Wenn man anonym mit Dateien arbeitet, reicht es nicht, nur die Datei selbst zu prüfen.
Persönliche Cloud, Arbeitsplatz-Cloud, gemeinsame Bearbeitungswerkzeuge, Freigabelinks, Bearbeitungsverlauf, Eigentümeranzeige. Solche Informationen in der Cloud können die Herkunft der Datei oder die Erstellungsumgebung zeigen.
Selbst wenn etwa Metadaten aus einem PDF entfernt wurden, bricht Anonymität, wenn der Person, die den Freigabelink öffnet, der Eigentümername eines Klarnamenkontos angezeigt wird. Auch in Bearbeitungsverläufen oder Kommentaren in der Cloud können Erstellende, Beteiligte oder Organisationsnamen zurückbleiben.
Dieser Artikel ordnet, wie Cloud-Verlauf und Dateierstellungsumgebung mit Anonymität zusammenhängen.
Cloud ist nicht nur Speicherort, sondern auch Verlaufsort
Cloud-Speicher ist nicht nur ein Ort, an dem Dateien gespeichert werden.
Viele Cloud-Dienste verwalten Eigentümer, Aktualisierende, Freigabeempfänger, Betrachtungsverläufe, Bearbeitungsverläufe, Kommentare und Versionsverläufe. Diese Funktionen sind praktisch, werden beim anonymen Teilen von Dateien aber zu Hinweisen.
Information
Mögliche Sichtbarkeit
Hinweis für Anonymität
Eigentümername
Kann für Freigabeempfänger sichtbar sein
Echter Name oder E-Mail erscheint
Aktualisierende
Kann bei gemeinsamer Bearbeitung sichtbar sein
Beteiligte werden erkennbar
Freigabeverlauf
Bleibt intern im Dienst
Mit wem geteilt wurde, bleibt zurück
Betrachtungsverlauf
Kann für Administratoren oder Eigentümer sichtbar sein
Wer geöffnet hat, wird erkennbar
Kommentare
Bleiben im Dokument
Interne Gespräche oder Bewertungen werden sichtbar
Versionsverlauf
Frühere Inhalte bleiben erhalten
Gelöschte Informationen können zurückkehren
In der Cloud muss man Dateiinhalt und Anzeige im Dienst getrennt prüfen.
Risiken persönlicher Clouds
Mit persönlichen Clouds, die man normalerweise nutzt, sind echter Name, Profilbild, E-Mail-Adresse, Zahlungsinformationen, Gerätesynchronisierung und Fotoverlauf verbunden.
Wenn eine anonyme Datei in der persönlichen Cloud liegt, kann sie über Eigentümeranzeige oder Freigabelink mit der Klarnamenseite verbunden werden. Außerdem kann Cloud-Synchronisierung dazu führen, dass anonyme Dateien auf normalen Geräten oder anderen Geräten gespeichert werden.
Handlung
Risiko
In persönlicher Cloud speichern
Bleibt im Verlauf des Klarnamenkontos
Freigabelink erstellen
Eigentümername oder E-Mail wird sichtbar
Mit Smartphone synchronisieren
Vermischt sich mit Benachrichtigungen oder Fotoverlauf
Gemeinsam bearbeiten
Aktualisierende und Kommentare bleiben zurück
Auf Klarnamengerät öffnen
Bleibt in Geräteverlauf oder zuletzt verwendeten Dateien
Wenn Anonymität wichtig ist, behandelt man Veröffentlichungsdateien getrennt von der Klarnamen-Cloud.
Arbeitsplatz- und Schul-Clouds erfordern noch mehr Vorsicht
Bei Arbeitsplatz- und Schul-Clouds gibt es Administratoren.
Speichern, Anzeigen, Teilen, Herunterladen, Löschen und externe Freigaben von Dateien können als Verwaltungslogs zurückbleiben. Bei Whistleblowing oder Quellenschutz ist dieser Punkt sehr wichtig.
Auch wenn man Material aus der Arbeitsplatz-Cloud herunterlädt und anonym sendet, werden Kandidaten eingegrenzt, wenn nur wenige Personen Zugriff auf das Material hatten oder es zu einem bestimmten Zeitpunkt geöffnet haben.
Aufzeichnung
Was erkennbar wird
Zugriffsverlauf
Wer wann geöffnet hat
Downloadverlauf
Wer es erhalten hat
Freigabeverlauf
An wen es weitergegeben wurde
Berechtigungsänderung
Wer den Veröffentlichungsbereich geändert hat
Löschverlauf
Was gelöscht wurde
Bei Hochrisikomaterial sollte man nicht allein anhand eines Artikels entscheiden. Wegen rechtlicher Risiken und Problemen durch organisationsinterne Logs zieht man vertrauenswürdige Beratungsstellen in Betracht.
Sichtbarkeit von Freigabelinks
Freigabelinks sind praktisch, erfordern bei Anonymität aber Vorsicht.
Für die empfangende Person können Eigentümername, E-Mail-Adresse, Profilbild, Ordnername, Dateipfad und Bearbeitungsrechte sichtbar sein.
Auch wenn es auf dem eigenen Bildschirm sicher aussieht, kann auf dem Bildschirm der anderen Seite der echte Name angezeigt werden.
Prüfpunkt
Grund
Eigentümeranzeige
Prüfen, ob echter Name oder E-Mail sichtbar sind
Ordnername
Prüfen, ob Vorgangsname oder Organisationsname erscheint
Berechtigung
Prüfen, ob nur Ansicht oder Bearbeitung möglich ist
Linkbereich
Prüfen, ob alle zugreifen können oder Zugriff begrenzt ist
Betrachteranzeige
Prüfen, ob Zugriff der anderen Person aufgezeichnet wird
Wenn möglich prüft man mit einem anderen Konto oder einer anderen Umgebung, wie es für die andere Seite aussieht.
Lokal eine Veröffentlichungskopie erstellen
Wenn Anonymität wichtig ist, lässt sich das Risiko oft senken, indem man nicht das Cloud-Original direkt teilt, sondern eine Veröffentlichungskopie erstellt.
Man erstellt lokal eine Veröffentlichungskopie, prüft Dateiname, Metadaten und Inhalt und gibt sie danach auf die nötige Weise weiter.
Auch eine lokale Umgebung hinterlässt jedoch Spuren, wenn sie ein Klarnamengerät ist. Bei hohem Risiko zieht man auch eine spezielle Umgebung, ein anonymes OS oder ein getrenntes Gerät in Betracht.
Schritt
Was prüfen
1
Cloud-Original nicht direkt teilen
2
Veröffentlichungskopie erstellen
3
Dateiname und Metadaten prüfen
4
Kommentare und Bearbeitungsverlauf entfernen
5
Für die andere Seite sichtbare Eigentümerinformationen prüfen
6
Überlegen, was nach dem Senden zurückbleibt
"Einfach einen Link aus der Cloud senden" ist bequem, kann bei Anonymität aber gefährlich sein.
Bildschirm der anderen Seite prüfen
Bei Cloud-Freigaben können der eigene Bildschirm und der Bildschirm der anderen Seite unterschiedlich sein.
Auch wenn auf dem eigenen Bildschirm nur die Datei sichtbar ist, können für die andere Seite Eigentümername, E-Mail-Adresse, Profilbild, Freigabeordnername, Aktualisierende oder Kommentarfelder sichtbar sein. Wenn man das ungeprüft teilt, kann die Anzeige des Dienstes die Datei mit der Klarnamenumgebung verbinden, selbst wenn die Datei selbst bereinigt wurde.
Wenn möglich öffnet man den Freigabelink aus einem anderen Konto oder einem anderen Browser, der die Anonymität nicht beeinträchtigt, und prüft die Sichtbarkeit.
Was auf der Empfängerseite prüfen
Prüfgrund
Eigentümername
Ob echter Name oder normale E-Mail sichtbar ist
Profilbild
Ob Gesicht oder persönliches Konto sichtbar ist
Freigabeordnername
Ob Organisationsname oder Vorgangsname erscheint
Bearbeitungsrechte
Ob die andere Seite ändern kann
Kommentarfeld
Ob interne Gespräche oder Namen Beteiligter zurückbleiben
Bei Cloud-Freigaben prüft man nicht nur den Dateiinhalt, sondern auch Umgebungsinformationen auf dem Bildschirm.
Auch nach dem Löschen kann Verlauf bleiben
Wenn man eine Datei in der Cloud löscht, verschwinden nicht unbedingt sofort alle Spuren.
Papierkorb, Versionsverlauf, Verwaltungslogs, Benachrichtigungs-E-Mails, bereits heruntergeladene Dateien der Gegenseite und Screenshots können verbleiben. In Arbeitsplatz- oder Schul-Clouds können Bedienverläufe auch in Audit-Logs der Administratorseite bleiben.
Wenn ein Problem bemerkt wird, verlässt man sich nicht allein auf Löschen. Man prüft, was geteilt wurde, wer es gesehen hat und wo es zurückbleibt.
Zusammenfassung
Cloud-Verlauf und Dateierstellungsumgebung hängen stark mit Anonymität zusammen.
Auch wenn Metadaten in der Datei selbst entfernt wurden, können Eigentümername, Freigabeverlauf, Bearbeitungsverlauf, Betrachtungsverlauf, Kommentare und Versionsverlauf in der Cloud bleiben.
In persönlichen Clouds verbindet sich das mit Klarnamenkonten. In Arbeitsplatz- oder Schul-Clouds können Verwaltungslogs und Zugriffsverläufe Kandidaten eingrenzen.
Wenn man anonym mit Dateien arbeitet, teilt man das Cloud-Original nicht direkt, sondern erstellt eine Veröffentlichungskopie und prüft sowohl die Datei selbst als auch den Freigabeweg. Bei Hochrisikomaterial handelt man nicht allein nach eigener Einschätzung, sondern zieht vertrauenswürdige Beratungsstellen in Betracht.
Verwandte Werkzeuge
Anonymous communication
Tor Project
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.