Vorsicht bei der Dateiübergabe mit OnionShare
OnionShare ist ein Werkzeug, um Dateifreigabe und Übergaben über durchzuführen.
Es wird manchmal in Situationen verwendet, in denen Anonymität nötig ist. Zum Beispiel, um Recherchematerial zu übergeben, Whistleblowing-Unterlagen entgegenzunehmen oder Dateien direkt mit einer anderen Person zu teilen.
Auf der offiziellen Website von OnionShare kann man prüfen, wie man die App erhält, welche Funktionen sie hat, wie sie verwendet wird und welche Umgebungen unterstützt werden.
URL : https://onionshare.org/
OnionShare wird vorgestellt, weil es ein Open-Source-Werkzeug ist, das tatsächlich im Kontext anonymer Kommunikation und sichererer Dateifreigabe genutzt wird.
Allerdings ist Anonymität nicht einfach vollständig hergestellt, nur weil man OnionShare verwendet.
Wenn Dateiinhalt, Metadaten, das Gerät der anderen Person, der Umgang mit der Freigabe-URL, der Nutzungsort oder das Verhalten vor und nach der Kommunikation schwach sind, kann daraus Korrelation entstehen.
Was sich mit OnionShare ändert
OnionShare verbindet die andere Person über das Tor-Netzwerk.
Anders als bei gewöhnlicher Cloud-Freigabe lädt man die Datei nicht bei einem großen Cloud-Dienst hoch und sendet einen Link. Man startet die Freigabe auf dem eigenen Gerät, und die andere Person greift über Tor darauf zu.
| Punkt | Was sich mit OnionShare ändert |
|---|---|
| Freigabeweg | Die Verbindung nutzt Tor |
| Cloud-Anbieter | Freigabe ohne gewöhnliche Cloud-Speicherung ist möglich |
| Sichtbarkeit des Ziels | Die andere Person verbindet sich mit der onion-Adresse von OnionShare |
| Übergabemethode | Es gibt Nutzungen wie Senden, Empfangen und Web-Freigabe von Dateien |
Das ist praktisch, aber man darf den Schutzbereich nicht überschätzen.
OnionShare ist kein Werkzeug, das den Dateiinhalt automatisch anonymisiert.
Das Vertrauensmodell von OnionShare
Mit OnionShare kann man Dateien teilen, ohne sie bei einem gewöhnlichen Cloud-Anbieter abzulegen.
Das ist ein großer Vorteil. In manchen Fällen lassen sich Besitzeranzeige in der Cloud, Freigabeverlauf, Betrachterlogs und Kontoinformationen vermeiden.
Andererseits verschwinden Vertrauensstellen nicht vollständig. Man muss weiterhin dem eigenen Gerät, dem Gerät der anderen Person, der Tor-Nutzung, dem Übermittlungsweg der Freigabe-URL und dem Dateiinhalt vertrauen.
| Person oder Ort | Verbleibendes Vertrauen |
|---|---|
| Eigenes Gerät | Dateien, Verlauf, Malware, Bildschirmbenachrichtigungen |
| Gerät der anderen Person | Speicherung nach dem Download, erneute Freigabe, Metadatenprüfung |
| Übermittlungsweg der URL | Ob sie in Klarnamen-E-Mail oder Arbeitschat zurückbleibt |
| Tor-Nutzungsumgebung | Ob in der richtigen Umgebung zugegriffen wird |
| Dateiinhalt | Ob Erstellerinformationen oder eindeutige Formulierungen zurückbleiben |
OnionShare kann in manchen Situationen Vertrauensstellen reduzieren.
Es beseitigt jedoch nicht jedes Vertrauen.
Dateiinhalt und Metadaten prüfen
Bevor man eine Datei mit OnionShare übergibt, prüft man die Datei.
PDFs, Office-Dateien, Bilder, Audio, Video und Archivdateien können Erstellerinformationen, Kommentare, Änderungsverlauf, GPS, Aufnahmezeit und Dateinamen behalten.
| Datei | Was prüfen |
|---|---|
| Ersteller, Anmerkungen, Schwärzung, eingebetteter Text | |
| Office | Kommentare, Änderungsverlauf, ausgeblendete Blätter, Ersteller |
| Bild | , GPS, Hintergrund, Spiegelungen |
| Audio/Video | Hintergrundgeräusche, Aufnahmezeit, Geräteinformationen |
| ZIP | Interne Dateinamen, Ordnernamen, unnötige Dateien |
Auch ein sichererer Freigabeweg hilft nicht, wenn man eine gefährliche Datei übergibt.
Man trennt Dateien in Originale und Veröffentlichungs- oder Einreichungskopien.
Mit Freigabe-URLs vorsichtig umgehen
Bei OnionShare muss man der anderen Person die onion-Adresse für die Freigabe mitteilen.
Wichtig ist, über welchen Weg diese URL übergeben wird. Wenn man sie über Klarnamen-E-Mail, Arbeitschat, alltägliche soziale Medien oder ein organisationsverwaltetes Gerät sendet, bleibt dort ein Eintrag zurück.
| Art der Übergabe der Freigabe-URL | Risiko |
|---|---|
| Klarnamen-E-Mail | Absender und Empfänger werden protokolliert |
| Arbeitschat | Bleibt in Organisationslogs zurück |
| Direktnachricht in einem sozialen Netzwerk | Bleibt auf der Plattformseite gespeichert |
| Screenshot | Nicht nur die URL, sondern auch Benachrichtigungen oder Uhrzeit werden sichtbar |
| Mündlich oder persönlich | Bewegungsverlauf oder reale Kontaktaufzeichnungen bleiben zurück |
Auch wenn nur die OnionShare-URL anonym ist, entsteht Korrelation, wenn der Weg zur Übergabe dieser URL schwach ist.
Auch die Umgebung der Gegenseite ist wichtig
Dateifreigabe ist nicht allein auf der eigenen Seite abgeschlossen.
Wenn die andere Person in einer Klarnamenumgebung zugreift, auf einem Arbeitsgerät herunterlädt, die Datei in einer Cloud speichert oder ohne Metadatenprüfung veröffentlicht, lecken nach der Freigabe Informationen.
| Verhalten auf Empfängerseite | Was geschieht |
|---|---|
| Auf einem Arbeitsgerät öffnen | Bleibt in Organisationslogs oder Verlauf zurück |
| In einer Klarnamen-Cloud speichern | Besitzer und Freigabeverlauf bleiben zurück |
| Ohne Metadatenprüfung veröffentlichen | Ersteller oder GPS werden sichtbar |
| URL weiterleiten | Sie erreicht unerwartete Personen |
| Nach dem Download erneut freigeben | Sie verlässt OnionShare über einen anderen Weg |
OnionShare ist ein Werkzeug, das den Übergabeweg unterstützt.
Es schützt den Betrieb auf Empfängerseite nicht automatisch.
Bei Hochrisikonutzung zuerst den Ablauf festlegen
Wenn man es für Whistleblowing oder Quellenschutz verwendet, legt man den Ablauf vor dem Senden fest.
Welche Datei wird übergeben? Original oder Kopie? Wie wird die URL übermittelt? In welcher Umgebung empfängt die andere Person sie? Wo wird sie nach dem Empfang gespeichert?
| Was festlegen | Grund |
|---|---|
| Zu übergebende Datei | Keine unnötigen Unterlagen oder Metadaten offenlegen |
| Übermittlungsweg der Freigabe-URL | Korrelation der URL selbst vermeiden |
| Empfangsumgebung der anderen Person | Arbeitsgeräte und Klarnamenumgebungen vermeiden |
| Speicherort | Lecks nach dem Empfang verhindern |
| Lösch- und Stoppablauf | Bei Problemen stoppen können |
Man startet nicht erst das Werkzeug und denkt dann nach, sondern legt den Ablauf vor der Nutzung fest.
Situationen, in denen man es besser nicht verwendet
OnionShare ist nicht immer optimal.
Wenn die andere Person Tor nicht sicher nutzen kann, ihr Gerät unter Organisationsverwaltung steht, für den Beweiswert der Datei fachliche Einschätzung nötig ist, das rechtliche Risiko hoch ist oder die Freigabe-URL nicht sicher übergeben werden kann, kann es besser sein, eine andere Annahmestelle oder Beratung durch Fachleute zu priorisieren.
| Situation | Was bedenken |
|---|---|
| Die andere Person ist mit Tor nicht vertraut | Bedienfehler vermehren andere Spuren |
| Das Gerät der anderen Person ist verwaltet | Downloadverlauf und Dateioperationen bleiben zurück |
| Die URL kann nicht sicher übergeben werden | Die Freigabe-URL selbst wird korreliert |
| Beweiswert ist wichtig | Umgang mit Originalen und Kopien besprechen |
| Rechtliches Risiko ist hoch | Zuerst Rechtsanwältin, Rechtsanwalt oder Fachleute konsultieren |
Die Werkzeugwahl richtet sich nach dem Zweck und den Fähigkeiten der anderen Person.
Man nutzt es nicht, nur weil es verfügbar ist, sondern prüft, ob es zum Bedrohungsmodell dieses Falls passt.
Löschung und Aufbewahrung nach der Übergabe
Auch nach der Dateiübergabe sind Prüfungen nötig.
Man prüft, ob die Freigabe gestoppt wurde, ob die andere Person empfangen konnte, ob unnötige Kopien zurückgeblieben sind und ob die URL an anderer Stelle zurückbleibt.
Bei Unterlagen, deren Beweiswert nötig ist, kann es jedoch Fälle geben, in denen Originale oder Übergabeaufzeichnungen nicht gelöscht werden sollten.
Bei Whistleblowing und Quellenschutz trennt man die Entscheidung über Löschung von der Entscheidung über Aufbewahrung.
Zusammenfassung
OnionShare ist ein Open-Source-Werkzeug, das für Dateifreigabe und Übergabe über Tor verwendet wird.
Es ist nützlich, weil Dateien ohne gewöhnliche Cloud-Freigabe übergeben werden können.
OnionShare anonymisiert Dateiinhalt oder Metadaten jedoch nicht automatisch. Auch die Art, wie die Freigabe-URL übermittelt wird, die Umgebung der Gegenseite, die Speicherung nach dem Empfang und die Metadatenprüfung bei Veröffentlichung sind nötig.
Bei Dateifreigabe, die Anonymität erfordert, prüft man Werkzeug, Datei, Gegenseite sowie Verhalten vor und nach der Freigabe zusammen.
Verwandte Werkzeuge
Tor Project
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
ExifTool
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://exiftool.org/
SecureDrop
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://securedrop.org/
GlobaLeaks
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://globaleaks.org/
OnionShare
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://onionshare.org/