Realität der Exposition

Identitäts-Kompartmentierung: mit mehreren Ichs operieren

Dichte Identitäten nach Verwendung aufbauen. Das Vier-Identitäten-Modell, die Werkzeuge je Kompartment, die Regel der Nicht-Kontamination und die Rotation als Wartung.

Veröffentlicht am 14. November 2024 16 Min. Lesezeit Allgemein

Zuletzt überprüft: 10. Dezember 2025

Datenserver in Reihen in einem Rechenzentrum

Ein Berater konsultiert mich nach einer Welle von Spear-Phishing. Wir auditieren gemeinsam seine Adressen. Seine öffentliche berufliche E-Mail — die seiner Visitenkarten, von LinkedIn, der Konferenzakten — taucht in vier Dumps auf. Seine für M&A-Dossiers und Rechtsstreitigkeiten reservierte E-Mail: null, in keiner Datenbank. Er glaubte, Glück gehabt zu haben. Er hatte nur kompartmentiert, ohne zu wissen, dass er OPSEC betrieb.

Angle de lecture

Particulier RSSI / DSI

Die übliche Falle

Der vorherrschende Rat passt in einen Satz: „trennen Sie Beruf und Privat”. Eine E-Mail-Adresse für die Arbeit, eine für zu Hause, und fertig. Das ist das Niveau der Raffinesse, das man in 90 % der Leitfäden zur „guten digitalen Hygiene”, in den IT-Richtlinien von Unternehmen und in Artikeln für die breite Masse wiederfindet. Dieser Rat ist nicht falsch. Er ist unzureichend bis zur Irreführung, denn er lässt glauben, dass zwei Kompartmente genügen, während Ihre tatsächliche Exposition deren vier verlangt.

Das Grundproblem: „Beruf / Privat” ist eine soziale Unterscheidung, keine Bedrohungsunterscheidung. Sie spiegelt wider, wie Sie Ihr Leben organisieren, nicht wie ein Angreifer, ein Broker oder eine Korrelationsmaschine seine Sammlung organisiert. Doch die Lecks treten nicht entlang der von Ihnen gewählten Grenzen auf. Sie treten dort auf, wo sich zwei Identitäten berühren: ein wiederverwendetes Passwort, eine geteilte Wiederherstellungsadresse, dieselbe Telefonnummer, ein Browser-Cookie, ein gemeinsamer technischer Fingerabdruck. Die Beruf-/Privat-Trennung sagt nichts über diese Brücken.

Schlimmer: Das Beruf-/Privat-Binär verleitet dazu, Verwendungen zu vermischen, die in Bezug auf das Risiko nichts miteinander zu tun haben. Ihre Steuererklärung und Ihre Anmeldung zu einem Koch-Newsletter landen auf derselben „privaten” Adresse. Ihre öffentliche LinkedIn-Signatur und Ihr vertraulicher Austausch über eine Akquisition teilen sich dieselbe „berufliche” Adresse. Sie behandeln auf dieselbe Weise ein Datum, das Sie freiwillig veröffentlichen, und ein Datum, dessen Leck Sie ein Dossier kosten würde. Die echte Kompartmentierung besteht darin, nach Risiko und Exposition aufzuteilen, nicht nach sozialem Kontext.

Die vier Basis-Identitäten

Die ehrliche Bestandsaufnahme Ihres digitalen Lebens lässt vier verschiedene Kompartmente erscheinen, definiert durch ihre Exposition und die Schwere einer Kompromittierung. Es sind keine vier Postfächer, die man morgen anlegen soll — es ist ein Leseraster, um zu klassifizieren, was Sie bereits haben, und zu entscheiden, was getrennt werden muss.

Zivile Identität. Ihr rechtlicher Name, an Ihren Personenstand geknüpft. Bank, Finanzamt, Arzt, Hausverwaltung, Versicherung, Telekommunikationsanbieter. Diese Identität ist von Natur aus stabil — Sie ändern Ihren rechtlichen Namen nicht aus einer Laune heraus — und sie soll nicht öffentlich sein, doch sie steht nur schwach unter Ihrer Kontrolle: Die Institutionen, die sie halten, lecken regelmäßig. Die Strategie hier ist nicht, sie zu verbergen (unmöglich), sondern sie nie mit den drei anderen zu vermischen. Ihre Bank muss nicht die Adresse kennen, die Sie für Ihre Streaming-Abos verwenden.

Öffentliche berufliche Identität. LinkedIn, Konferenzen, Medien, Visitenkarten, sichtbare E-Mail-Signatur, Gastbeiträge. Diese Identität ist konstruktionsbedingt exponiert: Ihr Sinn ist gerade, auffindbar zu sein. Sie ist es, die in den Dumps landet, weil sie überall zirkuliert — das ist ihr Beruf. Die Strategie ist nicht, ihre Exposition zu reduzieren (das wäre kontraproduktiv), sondern zu akzeptieren, dass sie standardmäßig kompromittiert ist, und ihr nie ein Geheimnis anzuvertrauen.

Sensible berufliche Identität. Laufende M&A-Dossiers, Rechtsstreitigkeiten, vertrauliche Verhandlungen, Beziehungen zu Gegenparteien, deren bloße Existenz eine Information ist. Diese Identität muss strikt abgeschottet sein, idealerweise auf einer von dem Standard-Unternehmensverzeichnis getrennten Infrastruktur. Es ist das Kompartment, in dem ein Leck nicht einen Spam mehr kostet, sondern ein Dossier, eine Verhandlungsposition, manchmal eine Meldepflicht.

Operative Identität. Drittdienste, Abonnements, Gratis-Testversionen, punktuelle Anmeldungen, alles, was eine E-Mail „zum Schauen” verlangt. Sie ist die opferbarste: Ihre Kompromittierung hat keine Folge, wenn sie korrekt isoliert ist, weil sie zu nichts Kritischem Zugang gibt. Sie ist auch jene, die die meiste Fläche erzeugt — ein aktiver Internetnutzer häuft in einem Jahrzehnt Hunderte von Konten auf diesem Kompartment an.

Das Datum, das alles ändert: Laut den von Have I Been Pwned veröffentlichten Statistiken hat eine zwischen 2010 und 2020 aktiv verwendete E-Mail-Adresse eine erdrückende Wahrscheinlichkeit, in mindestens einem Breach aufzutauchen. Aber diese Wahrscheinlichkeit gilt pro Adresse. Eine Adresse, die nur drei ausgewählten Ansprechpartnern gedient hat, nie in ein Web-Formular eingegeben, nie veröffentlicht, hat fast keine Chance, in einem Dump zu sein — nicht aus Glück, durch Konstruktion. Genau darum geht es: Die Kompartmentierung verwandelt eine Leck-Wahrscheinlichkeit in eine Architekturentscheidung.

Ein Detail, das viele verpassen: Diese vier Kompartmente sind nicht gleich im Volumen. Das Zivile passt in rund ein Dutzend Konten — Bank, Steuern, Sozialversicherung, Krankenversicherung, Telekommunikation, Energie. Das öffentlich Berufliche zählt einige Dutzend, eher sichtbare und zugestandene. Das Sensible zählt man oft an einer Hand ab, manchmal ein einziger Ansprechpartner pro Dossier. Das Operative hingegen explodiert: Dort leben die Hunderte von Konten, im Laufe der Anmeldungen, der vergessenen Gratis-Testversionen und der punktuellen Käufe angehäuft. Diese Asymmetrie ist eine gute Nachricht. Sie bedeutet, dass sich der Abschottungsaufwand dort konzentriert, wo er am leichtesten zu bewerkzeugen ist — das Operative, das man mit generativen Aliassen behandelt — und dass die einsatzstarken Kompartmente, sensibel und zivil, klein genug sind, um von Hand, mit dem Auge, ohne Automatisierung verwaltet zu werden.

Eine Anmerkung dazu, was die Kompartmentierung nicht ist: Es ist weder Betrug noch Verheimlichung noch Anonymität. Ihre zivile Identität bleibt Ihre steuerliche und rechtliche Identität, voll und ganz. Sie erschaffen keine falsche Identität — Sie trennen Verwendungen ein und derselben realen Person. Beides zu verwechseln, ist das Missverständnis, das die Führungskräfte abschreckt („ich werde mich nicht verstecken wie ein Krimineller”) oder das umgekehrt die Naiven dazu treibt, sich für unauffindbar zu halten. Die Kompartmentierung ist eine Hygienemaßnahme, ebenso wie sein Passwort nicht auf einen Notizzettel zu schreiben. Sie organisiert eine Realität — Sie haben mehrere Rollen —, damit eine kompromittierte Rolle nicht die anderen zu Fall bringt.

Der Fall der Führungskraft mit einer einzigen Adresse

Ein Geschäftsführer einer Tech-KMU, 60 Personen, kontaktiert mich nach einem gut konstruierten CEO-Fraud-Versuch. Der Angreifer kannte den Namen seines Finanzleiters, das Format seiner E-Mails und ein noch vertrauliches Akquisitionsprojekt. Wir verfolgen die Kette zurück: eine einzige Adresse für alles, 2009 angelegt, in elf Breaches vorhanden. Diese Adresse diente zugleich als öffentlicher LinkedIn-Kontakt, als Posteingang für die Akquisitionsdossiers und als Login für rund vierzig SaaS. Der Angreifer hatte nichts hacken müssen — er hatte ein aggregiertes Profil für 40 Dollar gekauft und mit einem LinkedIn-Scrap gekreuzt. Das Leck kam nicht von einem technischen Fehler. Es kam vom Fehlen eines Kompartments.

Werkzeuge je Kompartment

Sobald das Raster gelegt ist, ist die Bewerkzeugung nahezu mechanisch. Jedes Kompartment ruft nach einer anderen Infrastruktur, je nach Expositionsniveau gewählt.

Für das Operative ist das richtige Werkzeug SimpleLogin oder sein natives Apple-Äquivalent, Hide My Email. Das Prinzip: ein einzigartiger Alias pro Dienst. Wenn Sie sich auf einer Website anmelden, generieren Sie dienst-soundso.xyz@ihredomain.simplelogin.io, der zu Ihrem echten Postfach weiterleitet, ohne es preiszugeben. Wenn dieser Dienst leckt, wissen Sie sofort, woher der Spam kommt (der Alias ist dediziert), Sie kappen den Alias mit einem Klick, und keine andere Anmeldung ist betroffen. Sie verwandeln ein globales Leck in einen lokalen Vorfall. Es ist in der Praxis die einzige Änderung, die 80 % des Nutzens der Kompartmentierung für 20 % des Aufwands erzeugt.

Für das Sensible muss die Infrastruktur von allem Übrigen losgelöst sein: ein Postfach bei Proton Mail oder Tutanota, mit E2EE-Verschlüsselung, ohne jede Verbindung zur öffentlichen Identität angelegt — keine Wiederherstellung über die zivile E-Mail, keine mit den anderen Konten geteilte Telefonnummer, idealerweise aus einer sauberen Browser-Sitzung erstellt. Das Ziel ist nicht absolute Anonymität (Ihr Ansprechpartner weiß, wer Sie sind), es ist das Fehlen einer ausnutzbaren technischen Brücke zwischen diesem Postfach und dem Rest Ihrer Fläche. Diese Adresse darf nie, unter keinem Vorwand, in ein öffentliches Formular, einen Drittdienst oder eine sichtbare Signatur eingegeben werden.

Für das öffentlich Berufliche liegt der Aufmerksamkeitspunkt bei der Telefonnummer. Seine persönliche Mobilnummer auf einer Visitenkarte anzugeben, heißt, die öffentliche Identität direkt mit der zivilen Identität zu verknüpfen — die Nummer ist ein Pivot-Identifikator, den die Broker lieben, weil er stabil ist und alles kreuzt. Eine getrennte Nummer, idealerweise als VoIP (Twilio, JMP.chat, oder eine zweite Nummer bei Ihrem Anbieter), absorbiert die öffentliche Exposition, ohne Ihre echte Leitung zu kontaminieren. Vermeiden Sie es, diese Nummer mit Ihrer Haupt-IMEI zu verknüpfen, wenn Sie es vermeiden können.

Bleibt die technische Abschottung, quer durch alle Kompartmente: die Firefox-Container (Multi-Account Containers) oder dedizierte Browser je Identität. LinkedIn und Ihr sensibles Proton im selben Browser-Profil zu öffnen, heißt, jedem Fingerprinting-Skript die Korrelation zu bieten, die Sie gerade vermeiden wollen. Gleiche IP, gleicher Browser-Fingerabdruck, gleiche Drittanbieter-Cookies: Die beiden Identitäten werden verknüpfbar, ohne dass ein einziges Passwort geleckt ist.

Die Zahlung verdient dieselbe Aufmerksamkeit wie E-Mail und Telefon, denn sie ist ebenso ein Pivot-Identifikator. Eine namentliche Bankkarte, auf einem operativen Dienst eingegeben, verknüpft diese Verwendung über das Banknetz mit Ihrer zivilen Identität — und die Transaktions-Aggregatoren verkaufen in bestimmten Rechtsräumen diese Signale weiter. Die virtuellen Einmalkarten (Revolut, oder Wegwerf-Karten je nach Bank) absorbieren diese Exposition für das operative Kompartment. Sie brauchen das nicht für Ihr Ziviles — das ohnehin Ihre echte Bank ist — aber für die opferbaren Abonnements und Testversionen verhindert eine dedizierte virtuelle Karte, dass ein Leck von Zahlungsdaten bei einem Drittanbieter Ihre echte Karte berührt oder diesen Anbieter mit dem Rest Ihrer Konten verknüpft.

Ein Wort zur Hardware-Abwägung. Die ausgereifteste Form der Abschottung ist ein dediziertes Gerät für das sensible Kompartment — ein getrenntes Telefon, eine getrennte Maschine oder zumindest ein eigenes System-Benutzerprofil. Das ist aufwendig, und die meisten Privatpersonen brauchen es nicht. Aber für eine Führungskraft, die M&A-Dossiers bearbeitet, oder einen Anwalt in einem sensiblen Rechtsstreit ist die unsichtbare Synchronisierung der Kontakte zwischen Konten auf einem einzigen Gerät genau die Art von Brücke, die eine vertrauliche Beziehung enthüllt — die soziale App, die einen Kontakt „vorschlägt”, weil Sie ihn in einem geteilten Adressbuch gekreuzt haben. Das dedizierte Gerät kappt diese Leck-Klasse an der Wurzel. Es ist die kostspieligste Investition des gesamten Vorgehens und die einzige, die sich auf wirklich exponierte Profile beschränkt.

SimpleLogin vs. native Apple-Aliasse: was wählen

Hide My Email (Apple) ist kostenlos mit iCloud+, ins System integriert und hervorragend für den Anfang. Seine Grenzen: Die Aliasse leiten nur zu Ihrer iCloud-Adresse weiter, Sie kontrollieren die Domain nicht, und Sie sind an das Apple-Ökosystem gebunden — anderswohin migrieren bricht alles. SimpleLogin (von Proton übernommen) kostet einige Euro pro Monat, erlaubt aber die Verwendung Ihrer eigenen Domain (alias@meinedomain.de), das Antworten aus dem Alias, die Verwaltung von Aliassen je Dossier, und bleibt portabel, weil die Domain Ihnen gehört. Einfache Regel: Hide My Email, wenn Sie 100 % Apple sind und anfangen; SimpleLogin, wenn Sie Portabilität und Kontrolle wollen, vor allem für eine Verwendung, die einen Ökosystemwechsel überstehen muss.

Die Regel der Nicht-Kontamination

Vier Kompartmente aufzubauen, dient zu nichts, wenn Sie sie verbinden. Die Kompartmentierung ist kein Zustand, den man erreicht, es ist eine Disziplin, die man aufrechterhält — und sie hält in drei Verboten.

Nie ein Passwort zwischen Kompartmenten wiederverwenden. Das ist die Selbstverständlichkeit, die man seit zwanzig Jahren wiederholt, aber sie nimmt hier eine besondere Bedeutung an: Ein zwischen Ihrem operativen Alias und Ihrem sensiblen Postfach geteiltes Passwort verknüpft die beiden, sobald nur eines von beiden leckt. Ein Passwortmanager mit einzigartigen Geheimnissen pro Konto ist keine Option, es ist die Voraussetzung. Achtung gleichwohl: Ein auf all Ihren Geräten synchronisierter Manager, in einem einzigen Tresor, erschafft einen Verbindungspunkt neu — wenn dieser Tresor kompromittiert wird, fallen alle Kompartmente zusammen.

Nie die sensible Adresse in einem öffentlichen Kontext erwähnen. Ein einziges Mal genügt. Die sensible Adresse, in eine E-Mail in Kopie eines Dossiers gerutscht, das vor Gericht landen wird, in einem geteilten Dokument indexiert oder aus Gewohnheit in ein Formular eingegeben — und das Kompartment ist für immer geplatzt. Die OSINT-Werkzeuge und die Korrelationsmaschinen verzeihen nicht: Was einmal öffentlich war, bleibt korreliert.

Nie die Identitäten durch gekreuzte Wiederherstellung verknüpfen. Das ist der häufigste und unsichtbarste Fehler. Sie legen ein schönes sensibles Postfach an, dann konfigurieren Sie dessen Wiederherstellungsadresse auf Ihrer zivilen E-Mail, „um den Zugang nicht zu verlieren”. Sie haben gerade die beiden verknüpft: Wer die zivile E-Mail kontrolliert, kontrolliert das sensible Postfach. Dasselbe für geteilte Wiederherstellungs-Telefonnummern. Die Wiederherstellungskette ist das verborgene Skelett, das all Ihre Konten verbindet — auditieren Sie sie vor allem Übrigen.

Zu diesen drei technischen Verboten kommt eine subtilere Kontamination, die man fast immer unterschätzt: die Verhaltenskontamination. Zwei Identitäten können technisch perfekt dicht bleiben — verschiedene Adressen, einzigartige Passwörter, abgeschottete Browser — und durch die Art, wie Sie sie verwenden, verknüpfbar bleiben. Ein erkennbarer Schreibstil (die stilometrischen Analysen sind heute in Reichweite von Werkzeugen für die breite Masse), dieselbe Aktivitätszeitzone, dieselben Nischenthemen, derselbe Verbindungsrhythmus. Für die meisten Leser ist dieses Bedrohungsniveau theoretisch und rechtfertigt keinen Aufwand. Aber man muss es aus zwei Gründen kennen: erstens, weil es die Grenze dessen definiert, was die Kompartmentierung leisten kann — sie verhindert die automatische Korrelation, nicht die gezielte Analyse eines entschlossenen Gegners; zweitens, weil es daran erinnert, dass das schwache Glied letztlich nicht das Werkzeug ist, sondern die Gewohnheit. Das am schwersten zu löschende Metadatum sind Sie.

Der praktische Test, um zu prüfen, dass Ihre Kompartmente halten, verlangt kein ausgeklügeltes Werkzeug. Der Browser-Test: Suchen Sie aus einem privaten Fenster, ohne Verbindung, jede Ihrer Adressen und Pseudonyme, und notieren Sie, was als verknüpft erscheint. Der Wiederherstellungstest: Lösen Sie für jedes kritische Konto den „Passwort vergessen”-Vorgang aus und sehen Sie, zu welcher Adresse oder Nummer er Sie schickt — das ist die tatsächliche Kartierung Ihrer Brücken, oft sehr verschieden von der, die Sie zu haben glaubten. Der Kreuztest: Geben Sie Ihre sensible Adresse in Have I Been Pwned ein; wenn sie auftaucht, war das Kompartment bereits geplatzt und Sie wussten es nicht. Diese drei Tests dauern eine halbe Stunde und enthüllen in der Regel mindestens eine vergessene Verbindung.

Was das konkret bedeutet

Für Sie als Privatperson

Unnötig, alles dieses Wochenende neu aufzubauen. Drei Aktionen, unter 200 €, fangen das Wesentliche des Nutzens ein.

Richten Sie einen operativen Alias ein — Eröffnen Sie ein SimpleLogin-Konto (~30 €/Jahr) oder aktivieren Sie Hide My Email, wenn Sie iCloud+ haben. Ab jetzt läuft jede neue Anmeldung auf einem Drittdienst über einen dedizierten Alias. Sie migrieren nicht alles auf einmal: Sie hören nur auf, die Situation zu verschlimmern, und migrieren die bestehenden Konten nach und nach, beginnend mit den am wenigsten sensiblen.
Auditieren Sie Ihre Wiederherstellungsadressen — Listen Sie Ihre kritischen Konten auf (Haupt-E-Mail, Bank, Passwortmanager) und prüfen Sie, über welche Adresse ihre Wiederherstellung läuft. Keine darf über Ihre künftige operative E-Mail noch über eine in einem Dump vorhandene Adresse laufen. Es ist kostenlos und schließt die gefährlichsten Brücken.
Testen Sie Ihre Exposition aus einem jungfräulichen Browser — Öffnen Sie ein privates Fenster, ohne Verbindung, und suchen Sie Ihren Namen, Ihre Adressen, Ihre Nummer. Notieren Sie, welche Identitäten als untereinander verknüpft erscheinen. Was Sie in fünf Minuten sehen, sieht ein Angreifer auch.

Für Sie, CISO / IT-Leitung / Geschäftsführung

1. Die sensible E-Mail der Führungskräfte ist eine individuelle Schutzmaßnahme, keine Compliance. Eine Adresse außerhalb des Standard-Unternehmensverzeichnisses, für die M&A-Dossiers und Rechtsstreitigkeiten, fällt nicht unter die allgemeine IT-Richtlinie — sie fällt unter das individuelle Threat Model der Führungskraft. Direkte Folge: Tragen Sie dieses Thema in die Geschäftsführung als Maßnahme zum Schutz der Person, nicht als Zeile der Sicherheitsrichtlinie, sonst wird es als lästige Ausnahme behandelt und nie angewendet.

2. Die Wiederherstellungskette ist Ihr organisatorischer toter Winkel. Die Führungskonten sind oft untereinander durch gemeinsame Notfalladressen oder eine geteilte Assistenten-Nummer verknüpft. Direkte Folge: Ein einziges kompromittiertes Konto (oft das am stärksten exponierte, die öffentliche Identität) öffnet den Zugang zu den sensiblen Konten durch Dominoeffekt. Auditieren Sie die Wiederherstellungsketten der privilegierten Konten, bevor Sie in irgendein Verschlüsselungswerkzeug investieren.

3. Die Kompartmentierung verordnet man nicht, man bewerkzeugt sie. Eine Führungskraft zu bitten, „aufzupassen”, funktioniert nie. Direkte Folge: Stellen Sie die Infrastruktur bereit (verwaltete Aliasse, bereitgestelltes sensibles Postfach, zweite Nummer, vorkonfigurierter abgeschotteter Browser), und die Reibung fällt auf null. Ohne bereitgestellte Bewerkzeugung fällt die Führungskraft auf ihre einzige Adresse von 2009 zurück.

Die Rotation als Wartung

Ein Kompartment ist nicht ewig. Eine Identität häuft mit der Zeit Exposition an — jede Anmeldung, jeder Austausch, jedes Leck eines Drittdienstes fügt Ihrem aggregierten Profil eine Zeile hinzu. Die Rotation, das heißt der periodische Ersatz einer Identität durch eine neue, ist die Wartung, die verhindert, dass diese Anhäufung zum Risiko wird.

Die operative Identität rotiert jährlich oder sofort nach einem erkannten Leck. Das ist mit Aliassen trivial: Einen Alias kappen und einen neuen generieren dauert zehn Sekunden, und da jeder Dienst seinen eigenen Alias hat, kann die Rotation gezielt sein — Sie ändern nur, was geleckt ist. Genau das ist der strukturelle Vorteil der Aliasse je Dienst gegenüber einer einzigen Adresse.

Die öffentliche berufliche Identität rotiert alle drei bis vier Jahre, mit einer Übergangsperiode. Man ändert eine öffentliche Signatur nicht von heute auf morgen — es braucht ein Fenster von mehreren Monaten, in dem die beiden Adressen funktionieren, bis sich die Korrespondenten, die Verzeichnisse und die Profile aktualisieren. Es ist ein aufwendiger Vorgang, den man plant, keine Notfallreaktion.

Die sensible Identität hingegen rotiert nicht: Sie ist aus Notwendigkeit stabil (mitten in einem Rechtsstreit die Adresse zu wechseln, ist unmanagebar), aber sie wird alle sechs Monate auditiert. Das Audit prüft eine einzige Sache: dass sich die Brücken nicht wiederhergestellt haben. Eine versehentlich hinzugefügte Wiederherstellungsadresse, ein Alias, der an die falsche Stelle zeigt, eine wiederverwendete Nummer — das Verknüpfungs-Metadatum schleicht sich immer durch die kleinen Türen wieder ein, und nur ein regelmäßiges Audit spürt es auf.

Fehler, die man ständig sieht

„Ich habe eine neue Adresse angelegt” — ohne die kritischen Dienste zu migrieren. Die alte Adresse bleibt der echte Eingangspunkt; die neue fügt nur Fläche hinzu. Solange Bank, Passwortmanager und Haupt-E-Mail auf die alte zeigen, hat sich nichts geändert.
Der überall in einem einzigen Tresor synchronisierte Passwortmanager. Hervorragend gegen Wiederverwendung, aber er erschafft einen einzigen Verbindungspunkt neu: Kompromittieren Sie den Tresor, kompromittieren Sie alle Kompartmente auf einmal. Für das Sensible rechtfertigt sich ein getrennter Tresor.
Die gekreuzte Wiederherstellung zwischen Identitäten. Die zivile E-Mail als Notfalladresse der öffentlichen beruflichen E-Mail, die einzige Telefonnummer überall: Diese unsichtbaren Verbindungen lösen still die gesamte Kompartmentierung auf. Es ist der kostspieligste Fehler, weil er der diskreteste ist.
Die Identitäten im selben Browser vermischen. Gleiches Profil, gleiche IP, gleicher Fingerabdruck: Das Fingerprinting verknüpft, was die Passwörter trennen. Die sensible Identität und die öffentliche Identität nebeneinander zu öffnen, hebt die Abschottung auf.
Kompartmentierung und Anonymität verwechseln. Die Kompartmentierung macht Sie nicht anonym — Ihre Ansprechpartner wissen, wer Sie sind. Sie verhindert die Korrelation zwischen Ihren Verwendungen. Zu glauben, man sei unauffindbar, weil man ein Proton-Postfach hat, ist eine gefährliche Illusion, die zu riskanten Verhaltensweisen treibt.

Umsetzbare Checkliste

N1 Seine aktuellen Adressen auflisten und nach Kompartment klassifizieren: zivil / öffentlich beruflich / sensibel / operativ
N1 Einen operativen Alias erstellen (SimpleLogin oder Hide My Email) und jede neue Drittdienst-Anmeldung darüber leiten
N2 Die Wiederherstellungsketten auditieren: kein kritisches Konto darf sich über die operative E-Mail oder eine in einem Dump vorhandene Adresse wiederherstellen lassen
N2 Ein sensibles E2EE-Postfach (Proton/Tutanota) bereitstellen, ohne jede Wiederherstellungsverbindung mit der zivilen oder öffentlichen Identität
N2 Sein Profil aus einem jungfräulichen Browser testen (ohne Cookies noch Verbindung) und die sichtbaren Verbindungen zwischen Identitäten notieren
N3 Die Browser abschotten oder Firefox Multi-Account Containers aktivieren, eine Identität pro Container
N3 Die Rotation der operativen Identität auf 12 Monate und ein Audit der sensiblen Identität auf 6 Monate planen

Zum Weiterlesen

Für das technische Detail der Alias-Weiterleitung und der Verwaltung je Domain ist die SimpleLogin-Dokumentation die operative Referenz, ergänzt durch den Apple-Support zu Hide My Email für das iCloud-Ökosystem. Wenn Sie verstehen wollen, warum eine E-Mail-Adresse ein so schwer abzuschottender Pivot-Identifikator ist, erhellt die RFC 5321 (SMTP) die Zustellmechanik, die jede Adresse intrinsisch nachverfolgbar macht. Der Ratgeberbereich des BSI (Bundesamt für Sicherheit in der Informationstechnik) liefert ergänzend praktische Empfehlungen zum Schutz der digitalen Identität. Und bevor Sie Ihre Kompartmente aufbauen, lesen Sie die Bestandsaufnahme dessen, was bereits geleckt ist: Man schottet kein bereits öffentliches Datum ab, man schottet jene ab, die es noch nicht sind.

Quellen und weiterführende Literatur

SimpleLogin — Dokumentation [official]
RFC 5321 — Simple Mail Transfer Protocol [rfc]
Apple Hide My Email — Support [official]
BSI für Bürger — Sichere E-Mail und Identitätsschutz [official]