Warum Anonymität nicht garantiert werden kann
Wenn man über Anonymität lernt, möchte man unweigerlich eine Antwort finden wie: „Wenn ich das tue, bin ich sicher.“
Ist man sicher, wenn man nutzt? Reicht ein ? Wird man nicht verfolgt, wenn man s löscht? Ist die Identität verborgen, wenn man Metadaten entfernt?
Die Antwort lautet: Nichts davon reicht allein aus.
Anonymität lässt sich nicht durch eine einzelne Einstellung garantieren. Sie entsteht aus der Kombination von Kommunikation, Gerät, Browser, Konto, Posting-Inhalt, Zeit, früheren Informationen und den Fähigkeiten des Gegenübers.
Dieser Artikel ordnet, warum Anonymität nicht vollständig garantiert werden kann.
Anonymität entscheidet sich nicht als Zustand, sondern als Beziehung
Anonymität ist kein Zustand nach dem Muster: „Ich bin im anonymen Modus, also ist es fertig.“
Vor wem will man sich verbergen? Was will man verbergen? Über welchen Zeitraum will man es schützen? Wie viel Recherchefähigkeit hat das Gegenüber?
Davon hängen die nötigen Maßnahmen ab.
| Aspekt | Beispiel | Auswirkung auf Anonymität |
|---|---|---|
| Gegenüber | Allgemeine Nutzer, Website-Betreiber, Arbeitsplatz, staatliche Stellen | Die Recherchefähigkeit des Gegenübers verändert die nötigen Maßnahmen |
| Schutzobjekt | IP, Identität, Ort, Quelle, Familie | Je nach verborgener Information ändern sich die zu prüfenden Hinweise |
| Zeitraum | Ein einzelner Post, mehrere Monate Aktivität, langfristiger Betrieb | Je länger, desto mehr Fehler und Korrelationen entstehen |
| Handlungsbereich | Nur Lesen, Posten, Kontakt, Dateifreigabe | Je mehr Handlungen, desto mehr Hinweise |
Anonymität entscheidet sich nicht nur durch Technik, sondern auch durch Situation. Deshalb kann es kein „vollständig sicheres Verfahren“ geben, das für alle Menschen gleich gilt.
Werkzeuge schützen nur einen Teil
Anonymitätswerkzeuge haben jeweils einen Schutzumfang.
VPN ändert die IP-Adresse, die das Ziel sieht. Tor erschwert es, Quelle und Ziel direkt miteinander zu verbinden. Werkzeuge zur Metadatenentfernung verringern Erstellungsinformationen, die in Dateien verbleiben. Browsertrennung verringert Vermischung durch Cookies und Anmeldestatus.
Kein Werkzeug schützt jedoch alles.
| Werkzeug oder Maßnahme | Leichter zu schützender Bereich | Verbleibende Dinge |
|---|---|---|
| VPN | Heim-IP, die vom Ziel gesehen wird | Vertrauen in den VPN-Anbieter, Cookie, Anmeldestatus |
| Tor | Direkte Verbindung zwischen Quelle und Ziel | Klarnamenlogin, Posting-Inhalt, Kommunikation außerhalb von Tor |
| Metadatenentfernung | Erstellungsinformationen im Dateiinneren | Bildhintergrund, Textinhalt, Dateiname |
| Browsertrennung | Vermischung von Cookies und Verlauf | Schreibstil, Posting-Zeit, Inhaltskorrelation |
| Verschlüsselung | Mitlesen des Kommunikationsinhalts | Zielserver, Datenvolumen, Timing |
Werkzeuge sind wichtig. Sie stützen jedoch nur einen Teil von Anonymität.
Korrelation entsteht auch später
Ein Grund, warum Anonymität schwierig ist: Korrelation kann später entstehen.
Informationen, die im Moment des Postens unproblematisch wirkten, können ein halbes Jahr später mit einem anderen Post oder einem anderen Leak verbunden werden.
Angenommen, man schreibt mit einem anonymen Konto über einen früheren Arbeitsplatz. Zu diesem Zeitpunkt ist vielleicht nicht klar, um wen es geht.
Wenn später jedoch ein Klarnamenblog mit demselben Schreibstil, Beiträge in sozialen Medien aus derselben Zeit, dasselbe Bild oder dasselbe Fachgebiet gefunden werden, engen sich die Kandidaten ein.
Anonymität lässt sich nicht nur im jeweiligen Moment beurteilen. Man muss auch frühere und zukünftige Informationen einbeziehen.
Dass Korrelation später entstehen kann, bedeutet, dass die Einschätzung „Jetzt schaut niemand hin, also ist es in Ordnung“ gefährlich ist.
Der heutige Beitrag kann in Zukunft mit Profilen, geleakten Daten, Suchergebnissen, anderen Konten, Fotos, Nachrichten oder öffentlichen Unterlagen verbunden werden. Einmal veröffentlichte Informationen werden mit zukünftigen Informationen kombiniert.
| Heute herausgegebene Information | Später verbundene Information |
|---|---|
| Erfahrungsbericht vom Arbeitsplatz | Profil nach einem Jobwechsel oder früherer Werdegang |
| Regionalfoto | Spätere Posts zu gewohnten Orten |
| Eigenartiger Schreibstil | Klarnamenblog oder Artikel unter anderem Namen |
| Posting-Zeit | Login-Verlauf oder Kommunikationslogs |
| Teilinformationen aus einer Datei | Später auftauchendes Original oder interne Unterlagen |
Menschliche Fehler lassen sich nicht auf null senken
Anonymität wird nicht nur durch technische Schwächen zerstört.
Auch menschliche Fehler sind ein wichtiger Grund.
- Im anonymen Browser bei einem Klarnamenkonto anmelden
- Sich mit einer Klarnamen-E-Mail-Adresse registrieren
- Dasselbe Bild wiederverwenden
- In Eile posten und die Metadatenprüfung vergessen
- Mit dem Klarnamenkonto nach der anonymen Aktivität suchen
- In einer Antwort gewohnte Orte preisgeben
Bei langfristiger Praxis wird ein einzelner Fehler zu einem starken Hinweis.
Auch deshalb kann Anonymität nicht garantiert werden. Menschen werden müde. Sie haben es eilig. Sie gewöhnen sich an Abläufe. Und wenn sie sich gewöhnt haben, lassen sie Prüfungen aus.
Die Fähigkeiten des Gegenübers ändern sich
Anonymität hängt auch von den Fähigkeiten des Gegenübers ab.
Was für allgemeine Leser nicht erkennbar ist, kann für Website-Betreiber in Logs sichtbar sein. Was für Website-Betreiber nicht erkennbar ist, kann für Kommunikationsanbieter in Verbindungsaufzeichnungen sichtbar sein. Was für Einzelpersonen schwer zu untersuchen ist, kann eine Organisation oder ein Staat mit anderen Daten abgleichen.
| Gegenüber | Sichtbare Dinge | Hinweis |
|---|---|---|
| Allgemeine Betrachter | Posting-Inhalt, Bilder, Schreibstil, öffentliches Profil | Kandidaten werden aus dem Inhalt eingegrenzt |
| Website-Betreiber | IP, Cookie, Login-Informationen, Zugriffslogs | Technische Informationen und Konto werden verbunden |
| Kommunikationsanbieter | Ziel-IP, Kommunikationszeit, Datenvolumen | Besitzen Metadaten, die vom Kommunikationsinhalt getrennt sind |
| Arbeitsplatz oder Schule | Gerät, Netzwerk, Nutzungszeit, interne Informationen | Abgleich mit organisationsinternen Aufzeichnungen ist möglich |
| Gegenüber mit hoher Fähigkeit | Abgleich mehrerer Daten | Zielt auf langfristige Korrelation |
Beim Nachdenken über Anonymität muss man zuerst festlegen, „gegenüber wem“ man anonym bleiben will.
Nicht als Garantie, sondern als Risikoreduktion denken
Anonymität sollte nicht als Garantie, sondern als Risikoreduktion gedacht werden.
Nicht vollständig unsichtbar werden, sondern Hinweise verringern, die korreliert werden können. Trennen, damit ein einzelner Fehler nicht alles zerstört. Vor hochriskanten Handlungen prüfen. Keine Werkzeuge verwenden, die nicht zum eigenen Bedrohungsmodell passen.
Diese Denkweise ist realistischer.
| Denkweise | Problem | Realistische Denkweise |
|---|---|---|
| Vollständige Anonymität garantieren | Bricht zusammen, wenn Annahmen nicht mehr gelten | Risiko schrittweise senken |
| Sich durch Werkzeugnamen beruhigen | Schutzumfang falsch verstehen | Sehen, wer was sehen kann |
| Einmal einrichten und fertig | Bei langfristigem Betrieb entstehen Fehler | Regelmäßig überprüfen |
| Nur einzelne Informationen betrachten | Korrelation übersehen | Mehrere Hinweise zusammen betrachten |
Anonymität ist keine perfekte Mauer. Sie ist ein Design, das Hinweise verringert, Verbindungen erschwert und den Umfang von Fehlern kleiner hält.
Mit dieser Denkweise lässt sich auch die Priorität von Maßnahmen leichter bestimmen.
Zuerst die stärksten Identifikatoren verringern. Danach Vermischung von Konten und Browsern verringern. Anschließend Posting-Inhalt, Zeit, Dateien und frühere Informationen prüfen.
Statt nach einer Garantie zu suchen, ist es realistischer, Hinweise Schritt für Schritt zu verringern.
Zusammenfassung
Anonymität kann nicht vollständig garantiert werden.
Der Grund ist, dass Anonymität sich je nach Situation, Gegenüber, Handlung, Zeitraum, Technik und Praxis ändert.
VPN, Tor, Metadatenentfernung, Browsertrennung und Verschlüsselung sind wichtig. Sie schützen jedoch jeweils unterschiedliche Bereiche. Cookie, Anmeldestatus, Posting-Inhalt, Schreibstil, Zeit, frühere Informationen und Freigabewege bleiben als separate Probleme bestehen.
Außerdem entsteht Korrelation auch später. Informationen, die heute klein wirken, können mit zukünftigen Informationen verbunden werden.
Anonymität muss nicht als „Garantie“, sondern als „Risikoreduktion“ gedacht werden. Wichtig ist, festzulegen, vor wem man was schützen will, Hinweise zu verringern, Umgebungen zu trennen und weiter zu prüfen.