Was man vor der anonymen Übergabe von Dateien prüfen sollte
Wenn man eine Datei anonym übergibt, reicht es nicht, nur den sichtbaren Text zu prüfen.
Dateiname, Metadaten, Erstellerinformationen, Bearbeitungsverlauf, Freigabelinks, Upload-Ziel und der Besitzername, der der Gegenseite angezeigt wird. Solche Begleitinformationen können Herkunft oder Erstellungsumgebung zeigen.
Besonders beim Quellenschutz, bei Whistleblowing und beim Teilen von Materialien für Aktivitäten wird schon die Übergabe einer Datei selbst zu einem hohen Risiko. Denn eine Datei kann nicht nur ihren Inhalt mitgeben, sondern auch den Erstellungsprozess und den Freigabeweg.
Dieser Artikel ordnet den Ablauf, den man vor der anonymen Übergabe von Dateien prüfen sollte.
Zuerst die Originaldatei nicht direkt übergeben
Der erste Grundsatz lautet, die Originaldatei nicht unverändert zu übergeben.
In Originaldateien können Erstellername, Bearbeitungsverlauf, Kommentare, Standortinformationen, Aufnahmezeitpunkt, Cloud-Verlauf, interne Dateinamen und ähnliche Informationen zurückbleiben. Außerdem kann es nötig sein, Originaldateien wegen ihres Beweiswerts aufzubewahren.
Man erstellt eine Kopie für Veröffentlichung oder Einreichung und prüft diese Kopie.
| Datei | Umgang |
|---|---|
| Originaldatei | Bei Bedarf an einem sicheren Ort aufbewahren |
| Prüfkopie | Metadaten und Inhalt untersuchen |
| Einreichungskopie | Unnötige Informationen entfernen und dann übergeben |
| Notiz für die eigenen Unterlagen | Für sich festhalten, was geändert wurde |
Wenn man die Originaldatei direkt bearbeitet und überschreibt, kann später unklar werden, was geändert wurde. Bei Hochrisikomaterialien behandelt man Original und Einreichungskopie getrennt.
Dateinamen prüfen
Der Dateiname ist der erste sichtbare Hinweis.
Er kann einen Klarnamen, Firmennamen, Schulnamen, Vorgangsnamen, ein Datum, einen Ort, einen internen Code oder eine laufende Nummer enthalten. Auch wenn Text und Metadaten entfernt werden, kann die Herkunft über den Dateinamen erkennbar werden.
| Element im Dateinamen | Risiko |
|---|---|
| Klarname | Ersteller oder beteiligte Person wird direkt sichtbar |
| Firmenname oder Schulname | Zugehörigkeit wird sichtbar |
| Vorgangsname | Interne Unterlagen oder zuständige Abteilung werden vermutet |
| Datum | Verbindet sich mit Handlungszeitpunkt oder Zeitpunkt der Materialbeschaffung |
| Laufende Nummer | Die Existenz anderer Dateien wird vermutet |
Man ändert den Dateinamen in einen kurzen, allgemeinen Namen. Einige Formate behalten jedoch Änderungsverlauf oder ursprünglichen Dateinamen intern bei. Deshalb sollte man sich nicht allein durch einen geänderten Dateinamen sicher fühlen.
Metadaten prüfen
In Dateien bleiben Informationen, die äußerlich nicht sichtbar sind.
Bei Bildern sind das GPS, Aufnahmezeitpunkt und Kameramodell. Bei PDFs Ersteller, Erstellungssoftware und Anmerkungen. Bei Office-Dokumenten Änderungsverlauf, Kommentare, Firmenname und ausgeblendete Tabellenblätter. Bei Video und Audio Aufnahmezeitpunkt, Standortinformationen, Tags und Bearbeitungs-App.
| Format | Zu prüfende Informationen |
|---|---|
| Bild | GPS, Aufnahmezeitpunkt, Kameramodell |
| Ersteller, Anmerkungen, eingebettete Dateien | |
| Office | Änderungsverlauf, Kommentare, Firmenname, ausgeblendete Tabellenblätter |
| Video | Aufnahmezeitpunkt, Standort, Geräteinformationen, Ton |
| Audio | ID3-Tags, Aufnahmeumgebung, Hintergrundgeräusche |
| Archivdatei | Interne Dateinamen, Ordnernamen, unnötige Dateien |
Lokale Werkzeuge wie ExifTool können zur Metadatenprüfung über mehrere Formate hinweg genutzt werden.
ExifTool ist ein verbreitetes Werkzeug, mit dem man Metadaten von Bildern, Videos, Dokumenten und anderen Dateien auf dem eigenen Gerät prüfen und bearbeiten kann. Bei Dateien, die Anonymität erfordern, ist es wichtig, zuerst eine lokale Prüfung als Option zu haben, statt sie auf eine Online-Konvertierungsseite hochzuladen. URL : https://exiftool.org/
Auch nach der Prüfung mit einem Werkzeug prüft man erneut, wenn die Datei in ein anderes Format umgewandelt wurde. Denn durch Konvertierung oder Bearbeitung können neue Metadaten entstehen.
Inhalt prüfen
Auch wenn Metadaten entfernt wurden, wird Anonymität schwächer, wenn Hinweise im Dateiinhalt bleiben.
Hintergründe auf Fotos, Spiegelungen auf Bildschirmen, Benachrichtigungen, Dokumentränder, Eigennamen im PDF-Text, Ton in Videos, Office-Kommentare und Ordnernamen innerhalb von Archivdateien. Diese bleiben auch dann bestehen, wenn ein Werkzeug Metadaten entfernt.
| Hinweis im Inhalt | Beispiel |
|---|---|
| Hintergrund | Gebäude, Schild, Uniform, Schreibtischoberfläche |
| Spiegelung | Gesicht, Gerät, Raum, fotografierende Person |
| Textkörper | Eigenname, Abteilungsname, zeitliche Abfolge |
| Ton | Stimme, Hintergrundgeräusche, Geräusche von Bahnhof oder Geschäft |
| Benachrichtigung | Kontoname, Kontakt, Uhrzeit |
Vor der anonymen Übergabe einer Datei prüft man sie unter der Annahme, dass Dritte sie mit dem Ziel der Identifizierung betrachten. Ein Hintergrund, der einem selbst gewöhnlich erscheint, kann für Personen, die ihn kennen, den Ort verraten.
Freigabeweg prüfen
Auch die Art der Übergabe ist wichtig.
Wenn man eine Klarnamen-Cloud, ein Arbeitskonto, private E-Mail oder den gewohnten Messenger nutzt, kann die Identität nicht aus der Datei, sondern aus dem Freigabeweg hervorgehen. Bei Cloud-Freigaben können Besitzername, E-Mail-Adresse, Profilbild, Ansichtsverlauf und Bearbeitungsverlauf für die Gegenseite sichtbar sein.
| Freigabemethode | Hinweis |
|---|---|
| Klarnamen-Cloud | Besitzername oder E-Mail ist sichtbar |
| Arbeitskonto | Zugehörigkeit und Verwaltungsprotokolle bleiben zurück |
| Private E-Mail | Absenderinformationen stellen eine Verbindung her |
| SNS-DM | Die Gegenseite kann speichern oder weiterleiten |
| Anonymes Einreichungsformular | Dateimetadaten müssen separat geprüft werden |
Auch wenn die Datei sicher vorbereitet wurde, bricht die Anonymität zusammen, wenn man sie am falschen Ort übergibt.
An die Zeit nach der Übergabe denken
Nachdem eine Datei bei der Gegenseite angekommen ist, kann man sie selbst nicht mehr kontrollieren.
Die Gegenseite kann sie speichern, weiterleiten, Screenshots machen, zu einem anderen Dienst hochladen oder analysieren. Wer über Anonymität nachdenkt, denkt bis zu der Frage, was die Gegenseite nach dem Empfang tun kann.
Bei Hochrisiko-Hinweisen prüft man vor dem Senden der Datei, ob die Gegenseite vertrauenswürdig ist, ob es ein sicheres Verfahren am Ziel gibt und ob die Beratungsstelle angemessen ist. Man entscheidet nicht allein auf Grundlage eines Artikels, sondern erwägt bei Bedarf Fachleute oder vertrauenswürdige Unterstützungsstellen.
Häufige Fehler
Fehler bei der anonymen Übergabe von Dateien betreffen nicht nur technische Metadaten.
In Eile senden. Die gewohnte Cloud verwenden. Den Bildschirm, der der Gegenseite angezeigt wird, nicht prüfen. Solche operativen Fehler schwächen die Anonymität.
| Fehler | Was geschieht |
|---|---|
| Link aus einer Klarnamen-Cloud senden | Besitzername oder E-Mail ist sichtbar |
| Originaldatei unverändert senden | Ersteller oder Bearbeitungsverlauf bleibt zurück |
| Ungeprüften Screenshot senden | Benachrichtigungen oder Kontonamen erscheinen |
| Archivdatei nicht prüfen | Unnötige Dateien oder Ordnernamen sind enthalten |
| Nach dem Senden in Panik löschen | Speichern oder Weiterleiten durch die Gegenseite lässt sich nicht stoppen |
Viele Fehler lassen sich in den wenigen Minuten vor dem Senden verhindern. Bei Dateiübertragungen ist Eile selbst ein Risiko.
Prüfung vor dem Senden
| Prüfpunkt | Grund |
|---|---|
| Wird die Originaldatei nicht direkt übergeben? | Zum Schutz und zur Prüfung des Originals |
| Wurde der Dateiname geprüft? | Damit Klarnamen, Organisationsnamen und Daten nicht erscheinen |
| Wurden Metadaten geprüft? | Um Ersteller und Standortinformationen zu prüfen |
| Wurde der Inhalt geprüft? | Hintergründe, Ton und Eigennamen ansehen |
| Wurde der Freigabeweg geprüft? | Klarnamen-Clouds und Arbeitskonten vermeiden |
| Wurde die Anzeige auf Empfängerseite geprüft? | Prüfen, ob Besitzername oder E-Mail sichtbar ist |
Wenn Punkte offen bleiben, bei denen man nicht entscheiden kann, sollte man das Senden nicht überstürzen. Eine Datei zu senden ist eine Handlung, die sich nach der Veröffentlichung schwer zurückholen lässt.
Zusammenfassung
Vor der anonymen Übergabe von Dateien prüft man nicht nur den sichtbaren Text, sondern auch Dateiname, Metadaten, Inhalt, Freigabeweg und Anzeige auf Empfängerseite.
Man übergibt die Originaldatei nicht direkt, sondern erstellt eine Einreichungskopie und prüft sie je nach Format. Auch wenn Metadaten entfernt wurden, bleiben Hintergründe, Ton, Eigennamen, Benachrichtigungen und Cloud-Besitzernamen separat bestehen.
Eine Datei zu übergeben kann bedeuten, nicht nur die Information selbst, sondern auch Erstellungsumgebung und Freigabeweg mitzugeben. In Hochrisikosituationen sollte man nicht eilen, sondern prüfen und bei Bedarf eine vertrauenswürdige Beratungsstelle erwägen.
Verwandte Werkzeuge
ExifTool
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://exiftool.org/
MAT2
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
SecureDrop
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://securedrop.org/
GlobaLeaks
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://globaleaks.org/
OnionShare
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://onionshare.org/