Fünf Korrelationsmuster, die Anonymität brechen
Korrelationsmuster, die Anonymität brechen
Wenn Anonymität bricht, wird eine Person nicht immer durch eine einzige Information erkannt.
Häufig sammeln sich mehrere kleine Informationen und verstärken den Eindruck derselben Person, wodurch Kandidaten eingegrenzt werden.
Diese Verbindung getrennt wirkender Informationen nennt man Korrelation.
Um Anonymität zu schützen, muss man nicht nur sehen, was verborgen wird, sondern auch, was womit verbunden werden kann.
Dieser Artikel ordnet typische Korrelationsmuster ein, die Anonymität leicht brechen.
Was Korrelation bedeutet
Korrelation bedeutet, dass getrennte Informationen mit derselben Person, demselben Gerät, demselben Konto oder derselben Aktivität verbunden werden.
Die folgenden Informationen können einzeln schwach sein.
- Gleiche Veröffentlichungszeit
- Gleiches Thema
- Gleicher Schreibstil
- Gleiches Bild
- Gleiche IP-Adresse
- Gleiche Browserumgebung
- Gleicher Benutzername
Wenn mehrere davon zusammenfallen, wird der Eindruck derselben Person stärker.
Untersuchungen, die Anonymität brechen, beruhen nicht immer auf einem entscheidenden Beweis. Sie können viele schwache Hinweise aufbauen.
1. Netzwerkkorrelation
Netzwerkkorrelation bedeutet, Aktivitäten über IP-Adresse, DNS, Verbindungszeit, Datenmenge und ähnliche Informationen zu verbinden.
Wenn zum Beispiel kurz vor dem Post eines anonymen Kontos ein Zugriff von einer bestimmten IP erfolgt und diese IP auch für eine Realnamenaktivität genutzt wird, kann das ein Hinweis sein.
Auch DNS-Anfragen und Kommunikationslogs können zeitlich verglichen werden.
| Hinweis | Mögliche Verbindung |
|---|---|
| IP-Adresse | Aktivität aus demselben Anschluss oder Netz |
| DNS-Anfrage | Welche Domain aufgerufen werden sollte |
| Kommunikationszeit | Vergleich mit Posting- oder Bedienzeit |
| Datenmenge | Muster wie Videoupload oder Dateiübertragung |
| Nutzung von oder | Merkmale der Kommunikationsroute |
Um Netzwerkkorrelation zu reduzieren, müssen Kommunikationsroute, Login-Zustand und Veröffentlichungszeit zusammen betrachtet werden.
2. Kontokorrelation
Kontokorrelation bedeutet, dass mehrere Konten derselben Person zugeschrieben werden.
Derselbe Benutzername, ähnliche Handles, derselbe Profiltext, dasselbe Icon, dieselben Links oder dieselbe E-Mail-Adresse können Konten verbinden.
Wenn Realnamenkonto und anonymes Konto im selben Dienst gewechselt werden, können Login-Verlauf, s, Geräteinformationen und Bedienzeiten intern verbunden werden.
| Hinweis | Beispiel |
|---|---|
| Benutzername | Gleicher Name wie ein altes Konto oder nur leicht verändert |
| Icon | Gleiches Bild oder bearbeitete Version |
| Profil | Gleiche Interessen, gleiche Beschreibung, gleiche Links |
| Kontakt | Gleiche E-Mail, Telefonnummer oder Wiederherstellung |
| Login-Umgebung | Gleiches Gerät, gleicher Browser, gleiche Cookies |
Beim Trennen von Konten müssen nicht nur Namen, sondern auch Kontakte, Bilder, Geräte, Browser und Inhalte getrennt werden.
3. Schreibstil- und Inhaltskorrelation
Schreibstil und Inhalte können ebenfalls Material für Korrelation sein.
Schreibgewohnheiten, Zeichensetzung, Satzenden, Formulierungen, Fachbegriffe und Themenwahl haben persönliche Muster. Bestimmte Erfahrungen oder interne Informationen können starke Hinweise auf Person oder Zugehörigkeit sein.
Wenn Realnamenkonto und anonymes Konto dasselbe Fachgebiet, ähnliche Aussagen und gleiche Formulierungen nutzen, steigt der Eindruck derselben Person.
Im KI-Zeitalter ist der Vergleich von Stil und Inhalt leichter geworden. Text ist deshalb ein wichtiger Faktor für Anonymität.
4. Zeitkorrelation
Zeitkorrelation bedeutet, Veröffentlichungszeiten, Zugriffszeiten, Antwortzeiten und Aktivitätsphasen zu verbinden.
Wenn ein anonymes Konto jeden Tag zur gleichen Zeit aktiv ist und diese Zeit zum Tagesrhythmus oder zur Arbeitszeit einer Person passt, kann das ein Hinweis sein.
Posts direkt nach Veranstaltungen, unterwegs oder nur in Arbeitspausen können je nach Situation Kandidaten eingrenzen.
| Zeitinformation | Hinweise |
|---|---|
| Posting-Zeit | Tagesrhythmus oder Zeitzone kann sichtbar werden |
| Zugriffszeit | Kann mit Server- oder Kommunikationslogs verglichen werden |
| Antwortgeschwindigkeit | Wachzeiten oder Nutzungsgewohnheiten können sichtbar werden |
| Post direkt nach Ereignis | Anwesende oder Beteiligte können eingegrenzt werden |
| Langfristiges Muster | Verhältnis zu Werktagen, Wochenenden oder Arbeitszeit kann sichtbar werden |
Zeitinformationen lassen sich leicht mit anderen Logs vergleichen.
5. Bild- und Dateikorrelation
Bilder und Dateien können ebenfalls Korrelationsmaterial sein.
Wird dasselbe Bild in mehreren Konten genutzt, kann eine Bildsuche sie verbinden. Hintergrund, Schild, Uniform, Spiegelung, Gebäude, Dokument oder Bildschirmanzeige können Ort oder Zugehörigkeit nahelegen.
Dateien können Metadaten enthalten. PDFs und Office-Dateien können Autorennamen, Firmennamen, Bearbeitungshistorie, Erstellungssoftware und Ähnliches behalten.
Bei Bildern und Dateien müssen sichtbarer Inhalt und Metadaten geprüft werden.
6. Korrelation mit früheren Informationen
Frühere Informationen beeinflussen aktuelle Anonymität.
Alte Blogs, frühere Social-Media-Konten, alte Profile, Bilder, Benutzernamen und veröffentlichte E-Mail-Adressen können mit aktueller anonymer Aktivität verbunden werden.
Einen früheren Namen wiederverwenden. Ein altes Bild neu bearbeiten und nutzen. Dieselben Themen oder Erfahrungen in einem anderen Konto schreiben.
Solche Handlungen verbinden Vergangenheit und Gegenwart.
Bei Anonymität müssen nicht nur aktuelle Posts, sondern auch per Suche auffindbare frühere Informationen geprüft werden.
Korrelation wird durch Kombination stärker
Wichtig ist, nicht nach einem einzelnen Hinweis zu urteilen.
Eine IP-Adresse allein beweist vielleicht nichts. Schreibstil allein beweist vielleicht nichts. Posting-Zeit allein beweist vielleicht nichts.
Wenn sie aber gleichzeitig zusammenfallen, werden Kandidaten enger.
| Kombination | Was geschieht |
|---|---|
| IP-Adresse + Cookie | Derselbe Browser wird trotz Netzwechsel erkannt |
| Posting-Zeit + Tagesrhythmus | Überschneidet sich mit dem Verhaltensmuster der Person |
| Schreibstil + Fachgebiet | Ähnelt Text auf der Realnamen-Seite |
| Bild + Früheres Konto | Bildsuche verbindet sie |
| Login-Zustand + Gesehene URL | Handlung wird an ein Konto gebunden |
Um Anonymität zu schützen, müssen schwache Hinweise einzeln reduziert werden.
Grundlagen zur Reduktion von Korrelation
Um Korrelation zu reduzieren, dürfen Realnamen-Seite und anonyme Seite nicht vermischt werden.
- Konten trennen
- Browser trennen
- Cookies nicht mischen
- Inhalte prüfen
- Bilder und Dateien prüfen
- Posting-Zeit nicht zu fest machen
- Keine Namen oder Bilder früherer Konten wiederverwenden
- Informationen zu anonymer Aktivität nicht in einer Realnamenumgebung recherchieren
Korrelation vollständig auf null zu bringen ist jedoch nicht einfach. Je nach Ziel und Risiko muss entschieden werden, welche Hinweise zuerst reduziert werden.
Mit Prioritäten reduzieren
Es gibt viele Korrelationshinweise. Wenn alle gleich gewichtet werden, wird Handeln schwierig.
Beginnen Sie mit starken Hinweisen. Realnamen-Login, gleiche Cookies, gleicher Benutzername, gleiches Bild, genaue Ortsnamen oder Zeiten und Autorendaten in Dateien sollten zuerst geprüft werden.
| Priorität | Was prüfen | Grund |
|---|---|---|
| Hoch | Realnamen-Login, Cookies, Kontakte | Direkt mit einem Konto verbunden |
| Hoch | Bilder, Dateien, Metadaten | Person, Ort oder Erstellungsumgebung können erscheinen |
| Mittel | Posting-Zeit, Alltagsorte, Arbeitsplatzinformation | Kann mit anderen Logs verglichen werden |
| Mittel | Schreibstil, Fachbegriffe, Erfahrungen | Erzeugt langfristig Eindruck derselben Person |
| Nicht niedrig | Kleine Einstellungen und Gewohnheiten | Einzeln schwach, aber kumulativ |
In der Praxis ist es wichtiger, starke Korrelationen zuerst zu kappen, als alle schwachen Hinweise auf null zu bringen.
Danach sollten Schreibstil, Posting-Zeit und Themenneigung im langfristigen Betrieb regelmäßig geprüft werden.
Zusammenfassung
Korrelationsmuster, die Anonymität brechen, verbinden mehrere Informationen mit derselben Person oder Aktivität.
Netzwerk, Konten, Schreibstil, Inhalt, Zeit, Bilder, Dateien und frühere Informationen können jeweils Material für Korrelation sein.
Auch einzeln schwache Informationen können zusammen den Eindruck derselben Person verstärken.
Um Anonymität zu schützen, muss man nicht nur sehen, was verborgen wird, sondern auch, was womit verbunden werden kann.
Korrelation zu reduzieren ist ein zentraler Gedanke beim Schutz von Anonymität.
Verwandte Werkzeuge
Wayback Machine
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://web.archive.org/
OSINT Framework
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
ExifTool
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://exiftool.org/