Für Journalisten

Quellenschutz in einer Welt, in der das Smartphone alles weiß

Franz-Martin 15. Mai. 2026 · 25 Min. Lesezeit

Was Investigativ-Journalisten von Pegasus, Cellebrite und Berlin im Februar 2023 lernen können

Quellenschutz

⚖️ Dieser Beitrag stellt keine Rechtsberatung dar. Er fasst öffentlich zugängliche Quellen zusammen und ordnet sie für die journalistische Praxis ein. Bei konkreten rechtlichen Fragen wende dich an eine Fachanwältin oder einen Fachanwalt für Medienrecht.

Auf einen Blick

Worum es geht. Investigativ-Journalismus lebt vom Quellenschutz. Das Smartphone ist heute der Ort, an dem dieser Schutz am leichtesten verloren geht: durch Beschlagnahme bei einer Razzia, durch Pegasus-Angriffe, durch Grenzkontrollen, durch Verlust auf Reisen. Ein gehärtetes Smartphone mit GrapheneOS adressiert drei der vier typischen Bedrohungslagen substantiell. Gegen einen entschlossenen staatlichen Pegasus-Angriff hilft es nicht vollständig, aber es macht ihn deutlich teurer.

Was du mitnimmst.

  • Was deutsche und europäische Journalisten zwischen 2013 und 2026 über die Bedrohung ihrer digitalen Arbeit lernen mussten.
  • Welche rechtlichen Schutzschichten existieren (§53 StPO Nr. 5, §97 Abs. 5 StPO, Art. 5 GG) und wo sie an ihre Grenzen kommen.
  • Wie eine konkrete Werkzeugkette für Quellenschutz aussieht, vom Erstkontakt der Quelle bis zur Veröffentlichung, und welche Rolle ein gehärtetes Smartphone darin spielt.

Zeit bis zur ersten umsetzbaren Erkenntnis: 7 Minuten.

Berlin, 10. Februar 2023

Es gibt Tage, die man im Nachhinein als Wendepunkt erkennt, ohne dass sie sich damals so angefühlt haben. Galina Timchenko, die Gründerin und Mitherausgeberin der russischsprachigen Exilzeitung Meduza, war am 10. Februar 2023 in Berlin. Sie bereitete sich auf ein Treffen mit anderen russischen Exiljournalisten vor, das am Folgetag stattfinden sollte. Es ging um Strategien gegen die Putin-Zensur, um Kooperation, um Schutz.

An diesem Tag, an oder um den 10. Februar, wurde ihr iPhone mit Pegasus infiziert. Das Citizen Lab der University of Toronto und die Organisation Access Now haben das später dokumentiert. Es war der erste öffentlich nachgewiesene Pegasus-Angriff auf eine russische Journalistin. Die Berichterstattung von Heise online fasst die wesentlichen Befunde zusammen.

Wer hinter dem Angriff stand, konnte Citizen Lab nicht abschließend klären. Lettland, wo Meduza seinen Sitz hat, wäre ein Verdächtiger gewesen. Russland selbst, obwohl es offiziell nicht als Pegasus-Kunde geführt wurde. Aserbaidschan, Kasachstan, Usbekistan, die in der Region operieren. Und, das ist die Stelle, an der die Geschichte unbequem wird, Deutschland selbst, in dessen Hauptstadt der Angriff stattfand und das Pegasus-Kunde ist. Citizen Lab schrieb: „Obwohl es mehrere mögliche Hypothesen gibt, welcher Regierungskunde der NSO Group für diesen Hack verantwortlich sein könnte, sind wir zum jetzigen Zeitpunkt nicht in der Lage, eine abschließende technische Entscheidung über die Zuordnung zu treffen.“

Ich saß an einem Abend im September 2023 in meinem Arbeitszimmer in Essen, las den Heise-Artikel und las ihn noch einmal. Eine Journalistin, die der Putin-Zensur entkommen war, die in der Hauptstadt einer westlichen Demokratie ein Treffen unter Kolleginnen vorbereitete, wurde mit der mächtigsten kommerziellen Spähsoftware der Welt infiziert. Auf einem iPhone, dem Smartphone, das in der öffentlichen Wahrnehmung als sicherstes gilt. In einer Stadt, die als sicher gilt. In einem Land, von dem nicht ausgeschlossen werden konnte, dass es selbst dahintersteckt.

Das ist die Geschichte, die diesem Artikel zugrunde liegt. Sie ist nicht die einzige solche Geschichte. Aber sie ist eine, die das Wesentliche zeigt: digitaler Quellenschutz ist 2026 keine Spezialisten-Frage mehr, sondern ein Grundbaustein der journalistischen Berufsausübung. Und die Werkzeuge, die ihn ermöglichen, sind nicht abstrakt, sondern konkret verfügbar.

🟢 Orientierung: drei Schutzschichten, drei Schwachstellen

Bevor wir zu den konkreten Werkzeugen kommen, brauchen wir einen Blick auf die rechtliche Lage. Anders als in der berufsrechtlichen Sektion auf fleet-data.de, wo wir die §203-StGB-Achse für Anwälte und Ärzte aufgespannt haben, gelten für Journalisten eigene Normen. Sie sind in Teilen sogar günstiger, in anderen Teilen aber auch durchlässiger.

Schutzschicht eins: das Zeugnisverweigerungsrecht

Der §53 Abs. 1 Nr. 5 StPO gibt Journalisten ein Zeugnisverweigerungsrecht. Du musst vor Gericht nicht aussagen, wer dir was als Quelle übergeben hat, solange du im Rahmen einer beruflichen Recherche tätig warst. Das gilt für fest angestellte Redakteure, freie Journalistinnen, auch für Bloggerinnen, sofern eine journalistische Tätigkeit erkennbar ist.

Diese Norm ist die Rückseite der Pressefreiheit aus Art. 5 Abs. 1 Satz 2 GG. Sie schützt nicht primär dich als Journalist, sondern deine Quelle. Eine Quelle, die wüsste, dass du sie unter Druck verraten musst, würde nicht mehr mit dir sprechen. Damit wäre der Investigativ-Journalismus tot. Deshalb ist das Zeugnisverweigerungsrecht eines der grundsätzlichsten Privilegien, die unsere Rechtsordnung kennt.

Schutzschicht zwei: das Beschlagnahmeverbot

Der §97 Abs. 5 StPO flankiert das Zeugnisverweigerungsrecht prozessual. Was du als Journalist nicht aussagen müsstest, darf in deinen Räumlichkeiten und bei dir persönlich auch nicht beschlagnahmt werden. Dazu gehören Notizen, Aufzeichnungen, Manuskripte, Datenträger.

Das ist eine eigene Sonderregel, die für Journalisten leicht differenzierter ist als die Berufsgeheimnis-Variante in §97 Abs. 1 StPO. Aber sie hat ihre Grenzen. Bei dringendem Verdacht, dass du selbst an einer Straftat beteiligt warst, kann das Beschlagnahmeverbot durchbrochen werden. Bei Ermittlungen wegen besonders schwerer Delikte (Landesverrat, Geheimnisverrat, Hochverrat) gilt eine Subsidiaritätsklausel: die Beschlagnahme ist nur dann zulässig, wenn andere Ermittlungswege aussichtslos sind. In der Praxis ist dieser Maßstab beweglich.

Schutzschicht drei: die Pressefreiheit selbst

Über die einfachen Gesetze hinaus steht Art. 5 GG. Das Bundesverfassungsgericht hat in mehreren Entscheidungen klargestellt, dass Journalisten und ihre Quellen einen verfassungsrechtlichen Schutz genießen, der über das einfache Gesetz hinausgeht. Wenn eine Ermittlungsmaßnahme die Pressefreiheit substantiell beeinträchtigt, kann sie aus grundrechtlichen Gründen unzulässig sein.

Die Lehre aus dem Sommer 2015

So weit die Theorie. Im Sommer 2015 hat Deutschland eine Lektion erlebt, die zeigt, wie schnell diese Schutzschichten durchlöchert werden können. Der damalige Generalbundesanwalt Harald Range leitete ein Ermittlungsverfahren gegen die Journalisten Markus Beckedahl und André Meister von Netzpolitik.org ein. Vorwurf: Landesverrat nach §94 StGB. Anlass waren Veröffentlichungen aus internen Verfassungsschutz-Unterlagen über eine geplante Internet-Überwachungseinheit. Die Originalquellen-Dokumentation findest du auf netzpolitik.org und in der Rückschau „Zehn Jahre Landesverrat“.

Die wichtigste Erkenntnis aus dieser Affäre ist nicht, dass die Ermittlungen schließlich eingestellt wurden. Sie ist, dass sie überhaupt eingeleitet werden konnten. Sobald gegen Journalisten als Beschuldigte ermittelt wird, greifen die Schutzschichten anders. Heimliche technische Überwachungsmaßnahmen werden dann zulässig. Das Beschlagnahmeverbot greift in dieser Konstellation nicht mehr wie sonst. Die Pressefreiheit aus Art. 5 GG bleibt zwar Grundrecht, aber sie wird im konkreten Verfahren mit anderen Rechtsgütern abgewogen.

Netzpolitik hatte Glück, weil eine öffentliche Solidaritätswelle das Verfahren binnen Tagen politisch unhaltbar machte. Range wurde in den Ruhestand versetzt. Aber die strukturelle Lage hat sich seitdem nicht entscheidend geändert. Die Norm §94 StGB ist nicht reformiert worden, die Pressefreiheit hat keinen erweiterten Schutz bekommen. Im Frühjahr 2023 hat Reporter ohne Grenzen Verfassungsbeschwerde gegen die Staatstrojaner-Befugnis des Bundesnachrichtendienstes eingelegt, weil deutsche Behörden inzwischen Pegasus in einer „legalen, reduzierten Variante“ einsetzen.

Die Lehre: rechtlicher Schutz ist wichtig, aber er ist nicht der einzige Schutz, auf den du dich verlassen kannst. Was wir bei Fleet Data immer wieder formulieren, gilt hier wie überall: wo das Recht nicht mehr greift, schützt nur noch die Architektur.

Dreizehn Jahre Bedrohung, dreizehn Jahre Lernen

Zeitstrahl der Bedrohungen für die digitale Pressefreiheit 2013 bis 2026Sieben Schlüsselereignisse: 2013 Snowden-Enthüllungen, 2015 Netzpolitik-Landesverrats-Affäre, 2018 Khashoggi-Mord und Pegasus-Spur, 2021 Pegasus-Projekt mit 50.000 Telefonnummern, 2023 Pegasus-Treffer bei Galina Timchenko in Berlin, 2025 Cellebrite-Leak zeigt GrapheneOS-Resistenz, 2026 Stand der Werkzeuge.Dreizehn Jahre Bedrohung der digitalen PressefreiheitWas Journalisten seit Snowden über ihre Werkzeuge gelernt haben2013Snowdenenthüllt dasNSA-Programm2015NetzpolitikLandesverrat-Affäre2018Khashoggi-Mord, erstePegasus-Spur2021Pegasus-Projekt50.000 Telefon-nummern2023Timchenkoin Berlin mitPegasus infiziert2025Cellebrite-Leakzeigt GrapheneOS-Resistenz2026Werkzeugestehen bereit,Lage bleibt ernstErkenntnis der BedrohungIndustrialisierung der ÜberwachungReife der GegenwehrDie Geschichte verläuft in drei Phasen. Erst wurde die Bedrohung sichtbar, dann industriell verstärkt durch Anbieter wie NSO Group.Heute stehen Werkzeuge zur Verfügung, die in der Hand eines vorbereiteten Journalisten substantiellen Schutz bieten.© Fleet Daten & Systems Consulting

Die Geschichte der digitalen Bedrohung von Journalisten beginnt 2013, als Edward Snowden öffentlich machte, was die NSA mit der weltweiten Internet-Kommunikation tut. Bis dahin war die Diskussion über Massenüberwachung weitgehend theoretisch geführt worden. Snowden machte sie konkret. Es gab vorher und nachher eine andere Wahrnehmung dessen, was mit unseren Geräten passiert.

2015 kam der Netzpolitik-Fall, der zeigte, dass Pressefreiheit auch in Deutschland nicht selbstverständlich ist. 2018 wurde der saudische Journalist Jamal Khashoggi in Istanbul ermordet. Spätere forensische Analysen zeigten, dass Menschen aus seinem Umfeld mit Pegasus überwacht worden waren, bevor die Tat geschah. Pegasus wurde damit zum ersten Mal in der breiten Öffentlichkeit nicht nur als Spähsoftware verstanden, sondern als Werkzeug, das Menschen das Leben kosten kann.

Im Juli 2021 veröffentlichte ein internationales Recherche-Konsortium unter Leitung von Forbidden Stories und Amnesty International das Pegasus-Projekt. Achtzig Journalisten aus siebzehn Medien in zehn Ländern werteten eine Liste von fünfzigtausend Telefonnummern aus, die potenzielle Ziele der NSO-Spähsoftware Pegasus gewesen waren. Aus Deutschland waren NDR, WDR, Süddeutsche Zeitung und Zeit beteiligt. Das Ergebnis war eine Lawine: Pegasus war nicht in einigen wenigen autoritären Staaten eingesetzt worden, sondern weltweit, gegen Journalisten, Aktivisten, Anwälte, Politiker. Mindestens 13 Staaten in Europa selbst, darunter Spanien, Ungarn, Polen, Griechenland, hatten die Software gekauft und in Teilen missbräuchlich eingesetzt.

Im März 2022 setzte das Europäische Parlament den Untersuchungsausschuss PEGA ein, der bis Juni 2023 lief und scharfe Empfehlungen formulierte. Kurz darauf gründete Reporter ohne Grenzen in Berlin das Digital Security Lab, das seither Pegasus-Angriffe auf Journalisten weltweit dokumentiert.

2023 dann der Timchenko-Fall in Berlin, dazu mehrere Pegasus-Treffer in Togo (Loïc Lawson, Anani Sossou), in Aserbaidschan, in El Salvador. Im selben Jahr stellte sich heraus, dass auch das Telefon des EU-Justizkommissars Didier Reynders kompromittiert worden war.

2025 leakte aus einer vertraulichen Cellebrite-Konferenz eine Folie, die zeigte, dass Pixel-Geräte mit GrapheneOS auch im AFU-Zustand gegen die forensischen Werkzeuge der Strafverfolgung resistent sind. Wir haben diese Geschichte im GrapheneOS-Geschichts-Artikel auf fleet-data.de ausführlich behandelt.

Heute, im Frühjahr 2026, stehen die Werkzeuge bereit, um substantiellen Quellenschutz auf einem zivilen Smartphone zu betreiben. Das ist die gute Nachricht. Die unbequeme Nachricht ist, dass die Bedrohungslage nicht abgenommen hat, im Gegenteil. NSO Group lebt weiter, Predator von Cytrox ist auf dem Markt, neue Anbieter drängen nach. Das Wettrennen zwischen Härtung und Angriff geht weiter.

🟡 Praxis: vier Bedrohungsmodelle, vier Antworten

Was bedeutet das konkret für deine Berufspraxis? Es gibt vier typische Lagen, in denen das Smartphone eines Journalisten in Gefahr gerät. Sie haben unterschiedliche Charakteristika, und sie verlangen unterschiedliche Antworten.

Vier Bedrohungsmodelle für Journalisten und was sie jeweils erfordernVier konkrete Bedrohungslagen für Investigativ-Journalisten. Erstens die behördliche Routine-Beschlagnahme im Inland. Zweitens ein gezielter Pegasus-Angriff durch einen staatlichen Akteur. Drittens eine Grenzkontrolle im Ausland. Viertens Verlust oder Diebstahl. Jeweils mit Schutzbewertung für ein Pixel mit GrapheneOS.Vier Bedrohungsmodelle für JournalistenWas schützt das gehärtete Smartphone, was nichtBedrohung 1Routine-BeschlagnahmeErmittlungen gegenQuelle oder Journalist,Razzia, Geräte-SicherstellungWerkzeug-Beispiel:CellebriteGrapheneOS schütztBedrohung 2GezielterPegasus-AngriffStaatlicher Akteurmit Zero-Click-Exploit, keineMitwirkung nötigWerkzeug-Beispiel:NSO Pegasus, Predatorhöhere Hürde, kein 100%Bedrohung 3Grenzkontrolleim AuslandUS-CBP, autoritäreStaaten, Forderungder Entriegelung,Zwang vor OrtSchutzmaßnahmen:Duress-PIN, Reise-ProfilGrapheneOS schütztBedrohung 4Verlust undDiebstahlAuf Reise verloren,gestohlen, an einemunsicheren OrtvergessenSchutzmaßnahmen:Auto-Reboot, BFU-ZustandGrapheneOS schütztWas die Bedrohungsmodelle gemeinsam haben und was nichtDrei der vier Bedrohungen lassen sich durch ein gehärtetes Smartphone substantiell adressieren.Standard-Forensik wie Cellebrite scheitert, Grenzkontrolle wird durch Duress-PIN und Reise-Profil entschärft,Verlust und Diebstahl sind durch BFU-Modus und Verschlüsselung folgenlos.Der gezielte staatliche Pegasus-Angriff ist die schwierigste Lage.GrapheneOS erhöht die Hürde deutlich, weil viele Pegasus-Varianten auf iOS- und Standard-Android-Schwachstellen abzielen.Ein 100-Prozent-Schutz gegen einen entschlossenen Geheimdienst ist es nicht.© Fleet Daten & Systems Consulting

Bedrohung eins: die Routine-Beschlagnahme im Inland

Das ist die häufigste Lage. Eine Razzia, eine Hausdurchsuchung, eine Sicherstellung am Rande einer Demonstration. Dein Smartphone wird mitgenommen, kommt in ein Forensik-Labor, wird mit einem Werkzeug wie Cellebrite ausgelesen. Das Forensik-Labor hat keine besondere Mission gegen dich, es macht Routine-Arbeit.

Gegen diese Lage hilft ein Pixel mit GrapheneOS substantiell. Die geleakte Cellebrite-Matrix vom Oktober 2025 hat gezeigt, dass diese Werkzeuge an einem aktuellen GrapheneOS-Gerät scheitern, jedenfalls im BFU-Zustand und bei aktuellen Software-Ständen auch im AFU-Zustand. Wenn dein Gerät beschlagnahmt wird und du es nicht entsperrst (du musst es in Deutschland gemäß §136 StPO auch nicht), bleibt es im verschlüsselten Zustand und gibt nichts preis.

Bedrohung zwei: der gezielte Pegasus-Angriff

Das ist die schwierigste Lage. Ein staatlicher Akteur, eigener oder fremder, hat dich als Ziel identifiziert und investiert in einen gezielten Angriff. Pegasus ist die bekannteste Variante, Predator von Cytrox eine zweite, andere Anbieter folgen. Die typische Pegasus-Variante kommt als Zero-Click-Exploit: du musst nichts klicken, nichts annehmen, nichts öffnen. Eine spezielle iMessage- oder WhatsApp-Nachricht reicht, und das Gerät ist kompromittiert.

Hier hilft GrapheneOS nicht vollständig. Das muss man ehrlich sagen. Aber es hilft mehr, als es auf den ersten Blick scheint. Viele Pegasus-Exploits zielen auf Schwachstellen in iOS oder Standard-Android-Komponenten ab, die bei GrapheneOS entweder anders implementiert sind oder durch zusätzliche Härtungsmaßnahmen (Memory Tagging Extension, härtere Sandboxes) deutlich schwerer ausnutzbar werden. Studien des Citizen Lab haben dokumentiert, dass GrapheneOS-Geräte in mehreren bekannten Fällen Pegasus-Versuchen widerstanden haben, wo Standard-Geräte nicht widerstanden.

Was du wissen musst: wenn du als Investigativ-Journalist in einem Hochrisiko-Bereich arbeitest (Recherche zu Geheimdiensten, organisiertes Verbrechen, autoritäre Regime), ist ein gehärtetes Smartphone notwendig, aber nicht hinreichend. Du brauchst zusätzlich eine forensische Begleitung deiner Geräte durch Spezialisten wie das Citizen Lab oder das RSF Digital Security Lab, und du brauchst eine Bedrohungsmodell-Analyse für deine konkrete Lage.

Bedrohung drei: die Grenzkontrolle im Ausland

Die dritte Lage ist die mit der breitesten Anwendung. In den USA hat die Customs and Border Protection seit Jahren das Recht, Smartphones bei der Einreise zu untersuchen. In autoritären Staaten wie Russland, Belarus, China, dem Iran, der Türkei wird die Entriegelung an der Grenze oder im Land verlangt. Wer als Journalistin zu einer Recherchereise dorthin reist, muss damit rechnen.

GrapheneOS bietet hier zwei Werkzeuge, die im Standard-Smartphone fehlen. Erstens die Duress-PIN: eine zweite PIN, die bei Eingabe das Gerät löscht, statt es zu entsperren. Wenn du physisch gezwungen wirst, dein Telefon zu entriegeln, kannst du die Duress-PIN eingeben, das Gerät startet neu und ist leer. Zweitens separate Benutzerprofile, mit denen du ein minimal bestücktes Reise-Profil aktivieren kannst, während dein Hauptprofil mit allen Quellen-Daten zu Hause auf einem zweiten Gerät bleibt.

Bedrohung vier: Verlust und Diebstahl

Die simpelste, aber häufigste Lage. Smartphones gehen verloren, werden gestohlen, in Hotels vergessen, im Taxi liegen gelassen. Wenn das passiert, ist die Frage nicht „wird das Gerät zurückkommen“, sondern „was ist mit den Daten darauf passiert, bevor es zurückkommt oder nicht“.

Mit GrapheneOS bleibt ein verlorenes Gerät im BFU-Zustand verschlüsselt, sobald der Auto-Reboot greift. Niemand kommt an die Daten. Mit einem Standard-Smartphone, das dauerhaft im AFU-Zustand bleibt, weil es regelmäßig per Fingerabdruck entsperrt wird, ist die Lage offener. Forensische Werkzeuge können in diesem Zustand mehr extrahieren als die meisten Nutzer vermuten.

Die strukturelle Erkenntnis

Drei der vier Bedrohungen lassen sich durch ein gehärtetes Smartphone substantiell adressieren. Die vierte, der gezielte Pegasus-Angriff, lässt sich nur teilweise adressieren, aber die Hürde wird deutlich höher. Ein Standard-iPhone in der Hand eines Investigativ-Journalisten ist 2026 nicht mehr Stand der Technik. Das ist nicht ich, der das sagt. Das ist die Cellebrite-Matrix, die Pegasus-Forensik, der Stand der öffentlichen Diskussion.

🟡 Praxis: die Werkzeugkette des Quellenschutzes

GrapheneOS auf dem Smartphone ist ein Baustein, kein vollständiges Schutzsystem. Quellenschutz ist eine durchgehende Architektur, die mehrere Stufen umfasst, vom ersten Kontakt einer Quelle bis zur Veröffentlichung der Recherche.

Werkzeugkette für den Quellenschutz im InvestigativjournalismusVier-Stufen-Modell des Quellenschutzes. Erste Stufe: Erstkontakt durch die Quelle, ermöglicht durch SecureDrop oder verschlüsselten Messenger. Zweite Stufe: laufende Kommunikation über Signal oder PGP-Mail. Dritte Stufe: Aufbewahrung der Materialien auf gehärtetem Gerät. Vierte Stufe: Veröffentlichung im Medium. In der Mitte das gehärtete Smartphone als zentraler Knoten.Die Werkzeugkette des QuellenschutzesVier Stufen vom Erstkontakt bis zur VeröffentlichungQuelleWhistleblower,Insider, TippgeberStufe 1ErstkontaktStufe 1: ErstkontaktSecureDropüber Tor, anonymSignal-Hotlineöffentliche NummerPGP-Mailöffentlicher SchlüsselPersönliches Treffen ist GoldstandardStufe 2KommunikationStufen 2 und 3Pixel mitGrapheneOSSignal-App,verschwindendeNachrichtenMaterial inApp-SandboxStufe 4PublikationMediumVeröffent-lichung,QuellenschutzDie Werkzeugkette ist nur so stark wie ihr schwächstes Glied.Wer SecureDrop anbietet, aber das Material auf einem normalen iPhone aufbewahrt, hat den Vorteil der Anonymität auf Stufe 1durch die Schwäche von Stufe 3 wieder verspielt. Quellenschutz ist eine durchgehende Architektur,keine Einzelmaßnahme.© Fleet Daten & Systems Consulting

Stufe eins: der Erstkontakt

Eine Quelle, die sich an dich wendet, muss einen sicheren Weg dafür finden. Drei Kanäle haben sich etabliert.

SecureDrop ist der Goldstandard für anonyme Quellen-Übergabe. Es wurde von der Freedom of the Press Foundation entwickelt, von Sicherheitsforschern wie Bruce Schneier auditiert, und wird heute von der New York Times, Washington Post, Guardian, The Intercept, Süddeutscher Zeitung, taz und Heise eingesetzt. SecureDrop ist nur über das Tor-Netzwerk erreichbar, eine .onion-Adresse, die keine IP-Adressen protokolliert. Die Quelle bekommt einen zufälligen Codenamen, mit dem sie sich später wieder einloggen kann, ohne dass die Redaktion ihre Identität kennt.

Signal mit veröffentlichter Hotline-Nummer ist ein zweiter Kanal, niedrigschwelliger als SecureDrop, aber auch weniger anonym (die Quelle muss ihre Telefonnummer preisgeben). Für die meisten Routine-Kontakte reicht Signal vollständig. Aktiviere die Funktion „verschwindende Nachrichten“ und stelle eine kurze Frist ein, üblicherweise ein paar Tage.

PGP-Mail ist die älteste der drei Optionen. Wir haben die Geschichte von PGP im PGP-Artikel auf fleet-data.de ausführlich beschrieben. Für Quellen, die sich mit dem Werkzeug auskennen, ist PGP nach wie vor ein verlässlicher Kanal. Für Quellen, die nicht damit vertraut sind, ist es eine hohe Einstiegshürde.

Was bei allen drei Kanälen wichtig ist: die persönliche Übergabe in einem sicheren Umfeld bleibt der Goldstandard. Wenn du eine Quelle wirklich schützen willst und sie kann zu dir kommen, ist ein Treffen in einem ruhigen Ort ohne mitgeführte Smartphones besser als jede technische Lösung.

Stufe zwei und drei: Kommunikation und Aufbewahrung

Hier wird das gehärtete Smartphone zum zentralen Knoten. Signal läuft in einer eigenen Sandbox, PGP-Mail in einer anderen, das Recherchematerial in einer dritten. Wenn jemand eine dieser Apps kompromittiert, bleiben die anderen unzugänglich. Das ist der Unterschied zu einem Standard-iPhone, wo die Trennung zwischen Apps in der Praxis schwächer ist.

Drei konkrete Einstellungen, die du auf einem GrapheneOS-Gerät für Quellenschutz vornehmen solltest:

Auto-Reboot auf maximal 6 Stunden stellen. Das bedeutet, dass dein Gerät sich nach spätestens sechs Stunden ohne Entsperrung von selbst neu startet und in den BFU-Zustand zurückkehrt. In diesem Zustand sind die Schlüssel nicht im Speicher, forensische Werkzeuge kommen nicht rein.

Duress-PIN setzen und sie dir gut merken. Du wirst sie hoffentlich nie brauchen. An dem Tag, an dem du sie brauchst, brauchst du sie sofort und ohne nachzudenken.

Sensor-Berechtigung restriktiv setzen. GrapheneOS erlaubt dir, jeder einzelnen App den Zugriff auf Kamera, Mikrofon und Standort fein zu steuern. Eine Quellen-Kommunikations-App braucht keinen Standort. Eine Notiz-App braucht kein Mikrofon im Hintergrund. Stell das richtig ein.

Stufe vier: die Veröffentlichung

Wenn das Recherchematerial fertig ist und du es ins Medium gibst, gelten andere Regeln. Die Veröffentlichung ist nicht mehr deine private Sphäre, sondern Teil eines redaktionellen Prozesses. Wenn du in einer Redaktion arbeitest, hat diese hoffentlich ihre eigenen Sicherheits-Standards. Wenn du frei arbeitest, denke vor der Veröffentlichung darüber nach, welche Metadaten in deinen Dokumenten stecken, welche IP-Adressen in deinen Mails, welche Spuren deine Quelle hinterlassen könnte.

Eine gute Faustregel: jedes Dokument, das veröffentlicht wird, sollte vorher durch einen Metadaten-Wäscher gelaufen sein. Werkzeuge wie mat2 entfernen Metadaten aus Bildern, PDFs, Word-Dokumenten. Wenn du PDFs aus geleakten Word-Dokumenten machst und nicht aufpasst, wandern die Autorinformationen mit.

🟡 Praxis: die Recherchereise

Die letzte konkrete Anwendung, die wir besprechen wollen, ist die Recherchereise. Damit ist nicht der Abstecher zum Pressetermin in München gemeint, sondern die Reise mit erhöhtem Risikoprofil. Auslandsrecherche in einem autoritären Land. Treffen mit Quellen in einer Region, wo deine Anwesenheit kein Geheimnis bleiben darf. Konferenzteilnahme in einem Staat, der Pegasus einsetzt.

Recherchereise-Setup mit zwei getrennten Profilen auf einem GrapheneOS-GerätVergleich von zwei Profilen auf einem GrapheneOS-Smartphone. Das Hauptprofil bleibt zu Hause sicher verschlossen, im Reise-Profil sind nur die unbedingt nötigen Daten und Apps für die konkrete Reise. Bei Grenzkontrolle oder Zugriffsforderung gibt das Reise-Profil nur minimale Informationen preis, das Hauptprofil bleibt unzugänglich.Zwei Profile auf einem Gerät für die RecherchereiseSo funktioniert die Trennung zwischen Alltag und RisikoreiseHauptprofilbleibt in Deutschland, verschlüsseltSignal mit allen Kontakteninklusive Quellen, Anwälte, RedaktionPGP-Mail mit langem SchlüsselringKorrespondenz der letzten JahreRecherchematerialDokumente, Notizen, Audio-MitschnitteKalender mit allen TerminenQuellen-Treffen, VerabredungenBanking, persönliche AppsIdentifizierende InformationenAuf der Reise: Auto-Reboot-ZustandSchlüssel nicht im Speicher, Daten verschlüsseltReise-Profilaktiv auf der Reise, minimaler InhaltSignal nur für Notfall-KontakteRedaktion und Anwalt, sonst keineNeue Mail-Adresse für Reisegetrennt vom HauptpostfachKarten, Navigation, Übersetzungnur die Reise-WerkzeugeKamera, Notiz-AppMaterial wird laufend ins Hauptprofil migriertRecherche-Pseudonymoffizielle Identität für BehördenBei Grenzkontrolle: dieses Profil entriegelnHauptprofil bleibt unsichtbar und gesperrtGrapheneOS erlaubt mehrere Benutzerprofile mit jeweils eigener Verschlüsselung. Die Profile sehen sich nicht.© Fleet Daten & Systems Consulting

Die Profil-Trennung

GrapheneOS unterstützt mehrere Benutzerprofile auf einem Gerät, jedes mit eigener Verschlüsselung, eigenen Apps, eigenen Daten. Die Profile sehen sich nicht. Wenn du Profil A nutzt, ist Profil B nicht entriegelt und nicht zugänglich, auch nicht für die Forensik.

Mein Vorschlag für eine Recherchereise:

Hauptprofil bleibt zu Hause. Du bringst dein Hauptprofil mit allen Quellen-Daten, deiner Signal-Kontaktliste, deiner Mail-Korrespondenz nicht physisch mit auf die Reise. Es bleibt entweder auf einem zweiten Gerät zu Hause, oder im BFU-Zustand verschlüsselt auf dem mitgereisten Gerät, aber während der Reise nicht aktiv. Das bedeutet konkret: du gehst vor der Reise einmal in das Hauptprofil hinein, machst ein Backup, wechselst dann in das Reise-Profil, startest das Gerät neu, und entriegelst nur noch das Reise-Profil.

Reise-Profil mit minimaler Bestückung. In diesem Profil sind nur die Apps, die du auf der Reise brauchst: Karten und Navigation, ein Übersetzer, Kamera und Notiz-App für laufende Beobachtungen, Signal für den Notkontakt zur Redaktion und zum Anwalt. Keine Mail-Konten, jedenfalls kein Hauptpostfach. Wenn du auf der Reise Mail brauchst, richte eine eigene Reise-Adresse ein, die mit deiner Hauptidentität nicht direkt verbunden ist.

Material wird laufend gesichert. Was du auf der Reise an Material sammelst, lädst du täglich in einen verschlüsselten Cloud-Speicher hoch (idealerweise einen, der nicht in dem Land steht, in dem du gerade bist), oder du synchronisierst es mit einer vertrauten Person in der Redaktion. Wenn dein Gerät auf der Reise abhandenkommt, ist das Material zumindest gerettet.

Was du nicht mitnimmst

Genauso wichtig wie das, was du mitnimmst, ist das, was du zu Hause lässt. Konkret:

Keine Liste deiner Quellen in irgendeinem maschinenlesbaren Format. Auch nicht in einer verschlüsselten Notiz-App, weil eine verschlüsselte App immer noch zeigt, dass es etwas zu verschlüsseln gibt. Wenn du Quellennamen brauchst, lerne sie auswendig, oder schreibe sie auf einem Zettel mit Codenamen auf, die nur du verstehst.

Keine Mail-App mit langem Archiv. Wenn du Mail auf der Reise brauchst, hole nur die letzten paar Tage ab, kein vollständiger Sync.

Keine Banking-App mit deinen privaten Konten. Wenn du auf der Reise Geld brauchst, hab eine zweite Karte dabei, die du physisch sicherer aufbewahren kannst.

Bei der Rückkehr

Wenn du zurück bist, mache nicht einfach weiter mit dem Reise-Profil. Verlasse das Reise-Profil, gehe in einer ruhigen Stunde wieder ins Hauptprofil, überspiele das neue Material kontrolliert hinein, und lösche dann das Reise-Profil. Beim nächsten Reise-Anlass richtest du ein neues Reise-Profil ein. Das hat den Effekt, dass eventuelle Kompromittierungen, die dir auf der Reise nicht aufgefallen sind, nicht in deinen Alltag mitkommen.

🔵 Tiefe: die ehrliche Bilanz zu Pegasus

Wir haben es bei den Bedrohungsmodellen schon angedeutet, hier vertiefen wir es. Die unbequeme Wahrheit über GrapheneOS und Pegasus lautet: kein 100-Prozent-Schutz.

Pegasus ist eine professionelle Spähsoftware, hinter der eine Firma mit hunderten Sicherheitsforschern steht, die zu Marktpreisen Schwachstellen einkauft. NSO Group, der Hersteller, soll laut Branchen-Berichten einstellige bis zweistellige Millionenbeträge für einzelne Zero-Click-Exploits zahlen. Das ist ein Wettrennen mit ungleichen Ressourcen. Selbst Apple, mit einem Sicherheits-Budget, das das Bruttoinlandsprodukt mittelgroßer Staaten übersteigt, schafft es nicht, jeden Pegasus-Exploit zu schließen, bevor er eingesetzt wird.

Was GrapheneOS leistet, ist eine substantielle Erhöhung der Hürde. Mehrere unabhängige Forschungs-Befunde sprechen dafür:

Das Citizen Lab hat in den letzten Jahren mehrere Pegasus-Varianten dokumentiert, die auf Standard-Android und iOS funktionierten, aber an GrapheneOS scheiterten. Memory Tagging Extension auf neueren Pixel-Chips ist eine Hardware-Funktion, die ganze Klassen von Speicher-Korruptions-Exploits unwirksam macht. Die strikteren App-Sandboxes von GrapheneOS reduzieren den Schaden eines kompromittierten Browsers oder einer kompromittierten Mail-App auf die jeweilige Sandbox.

Die nüchterne Einordnung: ein Investigativ-Journalist, der nicht im Hochrisiko-Bereich arbeitet und nicht namentlich auf Pegasus-Zielen-Listen steht, ist mit einem Pixel und GrapheneOS deutlich besser geschützt als mit einem Standard-iPhone. Sehr wahrscheinlich gut genug für die Routine-Bedrohungen, denen die meisten deutschen Investigativ-Journalisten ausgesetzt sind.

Ein Investigativ-Journalist, der nachweislich im Visier einer Staatsmacht mit Zugang zu Pegasus oder Predator steht, braucht zusätzlich zur Härtung des Geräts eine professionelle forensische Begleitung. Das RSF Digital Security Lab in Berlin und das Citizen Lab in Toronto bieten solche Begleitung an, ebenso das Amnesty Security Lab. Diese Stellen melden sich, wenn dein Profil ihre Schwelle erreicht. Wenn du sie selbst aufsuchen musst, weißt du in der Regel bereits, dass deine Lage ernst ist.

Was bleibt

Drei Beobachtungen am Ende dieses Rundgangs.

Erstens: digitaler Quellenschutz ist 2026 kein Spezialthema mehr, sondern ein Grundbaustein des Investigativ-Journalismus. Wer ihn nicht beherrscht, gefährdet die Menschen, die ihm Vertrauen schenken. Das ist keine bequeme Aussage, aber sie folgt zwingend aus der Lage. Snowden 2013, Khashoggi 2018, das Pegasus-Projekt 2021, Timchenko 2023, das sind nicht Einzelfälle, sondern Etappen einer Entwicklung. Die Entwicklung geht nicht zurück.

Zweitens: die Werkzeuge sind verfügbar, und sie sind weder teuer noch besonders schwierig. Ein Pixel-Smartphone für etwa 400 bis 700 Euro, einmal nachmittags installieren, dann läuft es. Signal ist kostenlos. Tor ist kostenlos. SecureDrop wird in vielen deutschen Redaktionen schon betrieben. Was fehlt, ist nicht die Technik, sondern die Disziplin. Eine Redaktion, die SecureDrop anbietet, aber das Material auf einem Standard-iPhone ablegt, hat die Werkzeugkette an der schwächsten Stelle durchbrochen.

Drittens: Recht und Architektur arbeiten zusammen, aber sie ersetzen sich nicht. Das Zeugnisverweigerungsrecht aus §53 StPO Nr. 5 ist wichtig, aber es greift nicht, wenn du selbst als Beschuldigter ins Visier gerätst. Das Beschlagnahmeverbot aus §97 Abs. 5 StPO ist wichtig, aber es kennt Ausnahmen. Die Pressefreiheit aus Art. 5 GG ist unser Anker, aber sie schützt nicht gegen Pegasus aus einem Drittstaat. Wer Quellenschutz ernst nimmt, schichtet rechtlichen und technischen Schutz aufeinander. Das ist mühsamer als nur das eine zu nehmen, aber es ist die einzige ehrliche Antwort auf die Lage.

Mein Segelboot heißt Legacy. Legacy ist das, was Journalismus seinen Quellen schuldet: dass sie sicher waren, wenn sie gesprochen haben. In einer Welt, in der das Smartphone alles weiß, ist das eine Aufgabe, die nicht von alleine läuft. Sie verlangt Architektur. Und sie verlangt, dass diese Architektur durchgehalten wird, auch wenn der nächste Recherche-Tag drückt und der Aufwand zu groß scheint.

Häufige Fragen

1. Brauche ich GrapheneOS auch, wenn ich nicht in Hochrisiko-Bereichen arbeite?

Wenn deine Quellen keinerlei Risiko tragen, weil sie ohnehin offen sprechen, brauchst du es nicht. In dem Moment, in dem auch nur eine deiner Quellen ein berufliches, persönliches oder rechtliches Risiko durch die Veröffentlichung trägt, wirst du Quellenschutz ernst nehmen müssen, und dann ist ein gehärtetes Smartphone die einfachste Verbesserung gegenüber dem Standard. Es kostet einmalig vierhundert Euro und einen Nachmittag.

2. Was ist mit Apple und iPhone? Apple sagt, das sei sicher.

Apple hat eine ernsthafte Sicherheits-Architektur, und ein aktuelles iPhone ist nicht schlecht. Die Cellebrite-Matrix vom Oktober 2025 hat aber gezeigt, dass forensische Werkzeuge bei iPhones im AFU-Zustand mehr Daten extrahieren als bei einem Pixel mit GrapheneOS. Im BFU-Zustand sind beide besser, aber GrapheneOS hat die längere und konsequentere Auto-Reboot-Praxis. Wenn du iPhone nutzt, stelle wenigstens den iCloud Advanced Data Protection ein und entsperre das Gerät nur mit PIN, nicht mit Face ID. Aber für eine Journalistin, die Investigativ-Arbeit macht, ist ein Pixel mit GrapheneOS besser aufgestellt.

3. Was ist mit den Apps, die ich brauche?

Mit der Sandboxed-Google-Play-Funktion läuft auf GrapheneOS fast alles, was auf einem normalen Android läuft. Signal, Threema, WhatsApp, Banking-Apps, die meisten Streamingdienste. Was nicht oder nur eingeschränkt funktioniert, sind manche Apps mit aggressiver Geräte-Attestierung, die sich gegen Custom-ROMs schützen wollen. Für die journalistische Praxis ist das in der Regel kein Problem.

4. Kann ich SecureDrop in einer kleinen Redaktion oder als Freelancerin betreiben?

Eigenes SecureDrop zu hosten ist anspruchsvoll und erfordert IT-Kompetenz. Für kleine Redaktionen oder Einzeljournalisten ist es oft nicht praktikabel. Alternativen: Tutanota Secure Connect ist ein kostenloses Angebot für Journalisten. Threema bietet anonyme Tippgeber-Funktionalität. Signal mit veröffentlichter Hotline-Nummer ist niedrigschwellig und für die meisten Quellen ausreichend. Wer wirklich SecureDrop braucht, kann sich an die Freedom of the Press Foundation wenden, die Beratung anbietet.

5. Wird mein Verkehr durch GrapheneOS auffällig?

GrapheneOS sendet keine Telemetrie-Daten an Google. Wenn du SIM-Karte und Mobilfunknetz nutzt, bist du gegenüber deinem Mobilfunkbetreiber genauso sichtbar wie mit jedem anderen Smartphone, weil das Netz die IMSI deines Geräts kennt. Wenn dein Bedrohungsmodell „der eigene Mobilfunkbetreiber arbeitet gegen mich“ lautet, brauchst du zusätzlich Prepaid-Karten ohne persönliche Registrierung, oder du nutzt das Gerät überwiegend im WLAN. Das ist eine eigene Diskussion, die wir in einem späteren Artikel führen werden.

6. Die unbequeme Frage: Wenn auch GrapheneOS nicht 100-prozentig vor Pegasus schützt, warum dann der ganze Aufwand?

Das ist die ehrliche Frage, und sie verdient eine ehrliche Antwort. Antwort: weil 100-Prozent-Sicherheit nirgendwo existiert, und weil das Argument „wenn es nicht perfekt schützt, schützt es nicht“ eine logische Falle ist. Ein Pixel mit GrapheneOS schützt dich gegen die Mehrheit der realen Bedrohungen, denen ein deutscher Investigativ-Journalist 2026 ausgesetzt ist: Routine-Beschlagnahme, Grenzkontrolle, Verlust, Diebstahl, große Teile der niederschwelligen Spähsoftware. Es schützt nicht vollständig gegen den hochfinanzierten gezielten Geheimdienst-Angriff, das ist wahr. Aber dieser Fall ist die Minderheit, und für diese Minderheit gibt es zusätzliche Maßnahmen.

Der Vergleich zur sonstigen Berufspraxis: ein Schloss an der Wohnungstür hält keinen entschlossenen Einbrecher mit Spezialwerkzeug auf. Du machst trotzdem die Tür zu. Weil 95 Prozent der Einbruchsversuche an einer ordentlich verschlossenen Tür enden. Wer wegen der verbleibenden 5 Prozent die Tür offen lässt, hat die Logik verkehrt.

Wer noch tiefer einsteigen will

Hintergrund und Recherchen

Das Pegasus-Projekt der EU-Untersuchung als ausführliche Studie. Wer die Lage in der EU verstehen will, findet hier die belastbare Analyse.

Die Rückschau von netzpolitik.org auf zehn Jahre Landesverrats-Affäre. Lesenswert für jeden, der die deutsche Lage der Pressefreiheit verstehen will.

Der Heise-Bericht zum Timchenko-Fall als Einstieg in die Pegasus-Praxis in Deutschland.

Die Wikipedia-Übersicht zu Pegasus als guten neutralen Überblick mit umfassenden Quellenangaben.

Praktische Anlaufstellen

Das Reporter ohne Grenzen Digital Security Lab in Berlin ist die wichtigste deutsche Anlaufstelle für Journalisten mit konkreten Sicherheits-Anliegen.

Das Citizen Lab in Toronto für internationale Recherche-Begleitung und forensische Geräte-Analyse.

Die Freedom of the Press Foundation für SecureDrop-Implementierungen und Sicherheits-Training.

Die Hauptseite von GrapheneOS mit Installations-Anleitungen und Diskussionsforum.

Verwandte Artikel auf fleet-data.de

In der Sicherheits-Rubrik findest du den Artikel zur Geschichte von PGP, der die ältere Schicht der Quellenschutz-Werkzeuge erzählt, und den Artikel zur Geschichte von GrapheneOS, der die technischen Wurzeln des hier behandelten Werkzeugs beschreibt.

Der Artikel zum Berufsgeheimnis-Smartphone behandelt eine verwandte, aber juristisch anders gelagerte Frage für Anwälte, Ärzte und Steuerberater. Wer beide Welten kennt, hat ein vollständigeres Bild.

In den nächsten Wochen folgen Artikel zu Signal in der Redaktionspraxis, zu SecureDrop für kleine Redaktionen, und zur konkreten Schritt-für-Schritt-Installation von GrapheneOS.

Schluss

Die Journalistin, die im Februar 2023 in Berlin von Pegasus infiziert wurde, machte ihre Arbeit weiter. Sie ging zum Treffen, sie sprach mit ihren Kollegen, sie veröffentlichte weiter über Putins Russland. Sie hat öffentlich gesagt, dass der Vorfall sie nicht gestoppt, aber verändert hat. Sie arbeitet seither anders, vorsichtiger, mit mehr Disziplin.

Das ist die Lehre, die sie uns hinterlässt. Nicht die Lehre „alles ist verloren, gebt auf“. Sondern: ihr müsst eure Werkzeuge ernst nehmen, weil eure Quellen sich darauf verlassen, dass ihr es tut. Pressefreiheit ist nicht primär eine rechtliche Frage. Sie ist eine praktische Frage, jeden Tag neu, an jedem Smartphone, das in eurer Tasche steckt.

Ein Pixel mit GrapheneOS ist nicht die ganze Antwort. Aber es ist der erste konkrete Schritt, den ein deutscher Investigativ-Journalist heute machen kann, ohne große Investition, ohne ein Spezialprojekt, ohne Hilfe von außen. Wer ihn nicht macht, hat keine guten Argumente mehr, warum nicht.⛵

Franz-Martin ist Mitgründer von Fleet Daten & Systems Consulting und seit über vier Jahrzehnten in der Software-Entwicklung. Er schreibt auf fleet-data.de über Sicherheit, Architektur und die Frage, was zivile Werkzeuge können müssen, um zu halten. Kontakt: kontakt@fleet-data.de

© 2026 Fleet Daten & Systems Consulting | fleet-data.de Dieser Beitrag stellt keine Rechtsberatung dar. Bei konkreten rechtlichen Fragen wende dich an eine Fachanwältin oder einen Fachanwalt für Medienrecht.

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.