Urlaub und Datenschutz: das Bedrohungsmodell, das man im Badeanzug vergisst

Ein Bekannter postet vom Strand aus ein Foto seiner Kinder mit der Bildunterschrift „Endlich zwei Wochen Ruhe in [Ortsname]”. Das Foto ist schön. Es sagt aber auch, für alle die es hören wollen: Das Haupthaus steht leer, so sehen die Kinder aus, so sind sie und das für die nächsten fünfzehn Tage. Nichts davon war beabsichtigt. Und doch wurde alles gesagt.

Urlaub ist der Moment, in dem man gewissenhaft alle Schutzmaßnahmen fallen lässt, die man mühsam das restliche Jahr aufrechterhalten hat. Das ist auch der Sinn: Man reist, um abzuschalten. Das Problem ist, dass die mentale Entspannung von einer digitalen Entspannung begleitet wird — und das genau in dem Moment, in dem man am meisten exponiert ist.

Das ist kein Aufruf zur sommerlichen Paranoia. Niemand sollte seinen Urlaub damit verbringen, Postkarten zu verschlüsseln. Es ist eine Feststellung über einige Reflexe, die wenig kosten und viel verändern, und über eine Expositionskategorie, die man völlig vergisst: die der Kinder.

Die übliche Falle

Das Vorurteil lautet, digitale Sicherheit sei eine berufliche Angelegenheit. Im Büro passt man auf. Im Urlaub ist man in der Familie, unter Freunden, in einem privaten Rahmen, also entspannt man sich. Die Freizeitdigitalisierung wäre eine Zone ohne Einsatz.

Das Gegenteil ist der Fall. Im Urlaub ändern sich drei Dinge gleichzeitig. Man veröffentlicht mehr, und in Echtzeit, weil das der Moment ist, den man teilen möchte. Man nutzt Netzwerke, die man nicht kontrolliert: die des Hotels, des Campingplatzes, des Restaurants. Und man reist mit der ganzen Familie, einschließlich Kindern, deren Daten noch weniger geschützt sind als unsere und deren Bild von Erwachsenen veröffentlicht wird, die sich keine Gedanken darüber machen.

Der private Rahmen reduziert nicht die Exposition. Er reduziert die Wachsamkeit. Und ein Einbrecher, ein Stalker oder ein Telefonverkäufer unterscheidet nicht zwischen Ihren beruflichen und Ihren Stranddaten.

Reales Bedrohungsmodell

Man muss die Akteure benennen, denn sie sind nicht die, die man sich vorstellt. Kein Geheimdienst hier, keine Industriespionage. Alltägliche Bedrohungen, gerade weil sie alltäglich sind.

Der informierte Einbruch steht an erster Stelle. Das öffentlich angekündigte leere Haus mit den Daten ist eine direkt verwertbare Information. Soziale Netzwerke sind zu einem Aufklärungswerkzeug für Einbrecher geworden, und das Foto „Wir fahren zwei Wochen weg” ist ein Signal, das so klar ist wie ein Schild an der Tür.

Die unbeabsichtigte Geolokalisierung kommt als Nächstes. Die Metadaten von Fotos, die berühmten EXIF-Daten, enthalten oft die genauen GPS-Koordinaten des Aufnahmeorts. Manche Plattformen entfernen sie bei der Veröffentlichung, andere nicht. Und allein die Veröffentlichung in Echtzeit, unabhängig von den Metadaten, enthüllt Ihren Standort Ihrer Freundesliste, die nicht immer so geschlossen ist, wie man denkt.

Das unkontrollierte Netzwerk vervollständigt das Bild. Das öffentliche WLAN des Hotels oder Campingplatzes hat dasselbe Risikoprofil wie das eines Flughafens: von einem Dritten betrieben, schlecht konfiguriert, manchmal von einem falschen Zugangspunkt imitiert. Mit dem verallgemeinerten HTTPS hat sich das Risiko verringert, aber nicht verschwunden, und man verbindet sich im Urlaub mit einer Sorglosigkeit, die man bei der Arbeit nicht hätte.

Der blinde Fleck der Kinder

Das ist der Teil, der am wenigsten behandelt wird, und vielleicht der wichtigste. Ein Kind hat nicht der Veröffentlichung seiner Online-Präsenz zugestimmt. Jedes Foto, das ein Elternteil veröffentlicht, baut ohne seine Zustimmung einen digitalen Fußabdruck auf, der ihn begleiten wird und den er nicht gewählt hat.

Über den Grundsatz hinaus gibt es das Konkrete. Ein geolokalisiertes Foto eines Kindes, mit dem Vornamen als Bildunterschrift und der Schule, die anderswo im Profil erwähnt wird, ist eine Aufklärungsakte. Die meisten Eltern, die diese Elemente veröffentlichen, haben sie nie als Gesamtheit betrachtet. Zusammengesetzt zeichnen sie eine präzise Kartographie des Lebens eines Minderjährigen.

Der richtige Ansatz

Die Grundregel ist hier einfacher als für den Rest dieser Website: verschieben statt verbreiten. Nahezu das gesamte Risiko, das mit dem Teilen von Urlaubsfotos verbunden ist, verschwindet, wenn man beim Zurückkommen statt in Echtzeit veröffentlicht. Das Foto wird in zwei Wochen genauso schön sein, und es wird nicht mehr sagen „mein Haus ist gerade leer”.

Für den Rest reichen drei Reflexe aus, um das Wesentliche abzudecken.

Die Geolokalisierung von Fotos auf dem Telefon ein für alle Mal deaktivieren. Das ist eine Einstellung, keine Gewohnheit. Auf iPhone wie auf Android kann man die Aufzeichnung des Standorts in Fotos deaktivieren.

Ein VPN in Unterkunftsnetzwerken aktivieren, mit demselben Reflex wie auf Geschäftsreisen. Eine lokale eSIM-Datenkarte macht es außerhalb Europas möglich, nicht mehr vom Hotel-WLAN abhängig zu sein.

Einmal überprüfen, wer seine Veröffentlichungen wirklich sieht. Die meisten Menschen veröffentlichen vor einem viel größeren Publikum, als sie denken. Eine Datenschutzeinstellung, die vor dem Urlaub überprüft wird, ist mehr wert als alle Reflexe, die man während des Urlaubs aufrechterhält.

Fehler, die man ständig sieht

In Echtzeit „Wir sind angekommen!” mit dem Foto des Ferienhauses und dem Namen des Dorfes veröffentlichen. Alles ist dabei: Sie sind nicht zu Hause, hier sind Sie, und für wie lange.

Die Geolokalisierung bei Fotos aktiv lassen und Bilder veröffentlichen, deren Metadaten die GPS-Koordinaten auf den Meter genau angeben.

Kinder ohne nachzudenken veröffentlichen, und dabei Vorname, Gesicht, Ort und Gewohnheiten auf einem Profil ansammeln, dessen tatsächliches Publikum man nie überprüft hat.

Sich mit dem WLAN des Campingplatzes verbinden, um seine Bankkonten abzufragen, aus dem Entspannungsreflex heraus, der vergessen lässt, dass man das bei der Arbeit nie getan hätte.

Vor der Abreise und während des Urlaubs

• N1 Grundsatz festlegen: Urlaubsfotos nach der Rückkehr veröffentlichen, nicht in Echtzeit
• N1 Geolokalisierung von Fotos in den Telefoneinstellungen deaktivieren (einmalige Einstellung)
• N1 Überprüfen, wer die eigenen Veröffentlichungen in sozialen Netzwerken wirklich sieht
• N1 Als Familie entscheiden, was man bezüglich der Kinder veröffentlicht oder nicht
• N2 Ein VPN installieren und testen, das man in Unterkunftsnetzwerken aktiviert
• N2 Für Aufenthalte außerhalb Europas: eine lokale eSIM-Datenkarte statt Hotel-WLAN einplanen
• N2 Niemals Vorname, Ort und Schule eines Kindes auf demselben Profil zusammenstellen
• N3 Für berufliche Geräte: dieselbe Wachsamkeit wie auf Geschäftsreisen anwenden

Weiterführende Artikel

Dieser Artikel ist Teil der Achse Reisen. Für unkontrollierte Netzwerke, siehe Öffentliches WLAN. Um die eigene Exposition zu messen, Defensives OSINT. Für Konnektivität auf Reisen, Reise-eSIM.