SHIELD

Realität der Exposition

Ihre Daten sind längst öffentlich. Was das wirklich ändert.

Die Fiktion vom privacy first dient allen außer Ihnen. Eine ehrliche Bestandsaufnahme dessen, was bereits draußen ist, und der strategische Schwenk hin zu einer operativen Sicherheit der zugestandenen Exposition.

Veröffentlicht am 16 Min. Lesezeit Allgemein

Zuletzt überprüft:

Datenserver in Reihen in einem Rechenzentrum

Der Mandant unterschreibt das NDA, legt den Vertrag in seinen Safe, und sein historisches E-Mail-Postfach ist gerade in ein russisches Forum gedumpt worden. Diese Szene sehe ich jedes Jahr. Das NDA hat seine Daten nie geschützt. Es schützte nur das Gefühl, dass sie geschützt seien.

Die übliche Falle

Der vorherrschende Diskurs über Cybersicherheit gleicht 2026 dem von 2013: Er beginnt mit „schützen Sie Ihre Daten”. Er setzt einen Anfangszustand voraus, in dem Ihre Daten Ihnen gehören, in dem sie auf Ihren Geräten und in den von Ihnen kontrollierten Konten leben, und in dem Sicherheit darin besteht, zu verhindern, dass sie hinausgelangen.

Dieser Zustand existiert nicht mehr. Er hat seit langer Zeit nicht mehr existiert.

Ihre historischen E-Mail-Adressen, Ihre Telefonnummern, Ihre gehashten (manchmal im Klartext vorliegenden) Passwörter, Ihre Kontakte, Ihr Geburtsdatum, Ihre Käufe, Ihre ungefähren Bewegungen, Ihre geschätzte Haushaltszusammensetzung, Ihr abgeleitetes Vermögen — all diese Informationen zirkulieren bereits in Datenbanken, die Sie nie eingesehen haben, bei Akteuren, die Sie nicht kennen, in Rechtsräumen, in denen die DSGVO keine Geltung hat.

Die Fiktion vom privacy first — die Idee, dass Ihre Daten standardmäßig privat sind und es genügt, sie zu schützen, damit sie es bleiben — dient allen außer Ihnen.

Sie dient den Regulierungsbehörden, die Recht produzieren (DSGVO, CCPA, LGPD, PIPL) und dabei eine wiederherzustellende Vertraulichkeit voraussetzen, was ihnen ein fortlaufendes Mandat und einen Anschein von Wirksamkeit verschafft.

Sie dient den SaaS-Anbietern, die Verschlüsselung, DLPLösung, die das Abfließen sensibler Daten (E-Mails, Dateien, Zwischenablage) erkennt und blockiert., CASBLösung, die zwischen Benutzern und Cloud-Apps vermittelt, um Sicherheitsrichtlinien durchzusetzen., MFAMehrfaktor-Authentifizierung: Kombination von zwei unabhängigen Identitätsnachweisen beim Anmelden. verkaufen und diese Produkte Unternehmen in Rechnung stellen, die glauben, Schutz zu kaufen, während sie eine Compliance-Haltung kaufen.

Sie dient den Nutzern, die weiterleben können, als wären ihre Daten privat, weil es bequemer ist, einen Tresor zu schließen, als anzusehen, was bereits entwichen ist.

Das Ergebnis:

Man verstärkt Tresore, während die Eingangstür seit zehn Jahren offen steht, und niemand schaut durch diese Tür.
Shield — shield.travel

Ehrliche Bestandsaufnahme dessen, was bereits draußen ist

Ihre Daten lecken nicht an einem Ort. Sie lecken in fünf übereinandergelagerten Schichten, von denen jede unterschiedlichen Regeln gehorcht.

Schicht 1 — Die Datenbroker

Die Industrie der Datenbrokerage ist alt, gewaltig und für die breite Öffentlichkeit weitgehend unsichtbar.

Acxiom, 2018 von LiveRamp übernommen, pflegt Profile zu rund 2,5 Milliarden Menschen, mit durchschnittlich 1500 Attributen pro Profil. Experian, LexisNexis Risk Solutions, Oracle Data Cloud (ehemals Datalogix, dann BlueKai), Epsilon — diese Namen tauchen seit zehn Jahren in allen Branchenberichten auf.

Was sie über Sie haben: Name, Anschrift, Telefon, E-Mail, Geburtsdatum, Haushaltszusammensetzung, Familienstand, Kinder, geschätztes Einkommen, geschätztes Vermögen, Immobilienbesitz. Und hier wird es unangenehm: Käufe, Web-Navigation, ungefähre Geolokalisierung (erhoben über mobile Apps, die weiterverkaufen), Mediennutzungsgewohnheiten. Und mehr noch: prädiktive Scorings — Kaufwahrscheinlichkeit nach Kategorie, Scheidungsrisiko, Finanzrisiko, Lebensphase, geschätzte politische Affinitäten.

Wie Ihre Daten zu ihnen gelangen: Kundenkarten von Supermärkten, banale Web-Formulare (Newsletter, Gewinnspiele, Whitepapers), mobile Apps (Wetter, Taschenlampe, Gratisspiele — die Königsdisziplin der undurchsichtigen Datensammlung), undurchsichtige Partnerschaften zwischen SaaS-Anbietern, standardmäßiges Opt-out bei vorangekreuzten Kästchen.

Die DSGVOEuropäische Verordnung 2016/679 zum Schutz personenbezogener Daten, seit Mai 2018 anwendbar. sieht ein Auskunfts- und Löschungsrecht vor, doch in der Praxis: Europäische Broker (Mediascope, Schober, Klarna data products) antworten teilweise, in Europa tätige US-amerikanische Broker antworten innerhalb von Fristen, die an die gesetzlichen Grenzen stoßen, und die Weiterverkäufer in der Kaskade machen ein Audit unmöglich — Sie verlangen die Löschung bei Acxiom, Ihr Profil wird drei Monate später aus einer Sekundärquelle wieder eingespeist.

Schicht 2 — Die Leak-Datenbanken

Have I Been Pwned, der sichtbarste öffentliche Dienst, indexiert 2026 rund 13 Milliarden Konten verteilt auf mehrere Hundert Breaches. Das ist die Spitze des öffentlichen Eisbergs — der Dienst erfasst nur die öffentlich gemachten Leaks.

Darunter gibt es DeHashed, Intelligence X, Snusbase, Constella Intelligence. Diese kostenpflichtigen Dienste (5 bis 300 € pro Monat je nach Stufe) gewähren Zugriff auf weit mehr: alte Dumps, die nie zu HIBP gelangt sind, Klartext-Passwörter aus schlecht gehashten Breaches (insbesondere von Websites der 2010er Jahre, die MD5 ohne Salt verwendeten), und manchmal Daten, die aus heute verschwundenen Dark-Web-Foren stammen.

Die Marktplätze, auf denen diese Dumps zirkulierten, wurden beschlagnahmt oder geschlossen — RaidForums (2022 vom FBI beschlagnahmt), Breached (2023 nach der Verhaftung seines Administrators geschlossen) —, doch die Dumps selbst haben überlebt. Sie werden aufgekauft, neu verpackt und zirkulieren weiter bei weniger sichtbaren Akteuren.

Emblematische Fälle, die jeder kennen sollte:

  • Collection #1 (Januar 2019, von Troy Hunt aufgedeckt): 773 Millionen einzigartige E-Mail-Adressen, 21 Millionen Klartext-Passwörter, Aggregat aus Hunderten früherer Breaches
  • LinkedIn 2021: 700 Millionen gescrapte Profile, einschließlich der mit den Konten verknüpften E-Mails (für 5000 $ für den kompletten Dump weiterverkauft)
  • Facebook 2019 (veröffentlicht 2021): 533 Millionen Profile, einschließlich der Telefonnummern
  • 23andMe 2023: genetische Daten von 6,9 Millionen Konten, mit Folgen über einen Horizont von 50 Jahren
  • OPM 2015 (USA): 21,5 Millionen Personalakten von Bundesbediensteten, einschließlich der Sicherheitsüberprüfungen

Wenn Sie zwischen 2010 und 2020 das Internet genutzt haben, befinden Sie sich statistisch in mindestens einem dieser Dumps.

Schicht 3 — Die öffentlichen Register

Was folgt, ist kein Leck — es sind gesetzlich verpflichtend öffentliche Informationen, die niemand in seine Expositionskartierung aufzunehmen denkt.

In Deutschland: Das Handelsregister und das Unternehmensregister machen Geschäftsführer, Gesellschafterstrukturen, Jahresabschlüsse und Insolvenzbekanntmachungen einsehbar, das DPMA veröffentlicht Marken und Patente. In Österreich: das Firmenbuch. In der Schweiz: Zefix sowie die kantonalen Grundbücher je nach Kanton. Im Vereinigten Königreich: Companies House, OpenCorporates. In den USA: Bundesstaatsregister (Delaware, Nevada), PACER für bundesgerichtliche Entscheidungen.

Für eine Führungskraft kartieren diese Quellen in wenigen Minuten: Ihr gesamtes Berufsleben (alle Gesellschaften, in denen Sie ein Mandat hatten, deren Daten, Ihre Vergütung, falls Sie Geschäftsführer einer börsennotierten Gesellschaft waren), Ihre Rechtsstreitigkeiten (jede veröffentlichte Gerichtsentscheidung), Ihre beruflichen Umzüge (Änderungen des Sitzadressen), Ihr Immobilienvermögen in bestimmten Rechtsräumen.

Die DSGVO greift nicht: Diese Daten sind kraft Gesetzes öffentlich.

Schicht 4 — Die Archive

Das Internet hat ein Gedächtnis, das Sie nicht gewählt haben.

Die Wayback Machine des Internet Archive erfasst Seiten seit 1996. Ihre 2008 bei einem Freehoster betriebene persönliche Website, Ihr LinkedIn-Profil von 2012, als Sie Junior-Berater waren, das Diskussionsforum, in dem Sie mit 22 unter Ihrem echten Namen aktiv waren — alles ist einsehbar, sofern man zu suchen weiß.

archive.today (ehemals archive.is) bietet die Erfassung auf Abruf: Jeder kann einen dauerhaften Snapshot einer Seite anfertigen, ohne dass Sie sich dagegen wehren könnten. Kein offizieller Entfernungsmechanismus.

Der historische Google Cache wurde seit 2020 schrittweise reduziert, bleibt aber über bestimmte spezifische Anfragen für alte Seiten zugänglich.

Spezialisierte OSINT-Werkzeuge (Maltego, Spiderfoot HX, Bellingcat Toolkit) konsolidieren diese Quellen in wenigen Minuten. Ein ernsthaftes Audit zu einer identifizierten Person dauert zwei bis vier Stunden.

Schicht 5 — Die indexierten sozialen Netzwerke

LinkedIn ist der schlimmste Übeltäter für Business-Profile: Ihr vollständiger Lebenslauf, Ihre Kontakte (je nach Einstellungen), Ihre Mobilitätshistorie, Ihre öffentlichen Stellungnahmen über zehn Jahre, Ihre „I’m speaking at…”, die Ihre Reisen verraten.

Twitter / X bewahrt sechzehn Jahre Stellungnahmen, von denen ein erheblicher Teil von Google indexiert wird, selbst nach Löschung des Kontos.

Die Metadaten sind manchmal aufschlussreicher als die Inhalte: wen Sie liken, wen Sie teilen, zu welchen Uhrzeiten Sie aktiv sind (verrät Ihre Zeitzone und damit Ihre Reisen), mit wem Sie häufig interagieren (verrät Ihren engen Kreis).

Warum Sie die Kontrolle nicht zurückgewinnen können

An diesem Punkt ist die Versuchung groß zu sagen: „OK, ich mache groß reinen Tisch”. Diese Versuchung ist legitim und weitgehend zum Scheitern verurteilt.

Die Architektur des Lecks ist verteilt. Ihre Daten sind nicht an einem Ort, sondern in Dutzenden von Kopien, verteilt über mehrere Rechtsräume, bei Akteuren mit divergierenden Interessen. Die Löschung bei einem Akteur zu verlangen, löscht nichts bei den anderen.

Das Recht auf Vergessenwerden hat eine begrenzte Reichweite. Artikel 17 der DSGVO ist an Bedingungen geknüpft (nicht mehr erforderliche Daten, Widerruf der Einwilligung etc.) und unterliegt weitreichenden Ausnahmen (Meinungsfreiheit, öffentliches Interesse, Rechtsansprüche, Archive). In der Praxis funktioniert die Google-EU-Deindexierung, die Löschung bei einem aktiven DSGVO-Verantwortlichen funktioniert, der Rest funktioniert schlecht.

Der Streisand-Effekt existiert. Die Löschung zu verlangen, verstärkt oft die Exposition. Ein aggressives DSGVO-Vorgehen gegenüber einer Zeitung weckt das institutionelle Gedächtnis. Eine Anfrage an Google erzeugt eine Benachrichtigung an den Betreiber der Quellseite, der beschließen kann, sie noch stärker in den Vordergrund zu rücken.

Der Weiterverkauf ist immerwährend. Ein 2019 geleakter Dump wird 2030 weiterverkauft. Geschlossene Marktplätze werden durch andere ersetzt. Die Grenzkosten der Speicherung von Dumps sind null, ihr Wert amortisiert sich über Jahrzehnte.

Das Audit ist unmöglich. Sie wissen nicht, wer was besitzt, Sie können keine Anfrage an Akteure richten, die Sie nicht kennen. Selbst die Opt-out-Broker-Dienste (Incogni, DeleteMe, Optery, Privacy Duck) decken nur einen Teil der identifizierten Industrie ab — und haben keinerlei Zugriff auf die Leak-Datenbanken.

Der strategische Schwenk

Hier liegt der mentale Umschwung, der alles Übrige verändert.

Dieser Umschwung ist keine Kapitulation. Es ist eine Neuausrichtung an der Realität.

Kompartmentierung, nicht Vertraulichkeit

Statt zu versuchen, „alles zu schützen” — ein unmögliches Ziel —, trennen Sie die Identitäten nach Verwendung. Eine zivile E-Mail für die Bank, das Finanzamt, die Hausverwaltung. Eine öffentliche berufliche E-Mail für LinkedIn, Konferenzen, Medien. Eine sensible berufliche E-Mail für M&A-Dossiers, Rechtsstreitigkeiten, Verhandlungen. Eine operative E-Mail für Drittdienste, Abonnements, Online-Käufe.

Ein Leck bei der operativen Identität (der konstruktionsbedingt am stärksten exponierten) kontaminiert nicht die sensible Identität. Das ist Gegenstand des Artikels Identitäts-Kompartmentierung.

Rotation, nicht Permanenz

Ein Passwort hat eine Lebensdauer. Eine E-Mail-Adresse auch. Eine Telefonnummer auch.

Passwort: 3 Monate für kritische Konten, 6 Monate für die anderen. Mit einem Passwortmanager ist das mechanisch.

Operative E-Mail-Adresse: 12 bis 24 Monate. Sie geben die Adresse auf, leiten die wichtigen Dienste auf die neue um, lassen den Rest sterben.

Telefonnummer: 3 bis 5 Jahre für die öffentliche berufliche Nummer, stabiler für die zivile, aber mit erhöhter Wachsamkeit gegenüber dem Anbieter (siehe SIM-Swap).

Diese Rotation ist beim ersten Mal unangenehm. Danach wird sie zur Disziplin, wie Zähneputzen.

Resilienz, nicht absolute Prävention

Sie werden eines Tages kompromittiert sein. Die Frage ist nicht „ob”, sondern „wann” und „wie Sie reagieren”.

Die Reaktion vorbereiten, nicht die Prävention. Ein einseitiger persönlicher Notfallplan, identifizierte Eskalationskontakte, kritische Konten mit FIDO2-Hardware (die Phishing widersteht), verschlüsseltes Backup außerhalb des Hauptrechtsraums gespeichert.

Das ist Gegenstand des Artikels Incident Response im Feld.

Threat Modeling ausgehend von einem Leck-Zustand

Die Bestandsaufnahme Ihrer bekannten Exposition (siehe Das Expositionsaudit) wird zum Ausgangspunkt jeder Strategie.

Für jede Exposition klassifizieren Sie: kritisch (sofortiges Handeln), sensibel (geplantes Handeln), öffentlich (akzeptiert, dokumentiert), harmlos (ignoriert).

Für jedes Kritische entscheiden Sie: mutieren (den zugrunde liegenden Identifikator ändern), entfernen (das Konto schließen, Deindexierung verlangen), akzeptieren (mit Vorbereitung der Reaktion im Ausnutzungsfall).

Was das konkret bedeutet

Angle de lecture

Für Sie als Privatperson

Sie haben vermutlich zwischen einer und drei Haupt-E-Mail-Adressen, die seit zehn Jahren überall verwendet werden. Sie haben vermutlich Passwörter zwischen Diensten wiederverwendet, mit minimalen Variationen. Sie haben vermutlich ein offenes LinkedIn-Konto, ein Facebook-Konto, das Sie nicht mehr nutzen, das aber existiert, Dutzende von Konten bei vergessenen Diensten.

Ihre drei Prioritäten, in dieser Reihenfolge:

  1. Prüfen, was bereits draußen ist. Gehen Sie auf Have I Been Pwned, prüfen Sie jede Ihrer historischen E-Mail-Adressen. Notieren Sie, was auftaucht. Wenn ein noch verwendetes Passwort in einem Dump ist: Ändern Sie es sofort, überall, wo Sie es wiederverwendet haben.

  2. Die Haupt-E-Mail und den Passwortmanager absichern. Diese beiden Konten sind die Wurzeln von allem Übrigen. Langes, einzigartiges Passwort, Hardware-MFA (YubiKey oder Äquivalent — mindestens zwei Schlüssel), keine SMS-Wiederherstellung, keine Wiederherstellung über „Sicherheitsfrage”.

  3. Die Kompartmentierung nach Verwendung starten. Ein dediziertes E-Mail-Konto für Drittdienste anlegen (ein SimpleLoginE-Mail-Alias-Dienst zur Verschleierung der echten Adresse, 2022 von Proton übernommen.-Alias oder Apple Hide My Email genügt für den Anfang). Die Anmeldungen schrittweise auf diesen Alias migrieren. Die zivile E-Mail für die Institutionen behalten, Punkt.

Der Rest ist fortlaufende Arbeit über mehrere Monate. Kein einzelner Tag. Die richtige Disziplin ist kein Sprint.

Für Sie, CISO / IT-Leitung / Geschäftsführung

Sie verwalten vermutlich die Sicherheit einer Organisation. Ihre Investitionsentscheidungen betreffen Perimeter (Firewall, EDR, SIEM, SOC) und Anwendungen (DLP, CASB, ZTNA). Sie haben vermutlich ein wachsendes Cybersicherheitsbudget und ein nagendes Gefühl, dass es nicht im Verhältnis vorankommt.

Der Schwenk „zugestandener Leck-Zustand” verändert Ihre strategische Rahmung in vier Punkten:

1. Ihr Perimeter war nie Ihr Perimeter.

Ihre Mitarbeiter haben ihre privaten E-Mail-Adressen seit fünf bis zehn Jahren in öffentlichen Dumps. Ihre Führungskräfte haben ihr vollständiges LinkedIn-Profil, ihre Wohnadressen in Registern, ihre beruflichen Laufbahnen kartiert. Ihre Kunden haben dieselbe Exposition. Der Perimeter, den Sie schützen, ist eine buchhalterische Fiktion, keine operative Realität.

Direkte Folge: Ihr Threat ModelKartierung der Akteure, Motivationen, Fähigkeiten und potenziellen Auswirkungen gegen ein Ziel. muss die externe Exposition Ihrer Schlüsselpersonen als Eingangsgröße einbeziehen, nicht als Randthema. Ein jährliches Expositionsaudit der Geschäftsführung und der sensiblen Funktionen (Recht, M&A, F&E, Finanzen) ist ebenso strukturierend wie ein Anwendungs-Pentest.

2. Der Social-Engineering-Schwenk verläuft über die öffentliche Exposition.

Ernsthafte Angriffe beginnen 2026 nicht mit einem Zero-Day-Exploit auf Ihren Perimeter. Sie beginnen mit einer glaubwürdigen E-Mail an Ihren Rechtsleiter, konstruiert aus seiner LinkedIn-Historie (Beziehungen, Interessen, Ton), validiert durch seine Funktion (öffentlich sichtbar) und ausgelöst durch ein passendes Ereignis (angekündigte M&A, öffentlicher Rechtsstreit, Auslandsreise).

Der Bericht ENISA Threat Landscape 2023 bestätigt: Die dominierende Angriffskette kombiniert vorgelagertes OSINT, gezieltes Social Engineering und die Ausnutzung eines erlangten legitimen Zugangs. Ihr EDR sieht von all dem nichts.

Direkte Folge: Ihr Sensibilisierungsprogramm muss nach Risikoprofil gezielt sein, nicht verallgemeinert. Exponierte Führungskräfte verdienen ein gesondertes Briefing, spezifische Kommunikationskanäle und ein Out-of-Band-Validierungsprotokoll für ungewöhnliche Anfragen.

3. Die DSGVO-Compliance gibt Ihnen ein falsches Maß an Schutz.

Ihre DSGVO-Pflichten betreffen die Daten, die Sie verarbeiten. Sie betreffen nicht das, was bereits bei Ihren Kunden, Ihren Partnern, Ihren Dienstleistern hinausgelangt ist. Eine perfekt DSGVO-konforme Organisation kann operativ völlig exponiert sein.

Direkte Folge: In Ihrem Dashboard zwei verschiedene Indikatoren trennen. Compliance (DSGVO, ISO 27001, NIS 2) — Ihre rechtliche Absicherung. Exposition (OSINT-Audit der Geschäftsführung, Monitoring der Leak-Datenbanken zu den geschäftlichen und privaten E-Mails der Führungskräfte, Registerüberwachung) — Ihre tatsächliche operative Exposition. Dieses zweite Dashboard fehlt oft — oder schlimmer, es wird einer Marketinglösung überlassen, die lediglich öffentliche Daten umformatiert.

4. Ihr Budget sollte teilweise zur Resilienz schwenken.

Wenn Sie akzeptieren, dass die Kompromittierung keine Eventualität, sondern eine Gewissheit im Horizont weniger Jahre ist, ändert sich das Verhältnis Prävention / Erkennung / Reaktion / Wiederherstellung.

In der Praxis geben viele Organisationen 60 bis 70 % für Prävention aus, 20 bis 30 % für Erkennung und einen Restbetrag für Reaktion und Wiederherstellung. Eine an „zugestandenem Leck-Zustand” ausgerichtete Verteilung nähert sich einem 35 / 30 / 20 / 15 — mit einem deutlichen Aufwuchs bei der Reaktionsfähigkeit (Bereitschaftsteam, Forensik-Partner, vorab verfasster Krisenkommunikationsplan) und der Wiederherstellung (getestete Backups, Isolation, Kontinuitätspläne).

Das ist eine Änderung der Governance, nicht nur des Budgets. Sie wird in der Geschäftsführung diskutiert, nicht im technischen Lenkungsausschuss.

Für Sie, Geschäftsführung

Ihr CISO hat Ihnen gesagt, dass die Organisation geschützt ist. Er hat vermutlich recht, was das betrifft, was er schützt: Ihre Infrastruktur, Ihre Anwendungen, Ihre Arbeitsplätze. Das ist sein Handwerk, er macht es.

Was er Ihnen vermutlich nicht gesagt hat, weil es außerhalb seines Perimeters liegt: Ihre historische private E-Mail-Adresse, Ihre Mobilnummer, Ihr vollständiger Name mit Ihrer Funktion und Ihrem Foto liegen in Datenbanken, die Angreifer für den Preis eines Mittagessens einsehen. Und das schützt keine Firewall.

Drei Fragen, die Sie bei Ihrem nächsten Sicherheitstermin stellen sollten:

  1. „Haben wir ein Expositionsaudit der Mitglieder der Geschäftsführung durchgeführt?” Kein Audit der Infrastruktur. Ein Audit dessen, was öffentlich über die Personen auffindbar ist.

  2. „Wenn mein Haupt-E-Mail-Konto heute Abend kompromittiert würde, wie lange dauert es, bis wir es bemerken?” In Organisationen, die vorgesorgt haben, gibt es eine präzise Antwort. Ein Schweigen ist auch eine Antwort.

  3. „Deckt unsere Zertifizierung einen Angriff ab, der aus öffentlichen Daten über mich konstruiert wird?” Die meisten Zertifizierungen bescheinigen Prozesse, nicht die tatsächliche Exposition der Führungskräfte.

Der Test: Wissen, ob der Schutz der tatsächlichen Bedrohung entspricht oder der leicht abrechenbaren Bedrohung.

Für wen das wichtig ist

Für alle, aber mit unterschiedlichen Kritikalitätsschwellen.

Für die breite Öffentlichkeit: Die Mehrzahl der Lecks hat eine diffuse Auswirkung — gezielter Spam, glaubwürdige Scams, manchmal SIM-Swap, wenn das Profil exponiert genug ist, um den Aufwand zu lohnen. Die minimale Disziplin (abgesicherte Haupt-E-Mail, FIDO2 auf dem Kritischen, jährliches Expositionsaudit) genügt in 95 % der Fälle.

Für exponierte Profile: Führungskräfte, Journalisten, Anwälte, Ärzte von Persönlichkeiten, Dissidenten, Personen mit sichtbarem Vermögen, Personen in konfliktreichen familiären oder beruflichen Rechtsstreitigkeiten. Hier wird die Kompartmentierung strukturierend, das Expositionsaudit vierteljährlich, die dedizierte Beratung für sensible Reisen. Das Verhältnis der persönlichen Investition in operative Sicherheit muss proportional zur Exposition sein.

Kritischer Fall: Profile, die in laufende M&A, strafrechtliche Verfahren, konfliktreiche Scheidungen mit erheblichen finanziellen Einsätzen, aktive mediale Exposition verwickelt sind. Die Schwelle kippt. Das ist Gegenstand des Artikels Exponierte Führungskraft.

Fehler, die man ständig sieht

  • „Ich habe ein VPN, also bin ich geschützt.” Verwechslung zwischen Transitvertraulichkeit (was ein VPN schützt) und Identitätsvertraulichkeit (die von der Kompartmentierung abhängt, und null von einem VPN).
  • „Ich habe nichts zu verbergen.” Verwechslung zwischen verbergen und kontrollieren. Sie haben jedes Interesse daran, zu kontrollieren, was hinausgelangt, was nicht heißt, dass man es verbergen müsste.
  • „Ich habe meine Passwörter geändert.” Ohne Rotation der zugrunde liegenden Identitäten — E-Mails, Nummern — haben Sie nur das Schloss einer Tür gewechselt, die sich durch zehn andere Eingänge öffnet.
  • „Ich nutze Facebook nicht.” Ohne LinkedIn zu berücksichtigen (der stärkste Expositionsfaktor für Business-Profile), den vorherigen Arbeitgeber (Lebenslauf im Cache), die Hausverwaltung (Wohninformationen), das Handelsregister (Gesellschaftsmandate).
  • „Das Unternehmen ist geschützt.” Ohne zu berücksichtigen, dass die natürliche Person, die das Unternehmen führt, individuell exponiert ist, und dass der Angreifer die Person anvisiert, um das Unternehmen zu erreichen.

Umsetzbare Checkliste

  • N1 Das persönliche Expositionsaudit durchführen (HIBP + Google-Dorks über sich selbst) — siehe den eigenen Artikel
  • N1 Die Haupt-E-Mail und den Passwortmanager absichern: FIDO2-Hardware, mindestens zwei Schlüssel, keine SMS-Wiederherstellung
  • N2 Seine kritischen Identifikatoren auflisten (E-Mail, Telefon, Finanzkonten, Cloud-Konten) und ihre Rotation auf 12 Monate planen
  • N2 Seine Identitäten nach aktueller Verwendung kartieren (zivil / öffentlich beruflich / sensibel beruflich / operativ) — das Zielmodell entscheiden
  • N2 Die 3 kritischsten Expositionen identifizieren und für jede entscheiden: mutieren, entfernen, akzeptieren
  • N3 Einen persönlichen Notfallplan erstellen (1 Seite A4): wen anrufen, was zuerst sperren, wo die Backups sind
  • N3 Für exponiertes Profil: vierteljährliches Expositionsaudit durch einen Dritten (frischer Blick)
  • N3 Für Organisation: einen Indikator 'externe Exposition der Geschäftsführung' in das vierteljährliche Cybersicherheits-Dashboard integrieren
  • N3 Für Organisation: das Cybersicherheitsbudget neu ausbalancieren mit einem klaren Anteil für Resilienz (Forensik, Reaktion, Krisenkommunikation)

Zum Weiterlesen

Die strukturierenden Quellen zum Thema (Bücher, Berichte, Journalismus) finden Sie im Frontmatter dieses Artikels. Drei Lektüren, denen Sie den Vorzug geben sollten, wenn Sie tiefer graben wollen:

  • Bruce Schneier, Data and Goliath (2015) — systemische Analyse der kommerziellen und staatlichen Überwachung. Bei einigen Zahlen veraltet, bei den Mechanismen zeitlos.
  • Carissa Véliz, Privacy Is Power (2020) — philosophischer und politischer Blickwinkel auf Privatsphäre als Gemeingut. Kurze, prägnante Lektüre.
  • ENISA Threat Landscape, jährliche Ausgabe — der Zustand der Bedrohungslandschaft in Europa, jährlich von der europäischen Cybersicherheitsagentur aktualisiert. Lange Lektüre, nützlich zur Rahmung der Lagebeobachtung. Für Deutschland ergänzt der Lagebericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) diese Perspektive.

Für die umsetzbaren Praktiken, die sich aus dieser Rahmung ergeben, siehe die anderen Artikel der Achse Realität der Exposition: Das Expositionsaudit, Identitäts-Kompartmentierung, Datenbroker, Das Recht auf Vergessenwerden.

Quellen und weiterführende Literatur

Verwandte Artikel