Man lädt Fotos, PDFs, Videos oder Materialien hoch und teilt sie mit einer anderen Person, indem man nur einen Link sendet. Auch wenn große Dateien nicht direkt per Social Media oder E-Mail gesendet werden können, ist das eine leicht nutzbare Methode.
Aus Sicht der Anonymität erfordern Cloud-Freigabelinks jedoch Vorsicht.
Nicht nur der Dateiinhalt kann relevant sein, sondern auch Eigentümername, Kontoname, Bearbeitungsverlauf, Freigabeeinstellungen, Zugriffsrechte, Dateiname, Vorschauansicht, Benachrichtigungen und Zugriffslogs.
Freigabelinks geben nicht nur eine Datei weiter
Bei Cloud-Freigaben sieht die andere Seite nicht unbedingt nur die Datei selbst.
Je nach Dienst werden Eigentümername, Icon, Teile der E-Mail-Adresse, Ordnername, Aktualisierende, Kommentare und Bearbeitungsverlauf angezeigt.
Information, die sichtbar sein kann
Risiko
Eigentümername
verbindet sich mit Klarnamenkonto
Profilbild
Person selbst oder anderes Konto wird erkennbar
E-Mail-Adresse
Kontaktinformation oder Klarnamenkonto wird sichtbar
Ordnername
Projektname, Schulname oder Unternehmensname erscheint
Bearbeitungsverlauf
wer erstellt oder bearbeitet hat, bleibt bestehen
Kommentare
Mitbearbeitende oder Gesprächsinhalte werden sichtbar
Wenn man eine Datei anonym weitergeben will, sie aber aus einem Klarnamen-Cloud-Konto freigibt, ist die Anonymität an diesem Punkt gebrochen.
Fallstricke der Freigabeeinstellungen
Freigabelinks haben verschiedene Veröffentlichungsbereiche.
"Alle mit dem Link", "nur bestimmte Personen", "nur innerhalb der Organisation", "bearbeitbar", "nur ansehen" und Ähnliches.
Wenn die Einstellung falsch ist, können unbeabsichtigte Personen Zugriff haben.
Einstellung
Hinweis
Alle mit dem Link
wenn der Link weitergeleitet wird, kann jede Person zugreifen
Nur bestimmte Personen
im Konto der Gegenseite bleiben Benachrichtigungen und Verlauf
Nur innerhalb der Organisation
verbindet sich mit Schul- oder Unternehmenskonto
Bearbeitbar
die Gegenseite kann Inhalte ändern
Nur ansehen
Download und Kopieren müssen getrennt geprüft werden
Auch bei "nur ansehen" kann man nicht sicher ausschließen, dass die Gegenseite Screenshots oder Bildschirmaufzeichnungen erstellt.
Freigabeeinstellungen steuern nur den Zugang. Sie garantieren nicht die Kontrolle darüber, was nach der Verbreitung mit Informationen passiert.
Informationen in der Datei selbst
Bei Cloud-Freigaben sind auch Dateiinhalt und Metadaten problematisch.
PDFs können Erstellerinformationen enthalten. Office-Dateien können Bearbeitende, Kommentare und Änderungsverlauf enthalten. Bilder können Aufnahmezeit und Standortinformationen enthalten.
Aufnahmegerät, Standort, Ton, Hintergrundinformationen
Archivdatei
interne Dateinamen, Ordnerstruktur
Auch wenn die Einstellungen eines Cloud-Freigabelinks sorgfältig gesetzt sind, hilft das nicht, wenn Informationen in der Datei selbst bleiben.
Die genaue Prüfung von Dateimetadaten wird in einem anderen Artikel behandelt.
Zugriffslogs und Benachrichtigungen
Cloud-Dienste können aufzeichnen, wer wann zugegriffen oder bearbeitet hat.
Auch Benachrichtigungen an die Gegenseite können ausgelöst werden. Wenn man mit einem Klarnamenkonto zugreift, kann der eigene Name für die Gegenseite sichtbar werden.
Information, die aufgezeichnet werden kann
Auswirkung auf Anonymität
Betrachtende
bei Zugriff mit Klarnamenkonto bleibt der Name zurück
Zugriffszeit
zeitliche Abfolge von Verhalten wird sichtbar
Bearbeitende
Mitbearbeitende und Arbeitende werden erkennbar
Kommentarverlauf
Gespräche und Beteiligte bleiben bestehen
Benachrichtigungen
Betrachtung oder Freigabe wird der Gegenseite mitgeteilt
Nicht nur die anonym teilende Seite, sondern auch die anonym empfangende Seite muss vorsichtig sein.
Wenn man einen Link öffnet, während man in ein Klarnamenkonto eingeloggt ist, können schon beim Empfangen Spuren bleiben.
Auch das Verhalten der empfangenden Seite kann für die teilende Seite sichtbar sein.
Je nach Dienst bleiben Vorgänge wie Datei öffnen, kommentieren, herunterladen, bearbeiten oder an andere weitergeben im Verlauf. Wenn eine Person, die Material anonym prüfen möchte, es mit einem Klarnamenkonto öffnet, kann ihr Name als betrachtende Person erscheinen.
Verhalten der empfangenden Seite
Mögliche Spur
Mit Klarnamenkonto öffnen
Name oder E-Mail der betrachtenden Person bleibt
Kommentieren
Klarname oder Profilbild wird angezeigt
Bearbeiten
bleibt als bearbeitende Person im Verlauf
Herunterladen
kann je nach Dienst im Verlauf bleiben
Weiterleiten
Freigabebereich weitet sich aus
Denkweise beim anonymen Teilen
Wenn man Dateien anonym teilen will, ist die Grundregel, kein Klarnamen-Cloud-Konto zu verwenden.
Außerdem prüft man Dateimetadaten, den Veröffentlichungsbereich des Freigabelinks und welche Informationen nach dem Zugriff von wem zurückbleiben.
Prüfpunkt
Grund
Wird kein Klarnamenkonto verwendet?
Identität erscheint über Eigentümername oder Benachrichtigung
Enthält der Dateiname keine personenbezogenen Daten?
wird beim Download der Gegenseite sichtbar
Wurden Metadaten geprüft?
Ersteller oder Standortinformationen können bleiben
Wurde der Freigabebereich geprüft?
unbeabsichtigte Verbreitung verhindern
Wurde der Login-Zustand der empfangenden Seite bedacht?
Betrachtungsverlauf der Gegenseite oder der eigenen Seite bleibt
Bei Hochrisiko-Freigaben prüft man statt gewöhnlicher Cloud-Dienste spezielle Werkzeuge, die für anonymes Teilen geeigneter sind.
Werkzeuge wie OnionShare oder SecureDrop werden in anderen Artikeln behandelt.
Was auch nach dem Stoppen der Freigabe bleibt
Auch wenn ein Freigabelink deaktiviert wird, verschwindet nicht alles.
Wenn die Gegenseite bereits heruntergeladen hat, bleibt die Datei auf deren Gerät. Wenn Screenshots oder Bildschirmaufzeichnungen gemacht wurden, bleibt der Inhalt in anderer Form. Auch in Benachrichtigungs-E-Mails oder Chatverläufen können Dateinamen und Links bleiben.
Was nach dem Stoppen der Freigabe bleibt
Hinweis
Heruntergeladene Datei
bleibt auf Gerät oder in Backups der Gegenseite
Screenshot
Inhalt bleibt, auch wenn der Ursprunglink gelöscht wird
Benachrichtigungs-E-Mail
Dateiname und Eigentümerinformationen bleiben
Chatverlauf
Zeitpunkt der Freigabe und Beziehung zur Gegenseite bleiben
Zugriffslogs
frühere Betrachtungs- und Bearbeitungsverläufe bleiben
Ein Freigabelink kann den öffentlichen Zustand stoppen. Bereits gesehene Informationen lassen sich damit jedoch nicht zurückholen.
Vor dem Teilen den Bildschirm der Gegenseite vorstellen
Bei Cloud-Freigaben reicht es nicht, nur die eigene Verwaltungsoberfläche anzusehen.
Welcher Name erscheint, wenn die Gegenseite den Link öffnet? Welcher Dateiname entsteht beim Download? Wie viel ist in der Vorschau sichtbar? Wird die Gegenseite zum Login aufgefordert?
Wenn man sich diesen Bildschirm vorstellt, fallen Offenlegungen von Klarnamenkonto oder Ordnername leichter auf. Bei Freigaben, die Anonymität erfordern, prüft man vor dem Senden immer, "wie es von der Gegenseite aussieht".
Zusammenfassung
Cloud-Freigabelinks geben nicht nur Dateien weiter.
Eigentümername, Konto, E-Mail-Adresse, Ordnername, Bearbeitungsverlauf, Kommentare, Zugriffslogs und Benachrichtigungen können relevant sein.
Wenn man anonym teilen will, sind wichtig: kein Klarnamenkonto verwenden, Freigabeeinstellungen prüfen und Dateimetadaten prüfen.
Auch die empfangende Seite kann Spuren hinterlassen, wenn sie mit einem Klarnamenkonto öffnet.
Bei Cloud-Freigaben denkt man nicht "ich habe nur einen Link gesendet", sondern prüft Konto, Datei, Logs und Benachrichtigungen zusammen.
Verwandte Werkzeuge
Anonymous communication
Tor Project
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Cloud-Freigabelinks können Eigentümer, Konten, Berechtigungen, Vorschauen, Zugriffslogs, Benachrichtigungen und Klarnamen-Login-Spuren der empfangenden Seite offenlegen.