Digitale Kommunikation schafft Nähe, stiftet und hält Verbindung mit Personen, egal wo auf dem Globus diese sich befinden. Was aber, wenn die Nähe zu groß wird, Verbindungen ungewollt bestehen bleiben, wenn enger Kontakt in Stalking übergeht?
Das Thema des heutigen Newsletters ist Online-Stalking, betrifft also (IT-)Sicherheit im ganz persönlichen Umfeld einer und eines jeden. IT Security Consultant David Mändlen will anhand eines fiktiven, exemplarischen Falls Problembewusstsein für Online-Stalking schaffen und konkrete Empfehlungen geben, wie man sich davor schützen kann.
Stalking-Opfer leiden, wie Opfer anderer Verbrechen auch, oft darunter, dass sie sich selbst Schuld zuschreiben, für das, was ihnen geschehen ist. Dies ist allerdings in aller Regel nicht der Fall. Stalking kann jedem und jeder passieren. Was einen Stalker oder eine Stalkerin genau antreibt, ist noch immer Gegenstand aktueller Forschungen. Jeder und jede kann Opfer werden, jeder und jede kann Täter/in werden. Grundsätzlich ist das vorgefertigte Bild des männlichen Täters und des weiblichen Opfers zu hinterfragen. Es besteht jedoch eine statistische Prävalenz: Je nach Studie wird der Anteil männlicher Täter mit weiblichen Opfern zwischen 63 und 85 % verortet. Angesichts dieser statistischen Eindeutigkeit sind in David Mändlens Beispielfall ein männlicher Täter und ein weibliches Opfer die Hauptpersonen.
Bedrohungslagen lassen sich annäherungsweise durch ein sog. „Threat Modeling“ bestimmen. Dabei handelt es sich um eine systematische Analyse der folgenden Fragen: Was wird verteidigt? Gegen wen wird verteidigt? Wie wahrscheinlich ist ein Angriff? Wie groß sind potenzielle Schäden? Um sich gegen Bedrohungen verteidigen zu können, ist es notwendig, sich zunächst klar darüber zu sein, was die konkreten Bedrohungen sind, von wem sie ausgehen, mit welcher Wahrscheinlichkeit sie real eintreten können, und wie man sich dagegen wehren kann. Auch potenzielle Schadenshöhen sind hierbei von großer Wichtigkeit. So ist beispielsweise ein Raubüberfall wesentlich wahrscheinlicher als ein atomarer Erstschlag, auch wenn bei letzterem die anzunehmende Schadenshöhe deutlich größer ist. Bei einem typischen Stalking-Fall zeichnet sich das Threat Model aus durch On- und Offline-Belästigung, eine unklare Bedrohungslage, (aufgrund dessen:) Machtlosigkeit der Justiz und ein nicht selten zumindest anfänglich verständnisloses Umfeld. Das Bedrohungsszenario ist beim Online-Stalking sehr konkret und geht meist von (Ex-)Partnern aus oder solchen, die gerne Partner wären. Entsprechend sind die potenziellen Schäden katastrophal, die Eintrittswahrscheinlichkeit ist hoch, der Täter ist im Regelfall bekannt und das Verteidigungsziel ist das eigene (selbstbestimmte) Leben.
Ein exemplarisches, völlig frei erfundenes, aber realistisches Szenario wäre dieses: Sandra N., 32 Jahre, bekleidet eine leitende Position in einem Großkonzern. Sie tanzt gern und nutzt in diesem, aber auch in anderen Zusammenhängen Social Media recht intensiv. Unlängst hat sie sich von Frank getrennt. Frank C., 35 Jahre, ist IT-Angestellter. Er fährt gern Rad und hat Sandra beim Tanzen kennen gelernt. Frank will Sandra zurückgewinnen.
Sucht jemand ungefragt unsere Nähe, hat er/sie heutzutage neue Verbündete: die sozialen Netzwerke, Smartphones sowie unsere persönlichen Daten, v.a. Telefonnummern und E-Mail-Adressen.
In sozialen Netzwerken geben wir extrem viel von unserem Leben preis: Wer tut was wann wo mit wem? Mit Hilfe der Datenspuren, die wir in Social Media hinterlassen, beantworten sich solche Fragen fast von selbst. Sind Fotos oder Videos hinterlegt, zeichnen soziale Netzwerke ein umfassendes Bild unseres Lebens. Das ist aus verschiedenen Gründen nicht immer vorteilhaft, im Stalking-Kontext allerdings potenziell lebensbedrohlich.
Sandra postet viel von ihrem Privatleben auf ihrem nicht öffentlich zugänglichen Facebook-Account, auf dem sie aber mit Frank auch nach der Trennung noch befreundet ist. Sandra ist offen für neue Bekanntschaften und akzeptiert gern Freundschaftsanfragen. Außerdem postet sie mit Freude Fotos von sich und ihren Freizeitaktivitäten auf Instagram. Auch Frank nutzt viele Social-Media-Kanäle – und er nutzt sie nun, um sich Sandra wieder anzunähern. Frank sendet Sandra täglich viele Nachrichten auf allen Kanälen, die ihm zur Verfügung stehen: E-Mail, Whatsapp, Facebook und Instagram. Weil Frank sich beliebig neue Accounts anlegen kann, hat Sandra keine Möglichkeit, sich hiervor wirksam zu schützen ohne ihr gesamtes digitales Umfeld aufzugeben.
Moderne Smartphones sind die digitale Schaltzentrale unseres Lebens: Auf dem Smartphone lesen und bearbeiten wir unsere E-Mails, pflegen wir unsere Kontakte und unseren Kalender und freilich nutzen wir unser Smartphone auch als Fotoapparat. Das heißt: Wer Kontrolle über das Smartphone eines Menschen erhält, kontrolliert damit oftmals auch weite Teile von dessen Leben.
Sandra benutzt keine PIN und hat Frank während der Beziehung bei Bedarf bereitwillig ihr Telefon überlassen. Frank hat schon damals eine Spionage-App installiert, um herauszufinden, ob Sandra fremdgeht. Diese App übermittelt weiterhin alle möglichen Daten an ihn. Insbesondere werden die GPS-Daten des Telefons in Echtzeit an Frank übertragen.
Auch über Metadaten, also Daten über Daten, wird Frank informiert: Mit wem hat Sandra wann telefoniert und wie lange? Wann und wo wurde ein Foto aufgenommen? Welche E-Mail-Adressen haben wann miteinander kommuniziert? Etc. Insbesondere beim Hochladen von Fotos oder Videos, aber auch bei versehentlich aktivierten Geolocation-Daten beim Posten von Statusupdates auf sozialen Netzwerken können auf diese Weise viele Daten bekannt werden, die man besser geheim gehalten hätte. Selbst nachdem Sandra die Spionage-App gelöscht hat, weiß Frank weiterhin, wo sie sich aufhält, weil Sandra die Fotos, die sie hochlädt, nicht von Metadaten bereinigt.
Ähnlich verhält es sich mit Telefonnummern: Telefonnummern sind neben E-Mail-Adressen das zentrale Identifikationsmerkmal im Internet. Wer Zugriff auf eine Telefonnummer hat, kann oft Accounts über den Reset-Button mit einem neuen Passwort ausstatten, ohne dass der eigentliche Besitzer des Accounts dies merkt.
Frank hat über einen Anruf bei Sandras Provider eine Zweit-SIM bekommen und kann auf diese Weise jetzt für Sandra gedachte SMS mitlesen.
Weiter geht es mit Bankdaten: Wer die Kontodaten von anderen kennt, kann Lastschriften verursachen. Werden diese rechtzeitig bemerkt, fallen sie vergleichsweise harmlos aus. Der erhöhte Kontrollaufwand bedeutet aber Mühe und Sorge.
Informationen über Bankdaten können zusammen mit anderen personenbezogenen Daten außerdem für die Durchführung einer erfolgreichen Social Engineering-Kampagne benutzt werden.
Frank kennt Sandras Kontodaten und konnte auf diese Weise den Provider davon überzeugen, ihm eine Zweit-SIM zuzuschicken. Außerdem ist er dazu übergegangen, Sandra regelmäßig kostenpflichtige Abos zukommen zu lassen – bezahlt von ihrem Bankkonto.
Das Missbrauchspotential beim Besitz von Fremddaten ist immer hoch, im Fall von Online-Stalking ganz besonders: Online-Stalking und kann leicht in persönliches Stalking übergehen. Frank benutzt Sandras Facebook-Posts und die Geolocation ihres Smartphones, um sich an geeigneten Stellen zu positionieren, wo er ihr „zufällig“ begegnen kann. Sandra wundert sich, warum er ihr immer wieder über den Weg läuft, bis ihr klar wird, dass Frank sie stalkt. Der Verdacht, dass Frank nahezu ihr gesamtes Lebens online überwacht, kommt ihr erst relativ spät.
Social Engineering kann einerseits dazu benutzt werden, die Angriffswege des Angreifers aufrecht zu erhalten oder zu erweitern. Andererseits kann, insbesondere im Stalking-Kontext, auch einfach nur das Ziel verfolgt werden, größtmöglichen Schaden für das Opfer anzurichten.
Frank versendet mit seiner Zweit-SIM Nachrichten an Sandras beste Freundin, um Sandra zu isolieren. Außerdem sperrt Frank mehrfach Sandras Bankkarte, indem er mit ihren Daten bei Sandras Bank anruft und behauptet, ihre Karte gefunden zu haben. Nach mehreren Vorfällen dieser Art versucht Sandra, Frank endlich aus ihrem Leben zu sperren.
Sandra kann und sollte verschiedene Maßnahmen gegen das Stalking ergreifen. Der erste Schritt sollte sein, ihre Geräte zurückzusetzen: ihre Daten sichern, ihr Smartphone auf Werkseinstellungen zurücksetzen (lassen), ihr Smartphone mit einem neuen Apple- bzw. Google-Account verknüpfen und ihre Daten zurückspielen. Analog sollte sie auch ihren Laptop nach einem Backup komplett neu aufsetzen und einrichten (lassen).
Um sicherzustellen, dass potenziell mit Schadsoftware befallene Geräte keinen Schaden mehr anrichten können, müssen diese auf die Werkseinstellungen zurückgesetzt oder komplett neu installiert werden. Ein simples „Reinigen“, beispielsweise mit Antivirensoftware, reicht nicht aus. Dieser Schritt sollte vor dem Passwort-Reset und vor möglicherweise anstehenden Accountwechseln durchgeführt werden. Alle Passwortänderungen und sonstigen sicherheitsrelevanten Schritte sollten immer von einem „sauberen“ Gerät aus durchgeführt werden.
Um auszuschließen, dass gegebenenfalls bösartige „Find my iPhone“- oder äquivalente Funktionen aktiv sind, muss das Smartphone mit einem neuen Apple- bzw. Google-Account verknüpft werden. Außerdem sollte auf dem neu installierten Gerät die Standortbestimmung deaktiviert werden.
Weiterhin kann sich Sandra um den Schutz ihrer Daten kümmern. Sie kann ihre Passwörter und Kontodaten geheim halten sowie ihr Smartphone und ihren Computer nicht aus der Hand geben.
Außerdem kann Sandra ihre E-Mail-Adresse wechseln. Sie schützt sich vor Missbrauch ihrer Daten, indem sie verschiedene E-Mail-Adressen für verschiedene Zwecke anlegt, also berufliche, private und kritische Nachrichten (z.B. an Banken und Versicherungen) von unterschiedlichen E-Mail-Adressen aus sendet.
E-Mail-Adressen sind im Regelfall ein digitaler Ausweisersatz. Wer Zugriff auf eine E-Mail-Adresse hat, von der aus beispielsweise ein Amazon-Account eingerichtet wurde, kann für diesen das Passwort zurücksetzen und dann neue Zahlungsdaten hinterlegen oder neue Rechnungs- und Lieferadressen angeben. Das gleiche gilt für andere Anbieter. Es ist daher ratsam, verschiedene Adressen für verschiedene Zwecke anzulegen und diese nicht miteinander zu verknüpfen. Wenn der Stalker nur die private E-Mail-Adresse kennt, nicht aber die für Amazon verwendete, kann er letztere auch nicht angreifen. Wenn die E-Mail-Adresse nicht komplett ausgetauscht wird, muss zumindest sichergestellt werden, dass beispielsweise Weiterleitungen an andere E-Mail-Adressen deaktiviert sind. Angreifer nutzen diesen Mechanismus oft, um weiterhin Zugriff auf andere Accounts zu behalten.
Nicht zuletzt kann Sandra ihre Social Media-Accounts wechseln. Da Sandra Stalking-Opfer ist, sollte sie zumindest zeitweise Social Media überhaupt nicht nutzen und ihre dortigen „Freunde“ stark einschränken. Jedenfalls kann sie ihre Datenschutzeinstellungen extrem restriktiv gestalten und Vorsicht bei ihren Fotos walten lassen, sprich: diese von Metadaten bereinigen.
Wenn irgend möglich, sollten Stalking-Opfer – zumindest bis die Situation geklärt ist – auf die Nutzung von Social Media-Accounts komplett verzichten. Wenn dies nicht möglich ist, sollten die Accounts extrem restriktiv gehandhabt werden, insbesondere was Verknüpfungen mit Unbekannten angeht. Es sollten nur Netzwerke gewählt werden, die eine anonyme Nutzung erlauben. Fotos sollten, aufgrund der damit verbundenen Metadaten, extrem zurückhaltend gepostet und vorher bereinigt werden.
Außerdem hat Sandra die Möglichkeit, ihre Telefonnummer zu wechseln und sie danach ausschließlich vertrauenswürdigen Personen zu geben, sie nur in wichtigen Fällen anzugeben, Messenger zu deinstallieren bzw. Berechtigungen einzuschränken, und ihr Telefonbuch nicht für datenhungrige Netzwerke zu öffnen.
Neben dem offensichtlichen Stalking-Potenzial durch nächtliche Anrufe und dergleichen sind Telefonnummern außerdem ein beliebtes Mittel für digitale Angriffe. Wie E-Mail-Adressen sind sie ein digitales Identifikationsmerkmal (Beispiel Whatsapp) und können so benutzt werden, um Accounts zurückzusetzen und zu übernehmen. Außerdem können sie für Social Engineering-Angriffe verwendet werden. Die Herausgabe von Telefonnummern ist daher extrem restriktiv zu handhaben und sollte lediglich an Personen und Organisationen erfolgen, die die Nummer nicht weitergeben. Insbesondere sollte vermieden werden, Kontakte auf Online-Plattformen hochzuladen.
Wenn nötig, kann Sandra ihre Adresse wechseln und eine Adresssperre beim Einwohnermeldeamt erwirken.
Wenn das Stalking so massiv ist, dass ein Adresswechsel nötig wird, sollte eine Adresssperre beim Einwohnermeldeamt hinterlegt werden. Außerdem sollte vermieden werden, die Adresse anzugeben, wenn dies nicht zwingend nötig ist. In diesem Fall ist Beratung durch eine spezialisierte Stelle sinnvoll. Auch psychologische Unterstützung kann dabei in Anspruch genommen werden.
Wir hoffen, dass der fiktive Fall von Sandra und Frank Ihre Sensibilität für das Thema Online-Stalking gestärkt hat und die hier vorgestellten Maßnahmen für reale Fälle einen niedrigschwelligen Ansatz bieten, Online-Stalking mehr entgegen zu setzen als das Vertrauen darauf, dass die zuständigen Behörden ihre Arbeit tun sollten. Sichere Nähe und gesunde Distanz im digitalen Leben sind wichtige Voraussetzungen für Sicherheit und Selbstbestimmung auch in der analogen Realität.
08.10.2024
- 09.10.2024
Hack1/Hack2: Hacking Workshop
10.10.2024
- 11.10.2024
Hack1/Hack2: Hacking Workshop
15.10.2024
Awe2: Phishing Awareness
15.10.2024
- 16.10.2024
Hack7: Sicherheit und Einfallstore bei Webapplikationen
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer