Timing-Korrelation von Ereignissen und Logs
Anonymität bricht nicht nur dadurch, was man geschrieben hat.
Wann man gepostet hat. Wann man zugegriffen hat. Wann man geantwortet hat. In welchen Zeitfenstern man nur aktiv ist.
Auch solche Zeitinformationen erzeugen den Eindruck, dass dieselbe Person dahintersteht.
Timing-Korrelation bezeichnet die Denkweise, getrennt wirkende Aktivitäten über zeitliche Übereinstimmungen zwischen Ereignissen, Posts, Zugriffslogs, Dateierstellungszeiten, Kommunikationsaufzeichnungen und ähnlichen Informationen miteinander zu verbinden.
Dieser Artikel ordnet das Risiko, dass mehrere Aufzeichnungen auf derselben Zeitachse abgeglichen werden, etwa Posts direkt nach Ereignissen, Zugriffslogs, -Verbindungszeiten sowie Erstellungs- und Änderungszeiten von Dateien.
Alltägliche Posting-Zeiten und Verzerrungen durch den Lebensrhythmus werden in „Korrelation zwischen Posting-Zeitpunkt und Lebensrhythmus“ behandelt.
Zeitliche Nähe wird zum Hinweis
Timing-Korrelation bedeutet, aus der zeitlichen Nähe mehrerer Handlungen zu schließen, dass sie mit derselben Person oder derselben Aktivität zusammenhängen.
Zum Beispiel ist ein Klarnamenkonto jeden Tag gegen 23 Uhr aktiv. Ein anonymes Konto postet ebenfalls jeden Tag kurz nach 23 Uhr. Beide reagieren auf dasselbe Thema in derselben Reihenfolge.
Allein damit lässt sich die Person nicht bestimmen. In Kombination mit anderen Informationen wird es jedoch zu Material für Korrelation.
| Zeitlicher Hinweis | Was vermutet wird |
|---|---|
| Posting-Zeit ist jedes Mal gleich | Lebensrhythmus oder aktive Zeit |
| Aktivitätszeiten der Klarnamenseite und der anonymen Seite liegen nah beieinander | Eindruck, dass dieselbe Person dahintersteht |
| Post direkt nach einem Ereignis | Möglichkeit, vor Ort gewesen zu sein |
| Posts nur außerhalb der Arbeitszeit | Beruf oder Lebensmuster |
| Antworten nur spät in der Nacht | Region oder Lebensrhythmus |
Zeit ist eine Information, die sich leicht mit anderen Logs abgleichen lässt. Deshalb sollte man sie nicht leicht nehmen.
Posting-Zeiten zeigen den Lebensrhythmus
Posting-Zeiten zeigen den Lebensrhythmus einer Person.
Morgendliche Pendelzeit. Mittagspause. Nach der Arbeit. Späte Nacht. Lange Posts nur an freien Tagen.
Für sich allein wirken diese Dinge wie gewöhnliches Verhalten. Wenn sie jedoch lange anhalten, werden sie zu Mustern.
Wenn ein anonymes Konto jeden Tag im selben Zeitfenster aktiv ist, wird der Lebensrhythmus sichtbar. Überschneidet er sich mit den Aktivitätszeiten eines Klarnamenkontos oder früheren Kontos, wird der Eindruck derselben Person stärker.
Bei Anonymität prüft man nicht nur den Inhalt, sondern auch die Zeitfenster der Posts.
Posts direkt nach Ereignissen verbinden sich mit Orten
Zeit verbindet sich auch mit Orten.
Wenn man direkt nach einer Demonstration, Versammlung, Besprechung, einem internen Unternehmensereignis, einer Schulveranstaltung oder einem lokalen Ereignis detailliert postet, verengt sich der Kreis auf Personen, die dort waren.
Angenommen, man postet nicht öffentlich bekannte Besprechungsinhalte direkt nach dem Ende anonym. Nicht nur der Inhalt, sondern die Posting-Zeit selbst wird zum Hinweis.
„Wer wusste es zu diesem Zeitpunkt?“ „Wer konnte zu diesem Zeitpunkt ins Internet posten?“ „Wer befand sich in einer von diesem Ort aus erreichbaren Entfernung?“
Eine solche Eingrenzung entsteht.
Bei Posts direkt nach Ereignissen wird auch der Detailgrad zum Problem.
Wenn man Reihenfolge, Aussagen, Sitzplätze, Wege oder interne Unruhe beschreibt, die nur jemand vor Ort kennen kann, wird man als teilnehmende oder beteiligte Person gesehen. Je früher der Posting-Zeitpunkt liegt, desto stärker verengt sich der Kreis auf „Personen, die es zu diesem Zeitpunkt wussten“.
| Post-Inhalt | Was vermutet wird |
|---|---|
| Detaillierter Eindruck direkt nach dem Ende | Möglichkeit, teilgenommen zu haben |
| Interne Informationen vor Veröffentlichung | Möglichkeit einer beteiligten oder internen Person |
| Post während der Bewegung | Aktueller Standort oder Heimweg |
| Foto vom Ort und Zeit | Aufnahmeort und Handlungszeit |
Bei hochriskanten Veröffentlichungen reicht es nicht, den Post nur zu verzögern; man reduziert auch Details, die erkennen lassen, dass man vor Ort war.
Auch Kommunikationslogs werden abgeglichen
Timing-Korrelation ist nicht nur ein Problem öffentlicher Posts.
Kommunikationslogs, Zugriffslogs, VPN-Verbindungszeiten, -Verbindungszeiten, Login-Verläufe, Cloud-Bearbeitungsverläufe, Dateiänderungszeiten und ähnliche Aufzeichnungen sind ebenfalls Zeitinformationen.
| Log | Verbleibende Zeitinformation | Hinweis |
|---|---|---|
| Web-Zugriffslog | Zugriffszeit | Wird mit der Posting-Zeit abgeglichen |
| Login-Verlauf | Zeitpunkt erfolgreicher oder fehlgeschlagener Logins | Wird zum Beleg der Kontonutzung |
| VPN-Verbindungslog | Beginn und Ende der Verbindung | Wird zum Hinweis auf Kommunikationszeitfenster |
| Dateiänderungszeit | Erstellungs-, Bearbeitungs- und Speicherzeit | Verbindet sich mit der Aktivitätszeit der arbeitenden Person |
| Cloud-Verlauf | Upload- und Freigabezeit | Beziehung zu Klarnamenkonten bleibt erhalten |
Zeit wird zu einer Achse, die unterschiedliche Arten von Aufzeichnungen verbindet.
Auch wenn Inhalte verschlüsselt sind, kann zurückbleiben, wann kommuniziert wurde. Dieser Punkt wird auch im Artikel zu Kommunikationslogs behandelt.
Zeitfenster zu verschieben reicht nicht
Posting-Zeiten nur etwas zu verschieben, macht nicht sicher.
Selbst wenn man jedes Mal 30 Minuten später postet, bleibt bei gleichem Rhythmus ein Muster zurück. Auch Gewohnheiten bleiben sichtbar, etwa nur nachts zu posten, nur an freien Tagen lange Texte zu schreiben oder nur direkt nach bestimmten Nachrichten zu reagieren.
Für Anonymität ist es wichtiger, korrelierbare Handlungen zu reduzieren, als Zeiten schlicht zu verschieben.
Besonders in Hochrisikosituationen denkt man über folgende Punkte nach.
- Klarnamenseite und anonyme Seite nicht im selben Zeitfenster bewegen
- Direkt nach einem Ereignis keine detaillierten Inhalte veröffentlichen
- Vor und nach dem Post nicht mit einem Klarnamenkonto nach verwandten Themen suchen
- Auch Erstellungszeiten und Änderungszeiten von Dateien prüfen
- Langfristige Aktivitätsrhythmen nicht zu stark fixieren
Wichtig bei Zeitmaßnahmen ist nicht die mechanische Verschiebung, sondern keine zusätzlichen Korrelationsachsen zu schaffen.
Wenn man jedes Mal auf dieselbe Weise eine Stunde später postet, wird diese Verzögerung selbst zur Gewohnheit. Auch wenn man Posts nur nachts gebündelt plant, bleibt der Lebensrhythmus erhalten, wenn Arbeitszeit oder Antwortzeit gleich sind.
Wenn man über Anonymität nachdenkt, betrachtet man Veröffentlichungszeit, Arbeitszeit, Login-Zeit und Dateiänderungszeit getrennt. Selbst wenn nur die nach außen sichtbare Posting-Zeit angepasst wird, werden dahinterliegende Logs zu Korrelationsmaterial, wenn sie sich im selben Zeitfenster konzentrieren.
Auch bei geplanten Posts und Entwürfen aufpassen
Mit geplanten Posts lässt sich die nach außen sichtbare Posting-Zeit anpassen. Aber geplante Posts allein lassen Timing-Korrelation nicht verschwinden.
Entwurfszeit, Zeitpunkt der Planung, Login-Zeit und Upload-Zeit von Dateien können separat erhalten bleiben. Gegenüber Personen, die dienstseitige oder organisationsinterne Logs sehen können, ist nicht nur die Veröffentlichungszeit, sondern auch die Arbeitszeit ein Problem.
| Möglicherweise sichtbare Zeit | Hinweis |
|---|---|
| Entwurfszeit | Die tatsächliche Arbeitszeit bleibt erhalten |
| Zeitpunkt der Planung | Verbindet sich mit Login-Verhalten |
| Veröffentlichungszeit | Für Leser und Außenstehende sichtbar |
| Bildupload-Zeit | Zeitpunkt der Dateiverarbeitung bleibt erhalten |
| Bearbeitungsverlauf | Zeitfenster wiederholter Korrekturen werden erkennbar |
Geplante Posts können in manchen Fällen wirksam sein. Sie sind jedoch ein Mittel, nur die von außen sichtbare Zeit zu ändern, und löschen nicht alle Zeitinformationen.
Zeitliche Hinweise vor der Veröffentlichung prüfen
Vor einer Veröffentlichung oder anonymen Aktivität prüft man zeitbezogene Hinweise.
| Was zu prüfen ist | Grund |
|---|---|
| Geplanter Posting-Zeitpunkt | Prüfen, ob er sich mit Lebensrhythmus oder Ereignisteilnahme überschneidet |
| Aktivitätszeiten des Klarnamenkontos | Prüfen, ob sie sich mit der anonymen Seite überschneiden |
| Erstellungs- und Änderungszeiten von Dateien | Prüfen, ob sie sich mit Arbeitszeit oder organisationsinternen Bewegungen verbinden |
| Zugriffs- und Login-Verläufe | Prüfen, ob Handlungen unmittelbar davor oder danach zurückbleiben |
| Langfristiges Posting-Muster | Prüfen, ob Aktivität nur im selben Zeitfenster stattfindet |
Zeit bleibt an mehr Orten zurück, als die betreffende Person denkt. Nur auf die im Posting-Bildschirm angezeigte Zeit zu schauen, reicht nicht.
Zusammenfassung
Timing-Korrelation bezeichnet die Denkweise, getrennte Aktivitäten über zeitliche Übereinstimmungen oder Verhaltensrhythmen mit derselben Person oder demselben Ereignis zu verbinden.
Posting-Zeit, Zugriffszeit, Login-Verlauf, VPN-Verbindungszeit, Dateiänderungszeit, Cloud-Verlauf und ähnliche Informationen werden zu Hinweisen.
Bei Anonymität ist nicht nur wichtig, was man geschrieben hat, sondern auch, wann man gehandelt hat. Besondere Vorsicht ist nötig, wenn sich die Aktivitätszeiten der Klarnamenseite und der anonymen Seite überschneiden oder wenn man direkt nach einem Ereignis detailliert postet.
Zeit wird zu einer Achse, die mehrere Logs verbindet. Wenn man über Anonymität nachdenkt, muss man nicht nur Inhalte, Orte und Konten prüfen, sondern auch zeitliche Korrelation.
Verwandte Werkzeuge
ExifTool
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://exiftool.org/