OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell

Ein Security-Researcher, der mit Tor anfaengt ohne Bedrohungsmodell, landet bei drei Telefonen, fuenf Mailkonten und null echter Anonymitaet. Wir haben das bei Basilisk OffSec mehrfach gesehen: ein Analyst will einen SSRF-Writeup gegen einen Cloud-Provider veroeffentlichen, installiert spontan Whonix, bleibt aber im selben Google-Konto wie immer eingeloggt und laedt Screenshots mit intaktem EXIF hoch. OPSEC ist kein Tool-Shopping, es ist Risikoarbeit. Der Startpunkt sind drei konkrete Fragen: wer will mir schaden, wozu sind diese Akteure technisch faehig und was verliere ich, wenn sie gewinnen. Ohne diese Antworten wird jeder Vergleich zwischen Tails und Qubes zum Theater.

Das persoenliche Bedrohungsmodell folgt derselben Logik wie das Corporate-STRIDE-Vorgehen aus STRIDE Threat Modeling im Sprint: Vollstaendiges Beispiel an einem Microservice, aber das zentrale Asset verschiebt sich: du bist das System. Liste rohe Assets in einer Tabelle: rechtliche Identitaet, Forschungsidentitaeten, operative CTF-Konten, PGP-Schluessel, Krypto-Wallets, physische Geraete, Quellenkontakte, unveroeffentlichte Drafts. Markiere pro Eintrag drei Spalten: Vertraulichkeit, Integritaet, Verfuegbarkeit. Ein Malware-Forscher, der zwei Tage keinen Laborzugang hat, leidet kaum; derselbe Forscher mit Klarnamen in einem russischen Forum geoutet kann dauerhaften Schaden nehmen. Diese Matrix sagt, wo Geld in eine Hardware-Wallet (Private Krypto: Hardware Wallets, Passphrase und Zwangsresistentes Backup) sinnvoll ist und wo Paranoia in Kompartimentierung gehoert.

Definiere deinen Gegner ehrlich. Die meisten Researcher haben realistisch keinen Staatsgeheimdienst mit NSO Pegasus als Gegner. Sehr wohl aber: einen einzelnen Stalker mit lahmem OSINT, eine Ransomware-Crew, die du auf Twitter veralbert hast, den Anwalt einer Firma, die wegen deines Disclosures wuetend ist, einen Ex-Partner mit physischem Zugriff auf den Heimrouter, Scraper, die deine Daten an Data Broker verkaufen. Jeder Fall verlangt eine andere technische Antwort. Gegen den Data Broker ist die Verteidigung buerokratisch und folgt dem Rezept aus Personliche Anti-Doxxing-Sicherheit: Daten von brasilianischen Data Brokers entfernen. Gegen den Ex mit physischem Zugriff sind es LUKS mit externem Keyfile und ein USB-Keylogger-Audit. Misch die Ebenen nicht.

Wenn Gegner und Asset auf dem Papier stehen, waehle das Betriebssystem als Konsequenz, nicht als Identitaet. Der technische Vergleich in Tails, Whonix oder Qubes OS: Welches fuer Welches OPSEC-Szenario zeigt, dass Tails fuer kurze amnesische Sessions taugt, Whonix fuer Netzisolierung in einer VM, Qubes fuer Kompartimentierung pro Domain. Wer AWS-Writeups schreibt, loest das Problem mit Qubes, einer Qube fuer Credentials und einer weiteren mit Burp plus dem DVWA-Lab aus Web-Pentest von Null: Ein Sicheres Lab mit DVWA, Juice Shop und Burp Suite Bauen ohne Drama. Wer ins Feld faehrt und eine Quelle trifft, faehrt mit Tails auf USB-Stick und minimaler Persistenz besser. Alles in ein einziges Ubuntu mit Tor Browser zu schieben ist das schlechteste Modell: hohe Komplexitaet, niedrige Garantien.

Kommunikation verdient ein eigenes Kapitel im Modell. Signal schuetzt Inhalte, leakt aber den Social Graph ueber die Telefonnummer; SimpleX hat keinen persistenten Identifier; Session laeuft ueber Lokinet. Die Wahl haengt davon ab, mit wem du sprichst und was passiert, wenn Metadaten leaken. Der Vergleich in Kommunikations-OPSEC: Signal, SimpleX und Session Technisch Verglichen liefert Latenzzahlen und Discovery-Modelle. Ergaenze eine simple Regel: jede Forschungsidentitaet bekommt einen eigenen Kanal, niemals Kreuzung mit dem privaten. Metadaten-Hygiene aus Metadaten-Hygiene: EXIF, PDF und Office vor der Veroffentlichung saubern gehoert ebenfalls hierher, weil ein Report-PDF mit dem echten Autor im XMP mehr Researcher verbrannt hat als jeder Browser-Zero-Day. Lass exiftool vor jedem Upload laufen, ohne Ausnahme.

Zum Schluss teste dein Modell, indem du OSINT gegen dich selbst fuehrst. Nutze Maltego und Spiderfoot wie in Ethisches OSINT: Den Eigenen Digitalen Fussabdruck mit Maltego und Spiderfoot Untersuchen beschrieben und starte mit Hauptmail, Twitter-Handle und Handynummer. Wenn du in zehn Minuten an deiner Hausadresse landest, schafft das auch jeder kleinere Gegner. Dokumentiere, was geleakt ist, repariere, was reparierbar ist, und akzeptiere, was bereits oeffentlich ist, indem du das Modell anpasst statt Privatheit vorzutaeuschen. Praktisches Takeaway: blocke am Wochenende zwei Stunden, oeffne eine Markdown-Datei threat-model.md, trage Assets, Gegner, Vektoren und Gegenmassnahmen ein und ueberpruefe quartalsweise. Neue Tools erst, wenn dieses Dokument existiert.