Startseite

Themen

OSINT

Was ist Open-Source-Intelligenz (OSINT)?
Entdecken Sie die Threat-Intelligence-Lösung von IBM Für Updates zu Sicherheitsthemen registrieren
Abbildung mit Collage aus Wolkenpiktogrammen, Handy, Fingerabdruck, Häkchen

Veröffentlicht: 8. April 2024
Mitwirkende: Gregg Lindemulder, Amber Forrest

Was ist Open-Source-Intelligenz (OSINT)?

Open-Source-Intelligenz  (OSINT) ist der Prozess des Sammelns und der Analyse öffentlich zugänglicher Informationen mit dem Ziel, Bedrohungen zu bewerten, fundierte Entscheidungen zu treffen oder bestimmte Fragen zu beantworten.

Unternehmen nutzen OSINT häufig als Instrument für die Cybersicherheit, mit dem sie Sicherheitsrisiken einschätzen und Schwachstellen in ihren IT-Systemen erkennen. Allerdings kommt OSINT ebenfalls für komplett entgegengesetzte Intentionen zum Einsatz: Auch Cyberkriminelle und Hacker verwenden OSINT-Techniken für Social Engineering, Phishing und zum Auskundschaften neuer Ziele für Cyberangriffe.

OSINT ist jedoch auch in anderen Kontexten allgegenwärtig. Neben der Cybersicherheit profitieren auch andere Disziplinen wie Strafverfolgung, nationale Sicherheit, Marketing, Journalismus und akademische Forschung von Technologie mit Open-Source-Informationen.

So funktioniert OSINT

Bereits im Zweiten Weltkrieg überwachten hochqualifizierte Geheimdienstagenten öffentlich zugängliche Informationsquellen wie Radiosendungen, Zeitungen und Marktschwankungen. Damals war der Zugriff auf diese Daten noch größtenteils an einzelne Standorte gebunden und im Umfang relativ begrenzt. Die Informationslandschaft hat sich über die Jahrzehnte hinweg jedoch deutlich verändert. Angesichts der Anzahl und Vielfalt der leicht zugänglichen Datenquellen kann sich heute fast jeder an der Sammlung von Open-Source-Informationen beteiligen.

Einige der öffentlichen Quellen, aus denen OSINT-Forscher Datenpunkte sammeln, sind:

  • Internet-Suchmaschinen wie Google, DuckDuckGo, Yahoo, Bing und Yandex. Diese indizieren riesige Datenmengen aus dem öffentlich zugänglichen Internet und machen sie komfortabel zugänglich.

  • Print- und Online-Nachrichtenmedien, einschließlich Zeitungen, Zeitschriften und Nachrichtenseiten. Einige davon sind öffentlich verfügbar, andere befinden sich hinter einer Paywall.

  • Social-Media-Konten auf Plattformen wie Facebook, X, Instagram und LinkedIn. Viele Nutzer dieser Plattformen verfügen über öffentlich einsehbare Profile, und auch Gruppen und Seiten ermöglichen häufig einen direkten Zugriff auf ihre Daten. Auf andere Daten kann nur unter bestimmten Bedingungen zugegriffen werden.

  • Online-Foren, Blogs und Internet-Relay-Chats (IRC). Während diese Lösungen heute weniger verbreitet sind als in der Vergangenheit, werden gegenwärtig nichtsdestotrotz große Datenmengen auf entsprechenden Plattformen erzeugt – zusätzlich zu den Unmengen an Inhalten, die sich über Jahre hinweg angesammelt haben.

  • Das Dark Web, ein verschlüsselter Bereich des Internets, der von Suchmaschinen nicht indiziert wird. Während entsprechende Seiten schwieriger aufzufinden sind als herkömmliche Websites, können die hier vorhandenen Daten besonders im Kontext der Cybersicherheit wertvoll sein.

  • Online-Verzeichnisse mit Telefonnummern, E-Mail-Adressen und physischen Adressen. Diese Verzeichnisse bieten ein umfassendes Spektrum an personenbezogenen Daten.

  • Öffentliche Aufzeichnungen, einschließlich Geburten, Todesfälle, Gerichtsdokumente und Geschäftsanmeldungen. Viele dieser Daten werden entweder öffentlich zur Verfügung gestellt oder von individuellen Nutzern oder Websites veröffentlicht.

  • Regierungsunterlagen wie z. B. Sitzungsprotokolle, Budgets, Reden und Pressemitteilungen, die von lokalen, Landes- und Bundes-/Nationalregierungen herausgegeben wurden. Viele Behörden stellen diese Daten im Interesse der Öffentlichkeit frei zur Verfügung.

  • Akademische Forschung, einschließlich Studienarbeiten, Dissertationen und Fachzeitschriften. Diese können entweder öffentlich verfügbar oder hinter einer Paywall verborgen sein. Auch ältere Werke sind möglicherweise in digitalisierter Form aufrufbar.

  • Technische Daten wie IP-Adressen, APIs, offene Ports und Metadaten von Webseiten. Diese Daten mögen auf den ersten Blick unsichtbar sein, lassen sich mit dem nötigen Know-how aber dennoch problemlos auslesen.

Bevor jedoch mit der Datensammlung aus OSINT-Quellen begonnen wird, sollte zunächst ein klares Ziel festgelegt werden. Sicherheitsexperten, die OSINT einsetzen, legen beispielsweise zunächst fest, welche Erkenntnisse sie aufdecken wollen und welche öffentlichen Daten die gewünschten Ergebnisse liefern. Die Masse an verfügbaren Daten ist derart umfassend, dass es nicht praktikabel wäre, eine vollständige Indizierung und Verarbeitung anzustreben. Beschränkungen auf bestimmte Datenquellen vereinfachen also sämtliche Schritte des Prozesses, ein zu enger Fokus könnte allerdings auch potenziell wertvolle Daten außen vor lassen.

Nachdem die öffentlichen Informationen gesammelt wurden, müssen sie zunächst verarbeitet werden, um unnötige oder redundante Daten herauszufiltern. Sicherheitsteams können dann die bereinigten Daten anschließend analysieren und einen umsetzbaren Intelligence-Bericht erstellen.

So nutzen Hacker OSINT

Bedrohungsakteure nutzen OSINT häufig, um sensible Informationen aufzudecken, mithilfe derer sie Schwachstellen in Computernetzwerken ausnutzen können.

Dazu zählen unter anderem persönliche Daten über die Mitarbeiter, Partner und Lieferanten eines Unternehmens, die über soziale Medien und Unternehmenswebsites leicht zugänglich sind. Auch technische Informationen wie Anmeldedaten, Sicherheitslücken oder Verschlüsselungscodes, die im Quellcode von Webseiten oder Cloud-Anwendungen erscheinen können, bieten Angreifern eine Schwachstelle, die sie ausnutzen können. Zudem gibt es öffentliche Websites, die kompromittierende Informationen wie gestohlene Logins und Passwörter veröffentlichen, die aus Datenlecks oder Cyberangriffen stammen.

Cyberkriminelle sind in der Lage, diese öffentlichen Daten für eine Vielzahl schädlicher Zwecke zu verwenden.

So könnten sie beispielsweise persönliche Informationen aus sozialen Netzwerken nutzen, um auf einzelne Personen zugeschnittene Phishing-E-Mails zu erstellen, die den Leser dazu bringen, auf einen schädlichen Link zu klicken. Sie können auch eine Google-Suche mit bestimmten Befehlen durchführen, die Sicherheitslücken in einer Webanwendung aufdecken – eine Praxis, die „Google Dorking“ genannt wird. Außerdem können Cyberkriminelle ihre Hacking-Versuche möglicherweise leichter verbergen, indem sie die öffentlich zugänglichen Unterlagen eines Unternehmens einsehen, in denen dessen Strategien zur Abwehr von Cyberangriffen beschrieben sind. Was ursprünglich als Anleitung für Mitarbeiter gedacht war, wird so zu einem Leitfaden für Hacker umfunktioniert.

OSINT für Cybersicherheit

Aus diesen Gründen führen viele Organisationen OSINT-Bewertungen der öffentlichen Informationsquellen in Bezug auf ihre Systeme, Anwendungen und Mitarbeiter durch.

Die Ergebnisse können verwendet werden, um unbefugte Leaks von geschützten oder sensiblen Daten zu lokalisieren, die Informationssicherheit des Unternehmens zu bewerten und Schwachstellen wie nicht gepatchte Software, Fehlkonfigurationen oder offene Ports zu identifizieren. Unternehmen können auch Penetrationstests ihrer Systeme und Netzwerke unter Verwendung derselben OSINT-Daten durchführen, die für Cyberkriminelle und Hacker öffentlich zugänglich sind.

Oft werden die bei einer OSINT-Bewertung gesammelten Informationen mit nicht öffentlichen Daten kombiniert, um einen umfassenderen Threat-Intelligence-Bericht zu erstellen. Regelmäßige Aktualisierungen der OSINT-Cybersicherheitsbewertungen können Unternehmen dabei unterstützen, das Risiko von Datenschutzverletzungen, Ransomware, Malware und anderen Cyberangriffen zu verringern.

OSINT-Tools

Aufgrund der riesigen Menge an öffentlich verfügbaren Informationen ist es in der Regel nicht praktikabel, OSINT-Daten manuell zu sammeln, zu sortieren und zu analysieren. Daher können spezialisierte Open-Source-Intelligence-Tools zur Verwaltung und Automatisierung von Datenaufgaben für eine Vielzahl von OSINT-Anwendungsfällen eingesetzt werden.

Einige OSINT-Analysetools verwenden künstliche Intelligenz (KI) und Machine Learning, um auszuwerten, welche Informationen wertvoll und relevant sind und welche eher unbedeutend oder wenig relevant sind. Zu den beliebtesten OSINT-Tools gehören:

  • Osintframework.com (Link befindet sich außerhalb von ibm.com) – Ein umfangreiches Verzeichnis kostenloser Online-OSINT-Tools und -Ressourcen, das auf der Entwicklerplattform GitHub gehostet wird. Sowohl Hacker als auch Cybersicherheitsexperten können dieses Verzeichnis als Ausgangspunkt verwenden, um die spezifischen Funktionen zu finden, die sie von einem OSINT-Tool benötigen.

  • Maltego (Link befindet sich außerhalb von ibm.com) – Eine Echtzeit-Data-Mining-Lösung für Windows-, Mac- und Linux-Plattformen, die grafische Darstellungen für Datenmuster und -verbindungen bietet. Mithilfe der Fähigkeit, Profile zu erstellen und die Online-Aktivitäten von Einzelpersonen zu verfolgen, kann dieses Tool sowohl für Cybersicherheitsexperten als auch für Bedrohungsakteure von Nutzen sein.

  • Spiderfoot (Link befindet sich außerhalb von ibm.com) – Ein Tool zur Integration von Datenquellen für Informationen wie E-Mail-Adressen, Telefonnummern, IP-Adressen, Subdomains und mehr. Ethische Hacker können diese Ressource nutzen, um öffentlich zugängliche Informationen zu untersuchen, die eine Bedrohung für ein Unternehmen oder eine Person darstellen könnten.

  • Shodan (Link führt zu einer Seite außerhalb von ibm.com) – Eine Suchmaschine für mit dem Internet verbundene Geräte, die auch Informationen über Metadaten und offene Ports bereitstellen kann. Da dieses Tool Sicherheitslücken von Millionen von Geräten identifizieren kann, ist es sowohl für Cybersicherheitsexperten als auch für Cyberkriminelle von Nutzen.

  • Babel X (Link befindet sich außerhalb von ibm.com) – Ein mehrsprachiges, KI-gestütztes Suchtool, mit dem das World Wide Web und das Dark Web in über 200 Sprachen durchsucht werden kann. Sicherheitsteams innerhalb eines Unternehmens können dieses Tool nutzen, um nach sensiblen oder geschützten Informationen zu suchen, die im Dark Web oder im Ausland veröffentlicht wurden. So lassen sich Sprachbarrieren überwinden und Daten auch dann aufdecken, wenn diese von ausländischen Hackern verbreitet wurden.

  • Metasploit (Link befindet sich außerhalb von ibm.com) – Ein Tool zur Penetrationsprüfung, das Sicherheitslücken in Netzwerken, Systemen und Anwendungen identifizieren kann. Sowohl Cybersicherheitsexperten als auch Hacker schätzen dieses Tool, da es die spezifischen Schwachstellen aufdecken kann, die einen erfolgreichen Cyberangriff ermöglichen.

Weiterführende Lösungen
IBM X-Force Threat Intelligence Services

Nutzen Sie unser Team aus erstklassigen Analysten, um Ihre Umgebung zu schützen. Gewinnen Sie Einblicke in die neuesten Bedrohungen und Techniken vom Reverse Engineering von Malware über die Recherche im Dark Web bis hin zum Aufspüren von Schwachstellen.

IBM X-Force Threat Intelligence Services erkunden

Ressourcen IBM X-Force Threat Intelligence Index

Profitieren Sie von umsetzbaren Erkenntnissen, die Ihnen zeigen, welche Strategien Angreifer verwenden – und lernen Sie, wie Sie Ihr Unternehmen proaktiv schützen können.

Was sind Penetrationstests?

Verstehen Sie, wie Penetrationstests Unternehmen dabei unterstützen, kritische Sicherheitslücken in ihren Anwendungen, Netzwerken, Geräten und anderen Assets aufzudecken.

Was ist eine Bedrohungsanalyse?

Erfahren Sie, wie Sicherheitsanalysten durch die Analyse und Korrelation von Rohdaten Threat Intelligence erstellen, um Cyberangriffe zu entschärfen und zu verhindern, bevor sie auftreten.

Machen Sie den nächsten Schritt

IBM Cybersecurity Services bieten Beratung, Integration und Managed Security Services sowie offensive und defensive Funktionen. Wir kombinieren ein globales Expertenteam mit eigenen und Partnertechnologien, um maßgeschneiderte Sicherheitsprogramme für das Risikomanagement mitzugestalten.

Mehr über Cybersicherheitsservices Think-Newsletter abonnieren