Gib mir deinen Nutzernamen. Ich sag Dir wer du bist!
Tools für die online Sozialmedia Recherche in Deutschland (Teil 1)
Menschen sind Herden- und Gewohnheitstiere. Wir hinterlassen Spuren im Netz. Sogar manchmal, ob wir das wollen oder nicht. Sicher. Der eine mag vielleicht vorsichtiger als der nächste sein. Mit einem Passwortmanager ausgestattet, vielleicht auch mit Burner Emailadresse und Wegwerf-Handynummern oder einem Nutzernamen der einem Generator entstammt. Da hat der Ermittler oft schlechtere Karten.
Liest man gern Statistiken, so lernt man auch, dass Bürger Europäischer Länder viel auf Daten-Privatsphäre setzen. Besonders Deutsche scheinen viel auf Daten Sicherheit zu geben. Ämter sollen nie Daten mit Firmen teilen. Aus meinen Daten soll kein Profit gemacht werden. Meine Gesundheitsdaten sind mir heilig. Usw. Usw. Also ein zweiter Stolperstein.
Nun aber das schlagende Gegenargument. In den meisten von uns, und da ist es egal wo wir herkommen, lauert ein tiefes Verlangen danach ein Teil der neuen Gesellschaft zu sein. Irgendwie, Irgendwo mitreden. Wo ist das heutzutage leichter als im Sozialen Teil des Internets? Hier ist es wo sich Deutschland nun entdeckt, ja geradezu auslebt.
Die Neugier treibt an — inklusive Täter, Verbrecher, Mobber, Schleuser und Steuerhinterzieher- sich im Netz zu entblößen. Was für die Datensicherheit ein Albtraum bleibt, wird für die online Recherche immer mehr zu einem Segen. Das hat der Terroristen-jagende BND verstanden. Das verstehen auch immer mehr Journalisten von großen Deutschen Medienhäusern, sowie Ermittler von Strafverfolgungsbehörden.
Selbst der Eintritt ins Netz fordert immer mehr persönliche Daten
Das Teilen von Daten und persönlichen Information ist häufig gar nicht mehr unvermeidbar. Wer dabei sein will, muss blechen. Und zwar nicht mit Geld, sondern persönlichen Daten. Persönliche Informationen werden zur sozialen Währung, die die Teilnahme im Sozialen Netz ermöglichen.
Das Beispiel mit Online Datings ist vielleicht extrem, jedoch nicht fehl am Platz. Um auf Tinder mitzuwirken, wird ein Mindestmaß an persönlichen Informationen verlangt. Um zu „Matchen“ wird man höflich gedrängt, Präferenzen preis zu geben (hier mehr zu Recherchetools). Wer kein Bild von sich hat und keine glaubhafte Legende bieten will, braucht sich erst gar nicht auf Tinder blicken lassen. Genauso ist das auf Linkedin. Selbst auf anonymen Portalen wie Glassdoor wird man zum Ausziehen gedrängt.
Aber jetzt auch noch mal viel primitiver. Ohne E-Mail-Adresse, Nutzernamen und Handynummer, wird man auf Tinder nicht mal in den online Dating Club hineingelassen.
Manch Anbieter akzeptiert nicht mal mehr eine Wegwerf-Adressen. Gerade auf professionellen Social Media Seiten kann es passieren, dass eine Gmail Adresse nicht mehr gut genug ist. Nur noch seriöse Domains werden dann akzeptiert, wie eine E-Mail Adresse mit einer Firmendomain oder einer Universität, zum Beispiel. Das Problem für Datenschützer, und die Chance für Internet Suchnasen: der Name der Person ist oft schon in der Adresse versteckt, also ein valider Anhaltspunkt eine Identität zu bestätigen. Sollte man schon wissen, wo eine Person arbeitet, lässt sich die Emailadresse der Person (nach dem Schema der Email Adressen andere Personen im Unternehmen) erodieren. So lassen sich eventuell Profile finden die einen mit der Person-unverknüpfbaren Username haben.
Immer häufiger fordern Plattformen auch die 2-Faktor Authentifizierung, was oft positiv für die Sicherheit ist. Leider jedoch nicht mit der SMS 2-Faktor Prüfung. Experten raten von der klar ab. Nun kann es aber auch sein, dass die Handynummer als Suchfaktor für Profile hergenommen werden kann. Facebook hat das schon lange unterbunden. Andere eventuell nicht. So bleiben manche Möglichkeiten Recherche mit Handynummern zu betreiben, weiter bestehen.
Häufig aber bedarf es kaum Umstände, um eine Handynummer mit Profilen zu überprüfen und mit echten Identitäten zu verlinken. Oft verbleiben Nummern von Personen für Jahre auf von-Google öffentlich-indizierten Seiten. Auf eBay oder WG-suche.de oder anderen Seiten können Anbieter Daten wie eine Kontaktnummer hinterlassen. Lassen sich diese wiederfinden — oft gelöscht aber vielleicht noch präsent im Google Cache oder auf einem Eintrag in der WayBack Machine — so lassen sich diese Daten womöglich zu einem Besitzer zuordnen.
Manchmal werden Burner-Handynummer, mit einem bestimmten Format genutzt. Sie lassen sich analysieren. Das kann etwas darüber aussagen, wie “privat” oder verdeckt ein Nutzer sein möchte. Ähnlich wie bei VPN IP-Adressen, kann die Erkenntnis nichts zu finden auch ein Hinweis in einer Recherche sein. Nämlich, dass sich hier jemand schützen will und eventuell etwas zu verbergen hat. Das Tool Synapsint erlaubt Telefonnummer einzugeben und den Serviceanbieter, den „Carrier“ zu erahnen.
Oft lässt sich sogar der Ort oder eine Region mit einer Nummer eingrenzen. All das hilft Parallelen vom Internet in die wirkliche Welt einer Person zu ziehen.
Wir sind hungrig uns (mit)zuteilen
Auf sozialen Kanälen posten wir Details über unser tägliches Leben. Wir schießen Schnappschüsse von uns und unsern Liebsten, posten Panorama Shots unserer Lebensräume — Bilder von unseren Wohnzimmern mit Ausblick auf die Innenstadt, und denken uns wenig dabei.
Wer nicht aufpasst und sein Profil auf privat stellt, macht sich angreifbar. So lassen sich Bilder von Innenräumen mit alten Einträgen in Wohnungsverkaufsportalen abgleichen. Die Plattform Immobilienscout24 wird so zu einer hilfreichen Datenquelle. Ermittler können nicht nur Schlüsse auf einen ex-Wohnsitz einer Person ziehen. Miete oder Verkaufspreis lassen auch eventuell Analysen zu Status, Vermögen oder Zahlungsausgänge einer Person zu (was eventuell mit Krypto-Transaktionen verglichen werden kann). Alternativ, kann diese Fleißarbeit helfen Einsätze planen.
Praktiken der Sozialmediaanalyse kann der Polizei nämlich in Deutschland (OSINT zur polizeilichen Einsatzbewältigung) richtig unter die Arme greifen. In den Minuten beispielsweise vor einer gerichtlichen Hausdurchsuchung, kann ein OSINT Ermittler Hinweise suchen, dass die Person eventuell bewaffnet ist wenn die Einsatzkräfte eintreffen.
Aber auch investigativen Journalisten profitieren. Bei Instagram-getaggte Gesichter eines Posts einer Person die Journalisten gerade recherchieren, könnten diese verlinkten Profile zu weiteren wichtigen Quelle führen, die dann später separat kontaktiert werden.
Orte spielen oft eine Rolle. So geben wir oft preis in welchen neuen Restaurants und Cafés wir abhängen. Sei es auf Facebook oder dem Russischen VK. Dort markieren Nutzer explizit diese Orte als „eingecheckt“. So profitieren Ermittler die wissen wie man aus solchen Details einen Nutzen in der Recherche zieht.
Warum teilen Bürger überhaupt so viel?
Einerseits generiert es Aufmerksamkeit, die wir alle irgendwie nötig haben. Andererseits besteht ein sozialer Druck, die unsere E-Bekanntschaften fordern. Dabei gilt: wer übermäßig viel teilt, möchte häufig verstanden werden.
Dabei ist unser Engagement der Klebstoff der Sozialmedia populär machte. Die meisten von uns wollen authentisch wirken. Selbst bei den gefaketesten Profilen steckt meistens ein Fünkchen Wahrheit in den Profildaten drin. Also eine Wahrheit die den Menschen hinter der Maske betreffen. Nun muss man nur wissen, wonach man suchen muss. Ist es vielleicht ein Avatar des Profilbilds, die Sprache der Posts, irgendwelche Rechtschreibfehler, die in Emails einer Person wieder auftauchen, oder andere Details die mit dem Umfeld einer echten Person vereinbar sind. Am Ende ist es eine Kombination an Details die sich prüfen und eventuell als Hinweis anführen lassen.
Offline ID
Ob anonym oder nicht, mit unseren Posts und Profildaten erzählen viele von uns eine Geschichte. Wer wir sind, was uns motiviert und mit wem wir im Kontakt stehen (oder gern stehen würden). Kurz: Wie wir eben ticken.
Für Ermittler im Netz gilt: Für die Verifizierung einer Offline-Identität ist da im Regelfall in den Legenden von Socialmedia Accounts viel enthalten. So ist zum Beispiel auf Spoonbill.io die Geschichte von Änderungen eines Twitter Profils ablesbar.
Auch im restlichen Internet lassen sich Offlineidentitäten bestätigen. Ein Nachname, eventuell mit einem Geburtsdatum, kann sich so eventuelle mit einem online Eintrag einer Teilnehmerliste eines Marathonlaufs abgleichen lassen (Berlin Marathonlauf).
In anderen Fällen ist es ein Amtsgerichteintrag eines Managers (wie auf handelsregister.de) der zum Ziel einer Verifizierung führt. Alternativ bieten sich online Todesanzeige an. Um beispielsweise Familien Zugehörigkeiten zu verifizieren, sind Online-Todesanzeigen oft hilfreich. Stirbt ein Mitglied einer Familie, erscheinen Gatten, Kinder, Nichten, Neffen oder Enkelkinder oft jeweils mit vollem Namen. Diese von Google indizierten Seite, oft als PDF, lassen sich finden (sinnvolle Quellen sind https://aspetos.com/ oder https://www.trauer.de/traueranzeigen). Seiten wie Ancentry oder Myheritage könnten hier auch helfen.
Sicher. Viele Inhalte, auf Foren und social Media Profilen, sind entweder für die Recherche irrelevant oder unwahr. Im schlimmsten Fall beides. Aber die Mehrzahl von Profilen enthalten wahre Elemente, selbst wenn die Accounts im weiten sonst frei erfunden sind.
Nach diesen Signalen lässt sich fanden, genauso wie nach Psychologischen Präferenzen von Tätern oder Hundehaltern. Ein Herrchen mag vielleicht seinem Hund irgendeinen Namen geben. Zufälligerweise war es aber der eines Bekannten. Kognitiv-gesehen also: Vielleicht doch kein reiner Zufall. Ähnlich: Das Geburtsdatum seiner Liebsten als Zahlenschloss Passwort für den Hundezwinger. Auch sicher kein Zufall. Ähnlich auch mit der forensischen Arbeit im Internet. Wer hier nach validen Zusammenhängen fandet, sollte auf Social Media starten und genau hinschauen.
Recherche erodieren Hypothesen wie ein Profil, im Netz, mit der Psychologie einer Person auf der Straße oder am Arbeitsplatz verbunden sind. Häufig ist es also dort wo die Reise eines Onlineforensikers startet.
Für den Schutz von persönlichen Daten ist diese Freizügigkeit auf Sozialmedia Diensten oft von Nachteil. Zwar sind Deutsche Bürger bekannt dafür vorsichtiger mit ihren Daten im Netz umzugehen — bedachter als zum Beispiel Amerikaner, Briten oder Chinesen, wie die Zeitung Harvard Business Review schreibt. Dennoch sagen mehr als die Hälfte der Befragten, rund 58% (in einer anderen Studie von EOS im Jahr 2020) sie teilten „häufig oder gelegentlich“ persönliche Daten mit Unternehmen, Sozial Media Diensten oder Apps. Für die online Recherche von Journalisten und Ermittlern kann das von großem Nutzen sein. Glaubt man dieser Studie, dann stehen die Chance besser in einem Profil zu wühlen und fündig zu werden, als leer auszugehen.
Mit dem Nutzernamen zur Identität
Auf Internetforen beschreiben wir unsere Probleme, oft anonym, mit fiktivem Nutzernamen. Ohne Profil und einem Nutzernamen geht heute im Netz gar nichts mehr. Manchmal verwendet der Nutzer einfach seinen echten Rufnamen plus Nachnamen. Klug ist das womöglich nicht, aber es kommt häufiger vor als man denkt.
Wer keine Lust oder Zeit für die Vergabe eines neuen noblen Usernamens hat, recycelt einfach einen bestehenden (so wird aus John Dow auf Facebook @John_Dow199 auf Twitter). Besteht diese bereits auf einer anderen Plattform, ist Kombinationsgabe mithilfe von Suchoperatoren gefragt.
Automatisieren lässt sich dieser Suchprozess nach Profilen auch zu einem gewissen Grad (Siehe Maltego). Gerade wenn man sich die Statistiken des westlichen Durchschnittsbürgers vor Augen führt — laut des Marktforschungsunternehmens Brandwatch betreiben Menschen im Durchschnitt 7,6 Sozial-Media-Konten — versteht man wie potenziell mächtig die Kombination aus verschiedenen offenen Sozialmedia Quellen sein kann.
In der Praxis könnte das so aussehen: Auf einem eBay oder Etsy Profil kauft oder verkauft die Zielperson etwas. So lassen sich eventuell Schlüsse auf das Einkommen Werkstätigkeit ziehen. Auf einer Dating Plattform, wie Tinder, lassen sich persönlich-zwischenmenschliche Präferenzen zusammentragen. Auf LinkedIn oder Xing kann der Lebenslauf nachvollzogen und gegengecheckt werden. Auf Facebook lassen sich Verbindungen zur restlichen Familie ziehen. Über die Politik wird auf Twitter oder besonders Telegram geschimpft. Wer dort dem Profil liked schenkt, könnte eventuell im persönlichen Austausch stehen. Und so weiter. Wer Zeit und die Muse hat das alles in einem Dossier zusammentragen und auszuwerten, hat womöglich einen klaren Vorteil.
Genau hier fängt dann die richtige Arbeit der Ermittler an. Passt das was die Person aussagt zu dem was seine Profile verbreiten? Passt es zu anderen Datenquellen off und online? Wenn nein, wo hakt es? USW.
Nehmen wir mal das Beispiel des Rechtsextremen Martin Sellner der Identitären Bewegung die auch in Deutschland und Bayern aktiv ist. Sucht man auf https://whatsmyname.app/ zu „MartinSellber“, findet man eine Reihe von Sozialmedia Plattformen. Auf vielen, der richtige Sellner, immer noch weiter am hetzen. Hier geht es nicht nur um seine schrecklichen rechten Gedankenideologien sondern auch um die Organisation der Unterstützer, und das Verbreiten von Videos und Bilder, oft auch archiviertes Material (Suchmaschinen zu Nutzernamen wie NameCheckup oder Sherlock leisten hier ähnliches). Im Nu, lässt sich so eine valide Übersicht schaffen, wie und wo diese Person eventuell immer noch Spuren im Netz hinterlässt. Die Dossier Arbeit beginnt.
Gewohnheitstiere
Menschen sind Gewohnheitstiere. Wir können uns nicht hunderttausend Nutzernamen merken, geschweige denn, immer neue Namen aus der Nase ziehen. Das vereinfacht die Suche nach Verbindungen von Profilen, und im Endeffekt auch nach persönlichen Informationen.
Sicherlich, es gibt sogenannte False Positives. Also Übereinstimmungen von Usernamen, bei denen es sich herausstellt, dass es sich nicht um dieselbe Person handelt. Sichergehen lässt sich nur, wer die nötiger Verifizierungsarbeit investiert. Also Details prüft man, was die Person verbindet, ein Wohnort zu Beispiel.
Meine Erfahrung ist: Viele Menschen, die im Netz aktiv sind, sind schlichtweg faul. Das ist ein Stereotyp, der sich vehement in vielen Recherchen immer wieder bewahrheitet hat. Dabei haben Leute die eine geringere Anzahl an online Profile bewirtschaften, eine Neigung ähnliche Nutzernamen und Passwörter zu betreiben — als Leute mit ganz vielen, die das eventuell professionell machen.
Personen mit besonders vielen Accounts arbeiten häufig mit Listen die Anmeldedaten enthalten, wie ein Google Sheets. Es muss also nichts auswendig gelernt werden. Manche wählen Nutzernamen anhand von Generatoren und wählen stärkere Passwörter und arbeiten eventuell mit einem Passwortmanager. Professionelle OSINT Ermittler nützen oft Generatoren wie hier von OSINT Kollege @OSINTtechniques angegeben — auch um sogenannte SockPuppets zu erstellen.
Das heißt im Umkehrschluss: Die Nutzer, die weniger im sozialen Netz aktiv sind, könnten die oft verwundbareren Anwender sein. Sie nuten bei Twitter den gleichen (oder eine leichte Variation des) Nutzernamens als wie auf Instagram. Wenn anonym, dann recyceln sie das gleiche Avatar Bild oder verwenden dieselbe E-Mail-Adresse für die Registrierung. All das und mehr, kann die Identifizierung einer Person stärken.
Wie Journalisten diese Techniken anwenden folgt @Techjournalisto auf Twitter
