. age verwendet X25519 für asymmetrische und ChaCha20-Poly1305 für symmetrische Verschlüsselung — ohne die Konfigurationslast von GPG.

Beispiel: Empfänger-Schlüssel erzeugen und Datei verschlüsseln:

age-keygen -o key.txt
age -r <public-key> -o quelle-2026-05.tar.age quelle-2026-05.tar

age unterstützt SSH-Keys als Empfänger (-R ~/.ssh/authorized_keys), was die Schlüsselverwaltung für ein Redaktions-Team mit existierender SSH-Infrastruktur radikal vereinfacht.

GPG bleibt für Signaturen und für rückwärtskompatible Kommunikation mit externen Quellen relevant. Für reines Datei-Storage ist age 2026 die bessere Wahl.

Schicht 3 — Hardware-Tokens

Quellschlüssel gehören nicht auf den Arbeits-Laptop. YubiKey 5C NFC (Firmware ≥ 5.7) unterstützt OpenPGP-Smartcard, FIDO2 und PIV. Die OpenPGP-Smartcard hält Encryption-, Signing- und Authentication-Subkeys; der Master-Key bleibt auf einem getrennten, offline gehaltenen Backup-Token.

Konfigurations-Tipp: Die PIN-Versuchszähler nicht auf den Default belassen. gpg --card-edit → admin → passwd → Optionen 4 und 5 für Reset-Counter und Admin-PIN setzen. Drei Fehlversuche und der Token sperrt — das ist gewollt.

Schicht 4 — Backups

3-2-1-Regel: drei Kopien, zwei verschiedene Medien, eine off-site. Konkret:

• Lokal: verschlüsselte externe SSD (LUKS2), wöchentlich rotiert
• Cloud: Borg-Backup nach Borgbase oder rsync.net (beide mit clientseitiger Verschlüsselung; Borg verwendet ChaCha20-Poly1305 mit individuellem Repository-Key)
• Off-site: jährlicher Vollabzug auf eine zweite SSD bei einem Vereinssitz oder Anwaltskanzlei (Beschlagnahmesicherheit)

Schicht 5 — Kommunikation

Quellen-Kontakt ausschließlich über Signal mit Verschwindenden Nachrichten (Default: 4 Wochen) und mit registrierten Sicherheitsnummer-Verifikationen. Threema (Schweiz) ist eine vertretbare Alternative mit guter Rechtsschutz-Position.

E-Mail-Verschlüsselung mit GPG bleibt für institutionelle Korrespondenz relevant — wenn die Gegenstelle es bedient. SMIME ist 2026 nicht mehr empfehlenswert (Effing-Attacke 2018, weiterhin nicht in allen Clients gefixt).

Schicht 6 — Veröffentlichungs-Pipeline

Vor der Veröffentlichung jedes Dokuments: EXIF-Stripping (exiftool -all= dokument.pdf), PDF-Sanitization (qpdf --linearize), Bild-Metadaten entfernen, Office-Dateien in ODF konvertieren (Office hat unsichtbare Tracking-Informationen, die selbst bei „Inhaltsinspektor” übrig bleiben).

Stand und Aktualisierungs-Politik

Diese Anleitung wird in jedem Heft auf Werkzeug-Versionsstand überprüft und mit dem Datum der letzten Revision unten am Beitrag versehen. Stand: Mai 2026.