Ein Bedrohungsmodell ist eine Ordnungshilfe, um zu überlegen: „Vor wem, was und in welchem Umfang will ich etwas schützen?“
Wenn man über Anonymität nachdenkt, scheitert man leicht, wenn man sofort ein Werkzeug auswählt.
Braucht man ein ? Braucht man ? Reicht Kontentrennung? Oder sollte man überhaupt nicht veröffentlichen? Das hängt davon ab, vor wem man was schützen will.
Gerade Einsteiger sollten zuerst ein einfaches Bedrohungsmodell erstellen.
Vor wem schützen?
Zuerst überlegt man, von wem etwas nicht gesehen werden soll.
Gegenüber
Beispiel
Allgemeine Lesende
SNS-Lesende, Menschen, die über Suche kommen
Bekannte
Familie, Freunde, Kolleginnen und Kollegen, Schulumfeld
Dienstbetreiber
Websites, SNS, Cloud-Dienste
Organisationen
Arbeitgeber, Schule, Vereine oder Gruppen
Starke Gegenüber
Organisationen mit Ermittlungsfähigkeit, staatliche Stellen, Angreifer
Wenn sich das Gegenüber ändert, ändern sich auch die Maßnahmen.
Ein Beitrag, den die Familie nicht sehen soll, und eine Situation, in der eine Organisation die Quelle nicht erfahren darf, brauchen unterschiedliche Vorbereitung.
Was schützen?
Als Nächstes trennt man die Informationen, die geschützt werden sollen.
Geht es nur um den Namen, auch um gewohnte Orte, auch um Beteiligte oder auch um den Kommunikationsweg?
Zu schützen
Beispiel
Identität
Klarname, Gesicht, Arbeitsplatz, Schule
Gewohnte Orte
nächster Bahnhof, Region, häufig besuchte Geschäfte
Beteiligte
Familie, Mitstreitende, Quellen, Kolleginnen und Kollegen
Kommunikationsweg
IP-Adresse, Ziel, Kommunikationszeitpunkt
Frühere Informationen
alter Handle, frühere Beiträge, Suchergebnisse
Wenn unklar ist, was geschützt werden soll, werden auch die Prüfpunkte unklar.
Wie groß wäre der Schaden?
Auch die Stärke des Risikos wird getrennt betrachtet.
Ob etwas nur etwas peinlich wäre, Arbeitsplatz oder Schule betrifft oder Familie und Quellen gefährden könnte, verändert die nötige Vorsicht.
Risiko
Beispiel
Niedrig
Ein Hobbykonto soll Bekannten nicht auffallen
Mittel
Es wäre problematisch, wenn Arbeitsplatz oder Schule davon erfahren
Hoch
Quellen, hinweisgebende Personen oder Beteiligte an Aktivitäten könnten verdächtigt werden
Sehr hoch
Rechtliche oder körperliche Gefahr oder starke Vergeltung ist möglich
Bei hohem Risiko sollte man nicht allein anhand eines Artikels entscheiden, sondern Fachleute oder vertrauenswürdige Beratungsstellen erwägen.
Von wo aus ist etwas sichtbar?
Im Bedrohungsmodell geht es nicht nur darum, „wer sieht“, sondern auch darum, „von wo aus etwas sichtbar ist“.
Dieselbe Information sieht für eine Website, einen SNS-Betreiber, das Arbeitsplatznetzwerk, die Familie oder eine Suchmaschine unterschiedlich aus.
Sichtbarer Ort
Beispiele für sichtbare Informationen
Website-Seite
IP-Adresse, , Anmeldestatus, Zugriffszeit
Lesende auf SNS
Beitragsinhalt, Bilder, Antworten, Profil
Suchmaschine
öffentliche Seiten, Bilder, frühere Profile
Arbeitsplatz- oder Schulnetzwerk
Ziele, Kommunikationszeiten, Spuren der Gerätenutzung
Einsteiger übersehen besonders leicht nahe Bekannte.
Inhalte, die Fremde nicht verstehen, können Familie, Kolleginnen und Kollegen oder Freunde verstehen.
An Beispielen denken
Ein Bedrohungsmodell ist mit abstrakten Worten allein schwer zu greifen.
An einigen Beispielen wird sichtbarer, welche Maßnahmen man selbst braucht.
Situation
Zu schützen vor
Worauf achten
Ein Hobbykonto erstellen
Arbeitsplatz oder Bekannte
alte Handles, Gesichtsbilder und gewohnte Orte nicht zeigen
Ein familiäres Problem besprechen
Familie oder Menschen in der Region
Familienstruktur, Schule, Region und Zeitlinie verallgemeinern
Eine Aktivität ankündigen
Gegner oder Verfolger
Veranstaltungsort, Beteiligte, Veröffentlichungszeit und Kontaktnetz schützen
Unterlagen bereitstellen
Zugehörige Organisation
Dateimetadaten, Zugriffshistorie und Einreichungsziel prüfen
Je nach Situation unterscheiden sich die Orte, die man prüfen muss.
Darum ist es gefährlich, ohne Bedrohungsmodell bei „erst einmal VPN“ stehenzubleiben.
Festlegen, was man nicht tut
Ein Bedrohungsmodell hilft nicht nur dabei festzulegen, was man tut, sondern auch, was man nicht tut.
In Hochrisikosituationen braucht es zum Beispiel Entscheidungen wie: nicht mit einem Klarnamenkonto kontaktieren, nicht vom Arbeitsgerät zugreifen, nicht vom Ereignisort aus posten, die Originaldatei nicht unverändert senden.
Zu vermeidende Handlung
Grund
Anonyme Aktivität mit einem Klarnamenkonto durchführen
Verhalten wird direkt mit der Person verbunden
Arbeitsplatz- oder Schulgerät verwenden
Verwaltungslogs und Netzwerkverlauf bleiben zurück
Gesichtsfotos wiederverwenden
Bildersuche kann zu früheren Konten führen
Posten, obwohl man nicht urteilen kann
ungeprüfte Risiken bleiben
Emotional antworten
zusätzliche Informationen werden leicht hinzugefügt
Anonymität wird oft stärker dadurch geschützt, was man vermeidet, als dadurch, was man tut.
Fragen für Einsteiger
Man muss es nicht zu kompliziert machen.
Zuerst beantwortet man die folgenden Fragen.
Frage
Zweck
Von wem darf es nicht gesehen werden?
Gegenüber festlegen
Was darf nicht sichtbar werden?
zu schützende Informationen festlegen
Womit verbindet sich der aktuelle Beitrag?
Korrelation betrachten
Wäre es problematisch, wenn es nach Veröffentlichung nicht löschbar ist?
irreversible Informationen prüfen
Bleiben Punkte, die man nicht beurteilen kann?
ungeprüfte Risiken finden
Schon diese fünf Fragen verändern die Entscheidung vor der Veröffentlichung deutlich.
Klein anfangen und aktualisieren
Ein Bedrohungsmodell ist nicht etwas, das man einmal erstellt und dann festschreibt.
Am Anfang darf es einfach sein. Man schreibt auf, von wem etwas nicht gesehen werden soll, was nicht sichtbar werden soll und welche Handlungen man vermeidet. Wenn sich Inhalt oder Risiko ändern, aktualisiert man es.
Veränderung
Neu prüfen
Beispiel
Der Beitragsinhalt hat sich geändert
zu schützende Informationen
aus Hobbybeiträgen wurden Aussagen über den Arbeitsplatz
Das Gegenüber hat sich geändert
zu schützendes Gegenüber
nicht nur Bekannte, sondern auch Organisationen berücksichtigen
Die genutzte Umgebung hat sich geändert
sichtbare Orte
von zu Hause zu öffentlichem WLAN gewechselt
Dateien kommen hinzu
Metadaten
PDF- oder Fotoprüfung wird nötig
Reaktionen nehmen zu
Umgang nach der Veröffentlichung
in Antworten oder DMs nicht zu viele Informationen geben
Ein Bedrohungsmodell muss kein schwieriges Dokument werden.
Wichtig ist, nicht zu vergessen, was man eigentlich schützt.
Werkzeuge erst nach dem Bedrohungsmodell wählen
VPN, Tor, dedizierte Browser und Werkzeuge zum Entfernen von Metadaten können nützlich sein.
Welches davon man verwenden sollte, entscheidet sich aber nach dem Bedrohungsmodell.
Situation
Zuerst bedenken
Was trotz Werkzeug bleibt
Quell-IP ändern
vor wem die IP verborgen werden soll
Cookies und Anmeldestatus
Kommunikationsweg verbergen
was vor ISP oder Ziel verborgen werden soll
Beitragsinhalt und Schreibstil
Datei veröffentlichen
welche Metadaten oder Hintergründe vorhanden sind
persönliche Informationen im Text
Alias-Konto erstellen
was von der Klarnamen-Seite getrennt wird
Themen, Zeiten, Bilder
Man fragt nicht „VPN verwenden?“, sondern „Was ändert sich durch VPN, und was bleibt?“
Diese Reihenfolge senkt die Überschätzung von Werkzeugen.
Bei hohem Risiko kann Nicht-Veröffentlichen eine Option sein
Wenn man ein Bedrohungsmodell erstellt, sieht man auch Situationen, in denen man besser nicht veröffentlicht.
Inhalte mit zu wenigen möglichen Personen, Inhalte, die Beteiligte hineinziehen, Inhalte mit rechtlichem Risiko oder Inhalte zu organisationsinternen Unterlagen und Quellen sind nicht immer für eine allgemeine Veröffentlichung geeignet.
Beratung, Dokumentation, Beweissicherung, Kontakt zu Fachleuten und andere Optionen außer Veröffentlichung existieren. Auch bei der Wahl einer Beratungsstelle prüft man Identitätsprüfung, Aufbewahrung von Aufzeichnungen, Kontaktweg und Umfang der einzureichenden Informationen.
Anonymität ist keine Technik, um alles zu veröffentlichen. Sie ist auch die Entscheidung, was man nicht herausgibt.
Zusammenfassung
Das Bedrohungsmodell ist der Ausgangspunkt von Anonymität.
Es legt fest, vor wem, was und in welchem Umfang geschützt wird.
Einsteiger ordnen vor der Werkzeugwahl das Gegenüber, die zu schützenden Informationen und die Risikostärke.
Nicht alle Menschen brauchen dieselben Maßnahmen.
Ein Bedrohungsmodell, das zur eigenen Situation passt, verringert sowohl übermäßige Angst als auch gefährliche Sorglosigkeit.
Verwandte Artikel
Grundlagen
Bedrohungsmodell für Einsteiger
Ein einfaches Bedrohungsmodell ordnet, vor wem, was und in welchem Umfang geschützt werden soll, bevor Werkzeuge wie VPN, Tor oder Kontentrennung gewählt werden.