Wenn man über Anonymität nachdenkt, kommt man aber nicht daran vorbei. OPSEC ist kein Name eines besonderen Werkzeugs. Es ist eine Denkweise, um zu überlegen, was eine andere Seite aus dem eigenen Verhalten sehen kann, und gefährliche Informationsabgaben zu reduzieren.
Ein nutzen. Browser nutzen. Metadaten entfernen. Solche Maßnahmen sind wichtig.
Ohne OPSEC werden sie jedoch alle schwächer.
Auch wenn der Kommunikationsweg verborgen ist, wird der Arbeitsplatz sichtbar, wenn im Beitragstext ein Ereignis am Arbeitsplatz steht. Auch wenn Metadaten entfernt wurden, nützt es nichts, wenn in einem Screenshot eine Benachrichtigung des Klarnamenkontos erscheint. Auch bei sicherer Mail bricht Anonymität, wenn man in einer Antwort Klarname oder Zugehörigkeit nennt.
Dieser Artikel ordnet die Grundlagen von OPSEC zum Schutz von Anonymität ein.
Was ist OPSEC?
OPSEC steht für Operational Security.
Wörtlich bedeutet es "operative Sicherheit". Im Kontext von Anonymität ist es die Denkweise, Sicherheit nicht nur über Werkzeuge und Einstellungen zu verwalten, sondern auch über tägliches Verhalten, Beiträge, Kontakt, Speichern, Löschen und Antworten.
Vor Veröffentlichung, danach, regelmäßige Kontrolle
OPSEC ist keine "Methode, mit der man garantiert nie gefunden wird".
Es ist Betrieb, bei dem man für den eigenen Zweck überlegt, welche Informationen gefährlich wären, und unnötige Korrelation reduziert.
Was man vor Werkzeugen klärt
Wenn man Anonymität lernt, richtet sich die Aufmerksamkeit schnell auf Werkzeugnamen.
Tor, VPN, verschlüsselte Messenger, Werkzeuge zur Metadatenentfernung. Alle sind wichtig. In OPSEC klärt man aber vor Werkzeugen, "vor wem man was schützt".
Auch bei gleicher anonymer Veröffentlichung unterscheiden sich nötige Maßnahmen zwischen einer Person, die ein Hobbykonto vor Bekannten verbergen will, und einer Person, die bei Whistleblowing Vergeltung vermeiden will.
Sichtbare Stellen für Informationen verändern sich
VPN-Anbieter, Mailanbieter, Beratungsstelle
Werkzeuge wählt man nach dieser Ordnung.
Wählt man zuerst Werkzeuge, entstehen Missverständnisse wie "Mit VPN ist es in Ordnung" oder "Tor ist sicher". OPSEC betrachtet, was nach Nutzung eines Werkzeugs sichtbar wird und was bleibt.
Informationsarten, die OPSEC betrachtet
Hinweise, die Anonymität brechen, sind nicht nur Namen.
IP-Adresse, Cookie, Posting-Zeit, Fotohintergrund, Dateiname, Schreibstil, frühere Konten und Antwortgewohnheiten. Wenn solche Informationen kombiniert werden, grenzen sie Person oder Beteiligte ein.
Informationsart
Beispiel
Was sichtbar wird
Netzwerkinformation
IP, DNS, Kommunikationszeit
Quelle oder Kommunikationsumgebung
Kontoinformation
ID, Mail, Wiederherstellungsziel
Verbindung zur Klarnamenumgebung
Beitragsinhalt
Arbeitsplatz, Region, Fachwissen
Personenbild oder Zugehörigkeit
Medieninformation
Foto, PDF, Screenshot
Ort, Gerät, Ersteller
Verhaltensmuster
Posting-Zeit, Reaktionsgeschwindigkeit
Lebensrhythmus oder Teilnahme vor Ort
Frühere Information
Alte SNS, alter Blog
Korrelation mit aktuellem anonymen Namen
In OPSEC reicht es nicht, Informationen einzeln zu betrachten.
Man betrachtet Kombinationen.
Wenn zum Beispiel "Kansai", "medizinischer Bereich", "nach Nachtschicht", "Teilnahme an bestimmter Veranstaltung" und "Name ähnlich alter ID" zusammenkommen, wird der Kandidatenkreis deutlich enger.
Häufige OPSEC-Fehler
Anonymitätsfehler entstehen nicht nur durch schwierige Angriffe.
Viele entstehen durch kleine Handlungen der Person selbst. Eile, Wut, Gewöhnung und Bequemlichkeit werden zu Lücken im Betrieb.
Fehler
Was geschieht
Gegenmaßnahme
Mit Klarnamenumgebung mischen
Verbindet sich über Cookie, Kontakte, Cloud
Eigene Umgebung trennen
In Antworten zu viel sagen
Informationen erscheinen, die im Beitrag nicht standen
Vor der Antwort Zeit lassen
Bildprüfung überspringen
Hintergrund oder Benachrichtigung ist sichtbar
Prüfung vor dem Posten fest einplanen
Dieselbe ID verwenden
Verbindet sich über Suche mit früherem Konto
Neuen Namen erstellen
Nach Löschung beruhigt sein
Screenshots oder Zitate bleiben
Verbreitungsbereich prüfen
OPSEC bedeutet nicht, jedes Mal perfekt weiterzudenken.
Es bedeutet, typische Fehlersituationen vorher zu kennen und in Verfahren umzusetzen.
OPSEC zu einem Alltagsverfahren machen
OPSEC geht verloren, wenn man es nur im Kopf bedenkt.
Wenn man festlegt, was vor der Veröffentlichung, danach und bei regelmäßiger Kontrolle zu prüfen ist, sinken Fehler auch bei Müdigkeit.
Zeitpunkt
Was zu prüfen ist
Zweck
Vorbereitung
Zweck, Gegenseite, Schutzobjekt
Stärke der Maßnahme bestimmen
Vor dem Posten
Text, Bilder, Dateien, Links
Direkte Lecks verhindern
Nach dem Posten
Antworten, Zitate, Verbreitung
Keine Zusatzinformationen ausgeben
Regelmäßige Kontrolle
Alte Beiträge, Suchergebnisse, Profile
Angesammelte Korrelation betrachten
Bei Problem
Dokumentation, Löschung, Beratungsstelle
Übereilte Reaktion vermeiden
Gerade bei riskanter Aktivität kann es nötig sein, die Prüfung nicht allein abzuschließen.
Bei Whistleblowing, Quellenschutz und Aktivitäten mit realer Gefahr gibt es Situationen, in denen Beratung durch Anwälte, Unterstützungsorganisationen, Redaktionen oder vertrauenswürdige Sicherheitsverantwortliche besser ist.
Niedriges und hohes Risiko trennen
OPSEC verlangt nicht von allen dieselben Maßnahmen.
Bei einem Hobbykonto unter anderem Namen steht im Mittelpunkt, nicht von Bekannten oder am Arbeitsplatz gefunden zu werden. Bei Whistleblowing oder Quellenschutz muss man dagegen interne Organisationslogs, Zugriffsverläufe auf Unterlagen, rechtliche Risiken und Vergeltung gegen Beteiligte bedenken.
Situation
Hauptsächlich zu betrachten
Hinweis
Hobby unter anderem Namen
Alte ID, Bilder, Korrelation mit Bekannten
Verbindung mit früheren Konten vermeiden
Beratung zu Sorgen
Familie, Arbeitsplatz, gewohnte Orte
Nicht durch Beratungsinhalt auf Person eingrenzen lassen
Gesellschaftliche Äußerung
Posting-Zeit, Vor-Ort-Informationen, Mitstreiter
Aktivitätsorte und Beteiligte schützen
Quellenschutz
Kontaktweg, Unterlagen, Artikelinhalt
Rückführung zur Quelle reduzieren
Whistleblowing
Interne Logs, Dokumente, Zugriffsverlauf
Fachberatung erwägen
Zu leichte Maßnahmen sind gefährlich.
Umgekehrt werden zu komplexe Maßnahmen schwer durchzuhalten, und der Betrieb bricht unterwegs. In OPSEC ist auch wichtig, eine Stärke zu wählen, die zur eigenen Lage passt.
Zusammenfassung
OPSEC ist operative Sicherheitsverwaltung zum Schutz von Anonymität.
Werkzeuge wie VPN oder Tor vollenden Anonymität nicht. Man muss auch Beitragsinhalt, Bilder, Dateien, Antworten, Zeit, frühere Informationen und Vermischung mit Klarnamenumgebung einbeziehen.
In OPSEC legt man zuerst fest, "vor wem, was und in welchem Umfang" geschützt werden soll.
Danach prüft man, welche Informationen sichtbar sind und womit sie sich verbinden.
Anonymität ist keine einmalige Technik zum Verstecken.
Sie ist Betrieb, der Hinweise reduziert, Korrelation nicht vermehrt und in gefährlichen Momenten stoppen kann. OPSEC ist die Grundidee dafür.
Verwandte Artikel
Grundlagen
Was ist OPSEC?
OPSEC ordnet, vor wem was geschützt werden soll, welche Hinweise sichtbar sind und wie Verhalten, Werkzeuge, Inhalte und Fehlerbehandlung zusammenwirken.