Beim Nachdenken über Anonymität ist es gefährlich, nur zu denken: "Wenn ich dieses Werkzeug nutze, bin ich sicher."
Wenn man ein nutzt, ändern sich die Informationen, die der ISP sieht. Dafür wird der VPN-Anbieter ein neuer Vertrauenspunkt. Cloud-Dienste sind bequem, aber man muss dem Cloud-Anbieter und den Personen vertrauen, mit denen geteilt wird. Bei SecureDrop oder anonymen Einreichungsdiensten spielt auch Vertrauen in Ziel und Betreiber eine Rolle.
Ein Vertrauensmodell ist eine Art zu ordnen, welchen Akteuren man welche Informationen zeigen darf.
Dieser Artikel erklärt Grundlagen von Vertrauensmodellen bei Anonymität. Bedrohungsmodelle und Vertrauensmodelle hängen eng zusammen und werden in "Bedrohungsmodelle und Vertrauensmodelle" ausführlich behandelt.
Was ist ein Vertrauensmodell?
Ein Vertrauensmodell ordnet, "wem man vertraut" und "was diese Person oder Stelle sehen kann".
Bei Anonymität verschwindet Information selten vollständig. In vielen Fällen ändert sich, wer sie sehen kann.
Werkzeug oder Situation
Vertrauensakteur
Möglicherweise sichtbare Information
Normale Verbindung
ISP, Zieldienst
Ziel-IP, Quell-IP, Login-Information
VPN
VPN-Anbieter
Verbindungsquelle, VPN-Nutzung, Informationen zu Kommunikationszielen
Tor-Design, Knotenverteilung
Sichtbare Informationen werden zwischen Einstieg und Exit geteilt
Cloud-Freigabe
Cloud-Anbieter, Personen mit Freigabe
Dateien, Eigentümer, Freigabeverlauf
Anonymes Veröffentlichungsziel
Dienstbetreiber
Beitragsinhalt, Protokolle, Einreichungszeit
Statt "niemand kann es sehen" zu denken, schaut man: "Wer kann es jetzt sehen?"
Vertrauensmodell bei VPN
Ein VPN ändert die für das Ziel sichtbare IP-Adresse zur IP des VPN-Servers.
Dafür vertraut man dem VPN-Anbieter. Deshalb prüft man Protokollierungsrichtlinie, Betreiber, Gerichtsstand, App, Audits und Transparenzberichte.
Akteur
Was bei VPN-Nutzung sichtbar ist
Hinweis
ISP
Verbindung zum VPN-Server
Das Endziel ist schwerer direkt sichtbar
VPN-Anbieter
Für den Dienst nötige Informationen
Protokollierungsrichtlinie und Betrieb prüfen
Zielwebsite
IP des VPN-Servers
s und Logins bleiben
Nutzende Person
Verwaltet Beitragsinhalt und Logins
Betriebsfehler erzeugen Korrelation
Ein VPN ist kein Werkzeug, das Vertrauen überflüssig macht.
Es ist ein Werkzeug, das ändert, wohin Vertrauen gelegt wird.
Vertrauensmodell bei Tor
Tor sammelt den Kommunikationsweg nicht bei einem einzelnen VPN-Anbieter. Stattdessen verteilt es Rollen auf mehrere Relay-Knoten.
Der Einstiegsknoten kennt die Verbindungsquelle der nutzenden Person, aber nicht direkt das Endziel. Der Exit-Knoten kennt das Ziel, aber nicht direkt die ursprüngliche IP der nutzenden Person.
Akteur
Sichtbare Information
Hinweis
Einstiegsknoten
Verbindungsquelle der nutzenden Person
Sieht das Endziel nicht direkt
Mittelknoten
Teil des Weges
Gesamtbild schwer zu sehen
Exit-Knoten
Ziel
Kann Inhalt sehen, wenn Kommunikation unverschlüsselt ist
Zielwebsite
Tor-Exit-Knoten
Logins und Cookies bleiben
ISP
Tatsache der Tor-Nutzung
Tor-Nutzung selbst kann auffallen
Tor ist darauf ausgelegt, Vertrauen zu verteilen.
Wenn man sich jedoch über Loginstatus oder Beitragsinhalt selbst identifiziert, wird Anonymität schwächer.
Vorgehen zur Prüfung eines Vertrauensmodells
Das Vertrauensmodell prüft man, bevor man ein Werkzeug wählt.
Bei Hochrisikoaktivität gibt es Situationen, in denen man das Vertrauensmodell besser nicht allein beurteilt.
Wenn Whistleblowing, Quellenschutz oder physische Sicherheit betroffen sind, erwägt man Beratung durch Anwälte, Unterstützungsorganisationen oder vertrauenswürdige Fachleute.
Häufige Missverständnisse
Ein häufiges Missverständnis bei Vertrauensmodellen ist die Vorstellung, Vertrauen auf null senken zu können.
In Wirklichkeit vertraut man in vielen Situationen irgendeinem Akteur: einem VPN-Anbieter, dem Design von Tor, einem Cloud-Anbieter, einem E-Mail-Dienst, einem Einreichungsziel oder einer Beratungsstelle. Bei Anonymität wählt man dieses Vertrauen bewusst.
Missverständnis
Korrekte Sicht
Mit VPN kann niemand etwas sehen
Der VPN-Anbieter wird neuer Vertrauenspunkt
Mit Tor ist auch Beitragsinhalt verborgen
Kommunikationsweg und Beitragsinhalt sind getrennt
Private Cloud-Freigabe ist sicher
Eigentümernamen und Freigabeverlauf bleiben
Ziele für Löschanfragen sind immer sicher
Für Identitätsprüfung kann zusätzliche Information übermittelt werden
Jeder Beratungsstelle kann man alles sagen
Zuverlässigkeit und Vertraulichkeit des Akteurs prüfen
Wenn bewusst ist, wohin Vertrauen gelegt wird, wird die Werkzeugwahl realistischer.
Vertrauen in Stufen denken
In einem Vertrauensmodell behandelt man einen Akteur nicht nur als vertrauenswürdig oder nicht vertrauenswürdig.
Man denkt in Stufen darüber nach, welche Informationen sichtbar sein dürfen, welche Informationen man nicht zeigen will, welche Akteure rechtliche Anforderungen erhalten können und welche Akteure Betriebsfehler machen können.
Stufe
Was bedacht wird
Niedriges Vertrauen
So wenig Information wie möglich geben
Begrenztes Vertrauen
Nur notwendige Information geben
Betriebliches Vertrauen
Einen Teil anvertrauen, um den Dienst zu nutzen
Vertrauen einschließlich Rechtsrisiko
Gerichtsstand und Offenlegungsanforderungen bedenken
Menschliches Vertrauen
Vertraulichkeit von Beratungsstellen oder Empfängern prüfen
Für Anonymität ist wichtiger, bewusst zu wissen, wo man Vertrauen platziert, als Vertrauen auf null zu bringen.
Vertrauensmodell überprüfen
Ein Vertrauensmodell entscheidet man nicht einmal und ist fertig.
Dienstbedingungen, Protokollierungsrichtlinien, Betreiber, App-Spezifikationen und genutzte Länder oder Regionen können sich ändern. Wer anonyme Aktivität fortsetzt, überprüft regelmäßig genutzte VPNs, E-Mail, Cloud, Einreichungsziele und Beratungsstellen.
Was überprüft wird
Grund
Protokollierungsrichtlinie
Gespeicherte Informationen können sich ändern
Betreiber
Unternehmen oder Gerichtsstand können sich ändern
App-Spezifikationen
Leckende Informationen oder Berechtigungen ändern sich
Zahlungsmethode
Korrelation mit Klarnameninformationen ändert sich
Beratungsstelle
Vertraulichkeit und Sicherheit prüfen
Ein Vertrauensmodell betrifft nicht nur Dienstwahl, sondern auch die Wahl von Beratungsstellen.
Bei Löschanfragen, Rechtsberatung, journalistischen Hinweisen und Beratungen bei Unterstützungsorganisationen prüft man, welche Informationen die Gegenseite erhält, wie sie sie speichert und mit wem sie sie teilt.
Werkzeugbeschreibungen richtig einordnen
Beim Lesen von Artikeln über VPN, Tor, Cloud-Dienste oder anonyme Einreichungswerkzeuge prüft man immer das Vertrauensmodell.
Was verbirgt das Werkzeug? Wer kann was sehen? Wie weit vertraut man dem Betreiber? Bleiben Logins oder Beitragsinhalt? Wenn man nur nach "empfohlen" wählt, ohne dies zu betrachten, driften Zweck und Gegenmaßnahme auseinander.
Frage beim Lesen
Grund
Was ändert sich?
Wirkung des Werkzeugs verstehen
Was bleibt?
Übervertrauen vermeiden
Wem vertraut man?
Verstehen, wohin Vertrauen wandert
Wie werden Protokolle behandelt?
Späteren Abgleich bedenken
Passt es zum Zweck?
Zu viel oder zu wenig vermeiden
Ein Vertrauensmodell wird auch beim Lesen von Artikeln zu einer Prüfachse.
Zusammenfassung
Ein Vertrauensmodell ordnet, wem man vertraut und was dieser Akteur sehen kann.
Anonymitätswerkzeuge löschen Informationen oft nicht vollständig, sondern ändern, wer sie sehen kann.
Bei VPN wird der VPN-Anbieter ein neuer Vertrauenspunkt. Bei Tor wird Vertrauen über mehrere Knoten verteilt. Cloud-Dienste und anonyme Veröffentlichungsziele enthalten ebenfalls Vertrauen in Anbieter oder Betreiber.
Bei Anonymität prüft man nicht den Werkzeugnamen, sondern wohin Vertrauen wandert.
Verwandte Werkzeuge
Public IP Check
WhatIsMyIP
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Ein Vertrauensmodell ordnet, wer welche Informationen sehen kann, weil Anonymitätswerkzeuge Sichtbarkeit und Vertrauen oft verlagern statt Informationen verschwinden zu lassen.