10-12-27 
Wie erwartet ist heute das Heft 1/2011 der c't erschienen.

Weihnachtlich böswillig ist auch wieder die Schlagseite von Ritsch & Renn.
 

 
Es kennt den Einsatz von Netzwerkzeugen ebenso wie die Sozialtechniken des Ausforschens, der Suggestion und der Manipulation.

Selbst wenn man sich auf die vorhandenen Datenspuren beschränkt, liefern sie für eine Gesamtschau nützliche Puzzlesteine, die zusammen ein neues Bild ergeben.

Wichtig ist dabei das Allgemein- und Fachwissen des Analysten. Das beginnt bei der Semantik in Bezug auf Texte und Bilder, also nach der Wortwahl, Fremdworten und Fehlern sowie nach anderen Zusammenhängen in den "Zeichen". Je nach dem inhaltlichen Zusammenhang sind auch Grundkenntnisse in der IT, den Naturwissenschaften und anderen Disziplinen nützlich.

In der Gesamtschau lassen sich schließlich mehr oder weniger geltungsstarke Schlüsse ziehen, wie ich bereits 2007 gezeigt habe (2). Sie sind nicht immer zweifelfrei, liefern aber Hypothesen, die im Zuge der weiteren Recherchen überprüft, bestätigt oder verworfen werden müssen.

Diese Methode gilt für alle Formen der intellektuellen Informationsverarbeitung, ob zu Werbezwecken, für kriminelle Aktionen, zur Spionage oder zur Strafverfolgung.

Die Lehren aus dem -Artikel sind einfacher Art. Datenspuren sind vorhanden, können aus dem Netz gefiltert und mit etwas Übung und Hintergrundwissen zu einem Profil kombiniert werden. Damit ist der gewohnte Appell verbunden, sich sehr genau zu überlegen, welche Informationen man über sich und seine Umgebung preisgibt. Das allein reicht aber nicht, wenn auch Dritte über mich etwas veröffentlichen, was ich nicht kontrollieren kann.

Mit etwas Böswilligkeit und Paranoia kann man auch fordern, verschiedene Netzidentitäten für unterschiedliche Zwecke einzusetzen. Das bietet keine absolute Anonymität, weil sich auch die Profile von Netzidentitäten vergleichen und Querschlüsse ziehen lassen. Aber das ist schon schwierig.
 

10-12-28 
  Lindemann und Schneider haben anhand des Namens eines bereitwilligen Mitarbeiters eines Internet-Unternehmens das Internet mit seinen öffentlichen Informationen durchforstet, um über ihn ein Profil zu erstellen (1). Mit den klassischen Suchmaschinen fanden sie vor Allem Datenspuren über seine berufliche Tätigkeit. Die privaten Details erfuhren sie jedoch, nachdem sie anhand seines Nicknames die sozialen Netzwerke durchforsteten. Er hatte sich nicht nur selber vielfach geäußert. Es waren besonders die Anderen, die Fakten über ihn beisteuerten.

Die Autoren finden den Wohnort, Einzelheiten über seine Wohnung, Angehörigen, Besucher und Haustiere. Das meiste davon hatten er und seine Frau selber im Netz preisgegeben. Die Ergebnisse sind dem Betreffenden zu heikel und er untersagt die Veröffentlichung der Details.

Somit begnügen sich die Autoren mit allgemeinen Aussagen, die hinreichend die Möglichkeiten der Netzrecherche aufzeigen. Eine wenig bekannte Methode verwenden sie, indem sie - auch unverlinkte, aber vorhandene - Bilder im Netz lokalisieren, Gesichtserkennung betreiben und daraus Schlüsse ableiten.

Das Social Engineering bietet noch viel mehr Möglichkeiten, als die Autoren andeuten und nutzen. Seine Brisanz liegt in den intellektuellen Fähigkeiten des Anwenders, weil der Grundsatz gilt: Fünf unwichtige Informationen ergeben eine sensible, wenn man sie geschickt kombiniert und mit Alltags- und Fachwissen interpretiert.
 

(1) Marcus Lindemann, Jan Schneider, Datenschutz-Fallrückzieher. Ein Netizen entdeckt den Wunsch nach Privatsphäre, c't 1/2011

(2) CF, Social Engineering, 2007