Was ist Open-Source-Intelligenz (OSINT)?

Bereits im Zweiten Weltkrieg überwachten hochqualifizierte Geheimdienstagenten öffentlich zugängliche Informationsquellen wie Radiosendungen, Zeitungen und Marktschwankungen. Damals war der Zugriff auf diese Daten noch größtenteils an einzelne Standorte gebunden und im Umfang relativ begrenzt. Die Informationslandschaft hat sich über die Jahrzehnte hinweg jedoch deutlich verändert. Angesichts der Anzahl und Vielfalt der leicht zugänglichen Datenquellen kann sich heute fast jeder an der Sammlung von Open-Source-Informationen beteiligen.

Einige der öffentlichen Quellen, aus denen OSINT-Forscher Datenpunkte sammeln, sind:

• Internet-Suchmaschinen wie Google, DuckDuckGo, Yahoo, Bing und Yandex. Diese indizieren riesige Datenmengen aus dem öffentlich zugänglichen Internet und machen sie komfortabel zugänglich.

• Print- und Online-Nachrichtenmedien, einschließlich Zeitungen, Zeitschriften und Nachrichtenseiten. Einige davon sind öffentlich verfügbar, andere befinden sich hinter einer Paywall.

• Social-Media-Konten auf Plattformen wie Facebook, X, Instagram und LinkedIn. Viele Nutzer dieser Plattformen verfügen über öffentlich einsehbare Profile, und auch Gruppen und Seiten ermöglichen häufig einen direkten Zugriff auf ihre Daten. Auf andere Daten kann nur unter bestimmten Bedingungen zugegriffen werden.

• Online-Foren, Blogs und Internet-Relay-Chats (IRC). Während diese Lösungen heute weniger verbreitet sind als in der Vergangenheit, werden gegenwärtig nichtsdestotrotz große Datenmengen auf entsprechenden Plattformen erzeugt – zusätzlich zu den Unmengen an Inhalten, die sich über Jahre hinweg angesammelt haben.

• Das Dark Web, ein verschlüsselter Bereich des Internets, der von Suchmaschinen nicht indiziert wird. Während entsprechende Seiten schwieriger aufzufinden sind als herkömmliche Websites, können die hier vorhandenen Daten besonders im Kontext der Cybersicherheit wertvoll sein.

• Online-Verzeichnisse mit Telefonnummern, E-Mail-Adressen und physischen Adressen. Diese Verzeichnisse bieten ein umfassendes Spektrum an personenbezogenen Daten.

• Öffentliche Aufzeichnungen, einschließlich Geburten, Todesfälle, Gerichtsdokumente und Geschäftsanmeldungen. Viele dieser Daten werden entweder öffentlich zur Verfügung gestellt oder von individuellen Nutzern oder Websites veröffentlicht.

• Regierungsunterlagen wie z. B. Sitzungsprotokolle, Budgets, Reden und Pressemitteilungen, die von lokalen, Landes- und Bundes-/Nationalregierungen herausgegeben wurden. Viele Behörden stellen diese Daten im Interesse der Öffentlichkeit frei zur Verfügung.

• Akademische Forschung, einschließlich Studienarbeiten, Dissertationen und Fachzeitschriften. Diese können entweder öffentlich verfügbar oder hinter einer Paywall verborgen sein. Auch ältere Werke sind möglicherweise in digitalisierter Form aufrufbar.

• Technische Daten wie IP-Adressen, APIs, offene Ports und Metadaten von Webseiten. Diese Daten mögen auf den ersten Blick unsichtbar sein, lassen sich mit dem nötigen Know-how aber dennoch problemlos auslesen.

Bevor jedoch mit der Datensammlung aus OSINT-Quellen begonnen wird, sollte zunächst ein klares Ziel festgelegt werden. Sicherheitsexperten, die OSINT einsetzen, legen beispielsweise zunächst fest, welche Erkenntnisse sie aufdecken wollen und welche öffentlichen Daten die gewünschten Ergebnisse liefern. Die Masse an verfügbaren Daten ist derart umfassend, dass es nicht praktikabel wäre, eine vollständige Indizierung und Verarbeitung anzustreben. Beschränkungen auf bestimmte Datenquellen vereinfachen also sämtliche Schritte des Prozesses, ein zu enger Fokus könnte allerdings auch potenziell wertvolle Daten außen vor lassen.

Nachdem die öffentlichen Informationen gesammelt wurden, müssen sie zunächst verarbeitet werden, um unnötige oder redundante Daten herauszufiltern. Sicherheitsteams können dann die bereinigten Daten anschließend analysieren und einen umsetzbaren Intelligence-Bericht erstellen.

Bedrohungsakteure nutzen OSINT häufig, um sensible Informationen aufzudecken, mithilfe derer sie Schwachstellen in Computernetzwerken ausnutzen können.

Dazu zählen unter anderem persönliche Daten über die Mitarbeiter, Partner und Lieferanten eines Unternehmens, die über soziale Medien und Unternehmenswebsites leicht zugänglich sind. Auch technische Informationen wie Anmeldedaten, Sicherheitslücken oder Verschlüsselungscodes, die im Quellcode von Webseiten oder Cloud-Anwendungen erscheinen können, bieten Angreifern eine Schwachstelle, die sie ausnutzen können. Zudem gibt es öffentliche Websites, die kompromittierende Informationen wie gestohlene Logins und Passwörter veröffentlichen, die aus Datenlecks oder Cyberangriffen stammen.

Cyberkriminelle sind in der Lage, diese öffentlichen Daten für eine Vielzahl schädlicher Zwecke zu verwenden.

So könnten sie beispielsweise persönliche Informationen aus sozialen Netzwerken nutzen, um auf einzelne Personen zugeschnittene Phishing-E-Mails zu erstellen, die den Leser dazu bringen, auf einen schädlichen Link zu klicken. Sie können auch eine Google-Suche mit bestimmten Befehlen durchführen, die Sicherheitslücken in einer Webanwendung aufdecken – eine Praxis, die „Google Dorking“ genannt wird. Außerdem können Cyberkriminelle ihre Hacking-Versuche möglicherweise leichter verbergen, indem sie die öffentlich zugänglichen Unterlagen eines Unternehmens einsehen, in denen dessen Strategien zur Abwehr von Cyberangriffen beschrieben sind. Was ursprünglich als Anleitung für Mitarbeiter gedacht war, wird so zu einem Leitfaden für Hacker umfunktioniert.

Aus diesen Gründen führen viele Organisationen OSINT-Bewertungen der öffentlichen Informationsquellen in Bezug auf ihre Systeme, Anwendungen und Mitarbeiter durch.

Die Ergebnisse können verwendet werden, um unbefugte Leaks von geschützten oder sensiblen Daten zu lokalisieren, die Informationssicherheit des Unternehmens zu bewerten und Schwachstellen wie nicht gepatchte Software, Fehlkonfigurationen oder offene Ports zu identifizieren. Unternehmen können auch Penetrationstests ihrer Systeme und Netzwerke unter Verwendung derselben OSINT-Daten durchführen, die für Cyberkriminelle und Hacker öffentlich zugänglich sind.

Oft werden die bei einer OSINT-Bewertung gesammelten Informationen mit nicht öffentlichen Daten kombiniert, um einen umfassenderen Threat-Intelligence-Bericht zu erstellen. Regelmäßige Aktualisierungen der OSINT-Cybersicherheitsbewertungen können Unternehmen dabei unterstützen, das Risiko von Datenschutzverletzungen, Ransomware, Malware und anderen Cyberangriffen zu verringern.

Aufgrund der riesigen Menge an öffentlich verfügbaren Informationen ist es in der Regel nicht praktikabel, OSINT-Daten manuell zu sammeln, zu sortieren und zu analysieren. Daher können spezialisierte Open-Source-Intelligence-Tools zur Verwaltung und Automatisierung von Datenaufgaben für eine Vielzahl von OSINT-Anwendungsfällen eingesetzt werden.

Einige OSINT-Analysetools verwenden künstliche Intelligenz (KI) und Machine Learning, um auszuwerten, welche Informationen wertvoll und relevant sind und welche eher unbedeutend oder wenig relevant sind. Zu den beliebtesten OSINT-Tools gehören:

• Osintframework.com (Link befindet sich außerhalb von ibm.com) – Ein umfangreiches Verzeichnis kostenloser Online-OSINT-Tools und -Ressourcen, das auf der Entwicklerplattform GitHub gehostet wird. Sowohl Hacker als auch Cybersicherheitsexperten können dieses Verzeichnis als Ausgangspunkt verwenden, um die spezifischen Funktionen zu finden, die sie von einem OSINT-Tool benötigen.

• Maltego (Link befindet sich außerhalb von ibm.com) – Eine Echtzeit-Data-Mining-Lösung für Windows-, Mac- und Linux-Plattformen, die grafische Darstellungen für Datenmuster und -verbindungen bietet. Mithilfe der Fähigkeit, Profile zu erstellen und die Online-Aktivitäten von Einzelpersonen zu verfolgen, kann dieses Tool sowohl für Cybersicherheitsexperten als auch für Bedrohungsakteure von Nutzen sein.

• Spiderfoot (Link befindet sich außerhalb von ibm.com) – Ein Tool zur Integration von Datenquellen für Informationen wie E-Mail-Adressen, Telefonnummern, IP-Adressen, Subdomains und mehr. Ethische Hacker können diese Ressource nutzen, um öffentlich zugängliche Informationen zu untersuchen, die eine Bedrohung für ein Unternehmen oder eine Person darstellen könnten.

• Shodan (Link führt zu einer Seite außerhalb von ibm.com) – Eine Suchmaschine für mit dem Internet verbundene Geräte, die auch Informationen über Metadaten und offene Ports bereitstellen kann. Da dieses Tool Sicherheitslücken von Millionen von Geräten identifizieren kann, ist es sowohl für Cybersicherheitsexperten als auch für Cyberkriminelle von Nutzen.

• Babel X (Link befindet sich außerhalb von ibm.com) – Ein mehrsprachiges, KI-gestütztes Suchtool, mit dem das World Wide Web und das Dark Web in über 200 Sprachen durchsucht werden kann. Sicherheitsteams innerhalb eines Unternehmens können dieses Tool nutzen, um nach sensiblen oder geschützten Informationen zu suchen, die im Dark Web oder im Ausland veröffentlicht wurden. So lassen sich Sprachbarrieren überwinden und Daten auch dann aufdecken, wenn diese von ausländischen Hackern verbreitet wurden.

• Metasploit (Link befindet sich außerhalb von ibm.com) – Ein Tool zur Penetrationsprüfung, das Sicherheitslücken in Netzwerken, Systemen und Anwendungen identifizieren kann. Sowohl Cybersicherheitsexperten als auch Hacker schätzen dieses Tool, da es die spezifischen Schwachstellen aufdecken kann, die einen erfolgreichen Cyberangriff ermöglichen.