Stalker findet Opfer durch Reflektion in Selfies
Hintergrund

Stalker findet Opfer durch Reflektion in Selfies

Dominik Bärlocher
Dominik Bärlocher
Zürich, am 02.12.2019
Sängerin Ena Matsuoka ist von einem Fan angegriffen worden. Der 26-jährige Angreifer hat ihren Wohnort unter anderem durch die Analyse der Reflektion in ihren Augen gefunden.

Ena Matsuoka ist ein Star. Die 21-jährige Japanerin ist Sängerin und Tänzerin in der Band Tenshi Tsukinukeni Yomi. Sie ist zwar ausserhalb Japans und ausgesuchten J-Pop-Kreisen kaum bekannt, aber Ena kann sich nicht beschweren. In ihrer offiziellen Biografie gibt sie sich als Liebhaberin der Farbe Pink und empfiehlt das Buch «Der Schaum der Tage» des Franzosen Boris Vian. Auf ihrem Twitter Account gibt sie sich charmant-lebendig, postet mehrmals täglich Announcements ihrer nächsten Konzerte und Selfies, selten auch Bilder aus ihrer Nachbarschaft, aufgenommen mit ihrem iPhone.

Sato Hibiki ist seit seiner Tat auch berühmt. Der 26jährige Japaner kann weder singen noch tanzen. Aber er hört gerne Musik. Eine seiner Lieblingsbands ist Tenshi Tsukinukeni Yomi. Besonders Ena Matsuoka hat es ihm angetan. Er folgt ihr auf Twitter, schaut sich ihre Bilder genau an. Sato träumt. Er will Ena nahe sein, sie ganz allein für sich haben. Sato ist ein Fan. Besessen und ein sogenannter Sasaeng. Sato kennt keine Grenzen.

Am 1. September 2019 herrscht Funkstille.

Tags darauf meldet sich Shonan Matsuoka auf Enas Twitter. Es gehe Ena schlecht, daher herrsche erst einmal Social-Media-Stille.

Die Pupillen als Verräter

Während Tagen, Wochen, hat Sato die Bilder Enas angesehen, in ihre grossen braunen Augen geblickt, bis ihm etwas aufgefallen ist.

Sato schmiedet einen Plan.

Die Selfie-Kamera des iPhone XR liefert eine Auflösung von 7 Megapixeln. Ob Ena ein iPhone XR oder ein anderes Modell hat, ist nicht bekannt. Die Software des Phones holt Erstaunliches aus dem Bildmaterial heraus. Sato noch mehr. Er kann in etwa ablesen, auf welcher Etage Ena wohnt. Oder sich regelmässig aufhält und Selfies aufnimmt. Denn die Hintergründe vieler ihrer Selfies zeigen dieselbe beige-pinke Wand und dieselbe Steckdose am linken Bildrand.

Sato zoomt.

Mehr als Selfies und kurze Videos hat Sato nicht, um sich seiner Angehimmelten anzunähern
Mehr als Selfies und kurze Videos hat Sato nicht, um sich seiner Angehimmelten anzunähern
Twitter/Ena Matsuoka

Er schaut sich die Reflektionen in den Pupillen der Sängerin an. In jene braunen Augen, die ihn vom Bildschirm aus ansehen und in die er schon so oft geblickt hat. Er erkennt Häuser. Das hilft ihm nicht. Denn Häuser gibt es in Tokyo überall. In jeder anderen Stadt der Welt auch. Er braucht etwas konkreteres. Er braucht etwas, das nur an einem Ort existieren kann. In einem Bild erkennt er eine Bushalte- oder U-Bahnhaltestelle.

Sato macht sich an die Arbeit und korreliert Daten.

Dafür braucht er so viele identifizierende Daten wie möglich. In der Information Security werden diese Informationen vom Researcher Flavio Gerbino in drei Kategorien unterteilt.

Die Reflektionen in den Augen der Sängerin zeigen eine Häuserzeile. Er sucht also ein mehrstöckiges Gebäude gegenüber einer Häuserzeile nahe der Haltestelle. Seine Arbeit wird mit jedem Bild und jedem Video, das Ena postet, erleichtert. In Videos sieht er Vorhänge mit offenem Fenster. Die Sonne scheint, Schatten werden geworfen. Sato kann daraus ablesen, in welche Himmelsrichtung Enas Zimmer zeigt. Er sucht also ein mehrstöckiges Gebäude gegenüber einer Häuserzeile nahe der Haltestelle, das in eine bestimmte Himmelsrichtung zeigt. Damit er nicht grosse Wanderungen unternehmen muss, schaut er sich auf Google Street View Häuserblocks an. Er korreliert also eine grosse Menge an potenziell indirekt identifizierenden Daten, die am Ende eine Adresse ausspucken.

Sato weiss, wo Ena wohnt.

Verräterische Reflektion im Auge?
Verräterische Reflektion im Auge?
Twitter/Ena Matsuoka

Ena ahnt von dem alles nichts. Ena trainiert ihre Tanzschritte, macht ihre Einkäufe, geht nach Hause, postet Bilder und Videos und wähnt sich in Sicherheit.

Gefahr Selfie

Es ist nicht das erste Mal, dass ein veröffentlichtes Selfie einer Person Schaden zufügt. Natürlich, Sato ist einer von ganz wenigen, die in ihrer Obsession so weit gehen, dass sie das Internet verlässt, aber hier eine ketzerische Frage: Wollen wir es wirklich riskieren, erst dann vorsichtig zu werden, wenn wir bestätigt wissen, dass da Horden von Besessenen sind?

Placeholder image
placeholder

placeholder

Das Problem darf aber nicht das Selfie per se sein. Denn Ena hat keine Wahl. Sie als Star lebt in der Öffentlichkeit. Um ihren Fans zu gefallen, was Teil ihres Jobs ist, muss sie Bilder von sich und ihrer Welt zeigen. Sie muss kontinuierliche Aufmerksamkeit auf sich und ihre Band zu lenken. Eine Story pro Tag auf Instagram, ein Tweet alle paar Stunden und so weiter.

Selfies und Social Media gehören zum Alltag einer jeden Berühmtheit
Selfies und Social Media gehören zum Alltag einer jeden Berühmtheit
Twitter/Ena Matsuoka

Ein paar Worte zu «selber Schuld»

In den Kommentarspalten zu Artikeln wie diesen passiert es früher oder später: Ein Kommentator schreibt etwas, das wie «selber Schuld» klingt. Oder darauf hinausläuft. «Sie hätte besser auf die Reflektionen achten sollen» oder «Sie hätte nicht Selfies aus ihrer Wohnung posten sollen». Das darf als Argument nicht gelten, denn damit bewegt sich die Diskussion hart im Territorium des Victim Blaming. Der Begriff stammt wohl aus der Welt der Vergewaltigungen und kommt oft bei der Verteidigung eines Täters zum Tragen. Ein Anwalt oder Richter oder sonst ein Offizieller argumentiert mit irgendwas wie «Ihr Rock war zu kurz, sie wollte das so» und gibt damit dem Opfer die Schuld an dem ihr angetanen Leid. Sie sei zu attraktiv, zu unwiderstehlich gewesen. Da habe der Täter gar nicht mehr anders können.

Niemand hat es verdient, in Würde oder Gesundheit bedroht oder verletzt zu werden. Egal, unter welchen Umständen.

Dennoch sind Selfies ein Risiko. Ena Matsuokas Fall zeigt, dass Selfies unter anderem die eigene Wohnadresse verraten können. Oder den eigenen Ruf schädigen. Dasselbe gilt für Videos (siehe Causa Brooke Houts, Achtung: Video Autoplay Warning) oder jedes andere bisschen Information, das eine Person online veröffentlicht. Genug Informationen können zu unangenehmen Nebeneffekten führen. Selbst als Autor bei digitec und Galaxus mache ich mir täglich Gedanken, was ich über mich als Person preisgebe, wo ich Bilder schiesse und was ich in Videos sage.

Wenn Bilder zu Angriffen führen

Damit Menschen sich aktiver Gedanken über die Risiken ihrer Bilder machen, arbeiten Profis aus der Information Security Tag für Tag daran, dir als End-Nutzer die Gefahr bewusst zu machen, dir Risiken aufzuzeigen und so zu hoffen, dass es dir nicht wie Ena Matsuoka geht. Hacker Jan Krissler alias Starbug hat sich seit der Einführung des Fingerabdrucksensors auf Smartphones dadurch einen Namen gemacht, die Systeme auszuhebeln.

Zu seinen beeindruckendsten Achievements gehört unter anderem die perfekte Reproduktion der Fingerabdrücke der Deutschen Verteidigungsministerin Ursula von der Leyen, indem er Bilder der Frau analysiert und unter anderem mit der Software VeriFinger nachgebaut hat. In der Folge haben Medien davor gewarnt, das Peace-Zeichen in die Kamera zu machen.

Von gut genug aufgelösten Bildern von Fingern können Fingerabdrücke genommen werden
Von gut genug aufgelösten Bildern von Fingern können Fingerabdrücke genommen werden
Twitter/Ena Matsuoka

Vor allem in Asien sind die zwei erhobenen Finger eine weit verbreitete Geste. Mist, was? Es bleibt also nur die Hoffnung, dass da kein Besessener zur Tat schreitet.

Krissler hat übrigens in seinen Proof-of-Concepts ganze Hände nachgebastelt, um Fingerabdrucksensoren zu überlisten. Die Angriffe sind nicht nur gegen Smartphones effektiv, sondern auch gegen alle Systeme, die Fingerabdrücke als Authentifizierungsfaktor verlangen. Also Smart Locks oder die Türen der Büros der Digitec Galaxus AG.

Heisst das also, dass du unter keinen Umständen deinen Fingerabdruck als Authentifizierung verwenden sollst? Nein. Aber es ist etwas, das du dir im Hinterkopf behalten solltest. Du hast zehn Fingerabdrücke, zwei Augen. Die verändern sich nur im Extremfall. Einmal geklaut, ist der Authentifizierungsfaktor auf immer unsicher. Ein Passwort oder eine PIN kannst du beliebig oft ändern.

Ferner musst du dir bewusst sein, wer hinter dir her ist, also ein sogenanntes Threat Model erstellen. Dein bester Kumpel, der sich gerne eine Pizza auf deinen Namen bestellen würde, ist in den allermeisten Fällen nicht in der Lage, deinen Fingerabdruck zu fälschen. Die chinesische Regierung will dir höchstwahrscheinlich auch nicht ans Leder. Die Illuminaten haben deine Daten ohnehin schon den Reptilianern übermittelt, die dich im Alltag ersetzen wollen. Denn deine KV-Stelle ist genau das, was ihnen fehlt, um die Weltherrschaft endgültig an sich zu reissen. Scherz beiseite: Du bist höchstwahrscheinlich nicht so wichtig, dass dir grosse Gefahr droht.

Du musst, andererseits, auch nicht ein international bekannter Star sein, um Opfer eines Angriffs zu werden, der so generell aus der Richtung der Informationssicherheit kommt. Ena Matsuoka, Sängerin und Tänzerin bei Tenshi Tsukinukeni Yomi, ist kein Superstar. Sie gehört zu den sogenannten «Chika Aidoru». Das kann lose mit «Untergrund-Idol» übersetzt werden, wobei «Idol» in Japan generell als Wort für «Star» verwendet wird. Chika Aidoru sind jede Sängerinnen und Tänzerinnen, die zwar genau denselben Job haben, wie die grossen Stars der Szene, aber ohne die Unterstützung eines gigantisch grossen Labels. Aktuell sind Bands wie AKB48 die ganz Grossen. Und wenn wir nach Korea blicken, dann kommen wir nicht um den Namen BTS herum

Nur weil ein Angriff theoretisch möglich ist, heisst das nicht, dass dir zwingend Gefahr droht. Aber ein Risiko gehst du ein. Sei das mit Selfies oder mit deinem Fingerabdruck.

Der Angriff

Sato hat am 1. September kurz nach 23 Uhr genug vom Träumen. Er will seiner Liebsten, die wohl nicht einmal weiss, dass er existiert, ganz nahe sein. Seine Recherche zahlt sich aus. Sato sieht Ena, wie sie nach einem Konzert nach Hause kommt. Sato weiss, wann das Konzert wo stattfindet und in etwa ab wann er vor ihrer Haustüre warten muss, um sie abzupassen.

Sein Moment ist gekommen.

Das Problem: Sato weiss, dass Ena ihn nicht kennt, ihn wahrscheinlich in die Wüste schicken wird. Ihm bleibt in seiner Besessenheit also nur eines: Gewalt.

Sato Hibiki ist geständig
Sato Hibiki ist geständig
Twitter/NHK

Er drückt ihr ein Tuch aufs Gesicht, knebelt sie und schleift die junge Frau in eine Seitengasse, wo er sie unsittlich berührt. Das gibt er nach seiner Verhaftung am 16. oder 17. September laut der japanischen Tageszeitung Sankei Shimbun an. Sato ist geständig.

Ena wehrt sich.

Damit hat Sato wohl nicht gerechnet, aber er kämpft mit. Am Ende schlägt sie ihn in die Flucht. Das Schlimmste hat sie abwenden können. Sie ist zwar geschlagen und angegrabscht worden, aber zur Vergewaltigung oder zum Mord ist es nicht gekommen. Die leichten Verletzungen in ihrem Gesicht sind innerhalb einer Woche verheilt. Es werden Forderungen nach besserem Schutz von Idols laut. Denn der Fall Sato/Ena ist nicht der erste seiner Art.

Sängerin Mayu Tomita ist im Jahre 2016 von zwei Sasaeng über 60 Mal mit einem Messer gestochen worden, hat aber überlebt. Sie hat nun auf Schadensersatz geklagt, hat aber Narben im Gesicht, einen Teil ihres Augenlichts verloren und ihre Karriere aufgeben müssen. Noch erniedrigender ist der Fall der NGT48-Sängerin Maho Yamaguchi. Sie gibt an, im Januar 2019 von zwei Männern angegriffen worden zu sein. Die Ermittlungen der Polizei haben zwar zwei Verhaftungen gebracht, aber über eine Strafe ist noch nichts bekannt. Maho hat sich in der Folge öffentlich entschuldigen müssen. Dafür, dass sie so viel Ärger gemacht hat.

Als an der IT-Security interessierte bleibt uns nur noch eines: Der Selbstversuch. Im Verlauf der Woche werde ich mit einem kleinen Team versuchen, Selfies so zu gestalten, dass ein Objekt in einer Reflektion zweifelsfrei identifiziert werden kann.

Ena Matsuoka ist weiterhin aktiv auf Twitter, singt und tanzt.

74 Personen gefällt dieser Artikel


Dominik Bärlocher
Dominik Bärlocher
Senior Editor, Zürich
Journalist. Autor. Hacker. Ich bin Geschichtenerzähler und suche Grenzen, Geheimnisse und Tabus. Ich dokumentiere die Welt, schwarz auf weiss. Nicht, weil ich kann, sondern weil ich nicht anders kann.

Diese Beiträge könnten dich auch interessieren