Bedrohungsmodell und Vertrauensmodell
Wenn man über Anonymität nachdenkt, gibt es etwas, das man zuerst festlegen muss.
Das ist die Frage: „Vor wem will ich was schützen?“
Es ist nicht realistisch, alle Informationen vor allen Gegenübern vollständig zu verbergen. Außerdem unterscheiden sich die nötigen Maßnahmen von Person zu Person.
Bei Privatpersonen, Journalisten, Whistleblowern, Aktivisten und Verantwortlichen in Unternehmen unterscheiden sich sowohl die zu schützenden Dinge als auch die angenommenen Gegenüber.
Die Denkweise, mit der diese Voraussetzung geordnet wird, ist das Bedrohungsmodell. Die Denkweise, mit der geordnet wird, welchen Diensten oder Gegenübern man vertraut, ist das Vertrauensmodell.
Dieser Artikel ordnet Bedrohungsmodell und Vertrauensmodell als Voraussetzung für das Nachdenken über Anonymität.
Was ist ein Bedrohungsmodell?
Ein Bedrohungsmodell ist eine Denkweise, mit der man ordnet, wer worauf abzielt und durch welche Mittel ein Risiko entsteht.
Bei Anonymität beginnt man mit Fragen wie diesen.
- Vor wem will man sich schützen?
- Was soll nicht bekannt werden?
- Welche Informationen dürfen nicht miteinander verbunden werden?
- Über welche Fähigkeiten verfügt das Gegenüber?
- Wie viel Risiko kann man akzeptieren?
Wenn man zum Beispiel nicht möchte, dass Freunde ein Zweitkonto kennen, braucht man völlig andere Maßnahmen als beim Schutz einer Quelle vor einer Organisation mit starken Befugnissen.
Wenn man Maßnahmen auswählt, ohne ein Bedrohungsmodell zu erstellen, tut man entweder unnötig komplizierte Dinge oder übersieht umgekehrt wichtige Risiken.
Festlegen, was geschützt werden soll
Zuerst überlegt man, was geschützt werden soll.
Das Schutzobjekt bei Anonymität ist nicht nur der echte Name.
| Was geschützt werden soll | Beispiel |
|---|---|
| Echter Name | Name, Gesicht, Ausweis, Klarnamenkonto |
| Zugehörigkeit | Arbeitsplatz, Schule, Organisation, Abteilung |
| Gewohnte Orte | Adresse, Pendelbereich, häufig besuchte Orte |
| Quellen und Beteiligte | Informanten, Mitwirkende, Mitstreiter |
| Aktivitätsinhalt | Beiträge, Recherchen, Hinweise, Browserverlauf |
| Kommunikationsweg | IP-Adresse, DNS, Verbindungsziel, Kommunikationszeit |
Nur zu sagen: „Ich möchte anonym bleiben“, reicht nicht. Man muss konkret darüber nachdenken, welche Dinge problematisch wären, wenn sie miteinander verbunden werden.
Festlegen, vor wem man sich schützen will
Als Nächstes betrachtet man das Gegenüber.
Bei Anonymität unterscheiden sich je nach Gegenüber die sichtbaren Informationen und die verfügbaren Mittel.
| Gegenüber | Möglicherweise sichtbare Informationen | Hinweis |
|---|---|---|
| Ziel-Website | IP-Adresse, , Anmeldestatus, Anfrageinhalt | Logs und Kontoinformationen auf Seiten der Website sind relevant |
| ISP oder Kommunikationsanbieter | Verbindungszeit, Ziel-IP, Datenvolumen usw. | HTTPS-Inhalte sind schwerer lesbar, aber Metadaten können verbleiben |
| -Anbieter | Informationen zu Verbindungen der VPN-Nutzer | Bei VPN-Nutzung verlagert sich die Vertrauensstelle zum VPN-Anbieter |
| Andere Nutzer im selben Wi-Fi | Unverschlüsselte Kommunikation, Verbindungszustand | Besonders bei öffentlichem Wi-Fi ist Vorsicht nötig |
| Arbeitsplatz oder Schule | Gerät, Netzwerk, Logs, Verwaltungssysteme | Verwaltungskompetenzen können stark sein |
| Untersuchende oder Dritte | Öffentliche Informationen, Beiträge, Bilder, frühere Konten | Korrelation durch OSINT ist möglich |
Wenn man das Gegenüber festlegt, werden die nötigen Maßnahmen leichter sichtbar.
Die Fähigkeiten des Gegenübers einschätzen
Wichtig ist nicht nur, wer das Gegenüber ist, sondern auch, welche Fähigkeiten es hat.
Sucht ein Freund nur in sozialen Netzwerken? Kann ein Dienstbetreiber Zugriffslogs einsehen? Kann ein Administrator am Arbeitsplatz oder in der Schule Netzwerklogs einsehen? Kann eine staatliche Stelle von Kommunikationsanbietern die Offenlegung von Aufzeichnungen verlangen?
Wenn sich die Fähigkeiten unterscheiden, unterscheiden sich auch die nötigen Maßnahmen.
| Fähigkeit | Was möglich sein kann |
|---|---|
| Suche in öffentlichen Informationen | Benutzernamen, Bilder und frühere Beiträge suchen |
| Prüfung dienstinterner Logs | IP-Adressen, Login-Verlauf und Bedienverlauf ansehen |
| Netzwerkverwaltung | Verbindungsziele, Datenvolumen und DNS-Anfragen sehen |
| Geräteverwaltung | Browserverlauf, installierte Apps und Dateien sehen |
| Rechtliche Befugnisse | Von Anbietern die Offenlegung von Aufzeichnungen verlangen |
Wenn man bei allen Gegenübern die höchsten Fähigkeiten annimmt, wird realistisches Handeln schwierig. Andererseits ist es gefährlich, die Fähigkeiten des Gegenübers zu niedrig einzuschätzen.
Man muss im Einklang mit dem Zweck in einem realistischen Rahmen denken.
Was ist ein Vertrauensmodell?
Ein Vertrauensmodell ist eine Denkweise, mit der man ordnet, wem man vertraut und wem man nicht vertraut, wenn man einen Mechanismus nutzt.
Wenn man Anonymitätswerkzeuge nutzt, ändert sich, wer Informationen sehen kann. Die sichtbaren Informationen verschwinden nicht, sondern verlagern sich manchmal zu einem anderen Gegenüber.
Wenn man zum Beispiel ein VPN verwendet, wird die eigene Heim-IP für die Ziel-Website möglicherweise schwerer sichtbar. Der VPN-Anbieter kann jedoch Informationen zur Kommunikation der Nutzer sehen.
Wenn man verwendet, sieht das Ziel möglicherweise einen Tor-Exit-Node. Bei falscher Tor-Nutzung kann jedoch eine Verbindung über Anmeldestatus oder Browserinformationen entstehen.
| Methode | Vertrautes Gegenüber oder vertrauter Mechanismus | Hinweis |
|---|---|---|
| Normale Verbindung | ISP, Zieldienst | Die IP von Zuhause oder Arbeitsplatz kann sichtbar sein |
| VPN | VPN-Anbieter | Man muss Log-Richtlinie und Betrieb des VPN-Anbieters vertrauen |
| Tor | Design des Tor-Netzwerks, Nutzung des Tor Browser | Bei falscher Nutzung bleiben andere Hinweise zurück |
| Öffentliches Wi-Fi | Wi-Fi-Betreiber, Umgebung der Einrichtung | Verbindung mit lokalen Logs oder Überwachungskameras ist möglich |
| Cloud-Dienst | Dienstbetreiber | Konto, Logs und gespeicherte Daten sind relevant |
Wenn man über Anonymität nachdenkt, muss man nicht nur fragen: „Ist dieses Werkzeug sicher?“, sondern auch: „Auf wessen Vertrauen ist dieses Design aufgebaut?“
Ohne Bedrohungsmodell geraten Maßnahmen vom Ziel weg
Ohne Bedrohungsmodell entfernen sich Maßnahmen leicht vom eigentlichen Zweck.
Wenn man zum Beispiel nur verhindern will, dass die Ziel-Website die eigene Heim-IP sieht, kann ein VPN ausreichen. Wenn man den VPN-Anbieter jedoch als Gegenüber betrachtet, dem man nicht vertrauen kann, passt ein VPN allein vielleicht nicht zum Zweck.
Wenn man ein Klarnamenkonto und ein anonymes Konto nicht miteinander verbinden will, können Cookie, Anmeldestatus, Browsertrennung, Schreibstil und Posting-Zeit wichtiger sein als der Kommunikationsweg.
Wenn ein Whistleblower organisationsinterne Unterlagen behandelt, sind nicht nur Netzwerkwege wichtig, sondern auch Dokumentmetadaten, Zugriffsrechte, Verteilungsverlauf und die Vertrauenswürdigkeit der Beratungsstelle.
Maßnahmen ändern sich je nachdem, was geschützt werden soll und wer das Gegenüber ist.
In Risikostufen denken
Ein Bedrohungsmodell ist nicht dafür da, jedes Mal die größtmögliche Gefahr anzunehmen.
Risiko hat Stufen. Wer unter einem Zweitnamen über ein Hobby posten möchte, und wer Missstände am Arbeitsplatz meldet, verwenden zwar beide das Wort Anonymität, benötigen aber unterschiedliche Vorbereitungen.
| Situation | Hauptgegenüber | Wichtige Maßnahmen |
|---|---|---|
| Niedrigriskantes Posten unter Zweitnamen | Bekannte, suchende Dritte | Wiederverwendung von Benutzernamen, Schreibstil und Bildern vermeiden |
| Beratung, die am Arbeitsplatz nicht bekannt werden soll | Personen aus dem Arbeitsplatz, Dienstbetreiber | Arbeitsgerät vermeiden, Inhalt und Zeit verallgemeinern |
| Quellenschutz | Betroffene Organisationen, Untersuchende | Kontaktweg, Unterlagen und Rückschlüsse aus Veröffentlichungen betrachten |
| Whistleblowing | Organisation, Gegenüber mit rechtlichen Befugnissen | Dokumentmetadaten, Zugriffsverlauf und Einreichungsziel sorgfältig behandeln |
| Informationszugang unter Zensur | ISP, staatliche Stellen, Dienstbetreiber | Kommunikationsweg, Gerät und reale Sicherheit getrennt betrachten |
Je höher das Risiko ist, desto wichtiger wird es, nicht allein anhand eines Artikels zu entscheiden.
Auch die Entscheidung, vertrauenswürdige Beratungsstellen wie Anwälte, Unterstützungsorganisationen oder Sicherheitsverantwortliche in Redaktionen zu nutzen, ist Teil des Bedrohungsmodells.
Ein einfaches Bedrohungsmodell für den Anfang
Man muss nicht von Anfang an ein kompliziertes Bedrohungsmodell erstellen.
Zunächst reicht es, die folgende Tabelle auszufüllen.
| Frage | Beispiel |
|---|---|
| Was soll geschützt werden? | Echter Name, Arbeitsplatz, Quelle, gewohnte Orte, anonymes Konto |
| Vor wem soll geschützt werden? | Ziel-Website, Arbeitsplatz, Schule, Dritte, staatliche Stellen |
| Was wäre problematisch, wenn es verbunden wird? | Klarnamenkonto und anonymer Beitrag, IP und Posting-Zeit, Dokument und Ersteller |
| Was kann das Gegenüber sehen? | Öffentliche Informationen, Serverlogs, Kommunikationslogs, Geräteinformationen |
| Wem wird vertraut? | VPN-Anbieter, Posting-Dienst, Beratungsstelle, Geräteumgebung |
| Wie viel ist akzeptabel? | Niedrigriskantes anonymes Posting oder hochriskanter Hinweis |
Schon diese Überlegung ordnet die nötigen Maßnahmen deutlich.
Zusammenfassung
Ein Bedrohungsmodell ist die Denkweise, mit der man ordnet, vor wem man was schützen möchte. Ein Vertrauensmodell ist die Denkweise, mit der man ordnet, auf welches Gegenüber oder welchen Dienst man das eigene Handeln stützt.
Bei Anonymität ist es nicht realistisch, alles vor allen Gegenübern zu verbergen. Man muss zu schützende Dinge, angenommene Gegenüber, Fähigkeiten des Gegenübers, verbleibende Hinweise und vertraute Stellen getrennt betrachten.
Maßnahmen wie VPN, Tor, öffentliches Wi-Fi, Verschlüsselung und Kontotrennung ändern ihre Bedeutung je nach Zweck.
Zuerst festzulegen, „vor wem, was und in welchem Maß“ geschützt werden soll, ist der Ausgangspunkt beim Nachdenken über Anonymität.
Verwandte Werkzeuge
WhatIsMyIP
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Tor Project
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Proton VPN
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://protonvpn.com/
Mullvad VPN
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://mullvad.net/