Früher mussten Hacker viel technische Vorarbeit leisten, um einen Angriff durchführen zu können – heute reicht ein Klick auf LinkedIn. OSINT heißt das Zauberwort, und manchmal liefern die eigenen Leute die besten Geheimnisse frei Haus.

Was ist OSINT überhaupt?

OSINT steht für Open-Source Intelligence, also Informationen, die frei verfügbar sind. Das muss nicht immer das Internet sein, auch Printmedien oder Vor-Ort-Begehungen können viel verraten.

Aber in der Regel ist das Internet der Hauptvektor. Über Google, Social Media, die Unternehmenswebsite, Jobportale und auch Presseartikel lassen sich die meisten Informationen für einen Cyberangriff, eine Spionage oder eine journalistische Recherche gewinnen. Hacker nutzen diese Informationen, um maßgeschneiderte Phishing-E-Mails zu versenden und mehr über die technischen Gegebenheiten des Ziels zu erfahren.

Ist das nicht nur was für Hollywood-Hacker?

Nein, leider nicht nur. Denn dafür wird kein System gehackt, keine Schwachstelle ausgenutzt, kein Social Engineering betrieben. Es ist wie Brotkrümel aufsammeln. Hier ein paar Beispiele:

• Die neue Mitarbeiterin, die bei Jobantritt stolz ihren Firmenausweis auf Facebook postet.
• Der Admin, der auf LinkedIn vor dem neuen Server-Rack posiert.
• Die Stellenanzeige, in der ein System Engineer für Splunk, MySQL und Ubuntu gesucht wird.
• Fotos und Videos auf der Unternehmenswebsite, die Whiteboards und handschriftliche Notizen zeigen.

Hier auch gerne ein paar bekanntere Beispiele:

• Ein Fotograf kopierte ein VIP-Badge für ein Kanye West Event, bearbeitete es 5 Minuten in Photoshop und kam ohne Security-Kontrolle an ihn ran.
  Quelle: https://x.com/AnthonyQuintano/status/1418964147207868436​
• Beim Super Bowl 48 wurde das WLAN-Passwort im Fernsehen geleakt. Das ist zwar schon eine Weile her, aber solche Fälle gibt es immer wieder.
  Quelle: https://www.zdnet.com/article/super-bowl-wi-fi-password-credentials-broadcast-in-pre-game-security-gaffe/​
• Bei der Flucht von John McAfee, der immer wieder Updates in sozialen Netzwerken gepostet hatte, konnte ein Sicherheitsforscher seinen Aufenthaltsort ausfindig machen.
  Quelle: https://medium.com/@bendobrown/finding-mcafee-a-case-study-on-geoprofiling-and-imagery-analysis-6f16bbd5c219​

Wie angreifbar ist mein Unternehmen?

Probiere es aus und google dein Unternehmen. Wenn du Namen von Mitarbeitern findest, suche sie auf LinkedIn, Facebook und Instagram. Es ist wichtig, dass du den Incognito-Modus deines Browsers verwendest. Wenn du mit der Marketingleiterin auf Facebook befreundet bist, siehst du vielleicht mehr, als wenn du nur anonym unterwegs bist.

Kleiner Spoiler: Hacker haben viele Fake-Profile auf Social Media und suchen auch aktiv den Kontakt zu ihren Angriffszielen. Das kann ein zufällig generierter Account mit einem attraktiven Profilbild sein, aber auch ein Fake-Account des CEO.

Es gibt zahlreiche Tools, mit denen man OSINT professionell angehen kann, aber die einfachste Variante sind "Google Dorks". Dabei handelt es sich um eine spezielle Art der Google-Suche, mit der man die Suche verfeinern und einschränken kann. Zum Beispiel kann man nach Dateityp, Domain oder Header filtern.

Gib in Google mal folgende Suche ein und ersetze "domain.at" natürlich durch deine eigene Domain.

filetype:pdf site:domain.at

Ich wette, du wirst einige interessante Informationen finden. 😉

Wenn du mehr über Google Dorks wissen möchtest, habe ich hier einen guten englischen Artikel für dich. Link: https://www.recordedfuture.com/threat-intelligence-101/threat-analysis-techniques/google-dorks​

Wie kann ich mein Unternehmen davor schützen?

Das Unternehmen darf sich nicht in das Privatleben seiner Mitarbeiter einmischen. Sie dürfen in der Regel über ihre beruflichen Aktivitäten in sozialen Netzwerken berichten, solange sie keine vertraulichen Informationen preisgeben. Für die Juristen unter euch: Ihr dürft mich gerne verbessern. 😃

Ein besserer Ansatz ist es jedoch, deine Mitarbeiter für das Thema OSINT zu sensibilisieren, ohne ihnen Vorwürfe zu machen. Teile ihnen ruhig deine Bedenken mit und sage ihnen, dass du dich um ihre Sicherheit und die Sicherheit des Unternehmens sorgst.

Gerade Frauen werden immer häufiger Opfer von Stalkern. Zeig ihnen, worauf es bei OSINT ankommt und dass selbst in harmlos erscheinende Fotos massenhaft Informationen enthalten können. Jeden Dienstag um 8:30 Uhr ein Selfie im Lieblingskaffee um die Ecke, oder ein Briefkuvert mit Anschrift im Hintergrund – das kann nach hinten losgehen. Im Internet ist nämlich alles für immer gespeichert. Das Internet vergisst nichts. Mit Tools wie dem Internet-Archiv, sind diese Informationen auf ewig dokumentiert.

Wenn du noch einen Schritt weitergehen möchtest, kannst du für deine Firma auch Google Alerts einrichten. Dann wirst du proaktiv benachrichtigt, wenn gewisse Suchkriterien positiv sind. Du kannst auch freie Tools wie Spiderfoot und Maltego CE verwenden, um regelmäßig deinen Online-Auftritt zu überprüfen.

Wenn du aber wirklich wissen willst, was abgeht, lass lieber die Profis ran. Damit meine ich aber die Profis, von denen du eine ordentliche Rechnung bekommst und nicht denen du Bitcoins schicken musst, um den Fileserver zu entschlüsseln. 😬

Fazit

Informationen im Internet sind genauso beständig wie Carrara-Marmor. Du kannst ja mal Beyoncé anrufen und fragen, wieviel Aufwand sie hatte, um ihr Super Bowl Foto aus dem Internet zu entfernen – vergeblich. Pass also auf, was du preisgibst, und prüfe regelmäßig, ob dir nicht doch etwas entgangen ist. 😉