OSINT DEMYSTIFIED

OSINT, was ist das eigentlich?

Der Begriff OSINT ist immer wieder in den Nachrichten zu lesen. Oft wird er im Kontext von Hacking, Terrorismus, oder kriminellen Organisationen genannt - das macht diesen Begriff so geheimnisvoll. Doch was genau steckt dahinter?

OSINT steht für Open Source Intelligence, anders ausgedrückt die Informationsbeschaffung über öffentlich verfügbare Datenbanken und Plattformen. Dabei gibt es eine Vielzahl von Diensten, die hierfür infrage kommen. Die meisten Dienste sind kostenfrei nutzbar, einige aber auch an Kosten gebunden. Die Kunst hinter einer qualitativ hochwertigen OSINT-Aktivität ist es daher Dienste gezielt nutzbar zu machen, die gefundenen Informationen zu verknüpfen und daraus die entsprechenden Rückschlüsse über das Ziel zu ziehen.

Es ist eine legale, meist passive Art der Informationsbeschaffung (in IT-Security Kreisen auch oft Reconnaissance genannt). In diesem Kontext bedeutet passiv, dass die Zielorganisation nicht erkennen kann, dass sie analysiert wird. Daher ist OSINT insbesondere für Journalisten, Forscher, Geheimdienste, Strafverfolgungsbehörden und Angreifer zu einem unverzichtbaren Mittel und zentralen Teil der Arbeit geworden.

Zu OSINT gehören unter anderem Social Media Intelligence, Dark Web Intelligence aber auch Threat Intelligence und Threat Hunting. Diese Klassifizierungen sind nur einzelne Abgrenzungen bezüglich des Zielbereichs, in dem nach Informationen über ein bestimmtes Ziel gesucht werden soll.

Welche Mehrwerte bringt OSINT?

Da OSINT für eine große Bandbreite an Anwendungsfällen steht, ist es notwendig den Begriff einzugrenzen. In diesem Kontext werden wir zunächst auf OSINT im Bereich Cyber Security genauer eingehen. Zentrale Elemente bilden die Ermittlung von IP-Adressen, Subdomains, Betriebssystemen, eingesetzter Software (-Versionen), Schwachstellen, usw., die im Zusammenhang mit der Zielorganisation stehen. In dieser Art von Recherche können Netzwerkgeräte ausfindig gemacht werden, die der Zielorganisation eventuell nicht (mehr) bekannt sind und daher veraltet bzw. verwundbar sind. Insbesondere solche „vergessenen Hosts“ sind für Angreifer enorm attraktiv. Mithilfe eines fundierten OSINT-Scans können Sie also auch Ihre eigene Organisation analysieren und so beispielsweise vulnerable Ziele frühzeitig erkennen.

Weiterhin können in einer größer angelegten OSINT-Recherche vergangene oder bislang unbekannte Datenlecks mithilfe von Social Media, einschlägigen Online-Foren und Dark Web zutage gebracht werden. Typische Gefahren sind beispielsweise vertrauliche Dokumente, Informationen oder Passwörter, die versehentlich oder absichtlich online zugänglich gemacht wurden. Eine OSINT-Analyse kann also Aufschluss darüber geben, ob vertrauliche Informationen Ihrer Organisation öffentlich einsehbar sind.

Vorgehensweise

Die OSINT Methodik kann grundsätzlich in drei Bereiche unterteilt werden:

1. Informationsbeschaffung:

  • Eingrenzung von Datenquellen, die für das Ziel von Relevanz sind
  • Durchsuchen der Datenquellen nach allen festgelegten Schlüsselwörtern, die in Verbindung mit dem Ziel stehen

2. Aufbereitung & Verknüpfung:

  • Herausfiltern von interessanten bzw. relevanten Teilen in den erfassten Datensätzen
  • Suchen nach Querverbindungen zwischen den Datensätzen

3. Analyse & Reporting:

  • Strukturierung aller gesammelten Informationen
  • Herausdestillieren der wichtigsten und relevantesten Aspekte
  • Erstellen eines Reports, der die wesentlichen Funde und Bezüge klar verständlich darstellt und gegebenenfalls Handlungsempfehlungen beinhaltet

Zwischen Schritt 1 und 2 besteht ein ständiger Kreislauf, der immer neue Schlüsselwörter, Schnittstellen, Datenbanken, Personen oder Netzwerke aufzeigt und den Kreis des Bekannten iterativ vergrößert.

Gerne unterstützen unsere Experten auch Sie bei der Durchführung einer OSINT-Analyse. Dabei bieten wir Ihnen Unterstützung zu OSINT-Analysen wie Vulnerability Intelligence, Social Media Intelligence, und Dark Web Intelligence an, um ihre Cyber Exposure zu prüfen und Ihre Organisation aus Sicht eines potenziellen Angreifers zu betrachten.