CLASSIFIED // OPERATOR HANDBOOK v1.0

OPSEC.MANUAL

OPERATIONAL SECURITY  //  Anonymität, Threat-Modeling, sicheres Surfen & Hosting  //  Stand: 2026
⚠ HINWEIS: Dieses Dokument dient der Bildung in Cybersecurity, Privatsphäre, Journalismus und legitimer Selbstverteidigung gegen Überwachung. "100% Anonymität" existiert nicht — jede Maßnahme reduziert nur Risiken. Nichts hier ist eine Anleitung für illegale Aktivitäten. Halte dich an deine lokalen Gesetze.

01Grundlagen & Mindset

OPSEC ist kein Tool, sondern eine Disziplin. Tor, VPN und Tails helfen nichts, wenn das Verhalten leakt. Zuerst Konzepte, dann Werkzeuge.

Was ist OPSEC wirklich?

Operational Security stammt ursprünglich aus dem militärischen Kontext (US Navy, Vietnam-Ära) und beschreibt den Prozess, kritische Informationen vor einem Gegner zu schützen, indem man identifiziert, was schützenswert ist, wer es will und wie es leaken könnte.

KERNPRINZIP Du verteidigst nicht "alles" gegen "jeden". Du verteidigst spezifische Informationen gegen einen spezifischen Gegner in einem spezifischen Kontext.

Die fünf OPSEC-Schritte

  1. Critical Information identifizieren — Was muss geheim bleiben? (Identität, Standort, Beziehungen, Aktivitäten, Patterns)
  2. Threats analysieren — Wer will diese Information? Welche Fähigkeiten haben sie?
  3. Vulnerabilities — Wo leakt die Information aktuell? (Metadaten, Gewohnheiten, Geräte, Personen)
  4. Risk Assessment — Wie wahrscheinlich, wie schwerwiegend?
  5. Countermeasures — Welche Maßnahmen reduzieren das Risiko zu vertretbaren Kosten?

Anonymität vs. Privacy vs. Pseudonymität

ANONYMITÄT

Niemand kann dich mit Aktionen verknüpfen. Selbst eine Aktion zeigt nicht, dass du sie ausgeführt hast.

PSEUDONYMITÄT

Aktionen sind verknüpfbar mit einem Alias, aber das Alias ist nicht zur realen Identität rückführbar. Reddit-Account ohne Klarnamen z. B.

PRIVACY

Inhalte sind geheim, aber dass du kommunizierst, ist evtl. sichtbar. (Signal: Inhalt verschlüsselt, Tatsache der Nutzung nicht.)

UNLINKABILITY

Mehrere Aktionen lassen sich nicht miteinander verknüpfen. Wichtigste Eigenschaft, oft schwerer als Anonymität.

Die drei Säulen

TECHNIK
Tor, VPN, Verschlüsselung, sichere OS, Hardware. Notwendige, aber nicht hinreichende Bedingung.
VERHALTEN
Schreibstil, Online-Zeiten, Themenwahl, Reaktion auf Trigger, Social-Engineering-Resistenz. Hier scheitern 90% aller Operationen.
DISZIPLIN
Strikte Trennung von Identitäten, niemals "nur dieses eine Mal" Ausnahmen, Gewohnheiten konsequent durchhalten.
REGEL #1 Jede Identität, die du einmal mit einer realen Information verknüpfst, ist für immer verbrannt. Es gibt kein Zurück. Plane so, als würde der Gegner alles, was du jemals geschrieben hast, in 10 Jahren lesen.

02Threat Modeling

Bevor du irgendein Werkzeug auswählst, definiere deinen Gegner. Tools, die gegen Werbenetzwerke schützen, sind gegen Geheimdienste nutzlos — und umgekehrt führt Overkill zu Bequemlichkeitsfehlern.

Die fünf Fragen

  1. Was möchte ich schützen? (Assets: Identität, Daten, Standort, Kontakte, Aktivitäten)
  2. Vor wem? (Adversary)
  3. Wie wahrscheinlich ist Kompromittierung?
  4. Wie schlimm sind die Folgen, wenn ich versage?
  5. Wie viel Aufwand bin ich bereit zu investieren?

Adversary-Tiers

TIER 1
Werbenetzwerke, Tracker, Data Broker. Massiv skaliert, nicht zielgerichtet. Counter: Browser-Hardening, uBlock Origin, Cookie-Hygiene, VPN reicht aus.
TIER 2
Stalker, Ex-Partner, neugieriger Arbeitgeber, lokale Doxxer. Begrenzte Ressourcen, aber gezielt. Counter: Pseudonyme Accounts, Metadaten-Hygiene, separate Geräte/Browser.
TIER 3
Organisierte Kriminalität, Privatdetektive, korporative Bedrohungen. Geld, Tools, evtl. Insider. Counter: Tor, Tails/Whonix, Hardware-Trennung, Rechtsbeistand.
TIER 4
Nationalstaaten, Polizei mit Gerichtsbeschluss, Geheimdienste. Globale Sichtbarkeit, Zero-Days, rechtliche Hebel, Traffic-Analyse. Counter: Tor + Bridges + Tails + Air-Gap + extreme Disziplin. Ergebnis bleibt unsicher.
REALITÄT Gegen Tier 4 mit unbegrenzten Ressourcen über lange Zeit existiert keine garantierte Anonymität für eine Person, die aktiv im Internet operiert. Selbst Snowden brauchte ein Land, das ihn nicht ausliefert. Demut ist Pflicht.

Asset-Inventar erstellen

Schreibe (auf Papier, nicht digital) auf:

Korrelations-Risiken denken

DER LEAKING-VEKTOR Anonymität bricht meist nicht durch ein einzelnes Datum, sondern durch Kombination. Browser-Fingerprint + Tippmuster + Online-Zeiten + Themenwahl + ein Wort Dialekt = identifiziert. Frage immer: "Welche zwei Datenpunkte zusammen identifizieren mich?"

03Identity Compartmentalization

Die wichtigste OPSEC-Disziplin überhaupt. Unterschiedliche Identitäten leben in unterschiedlichen Welten — und diese Welten dürfen sich niemals berühren.

Das Identity-Stack-Modell

Behandle jede Online-Persönlichkeit als komplettes Bundle:

# IDENTITY STACK
┌─ Persona      Name, Alter, Hintergrundgeschichte, Schreibstil
├─ Devices      Welcher Laptop / VM / Phone gehört dazu?
├─ Network      VPN-Provider, Tor-Circuit-Strategie, WLAN-Quelle
├─ Accounts     E-Mails, Foren, Messenger, Crypto-Wallets
├─ Schedule     Online-Zeiten, Zeitzone, Sprache
├─ Payments     Cash, Monero, anonyme Prepaid
└─ Recovery     Backup-Codes, separate Recovery-Adresse

Die Trennungs-Regeln

Persona-Konstruktion

BASIS-DATEN

  • Pseudonym (mit Online-Generatoren, nicht aus der eigenen Vorstellungskraft — die leakt)
  • Geburtsdatum (plausibel, aber falsch — auch Jahr ändern)
  • Geographische Region (anders als reale, plausibel begründbar)
  • Sprache & Dialekt-Marker bewusst wählen

SCHREIBSTIL

  • Stylometrie ist real — KI kann Autoren über Texte hinweg erkennen
  • Bewusst andere Satzlängen, Interpunktion, typische Redewendungen
  • Häufige Tippfehler vermeiden (sehr identifizierend)
  • Tools wie Anonymouth zur Stilanonymisierung evaluieren

E-Mail-Strategie pro Identität

EMPFOHLENE PROVIDER (2026) Für anonyme Identitäten: ProtonMail (über Tor erstellen, ohne Recovery-Mail/Phone), Tutanota, oder selbstgehostete Mail. Für temporäre Anmeldungen: SimpleLogin, AnonAddy/addy.io, Skiff-Nachfolger. Niemals Gmail, Outlook, Yahoo für anonyme Accounts.

Time-Compartmentalization

Online-Aktivitäten erzeugen Zeitsignaturen. Wer immer um 22:00 CET aktiv ist und zwischen 02:00–07:00 nie online geht, verrät Zeitzone und Beruf.

CROSS-CONTAMINATION Häufigster Tod von Anonymität: Du loggst dich "kurz" in deinen anonymen Account von deinem normalen Browser/Netzwerk ein. Cookie, IP, Browser-Fingerprint, oder einfach nur eine geöffnete Tab-Konstellation reichen für die Verknüpfung.

04Netzwerk-Anonymisierung

VPN, Tor, Bridges, Mixnets — was schützt wovor, in welcher Reihenfolge, mit welchen Schwächen?

VPN: Was es ist (und nicht ist)

REALITÄTSCHECK Ein VPN verschiebt Vertrauen vom ISP zum VPN-Provider. Mehr nicht. Es macht dich nicht anonym. Der Provider sieht alles, was dein ISP sehen würde, und die meisten loggen — egal was sie behaupten.

VPN sinnvoll für:

VPN ungeeignet für:

Provider-Auswahl-Kriterien

Tor: Das Onion Router

Drei-Hop-Routing über zufällige Relais. Eingangs-Knoten kennt deine IP, Ausgangs-Knoten kennt das Ziel — niemand kennt beides.

Tor-Stärken

Tor-Schwächen

Tor-Topologien

NUR TOR

Standard. ISP sieht "Person nutzt Tor". Ziel sieht Tor-Exit-IP.

simpelISP sieht Tor

VPN → TOR

VPN zuerst, dann Tor. ISP sieht nur VPN. VPN sieht "Person nutzt Tor". Schützt vor ISP-Logging der Tor-Nutzung.

ISP sieht VPNVertrauen zum VPN

TOR → VPN

Tor zuerst, dann VPN am Exit. Generell nicht empfohlen — bricht Tors Anonymitätsmodell, verknüpft VPN-Account mit allen Tor-Sessions.

riskant

TOR + BRIDGES

Tor mit obfs4/Snowflake/meek. ISP sieht keine Tor-Nutzung. Pflicht in zensurierenden Regionen.

verschleiert

Alternative Netzwerke

WLAN- und Standort-OPSEC

CORRELATION ATTACK Wenn ein Gegner dein WLAN-Café und den Hidden Service beobachten kann, reichen Timing & Volumen aus, um dich zu identifizieren — auch durch Tor. Wechsele Locations.

05Device & Operating System

Dein Endgerät ist die schwächste Stelle. Ein perfekter Tor-Stack hilft nicht, wenn dein Windows nach Hause telefoniert oder Treiber-Logs deine Hardware identifizieren.

Operating System Tier-Liste

VERMEIDEN
Windows 10/11, macOS — proprietär, telemetrieintensiv, schwer zu auditieren. Für reale Identität ok, für Anonymitätsoperationen ungeeignet.
BASIS
Standard-Linux (Ubuntu, Debian, Fedora) — bessere Kontrolle, aber kein Anti-Forensik, keine Trennungsmechanismen out-of-the-box.
GUT
Qubes OS — Compartmentalization auf OS-Ebene durch Xen-VMs. Beste Lösung für persistente, kompartimentalisierte Workflows.
SEHR GUT
Tails — Live-USB, amnesisch, Tor-by-default. Beste Lösung für temporäre, hochsensible Sessions ohne Spuren auf der Hardware.
SEHR GUT
Whonix — Zwei VMs (Gateway + Workstation), Workstation hat keinen direkten Netzzugriff. Häufig in Qubes als sys-whonix integriert.

Empfohlene Setups je Use-Case

HIGH-RISK ONE-OFF SESSION

Tails auf USB-Stick. Boot, Operation, Shutdown. Keine Spuren auf der Hardware. Perfekt für: einmalige Recherchen, kontaktintensive Aktionen, Whistleblowing.

PERSISTENTE PSEUDONYME

Qubes OS mit separaten Whonix-Workstations pro Identität. Erlaubt langfristige Accounts ohne Cross-Contamination.

MITTLERES RISIKO

Linux + dediziertes Browser-Profil + VPN/Tor. Geringer Aufwand, ausreichend für Tier-1 bis Tier-2 Adversaries.

AIR-GAP FÜR KEYS/DOKUMENTE

Separater Laptop, der nie ins Internet kommt. WLAN-Karte physisch entfernt. Datenübertragung nur via QR-Codes oder einmal-USB-Sticks.

Hardware-Hygiene

Smartphones — die schwierigste Disziplin

REALITÄT Ein modernes Smartphone ist ein Tracking-Gerät. Selbst ohne SIM und WLAN: GPS-Chips, Beschleunigungssensoren, Mikrofon-Zugriffe durch Apps mit Background-Permissions. Für sensitive OPSEC: Smartphone zuhause lassen, nicht "Flugmodus".

Verschlüsselung

Backup-Strategie

06Anonymes Surfen

Browser sind die häufigste Deanonymisierungs-Quelle. Fingerprinting, JavaScript-Leaks, Cookies, Cache-Timing — all das kann durch Tor hindurch identifizieren.

Browser-Wahl

TOR BROWSER

Standard für anonymes Surfen. Anti-Fingerprinting eingebaut. Nichts daran ändern — jede Anpassung macht dich identifizierbar.

empfohlen

MULLVAD BROWSER

Tor-Browser-Codebase ohne Tor-Netzwerk. Für VPN-Nutzung. Gute Anti-Fingerprinting-Eigenschaften.

vpn-szenario

BRAVE / LIBREWOLF

Brauchbar für Tier-1, aber Fingerprinting-Schutz schwächer als Tor Browser. Privacy-Boost, kein Anonymity-Boost.

tier-1

CHROME / EDGE / SAFARI

Niemals für anonyme Aktivitäten. Telemetrie, Account-Bindung, schwaches Anti-Tracking.

vermeiden

Tor Browser Security Levels

JAVASCRIPT JS ist der häufigste Deanonymisierungs-Vektor. WebRTC, Canvas-Fingerprinting, Audio-Fingerprinting, Timing-Angriffe. Bei Verdacht oder hohem Risiko: Safest-Level oder NoScript whitelist-only.

Anti-Fingerprinting-Regeln

Cookie- & Session-Hygiene

Search Engines

Risiko-Patterns beim Surfen

DEANON-FALLEN
  • PDFs öffnen außerhalb des Tor Browsers — kann Klartextverbindungen aufbauen
  • Bilder/Videos in externen Apps abspielen
  • Login bei Diensten, die mit deiner realen Identität verknüpft sind
  • Captcha-Lösen verrät Standort, Sprache, manchmal IP
  • Seiten besuchen, die dich nur per Einladung kennen können

Stylometrie & Verhaltensbiometrie

Moderne Tracker nutzen Tipprhythmus, Mausbewegungen, Scroll-Verhalten zur Identifikation. Browser wie Tor mitigieren Teile davon, aber Schreibstil bleibt das größte verbleibende Risiko. Schreibe in der anonymen Identität bewusst anders — kürzere Sätze, andere Interpunktion, andere typische Wörter.

07Kommunikation

E-Mail, Messenger, Sprachanrufe — jeder Kanal hat Metadaten, die selbst bei perfekter Inhaltsverschlüsselung leaken.

Verschlüsselung: Inhalt vs. Metadaten

UNTERSCHEIDUNG Content-Encryption schützt das, was du sagst. Metadata verrät dass du es gesagt hast, an wen, wann, wie lange, von wo. Metadaten sind oft aussagekräftiger als Inhalte.

Messenger-Tier-Liste

SEHR GUT
SimpleX Chat — keine User-IDs, keine Telefonnummern, queue-basiert. Bestes Metadata-Profil 2026.
SEHR GUT
Briar — peer-to-peer über Tor, funktioniert sogar offline (Bluetooth/WLAN-Mesh). Klein, aber stark.
GUT
Signal — exzellente Inhalts-Verschlüsselung, aber Telefonnummer-gebunden & zentral. Sealed Sender hilft, ist nicht perfekt.
GUT
Session — kein Phone, Onion-Routing-ähnlich. Etwas weniger reife Krypto-Reviews.
MITTEL
WhatsApp — E2EE-Inhalte (Signal-Protokoll), aber Meta sammelt Metadaten massiv. Ungeeignet für Anonymität.
VERMEIDEN
Telegram (Standard-Chats), SMS, klassische E-Mail ohne PGP, Discord, Slack — keine echte E2EE oder massive Metadaten.

E-Mail-Strategien

Voice/Video

Dateiaustausch

Soziale Konten

SOCIAL ENGINEERING Der häufigste Identifikations-Vektor in der modernen Praxis ist nicht technisch, sondern sozial: jemand fragt nach Details, du antwortest "harmlos", über mehrere Wochen ergibt sich ein Profil. Antworte auf nichts, was du in einer öffentlichen Quelle nicht auch geschrieben hättest.

08Anonymes Hosting

Eine Website oder einen Service zu betreiben, ohne dass dieser auf dich zurückgeführt werden kann, ist deutlich schwerer als anonymes Surfen. Drei Modelle stehen zur Wahl.

Modell A: Tor Hidden Service (.onion)

Der goldene Standard für Anonymität auf Hosting-Seite. Die Server-IP wird niemals den Clients exponiert. Kein Domainregister, kein DNS, kein Hoster-Account in deinem Namen.

Setup-Grundlagen

# Installation auf einem Linux-Server
$ sudo apt install tor

# /etc/tor/torrc — minimal config für v3 onion
HiddenServiceDir /var/lib/tor/myservice/
HiddenServicePort 80 127.0.0.1:8080

# Webserver bindet ausschließlich an 127.0.0.1
# NIEMALS 0.0.0.0 — Leak-Risiko

$ sudo systemctl restart tor
$ sudo cat /var/lib/tor/myservice/hostname
→ abcdef...xyz.onion

Hidden-Service-OPSEC-Regeln

KLASSISCHE LEAKS
  • Server schickt eigene IP in HTTP-Headers (X-Forwarded-For, Server-Status-Page)
  • SSH/SMTP/MySQL auf öffentlichen Ports erreichbar — Shodan findet alles
  • Login-Forms an externe Auth-Provider (Google Login = sofort verbrannt)
  • SSL-Zertifikat enthält Klar-Domain
  • Dev-Tools auf Subdomain mit Default-Auth
  • NTP/DNS-Requests gehen am Tor vorbei

Server-Beschaffung anonym

Modell B: I2P-Eepsite

Alternativ zu Tor: I2P bietet ähnliche Hidden-Service-Funktionalität (Eepsites). Kleinere Userbase, weniger Tooling, aber stärkerer Fokus auf interne Dienste.

Modell C: Clearnet anonym hosten

DEUTLICH SCHWIERIGER Wenn die Site eine reguläre example.com-Domain hat, gibt es: WHOIS, Domain-Registrar-Account, Hoster-Account, Zahlung, Abuse-Beschwerden, Subpoenas. Jeder dieser Punkte kann auf den Betreiber zurückgeführt werden.

Hybrid: Clearnet-Frontend + Onion-Backend

Manche Projekte (SecureDrop, viele News-Sites) bieten gleichzeitig eine Onion-Adresse für die anonymitätsbedürftigen Nutzer an. Über Onion-Location-Header oder Alt-Svc kann der Browser automatisch auf die Onion-Variante wechseln.

Operativer Betrieb

Domain-, Zertifikats- und Code-Disziplin

09OPSEC Habits

Werkzeuge sind einfach. Gewohnheiten sind hart. Hier die Routinen, die professionelle Operatoren von Hobbyisten unterscheiden.

Vor jeder Session

Während der Session

Nach jeder Session

Metadaten-Hygiene bei Dateien

Bilder, Dokumente, PDFs enthalten massiv versteckte Metadaten — EXIF, Author, Software-Version, GPS, Original-Pfade.

# Tools
$ exiftool -all= bild.jpg          # EXIF entfernen
$ mat2 dokument.pdf                # Universal-Metadaten-Killer
$ qpdf --linearize in.pdf out.pdf  # PDF normalisieren

Passwort- und Geheimnis-Management

Bezahlung

Routinen gegen Slip-ups

DAS DRITTE-PERSON-EXPERIMENT Schreibe gelegentlich auf, was ein Außenstehender mit deinen letzten 30 Tagen Online-Aktivität in deiner anonymen Identität herausfinden könnte — wenn er weiß, dass du der Betreiber bist. Was korreliert? Welche Themen sind nur dir möglich?

10Häufige Fehler & Anti-Patterns

Die fast alle berühmten Anonymitäts-Brüche der letzten 15 Jahre sind durch dieselben wenigen Fehler entstanden — kein Zero-Day, sondern menschliche Disziplin.

Klassische Deanonymisierungs-Pfade

FEHLER 01
Reuse von Username/E-Mail über anonyme und reale Identitäten hinweg. Suchmaschinen und Dump-Datenbanken finden alles. Ross Ulbricht (Silk Road) wurde u. a. so gefunden.
FEHLER 02
Frühe Posts, die persönliche Details preisgeben, bevor das Pseudonym wichtig wurde — und für immer suchbar bleiben.
FEHLER 03
Tor-Nutzung von zuhause in einem Zeitraum, der eindeutig mit Hidden-Service-Aktivität korreliert. Eldo Kim (2013, Harvard-Bombendrohung) wurde so identifiziert.
FEHLER 04
Login bei Klarnamen-Konto aus derselben Browser-Session wie das Pseudonym — Cookies bleiben, Fingerprint bleibt.
FEHLER 05
Hilfe von Freunden, die später ausplaudern oder selbst kompromittiert werden. Soziale Bindungen sind der größte Single-Point-of-Failure.
FEHLER 06
Hidden Service mit externer Ressource (Google Fonts, externes JS, Tracker) — Browser des Besuchers macht Klartext-Request, der den Hidden-Service-Betreiber identifizieren kann oder ihm Tracking aufzwingt.
FEHLER 07
Server-Misconfiguration: Apache-Status-Page, phpinfo, .git-Verzeichnis, default Passwords. Shodan + Suchmaschinen indexieren alles.
FEHLER 08
Stylometrie-Match: anonyme Manifeste, die im Schreibstil mit öffentlichen Texten übereinstimmen. Theodore Kaczynski (Unabomber) wurde durch sein Bruder anhand des Schreibstils identifiziert.
FEHLER 09
Einmal-Ausnahmen: "nur diesmal von zuhause", "nur kurz mit dem normalen Browser". Diese eine Korrelation reicht.
FEHLER 10
Geschwätzigkeit unter Druck: Wenn der Account wichtig wird, möchte man oft "verteidigen", "klarstellen", "antworten". Jede zusätzliche Aussage = mehr Material für Korrelation.

Anti-Patterns auf Tool-Ebene

Psychologische Fallen

SELBSTÜBERSCHÄTZUNG "Ich habe alle Tools richtig konfiguriert" → Ja, aber Verhalten leakt. Die meisten Operatoren scheitern nicht an Technik, sondern an Routine, Stress, Eitelkeit, Ungeduld.
SOZIALE BESTÄTIGUNG Anonyme Accounts werden oft persönlich, weil Anerkennung süchtig macht. Je beliebter ein Pseudonym, desto mehr persönliche Details rutschen heraus.
ESKALATION Aus "kleines Forum-Pseudonym" wird ein Projekt, eine Marke, ein Aktivismus. Threat-Model muss mitwachsen, sonst hängt man hinterher.

11Checklisten

Praxis-Checklisten für die häufigsten Operationen. Drucken, durchgehen, abhaken (mental — nichts Verdächtiges aufschreiben).

Setup einer neuen anonymen Identität

Tails-Live-Session

Hidden-Service-Launch

Datei-Veröffentlichung

Wenn etwas schiefgeht (Kompromittierungs-Verdacht)

Periodische Audits (alle 1–3 Monate)

12Ressourcen & Weiterlernen

Pflichtlektüre, Tools, Communities. OPSEC ist eine lebenslange Lerndisziplin — Werkzeuge und Techniken ändern sich.

Foundational Reading

Bücher

Tool-Listen (selbst auf aktuelle Versionen achten)

NETWORKING

Tor Browser, Mullvad/IVPN/ProtonVPN, Tor Bridges, Snowflake, OnionShare, I2P

OS

Tails, Qubes OS, Whonix, GrapheneOS (Mobile), Debian/Fedora gehärtet

KOMMUNIKATION

Signal, SimpleX, Briar, Session, Element/Matrix (mit E2EE), ProtonMail, Tutanota, GPG

METADATEN & FORENSIK

mat2, exiftool, qpdf, KeePassXC, VeraCrypt, restic, borgbackup

BROWSER

Tor Browser, Mullvad Browser, LibreWolf (für VPN-Szenarien), uBlock Origin

BEZAHLUNG

Monero (XMR), Cake Wallet / Feather Wallet, gegebenenfalls bar gekaufte Geschenkkarten

Communities & Foren

Aktuell halten

DISZIPLIN Tools veralten. Vor zehn Jahren war TrueCrypt Standard, heute VeraCrypt. v2-Onions sind tot. Was 2018 als sicher galt, ist heute manchmal kompromittiert. Mindestens vierteljährlich die wichtigsten Quellen durchgehen, auf Schwachstellen-Reports der genutzten Tools achten.

Rechtliches

Die hier beschriebenen Techniken sind in den meisten Ländern legal — Privatsphäre ist ein Menschenrecht. Aber: Die Anwendung kann je nach Aktivität strafbar sein. Recherche zu OPSEC ist keine Lizenz für illegale Handlungen. Bei rechtlich grenzwertigen Aktivitäten: Anwalt vor der Aktion, nicht nach der Verhaftung.

SCHLUSSPLÄDOYER Kein Tool, keine Konfiguration, keine Disziplin macht dich "100% anonym". Was du erreichen kannst: das Risiko auf ein Niveau senken, das deinem Threat-Model angemessen ist. Wer 100% verspricht, lügt — und wer 100% glaubt, wird geschnappt.

"OPSEC IS A PROCESS, NOT A PRODUCT." — VARIOUS
"PRIVACY IS NECESSARY FOR AN OPEN SOCIETY IN THE ELECTRONIC AGE." — ERIC HUGHES, 1993