Metadaten, die bei Hinweisgabe und Dateifreigabe zurückbleiben
Bei Hinweisgabe und Dateifreigabe ist nicht nur der Inhalt des Textes ein Problem, sondern auch Metadaten, die in Dateien zurückbleiben.
Wenn interne Unterlagen, Fotos, PDFs, Office-Dokumente, Videos oder Audiodateien anonym übergeben werden, können Erstellername, Firmenname, Bearbeitungsverlauf, Aufnahmedatum und -zeit, Standortinformationen, verwendete Software und Dateiname zu Hinweisen auf die Quelle werden.
Das ist besonders für Quellenschutz und Whistleblowing wichtig. Denn selbst wenn die Datei inhaltlich korrekt ist, kann aus den Umfeldinformationen der Datei geschlossen werden, wer sie bereitgestellt hat.
Dieser Artikel gibt einen Überblick über Metadaten, die bei Hinweisgabe und Dateifreigabe leicht zurückbleiben, und über die Punkte, die vor dem Senden geprüft werden sollten.
Metadaten zeigen die Herkunft
Metadaten sind Informationen, die einer Datei beigegeben sind.
Sie können Ersteller, Aufnahmedatum und -zeit, Standortinformationen, Bearbeitungsverlauf, Kommentare, Erstellungssoftware, Gerätename, Firmenname und ähnliche Informationen enthalten.
Auch wenn im Text kein Name steht, wird Anonymität deutlich geschwächt, wenn in den Metadaten ein Erstellername oder Organisationsname zurückbleibt.
| Datei | Informationen, die zurückbleiben können |
|---|---|
| Bild | GPS, Aufnahmedatum und -zeit, Kameramodell |
| Ersteller, Erstellungssoftware, Anmerkungen, eingebettete Dateien | |
| Office | Ersteller, Firmenname, Änderungsverlauf, Kommentare |
| Video | Aufnahmedatum und -zeit, Standort, Geräteinformationen, Bearbeitungssoftware |
| Audio | Tags, Aufnahmedatum und -zeit, App-Informationen, Hintergrundgeräusche |
Metadaten sind äußerlich nicht sichtbar. Deshalb ist wichtig, Sicherheit nicht nach dem Aussehen zu beurteilen.
Bei Hinweisgabe ist auch der Umgang auf der Gegenseite wichtig
Wenn man eine Datei sendet, kann die Gegenseite diese Datei speichern, weiterleiten und analysieren.
Auch bei einer vertrauenswürdigen Redaktion oder Unterstützungsorganisation können Informationen der sendenden Seite zurückbleiben, wenn die Sendemethode ungeeignet ist. Bei gewöhnlicher E-Mail, einer Klarnamen-Cloud, einem Arbeitsgerät oder dem gewohnten Browser entsteht Korrelation über Wege außerhalb der Datei.
| Weg | Zurückbleibende Hinweise |
|---|---|
| Absender, Sendezeit, E-Mail-Header | |
| Cloud-Freigabe | Besitzername, Freigabeverlauf, Ansichtsverlauf |
| Arbeitsgerät | Geräteverwaltungslogs, Dateizugriffsverlauf |
| Direktnachricht in einem persönlichen sozialen Netzwerk | Konto, Antworten, Screenshots |
| Einreichungsformular | IP, Browserinformationen, Upload-Zeit |
Auch wenn Dateimetadaten entfernt wurden, bricht Anonymität zusammen, wenn der Sendeweg mit der Klarnamenumgebung verbunden ist.
Auf Erstellerinformationen achten
Bei Dokumentdateien sind Erstellerinformationen besonders wichtig.
Office-Dokumente und PDFs können Erstellername, Firmenname, Bearbeitende, Kommentare und Änderungsverlauf behalten. In Unterlagen, die auf einem Organisations-PC erstellt wurden, können Organisationsname oder Benutzername enthalten sein.
Beim Whistleblowing wird nicht nur der Inhalt der Unterlagen zum Hinweis, sondern auch, wer Zugriff auf diese Unterlagen gehabt haben könnte. Zusätzlich zu Metadaten prüft man Inhalt, Abteilungsnamen, zeitliche Abfolge und Fachbegriffe im Text.
| Information | Risiko |
|---|---|
| Erstellername | Eine Person wird direkt erkennbar |
| Firmenname | Die zugehörige Organisation wird erkennbar |
| Bearbeitende | Der Kreis der Beteiligten wird sichtbar |
| Kommentare | Interne Gespräche oder Entscheidungen bleiben zurück |
| Änderungsverlauf | Es wird sichtbar, wer wo etwas geändert hat |
Erstellerinformationen sind manchmal nicht sichtbar, wenn man die Datei nur öffnet. Man prüft sie über Eigenschaften oder Prüfwerkzeuge.
In Fotos und Videos bleiben Orte zurück
Bei Fotos und Videos sind nicht nur GPS und Aufnahmedatum problematisch, sondern auch der Hintergrund.
Auch wenn Metadaten gelöscht wurden, können Orte und Personen aus Gebäuden, Schildern, Uniformen, Schreibtischen, Spiegelungen in Fenstern, Straßen, Bahnhofsdurchsagen, Gesprächen in der Umgebung und ähnlichen Hinweisen abgeleitet werden.
Bei Hinweisgabe können Fotos vom Ort des Geschehens starke Beweise sein. Der Beweiswert und die Anonymität können jedoch miteinander in Konflikt geraten. Man trennt die Frage, wie viel Verbergen den Beweis schwächt, von der Frage, wie viel Offenlegung die bereitstellende Person gefährdet.
In Hochrisikofällen sollte man Dateien nicht allein nach eigener Einschätzung bearbeiten, sondern eine vertrauenswürdige Beratungsstelle in Betracht ziehen.
Vor dem Senden eine Übermittlungskopie erstellen
Man sendet nicht direkt die Originaldatei, sondern erstellt eine Kopie für die Übermittlung.
Die Originaldatei wird bei Bedarf als Beweis aufbewahrt. Bei der Übermittlungskopie prüft man Dateiname, Metadaten, Textinhalt, Hintergrund, Kommentare und unnötige Dateien.
| Phase | Was prüfen |
|---|---|
| 1 | Die Originaldatei sicher aufbewahren |
| 2 | Eine Übermittlungskopie erstellen |
| 3 | Den Dateinamen verallgemeinern |
| 4 | Metadaten prüfen |
| 5 | Inhalt und Hintergrund prüfen |
| 6 | Sendeweg prüfen |
| 7 | Überlegen, was nach dem Senden zurückbleibt |
Nach Umwandlung oder Bearbeitung prüft man die Metadaten erneut. Denn Bearbeitungssoftware kann neue Erstellerinformationen hinzufügen.
Werkzeuge sind Hilfsmittel und keine vollständige Lösung
Werkzeuge wie ExifTool helfen bei der Prüfung von Metadaten.
ExifTool ist ein typisches Werkzeug, mit dem man Metadaten von Bildern, Videos, Dokumenten und ähnlichen Dateien lokal prüfen und bearbeiten kann. Bei Whistleblowing oder Hinweisgabe kann schon das Hochladen einer Datei auf eine externe Website zur Prüfung ein neues Risiko erzeugen; deshalb sind Werkzeuge wichtig, mit denen man lokal prüfen kann. URL : https://exiftool.org/
Allerdings kann man nicht sagen, eine Datei sei vollständig sicher, nur weil ein Werkzeug nichts anzeigt. Interne Informationen, die das Werkzeug nicht unterstützt, Eigennamen im Text, Bildhintergründe, Audio und Freigabewege müssen getrennt geprüft werden.
Bei Anonymität behandelt man Werkzeugergebnisse und die Prüfung mit menschlichem Blick als getrennte Prüfungen.
Reihenfolge der Prüfung vor der Einreichung
Bei Hinweisgabe ist auch die Reihenfolge der Prüfung wichtig.
Man beginnt nicht sofort mit einem Werkzeug zum Entfernen von Metadaten, sondern entscheidet zuerst, was geschützt werden muss. Der Prüfumfang ändert sich danach, ob die bereitstellende Person geschützt werden muss, eine Quelle geschützt werden muss oder ob es wichtig ist, Kolleginnen, Kollegen oder Familie nicht hineinzuziehen.
| Reihenfolge | Was prüfen |
|---|---|
| 1 | Entscheiden, wer geschützt werden muss |
| 2 | Prüfen, ob der Dateiinhalt Eigennamen oder zeitliche Abläufe enthält |
| 3 | Datei- und Ordnernamen prüfen |
| 4 | Metadaten prüfen |
| 5 | Sendeweg und Anzeige auf Empfängerseite prüfen |
| 6 | Überlegen, wer die Datei nach dem Senden behandelt |
Wenn man bei Anonymität zuerst nur technische Löscharbeiten ausführt, übersieht man Risiken im Textinhalt oder Sendeweg. Zuerst entscheidet man, was geschützt werden soll, und prüft danach Datei und Weg.
Hochriskante Unterlagen nicht allein beurteilen
Bei Whistleblowing, Meldungen illegaler Handlungen, Arbeitsunterlagen und Dateien mit Bezug zu Quellen bestehen nicht nur Anonymitätsrisiken, sondern auch rechtliche Risiken und Sicherheitsrisiken.
Unbedachte Bearbeitung kann den Beweiswert verändern. Umgekehrt können die bereitstellende Person oder Beteiligte abgeleitet werden, wenn man ohne Bearbeitung sendet.
In solchen Situationen sollte man nicht allein auf Grundlage dieses Artikels entscheiden. Man zieht eine zur Situation passende Beratungsstelle in Betracht, etwa eine vertrauenswürdige Redaktion, Unterstützungsorganisation oder Rechtsanwältin beziehungsweise einen Rechtsanwalt.
Auch nach dem Senden ist wichtig, nicht hastig zu reagieren, wenn die Gegenseite zusätzliche Unterlagen verlangt. Gerade bei zusätzlichen Dateien wird die Prüfung leichter nachlässig, und Erstellerinformationen oder zeitliche Abläufe, die in den ersten Unterlagen nicht offengelegt waren, können sich hineinmischen.
Zusammenfassung
Bei Hinweisgabe und Dateifreigabe wird nicht nur der Dateiinhalt, sondern auch Metadaten zu einem Hinweis auf die Quelle.
Bilder, PDFs, Office-Dokumente, Videos und Audiodateien können Ersteller, Firmenname, Bearbeitungsverlauf, Aufnahmedatum und -zeit, Standortinformationen, Tags und verwendete Software behalten.
Zusätzlich werden Sendeweg, Name des Cloud-Besitzers, E-Mail-Header, Logs von Einreichungsformularen und Verlauf auf Arbeitsgeräten zu getrennten Hinweisen.
Bevor man eine Datei anonym übergibt, sendet man nicht direkt das Original, sondern erstellt eine Übermittlungskopie und prüft Dateiname, Metadaten, Inhalt und Freigabeweg. Bei hochriskanter Hinweisgabe entscheidet man nicht allein auf Grundlage dieses Artikels, sondern zieht auch eine vertrauenswürdige Beratungsstelle in Betracht.
Verwandte Werkzeuge
ExifTool
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://exiftool.org/
MAT2
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
SecureDrop
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://securedrop.org/
GlobaLeaks
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://globaleaks.org/
OnionShare
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://onionshare.org/