Wie OSINT Anonymität zerstören kann
Wenn Anonymität verloren geht, geschieht das nicht unbedingt durch einen technischen Angriff.
Schon das Sammeln öffentlich verfügbarer Informationen kann ein anonymes Konto mit der Person dahinter verbinden.
Das ist der Bruch von Anonymität durch OSINT.
Auch wenn die Person denkt: "In diesem Beitrag habe ich meinen echten Namen nicht geschrieben", können frühere soziale Medien, Bilder, Suchergebnisse, Archive und Profile die Kandidaten eingrenzen, wenn sie noch vorhanden sind.
Anonyme Konten verbinden sich mit früheren Informationen
Wenn man nur ein anonymes Konto betrachtet, ist der echte Name vielleicht nicht sichtbar.
Wenn sich jedoch Beitragsinhalte, Icons, Benutzernamen, Schreibstil oder Themen mit früheren Informationen unter echtem Namen überschneiden, entsteht eine Verbindung.
Zum Beispiel kann der Ablauf so aussehen.
- Ein anonymes Konto postet über ein Fachgebiet
- Ein früherer Blog mit demselben Schreibstil wird gefunden
- In dem früheren Blog steht dieselbe persönliche Erfahrung
- In diesem Blog ist noch ein altes Profil vorhanden
- Aus dem Profil werden echter Name oder Region erkennbar
Auch wenn eine einzelne Information nicht ausreicht, wird durch das Verbinden mehr sichtbar.
OSINT ist kein besonderer Hack
OSINT ist eine Denkweise, bei der öffentliche Informationen gesammelt und analysiert werden.
Es bedeutet nicht, Passwörter zu knacken oder in Geräte einzudringen. Es verbindet Informationen, die von außen sichtbar sind, etwa Suchmaschinen, soziale Medien, Bildersuche, Archive, öffentliche Profile, Stelleninformationen, Veranstaltungsseiten und frühere Blogs.
| Informationsquelle | Was möglicherweise gefunden wird |
|---|---|
| Suchmaschinen | frühere Blogs, Profile, Zitate |
| Suche in sozialen Medien | alte Handles, Beiträge, Antworten |
| Bildersuche | Icons, Gesichter, Hintergründe |
| Archive | frühere Zustände gelöschter Seiten |
| Veranstaltungsseiten | Teilnahme, Vorträge, Zugehörigkeit |
| Stellen- und Organisationsseiten | beruflicher Werdegang, Fachgebiet, Region |
Wichtig bei OSINT ist, dass die Informationen öffentlich sind. Auch alte Informationen, die die Person vergessen hat, werden zu Korrelationsmaterial, wenn sie von außen sichtbar sind.
Häufige Korrelationsmuster
| Korrelationsmuster | Was geschieht |
|---|---|
| Gleicher Benutzername | frühere Konten auf mehreren Diensten werden gefunden |
| Gleiches Icon | die Bildersuche verbindet es mit einem Klarnamenkonto |
| Gleiche persönliche Erfahrung | eine Verbindung zu früheren Blogs oder sozialen Medien entsteht |
| Gleicher Schreibstil | es wirkt ähnlich wie Beiträge unter anderem Namen |
| Gleiche Regionsangaben | gewohnte Orte werden eingegrenzt |
| Gleiche Freundschaften | Überschneidungen mit Beziehungen unter Klarnamen entstehen |
Bei OSINT reicht ein einzelner Hinweis nicht immer aus. Mehrere schwache Hinweise werden kombiniert.
Ablauf auf der suchenden Seite
Wenn Anonymität durch OSINT bricht, grenzt die suchende Person Kandidaten Schritt für Schritt ein.
Zuerst sucht sie nach dem Benutzernamen. Dann prüft sie das Icon-Bild. Aus Beitragsinhalten nimmt sie Region oder Fachgebiet auf. Sie vergleicht Schreibstil und persönliche Erfahrungen mit früheren Blogs. Sie sieht sich gelöschte Seiten und Archive an.
So geht sie von einem Hinweis zum nächsten.
| Stufe | Was angesehen wird |
|---|---|
| 1 | Benutzername, Anzeigename, Profil |
| 2 | Icon, Bilder, Hintergrund |
| 3 | Beitragsinhalt, Region, Fachbegriffe |
| 4 | Schreibstil, persönliche Erfahrungen, Zeitverlauf |
| 5 | frühere soziale Medien, Blogs, Archive |
| 6 | Beteiligte Personen, Follows, Antworten |
Die defensive Seite nutzt diesen Ablauf umgekehrt. Sie sucht selbst und prüft, wo Verbindungen entstehen.
Gelöschte Informationen können erhalten bleiben
Auch wenn frühere Beiträge gelöscht werden, können sie in Suchergebnissen, Screenshots, Reposts und Archiven erhalten bleiben.
Alte Profile. Geschlossene Blogs. Gelöschte Social-Media-Beiträge. Alte Bilder. Frühere Stellen- oder Veranstaltungsseiten.
Wenn diese erhalten bleiben, können sie sich mit aktueller anonymer Aktivität verbinden.
"Ich habe es jetzt gelöscht, also ist es in Ordnung" gilt nicht immer.
Auch aktuelle Beiträge zu ändern ist wichtig
Es ist schwierig, alle früheren Informationen zu löschen.
Deshalb ist es bei der Verteidigung nicht nur wichtig, "die Vergangenheit zu löschen", sondern auch, "in der aktuellen anonymen Aktivität keine Hinweise auszugeben, die sich mit früheren Informationen überschneiden."
Keine alten Handles verwenden. Keine früheren Bilder verwenden. Dieselben persönlichen Erfahrungen nicht wiederholen. Region oder Arbeitsplatz nicht in derselben Granularität beschreiben. Denselben Schreibstil wie unter Klarnamen vermeiden.
| Aktuelles Verhalten | Grund, es zu vermeiden |
|---|---|
| Wiederverwendung einer alten ID | frühere Konten werden gefunden |
| Wiederverwendung früherer Bilder | eine Verbindung entsteht über die Bildersuche |
| Gleiche persönliche Erfahrung | sie verbindet sich mit einem früheren Blog |
| Gleiches Fachthema | Beruf oder Zugehörigkeit überschneiden sich |
| Gleiche Freundschaften | Beziehungen werden sichtbar |
Auch wenn frühere Informationen erhalten bleiben, sinkt das Risiko, wenn sie sich nicht mit der aktuellen anonymen Aktivität verbinden.
Bildersuche und Archive nicht vergessen
Bei OSINT sind neben der normalen Textsuche auch Bildersuche und Archive wichtig.
Dasselbe Icon, früher verwendete Fotos, Profilbilder aus Blogs und Veranstaltungsfotos können über die Bildersuche gefunden werden. Auch gelöschte Seiten können in Archiven erhalten bleiben.
| Was geprüft wird | Grund |
|---|---|
| Icon-Bild | verbindet sich mit früheren Konten |
| Gesichtsfoto | verbindet sich mit Klarnamenprofilen oder Veranstaltungsfotos |
| Hintergrundfoto | lässt gewohnte Orte oder Arbeitsplatz erkennen |
| Alter Blog | Profile oder Schreibstil bleiben erhalten |
| Archiv | gelöschte Informationen bleiben erhalten |
Beurteile nicht als sicher, nur weil die Textsuche nichts zeigt. Prüfe auch Bilder und frühere Seiten.
OSINT-Abwehr besteht nicht nur aus Löschen
Bei OSINT-Gegenmaßnahmen denkt man leicht nur daran, frühere Informationen zu löschen.
Es gibt jedoch auch Informationen, die nicht gelöscht werden können. Dazu gehören Beiträge anderer Personen, Zitate, Screenshots, Archive, Caches von Suchergebnissen und Veranstaltungsseiten.
In diesem Fall wird wichtig, in der aktuellen anonymen Aktivität nicht dieselben Hinweise auszugeben.
| Gegenmaßnahme | Zweck |
|---|---|
| Löschen | die selbst kontrollierbare Exposition verringern |
| Entfernung aus Suchergebnissen beantragen | sichtbare Einstiegspunkte verringern |
| Aktuelle Beiträge verallgemeinern | Verbindung mit früheren Informationen erschweren |
| Namen und Bilder ändern | Korrelation mit früheren Konten vermeiden |
| Regelmäßig prüfen | neu erschienene Informationen bemerken |
OSINT-Abwehr ist beides: Arbeit am Löschen der Vergangenheit und Arbeit am Reduzieren aktueller Korrelation.
OSINT über sich selbst durchführen
Bevor du anonyme Aktivität beginnst, prüfe deine öffentlichen Informationen in einem sicheren Rahmen.
Suche vor allem nach Textinformationen, die bereits von außen sichtbar sind, etwa echter Name, alte Handles, veröffentlichte Social-Media-IDs, frühere Blogs und öffentliche Profile. Auch die Suchbegriffe selbst können zu Aufzeichnungen auf Diensteseite werden; wiederhole daher keine Hochrisiko-Prüfungen mit einem Klarnamenkonto oder dem Alltagsbrowser. Vermeide es, E-Mail-Adressen, Telefonnummern, Gesichtsfotos, unveröffentlichte Bilder, Materialien vor einem Whistleblowing und ähnliche Informationen direkt in externe Suchdienste oder Gesichtssuchdienste einzugeben oder hochzuladen.
Wenn du unbedingt Bildersuche verwenden musst, beschränke sie auf bereits veröffentlichte Bilder und gehe davon aus, dass beim Suchdienst Bilder oder Suchverlauf verbleiben können. Wenn du mit einem Klarnamenkonto suchst, kann Suchverlauf erhalten bleiben; achte daher auch auf die Untersuchungsumgebung.
| Wonach gesucht wird | Was angesehen wird |
|---|---|
| Echter Name | Profile, Schulen, Arbeitsplätze, Veranstaltungen |
| Alte Handles | frühere soziale Medien, Foren, Spiel-IDs |
| Veröffentlichte E-Mail-Adressen und Kontaktdaten | frühere Registrierungen und geleakte Informationen |
| Veröffentlichte Bilder | Icons, Gesichter, Hintergründe |
| Auffällige Formulierungen | frühere Blogs und Beiträge |
Informationen, die du selbst finden kannst, können möglicherweise auch Dritte finden.
Was die defensive Seite ansehen sollte
Um einen Bruch von Anonymität durch OSINT zu verhindern, prüfe deine eigenen Informationen von außen.
- Nach dem echten Namen suchen
- Nach alten Handles suchen
- Prüfen, ob veröffentlichte Kontaktdaten mit früheren Informationen verbunden sind
- Häufig verwendete Benutzernamen suchen
- Prüfen, ob veröffentlichte Icons und Fotos mit früheren Informationen verbunden sind
- Frühere Blogs und soziale Medien prüfen
- Prüfen, ob Informationen in Archiven erhalten geblieben sind
Diese Prüfung ist sicherer, wenn sie vor anonymer Aktivität erfolgt. Auch wenn du nach Beginn der Aktivität hastig löschst, kann es bereits gesehen worden sein.
Achte auch darauf, die geprüften Ergebnisse nicht in einer Klarnamen-Cloud oder in gewöhnlichen Notizen zu hinterlassen. Die Untersuchungsnotizen selbst können zu Aufzeichnungen werden, die anonyme Aktivität mit einer Klarnamenumgebung verbinden.
Zusammenfassung
Anonymität kann durch OSINT verloren gehen, weil öffentliche Informationen miteinander verbunden werden.
Auch wenn ein anonymes Konto keinen echten Namen enthält, werden Kandidaten eingegrenzt, wenn sich Benutzername, Icon, Schreibstil, persönliche Erfahrungen, regionale Informationen und frühere Beiträge überschneiden.
Auch gelöschte Informationen können in Suchergebnissen und Archiven erhalten bleiben.
Um Anonymität zu schützen, musst du nicht nur aktuelle Beiträge prüfen, sondern auch, wie frühere öffentliche Informationen sichtbar sind.
Verwandte Werkzeuge
Wayback Machine
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://web.archive.org/
Google Search removal tools
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
OSINT Framework
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Google Lens
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://lens.google/
Have I Been Pwned
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
ExifTool
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://exiftool.org/
MAT2
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.