Der erste Kontakt ist nur der Anfang. Darüber hinaus – sobald Whistleblower Aid Kunden angemeldet hat – empfiehlt es, Signal für die meisten Nachrichten zu verwenden. „Wir verbringen viel Zeit damit, unsere sicheren Geräte zu schützen“, sagt Tye.
Whistleblowing ist nicht gleich Whistleblower und jeder Whistleblower hat seine eigenen Risiken. Jemand, der Big Tech-Missbräuche meldet, wird zum Beispiel mit verschiedenen möglichen Bedrohungen für einen Whistleblower der nationalen Sicherheit konfrontiert. Laut Tye führt Whistleblower Aid Bedrohungsmodelle für jeden seiner Kunden durch, um die Risiken zu bewerten, denen sie ausgesetzt sind, und woher oder von wem diese Risiken stammen können. Eine Überlegung, sagt er, sei, ob bestimmte Cloud-Computing-Dienste genutzt werden können – ein Dienst kann riskanter zu nutzen sein, wenn er eine Beziehung zu einer Regierung hat.
„Bei vielen Kunden geben wir den Leuten spezielle Geräte, die sie nur mit uns verwenden“, sagt Tye. Die meiste Kommunikation findet über Signal statt. Manchmal verwendet Whistleblower Aid Telefone, die keine enthalten Basisband-Chips, die vom Gerät ausgesendete Funksignale steuern, um das Risiko zu verringern. „Wir finden Möglichkeiten, die Geräte zu isolieren, wir verwenden sie ohne Basisband-Chips. Das ist ein Angriffsvektor, den wir eliminiert haben“, sagt Tye. In einigen Fällen verwendet die Organisation benutzerdefinierte VPN-Setups; in anderen werden Telefone in Faraday-Taschen transportiert. „Es gibt Möglichkeiten, wie wir Geräte an Menschen weitergeben können, die, wenn sie sie gemäß den Anweisungen verwenden, keine Möglichkeit haben, Metadaten zu dieser Person zurückzuverfolgen“, sagt Tye.
Für Whistleblower kann es entscheidend sein, zusätzliche Schritte zu unternehmen, um zu versuchen, ihre Anonymität zu wahren. Das Whistleblower-Meldesystem der Europäischen Kommission rät Personen, die ihr eigenes Meldetool verwenden, ihre Namen oder persönlichen Informationen nicht in den von ihnen gesendeten Nachrichten anzugeben und, wenn möglich, Greifen Sie auf sein Berichtstool zu „durch Kopieren oder Schreiben der URL-Adresse“, anstatt auf einen Link zu klicken, um die Erstellung zusätzlicher digitaler Aufzeichnungen zu reduzieren.
Es muss nicht nur die digitale Sicherheit berücksichtigt werden – in einigen Fällen kann auch die physische Sicherheit von Personen gefährdet sein. Dies könnte Fragen der nationalen Sicherheit oder kontroverse Themen umfassen. Zum Beispiel hielten Beamte des FBI, der CIA und des Außenministeriums einst tägliche Treffen ab, um Wege auszuarbeiten, um Edward Snowden zu fangen, der bekanntermaßen eine Fundgrube von Dokumenten über geheime NSA-Überwachungsprogramme durchsickern ließ.
„In fünf Jahren hatten wir zwei Fälle, in denen wir Personen, Anwälte und Klienten bewaffnet bewachen mussten“, sagt Tye. Manchmal schließt dies Treffen mit Kunden an „ungewöhnlichen Orten“ ein, einschließlich der Buchung von Airbnbs für Meetings – gelegentlich werden Dritte verwendet, um die Buchung so vorzunehmen, dass sie unter einem anderen Namen erfolgt. „Es sieht nicht einmal so aus, als würden wir die Wohnung mieten, um uns mit jemandem zu treffen“, sagt Tye.
Aber in einer Welt, in der wir ständig durch unsere Geräte und die Signale, die sie in die Welt senden, verfolgt werden, kann es das Beste sein, Aufzeichnungen offline zu führen. „Persönlich ist das Beste“, sagt Tye. Die gemeinnützige Organisation rät dazu, Meetings abseits von Geräten abzuhalten. „Wir haben sogar eine Schreibmaschine, die wir für sensible Dokumente verwenden.“