OSINT: Open Source Intelligence in der Cybersecurity

Bevor ein Angreifer eine einzige Zeile Exploit-Code ausführt, verbringt er oft Stunden mit der Recherche seines Ziels - ausschließlich mit öffentlich zugänglichen Informationen. OSINT ist die Kunst, aus frei verfügbaren Quellen verwertbare Intelligence zu gewinnen. Was Geheimdienste seit Jahrzehnten nutzen, ist heute Standard bei jedem Penetrationstest und jedem professionellen Angriff.

Was ist OSINT?

OSINT (Open Source Intelligence) bezeichnet die systematische Sammlung und Analyse von Informationen aus öffentlich zugänglichen Quellen. “Open Source” bedeutet hier nicht Open-Source-Software, sondern offen zugängliche Informationen - im Gegensatz zu klassischer nachrichtendienstlicher Intelligence, die durch geheime Quellen gewonnen wird.

OSINT-Quellen umfassen:

Websites, soziale Netzwerke, Foren
Öffentliche Register (Handelsregister, WHOIS, Zertifikats-Logs)
Nachrichten und Pressemitteilungen
Technische Datenbanken (Shodan, Censys, Pastebin)
Leak-Datenbanken (Have I Been Pwned, Dehashed)
Jobbörsen und Stellenanzeigen
Government Publications und Patent-Datenbanken

Warum OSINT in der Cybersecurity? OSINT ist die erste Phase jedes Angriffs und jedes professionellen Penetrationstests. Die Qualität der gesammelten Informationen bestimmt, wie zielgerichtet und effektiv die nachfolgenden Angriffsphasen sein werden.

OSINT aus Angreiferperspektive

Was interessiert einen Angreifer?

Technische Infrastruktur:

IP-Adressbereiche, Domains, Subdomains
Verwendete Softwareversionen (Metadaten, HTTP-Header, Shodan)
Offene Ports und Dienste
SSL-Zertifikate (Subdomain-Enumeration via crt.sh)
DNS-Einträge (MX, TXT, SPF, DMARC)
Cloudanbieter und CDN-Konfigurationen

Mitarbeiterdaten:

Namen, Positionen, E-Mail-Adressen (LinkedIn, Xing, Website)
E-Mail-Format ableiten (vorname.nachname@firma.de)
Mitarbeiter in IT-Abteilungen, Finance (BEC-Ziele)
Technologien die Mitarbeiter kennen (Job-Postings, GitHub)

Organisatorische Informationen:

Organigramm-Strukturen
Lieferanten und Partner (Supply-Chain-Angriff)
Aktuelle Projekte und Events (Phishing-Pretext)
Finanzielle Situation (Erpressungs-Targeting)

Technologie-Stack:

Jobbörsen verraten, welche Technologien intern genutzt werden
GitHub-Repositories von Mitarbeitern mit firmeninternem Code
Fehlerkonfigurationen in öffentlich zugänglichen APIs

Passive vs. Aktive OSINT

	Passive OSINT	Aktive OSINT
Definition	Informationen aus Dritten beziehen (keine direkte Interaktion mit Ziel)	Direkte Interaktion mit Zielsystemen
Beispiele	Shodan, crt.sh, WHOIS, LinkedIn	DNS-Zonetransfer, SMTP-Verifikation, Port-Scan
Erkennbarkeit	Sehr niedrig - keine Logs beim Ziel	Potenziell sichtbar in Firewall/IDS-Logs
Einsatz in Pentest	Immer (keine Genehmigung erforderlich für passive)	Nur mit expliziter Genehmigung

Wichtige OSINT-Tools und -Techniken

Domain- und Subdomain-Enumeration

crt.sh: Certificate Transparency Logs zeigen alle jemals ausgestellten TLS-Zertifikate für eine Domain - und damit auch Subdomains, die sonst nicht öffentlich bekannt sind.

# Alle Subdomains von example.com via crt.sh
curl "https://crt.sh/?q=%25.example.com&output=json" | jq '.[].name_value' | sort -u

Subfinder / Amass: Automatisierte Subdomain-Enumeration aus hunderten von Quellen.

WHOIS: Eigentümerinfos zu Domains (oft hinter Datenschutzprokies, aber historische WHOIS-Daten bleiben oft zugänglich).

Shodan - die Suchmaschine für das Internet of Things

Shodan indexiert das gesamte Internet nach offenen Ports und Diensten. Suchen wie:

org:"Company GmbH" port:3389          → RDP-Server der Firma
org:"Company GmbH" http.title:"Login"  → Web-Login-Seiten
org:"Company GmbH" vuln:CVE-2021-44228 → Log4Shell-vulnerable Server

Censys und Fofa bieten ähnliche Funktionen mit unterschiedlichen Stärken.

Mitarbeiter-OSINT

LinkedIn / Xing:

Vollständige Mitarbeiterliste mit Positionen
Technologien aus Erfahrungsabschnitten
Aktuelle Projekte und Events
Verbindungen zu Lieferanten

Hunter.io / Apollo.io: E-Mail-Muster und Adressen für Unternehmensdomains.

GitHub:

# Suche nach Firmen-Code auf GitHub
site:github.com "company.de" password
site:github.com "company.de" api_key

Erschreckend häufig: Mitarbeiter committen API-Keys, Passwörter und interne URLs in öffentliche Repositories.

Breach Intelligence

Have I Been Pwned (HIBP): Prüft ob E-Mail-Adressen in bekannten Datenverletzungen auftauchen. Kostenpflichtige Domain-API erlaubt Abfragen aller Adressen einer Domain.

Dehashed / LeakCheck: Erweiterte Breach-Suche mit Passwort-Hashes und Klartext-Passwörtern aus Leaks.

Aus Angreiferperspektive: Gefundene Credential-Paare werden direkt bei VPN, Webmail und Cloud-Diensten des Unternehmens getestet (Credential Stuffing).

Google Hacking / Google Dorks

Erweiterte Google-Suchanfragen um sensible Informationen zu finden:

site:firma.de filetype:pdf confidential
site:firma.de intitle:"index of" passwd
site:firma.de ext:env OR ext:bak OR ext:config
"firma.de" intext:"password" filetype:log

Die Google Hacking Database (GHDB) bei Exploit-DB sammelt tausende bewährter Dork-Muster.

Maltego - Graphische OSINT-Analyse

Maltego visualisiert Verbindungen zwischen OSINT-Daten als Graph: Domains → IP-Adressen → E-Mails → Personen → Unternehmen. Ermöglicht komplexe Zusammenhänge schnell zu erkennen.

Twitter/X, Mastodon, Instagram: Standorte (Geotagging), aktuelle Aktivitäten, berufliche Informationen.

theHarvester: Automatisierte Sammlung von E-Mail-Adressen, Subdomains, Hosts und offenen Ports aus multiplen öffentlichen Quellen.

OSINT im Penetrationstest

Bei einem professionellen Penetrationstest ist die Reconnaissance-Phase mit OSINT-Methoden immer der erste Schritt:

Typische Reconnaissance-Outputs:

Discoveries:
├── Infrastruktur
│   ├── 47 Subdomains (davon 12 unbekannt/nicht dokumentiert)
│   ├── 3 IP-Bereiche (1 Cloud-Instanz ohne WAF-Schutz)
│   └── Veraltete Software-Versionen auf admin.company.de (Apache 2.4.49, vuln: CVE-2021-41773)
├── Mitarbeiter
│   ├── 240 LinkedIn-Profile inkl. 18 IT-Mitarbeitende
│   ├── E-Mail-Format bestätigt: vorname.nachname@company.de
│   └── 3 Mitarbeiter in aktuellen Data Breaches (HIBP-Check)
├── Technologien (aus Stellenanzeigen)
│   ├── Active Directory (Kerberoasting-Kandidat)
│   ├── FortiGate VPN (Modell aus Forum-Post bekannt)
│   └── SAP ERP (aus XING-Profilen)
└── Code-Leaks
    └── GitHub: internes Konfig-File mit DB-Zugangsdaten (2023, noch aktiv?)

Diese Informationen steuern alle weiteren Testphasen - und zeigen oft die kritischsten Angriffswege, noch bevor ein einziger Exploit ausgeführt wurde.

OSINT gegen das eigene Unternehmen

Defensive OSINT / Attack Surface Management (ASM): Unternehmen sollten regelmäßig aus Angreiferperspektive auf sich selbst schauen:

OSINT-Selbstcheck: Was sieht ein Angreifer?

Schritt 1: Domains und Subdomains

crt.sh nach eigener Domain abfragen
Alle gefundenen Subdomains auf Erreichbarkeit und Aktualität prüfen
Vergessene, veraltete oder unbekannte Domains identifizieren

Schritt 2: Shodan-Check

Was sieht Shodan für eigene IP-Bereiche?
Sind unerwartete Dienste exponiert?
Welche Softwareversionen sind sichtbar?

Schritt 3: E-Mail-Sicherheit

DMARC, SPF, DKIM korrekt konfiguriert?
MX-Einträge auf verdächtige Konfigurationen prüfen

Schritt 4: Mitarbeiter-Exposure

LinkedIn-Profile auf übermäßige technische Details prüfen
GitHub-Suche nach Firmencode und Secrets

Schritt 5: Breach-Check

HIBP-Domain-Check für alle Unternehmens-E-Mails
Kompromittierte Credentials sofort zurücksetzen

Schritt 6: Google Dork-Suche

Sensitive Dateien öffentlich zugänglich?
Interne Seiten indexiert?

Maßnahmen zur OSINT-Angriffsflächen-Reduktion

Technisch:
☐ Subdomains-Inventar pflegen und vergessene Subdomains schließen
☐ Robots.txt und noindex für interne Tools
☐ Software-Versionsnummern aus HTTP-Headern entfernen
☐ Shodan-Alert für eigene IP-Ranges einrichten
☐ ASM-Tool einsetzen (Censys, Recorded Future, SecurityScorecard)

Organisatorisch:
☐ GitHub-Richtlinien: Kein Firmencode in öffentliche Repos
☐ LinkedIn-Richtlinien: Keine internen Systembezeichnungen in Profilen
☐ Stellenanzeigen: Technologie-Stack nicht unnötig detailliert offenlegen
☐ Regelmäßiger HIBP-Domain-Check (quartalsweise)

OSINT, Datenschutz und Rechtslage

Ist OSINT legal? Das Sammeln von öffentlich zugänglichen Informationen ist grundsätzlich legal - solange:

Keine technischen Schutzmaßnahmen umgangen werden (§ 202a StGB)
Keine personenbezogenen Daten in unzulässiger Weise verarbeitet werden (DSGVO)
Bei Pentests eine explizite schriftliche Genehmigung vorliegt

DSGVO-Grauzone: Das systematische Sammeln und Aggregieren von Personen-Daten aus öffentlichen Quellen kann trotzdem DSGVO-relevant sein, wenn es zu einem Persönlichkeitsprofil führt.

Pentester-Praxis: Professionelle Penetrationstester dokumentieren ihre OSINT-Aktivitäten genau und bleiben innerhalb des schriftlich genehmigten Scopes.

Fazit

OSINT ist die Grundlage jedes ernsthaften Angriffs und jedes professionellen Sicherheitstests. Die schlechte Nachricht: Die Angriffsfläche durch OSINT ist für die meisten Unternehmen größer als gedacht. Die gute Nachricht: Mit regelmäßigen OSINT-Selbstchecks, klaren Richtlinien für Mitarbeitende und Attack Surface Management lässt sich die Exposition erheblich reduzieren - bevor ein Angreifer diese Informationen gegen das Unternehmen einsetzt.