Wie viel Angreifer wirklich über Sie herausfinden
Der Angriff, der mit einem LinkedIn-Post begann
Der Stolz war berechtigt. Ein Mitarbeiter hatte eine anspruchsvolle Zertifizierung abgeschlossen, die für viele Projekte im Unternehmen wertvoll werden würde. Er postete ein Foto seines Arbeitsplatzes auf LinkedIn, im besten Licht, versehen mit einem freundlichen Dank an das Team und einem Hinweis auf das bevorstehende Projekt. Aufmerksame Kollegen gratulierten, einige Kontakte teilten den Beitrag.
Was niemand bemerkte: Auf dem Whiteboard im Hintergrund standen interne Projektnamen, Abkürzungen, ein geplanter Go-Live-Termin und ein grober Architekturentwurf. Nichts, was ein normaler Betrachter als sensibel einstufen würde. Für einen externen Angreifer war es ein Geschenk. Innerhalb weniger Minuten ließen sich technologische Hinweise herauslesen, interne Strukturen erahnen und Verantwortlichkeiten ableiten.
Dieser Post war nicht die Ursache eines Angriffs. Aber er war der Anfang einer Angriffsplanung, die ausschließlich aus offenen Informationen bestand. Genau das macht OSINT im Kontext moderner Unternehmenssicherheit so gefährlich: Es zeigt, wie sehr das digitale Umfeld eines Unternehmens zu einem Spiegel wird, der mehr verrät, als eigentlich sichtbar sein sollte.
OSINT ist mehr als öffentlich zugängliche Informationen – es ist ein Angriffsverstärker
Viele Organisationen verbinden OSINT mit oberflächlichen Suchanfragen oder dem Lesen von Social-Media-Profilen. Doch moderne Angreifer betrachten OSINT nicht als Option, sondern als integralen Bestandteil jedes Angriffes. Für sie ist es die Phase, die den Erfolg eines Angriffs überhaupt erst ermöglicht.
Zwischen einer Google-Suche und professioneller Reconnaissance liegen Welten. Ein Angreifer, der oberflächlich scannt, sieht nur die sichtbare Fassade. Ein Red Team hingegen arbeitet strategisch. Es verbindet Social Media, Cloud-basierte Artefakte, technische Metadaten und Verhaltenshinweise zu einem präzisen Lagebild. Dieses Lagebild enthält nicht nur technische Details, sondern menschliche Muster und organisatorische Eigenheiten.
Fast jedes Unternehmen unterschätzt die Menge an digitalen Spuren, die es hinterlässt. Das liegt daran, dass der digitale Fußabdruck nicht durch ein System entsteht, sondern durch das Zusammenspiel vieler kleiner Informationsfragmente. Diese Fragmente sind einzeln harmlos, aber in Summe wertvoll. Ein Foto hier, eine Zertifizierung dort, ein LinkedIn-Kommentar, ein öffentlich zugängliches PDF mit Metadaten.
OSINT ist kein Werkzeug. Es ist ein Verstärker, der Angriffsideen in realistische Szenarien verwandelt.
Die Angreiferperspektive: Welche Fragen OSINT wirklich beantworten soll
Ein modernes Red Team beginnt nicht mit Tools, sondern mit Fragen. Jede dieser Fragen dient dazu, das Unternehmen aus einem Blickwinkel zu betrachten, der Verteidigern oft fremd ist.
Die erste Frage lautet: Wer arbeitet dort und woran?
Personenprofile verraten Verantwortlichkeiten. Technologieentscheidungen sind oft erkennbar, weil Mitarbeiter über ihre Tools sprechen. Teamgrößen lassen sich anhand von Jobprofilen einschätzen. Selbst Qualitätsstandards können sich aus Schulungen und Zertifizierungen erschließen.
Die zweite Frage lautet: Wie ist die Infrastruktur aufgebaut?
Viele Unternehmen veröffentlichen unbewusst Hinweise über ihre Systeme. Subdomains, API-Endpunkte, Zertifikate, Cloud-Provider. Auch wenn nichts direkt angreifbar scheint, helfen diese Informationen dabei, Angriffsflächen einzuschätzen.
Die dritte Frage lautet: Welche Prozesse nutzen die Menschen im Unternehmen?
Angreifer wollen wissen, wie ein Unternehmen funktioniert. Welche Tools bevorzugt werden, welche Remote-Access-Lösungen im Einsatz sind oder wie Lieferanten integriert sind. Aus diesen Informationen entsteht das Wissen, wo potenzielle Schwächen liegen.
Die vierte Frage lautet: Welche Gewohnheiten zeigen sich?
Mitarbeiter hinterlassen Spuren über ihre Arbeitszeiten, Kommunikationswege oder Abhängigkeiten. All das kann ein Red Team nutzen, um Angriffe zeitlich oder inhaltlich realistischer zu planen.
OSINT ist damit kein Werkzeugkasten, sondern ein Fragenkatalog. Die Qualität der Antworten ergibt die Qualität des Angriffs.
Die wichtigsten OSINT-Quellen – und warum sie so gefährlich sind
Um die Risiken zu verstehen, muss man die Quellen betrachten. Die gefährlichen Informationen sind selten technische Details. Es sind Hinweise, die so alltäglich wirken, dass sie niemand als sicherheitsrelevant wahrnimmt.
Social Media: Das unterschätzte Fenster ins Unternehmen
Soziale Netzwerke sind die reichhaltigste Informationsquelle. Mitarbeiterprofile zeigen Rollen und Zuständigkeiten. Teamfotos offenbaren Badge-Layouts. Zertifizierungen zeigen Technologie-Stacks. Sogar harmlose Job-Postings verraten Tools, Cloud-Dienste oder interne Systeme.
Ein Beispiel: Eine Stellenanzeige für einen DevOps Engineer enthält Hinweise auf Kubernetes, Terraform, Azure Pipelines und ein bestimmtes Git-Repository. Für Angreifer wird daraus ein präzises Infrastruktur-Bild.
Technische Spuren: DNS, Zertifikate, Metadaten
Technische Artefakte sprechen. Subdomains verraten Entwicklungsumgebungen. Zertifikate zeigen Service-Landschaften. Metadaten in PDF-Dokumenten verraten interne Tooling-Strukturen oder Verantwortlichkeiten.
Abgelegte Daten im öffentlichen Raum
Cloud-Buckets sind schnell falsch konfiguriert. Git-Repositories enthalten oft archivierte Dateien, die nie bereinigt wurden. Selbst ein altes Marketing-PDF kann interne Servernamen enthalten.
Unternehmenswebseite als indirekte Informationsquelle
Projektbeschreibungen, Team-Fotos, Karrierebereiche und Pressemitteilungen liefern den Kontext, der Angriffsideen erleichtert. Niemand schreibt: „Hier ist unsere Angriffskarte“. Aber viele veröffentlichen genau die Bausteine, aus denen diese Karte entsteht.
Daten aus dritten Quellen
Lieferantenportale, Branchenberichte oder Ausschreibungsunterlagen enthalten oft mehr Hinweise als die Unternehmen selbst vermuten.
Mini-Szenario: Wie ein Angriff nur durch OSINT möglich wurde
Ein Angreifer beginnt bei Social Media. Ein Teammitglied erwähnt, dass das Unternehmen „künftig stärker auf Azure setzt“. Ein zweites spricht begeistert über eine neue Monitoring-Lösung. Ein dritter teilt einen Screenshot, auf dem in der Ecke eine URL zu sehen ist.
Aus diesen drei Hinweisen ergibt sich ein Verdacht: Es existiert eine neue Cloud-basierte Anwendung. Eine Subdomain liefert den Login-Screen. Der Login-Screen enthält eine Fehlermeldung, die den genauen technischen Stack verrät. Damit wird ein Social-Engineering-Angriff maßgeschneiderter. Der Angreifer schreibt eine glaubwürdige Nachricht, benennt ein internes Tool und verweist auf ein anstehendes Update. Die Nachricht trifft genau eine Person, die tatsächlich mit dem System arbeitet.
Der Angriff gelingt – nicht durch Exploits, sondern durch Informationsvorsprung. Genau das macht OSINT zu einer der wichtigsten Phasen jeder professionellen Angriffskette.
Die Psychologie der Informationspreisgabe: Warum Menschen die größte OSINT-Quelle sind
Menschen möchten sichtbar sein. Viele freuen sich über Zertifikate, Projektmeilensteine oder neue Tools. Sie teilen ihre Arbeit in sozialen Netzwerken, erzählen stolz von Fortschritten und Erfolgen. Dieses Verhalten ist normal und absolut verständlich. Doch es erzeugt unbeabsichtigt auch Risiken.
Eine offene Unternehmenskultur kann diese Risiken verstärken. Wenn Mitarbeiter ermutigt werden, über Projekte zu sprechen, entsteht eine Informationslandschaft, die Angreifer systematisch auswerten können. Die gleiche Kultur kann aber auch ein Schutzfaktor sein, wenn sie Bewusstsein schafft und Verantwortlichkeiten klar kommuniziert.
Narrative sind gefährlich. Wenn in Meetings über neue Projekte gesprochen wird, landen diese Informationen oft indirekt im Netz. Mitarbeiter wollen sich positionieren oder sich gegenseitig unterstützen. Ohne klare Leitplanken entstehen Muster, die ein Red Team, oder auch ein echter Angreifer, präzise analysiert.
Technischer Deep Dive: Was OSINT über Ihre Infrastruktur verraten kann
Aus Sicht von CISOs und IT-Leitern ist es entscheidend zu wissen, welche technischen Informationen im Hintergrund sichtbar werden.
Die Domainstruktur ist ein guter Ausgangspunkt. Subdomains wie „staging“, „dev“, „vpn“ oder „api“ sind typische Hinweise. Auch das Fehlen bestimmter Subdomains ist aussagekräftig, da es Rückschlüsse auf Technologieentscheidungen erlaubt.
Zertifikate verraten verwendete Systeme. Ein Blick auf die Zertifikatskette zeigt, welche Dienste aktiv sind, welche Domains existieren oder wie die Struktur des Unternehmens aufgebaut ist. Selbst abgelaufene Zertifikate sind wertvolle Hinweise.
Fingerprinting durch Serverbanner, Framework-Versionen oder sichtbare CDN-Strukturen. Diese Informationen sind nicht unbedingt gefährlich, aber in Kombination ermöglichen sie eine erstaunlich genaue Bestimmung des technischen Stacks.
Shadow IT ist der größte unbewusste Leuchtturm. Vergessene Tools, alte Projekte oder Testsysteme sind oft öffentlich erreichbar. Die Kombination aus veralteten Zertifikaten und öffentlich zugänglichen Repositories schafft potenzielle Angriffswege, die ein Unternehmen selbst nicht kennt.
Die unsichtbare Gefahr: Wie OSINT Social Engineering stärkt
Ein Angreifer, der über Informationen verfügt, wirkt glaubwürdig. Wenn ein Angreifer interne Tools benennt, Rollen kennt oder auf ein aktuelles Projekt verweist, entsteht Vertrauen. Der Empfänger einer Nachricht hat keinen Grund, diese Glaubwürdigkeit in Frage zu stellen.
Ein Spear-Phishing-Angriff wird durch OSINT erst glaubwürdig. Ein Angreifer weiß, dass ein Team gerade ein Release vorbereitet. Er weiß, welche Tools im Einsatz sind. Er weiß, welche Personen miteinander arbeiten. Dieses Wissen verhindert Zweifel – und Zweifel sind das stärkste Abwehrmittel.
Social Engineering ist selten ein einzelner Impuls. Es ist eine Kette aus Datenpunkten. OSINT liefert diese Datenpunkte.
Myth-Busting: Was OSINT nicht ist
OSINT ist keine rein technische Disziplin. Es ersetzt weder Pentests noch Red Teamings. Es ist kein einmaliges Projekt, sondern ein ständiger Zustand. Und es ist nicht nur etwas, das Angreifer tun sollten. OSINT ist ein Verteidigungsinstrument. Wer die eigenen Spuren versteht, versteht die eigene Angriffsfläche.
Wie Unternehmen ihre OSINT-Angriffsfläche reduzieren – ohne die Organisation einzuschränken
Eine realistische Bewertung beginnt mit der Inventarisierung der sichtbaren Spuren. Diese Inventarisierung muss nicht perfekt sein. Sie muss realistisch sein. Sobald klar ist, wo Spuren entstehen, kann man sie steuern.
Awareness muss neu gedacht werden. Es geht nicht darum, Mitarbeitern das Posten zu verbieten, sondern sie zu befähigen. Wer versteht, was sensibel ist, trifft bessere Entscheidungen. Unternehmen wie die pen.sec AG arbeiten oft daran, dieses Bewusstsein zu fördern – nicht durch Verbote, sondern durch Klarheit.
Technische Maßnahmen sind ebenfalls wichtig. Dazu gehören das Härten öffentlich sichtbarer Komponenten, die Prävention von Datenlecks oder die Einrichtung eines kontinuierlichen Attack Surface Managements.
Prozesse sollten die Angreiferperspektive berücksichtigen. Neue Projekte benötigen ein Sicherheitsreview, bevor sie online gehen. Onboarding und Offboarding müssen klar definierte Schritte haben, um Lecks zu verhindern. Lieferantenmanagement sollte erkennen, welche Informationen nach außen dringen könnten. PR-Arbeit sollte prüfen, welche technischen Details sichtbar werden.
Ein regelmäßiges OSINT-Review sollte Teil des Security-Programms sein. Kein Aktionismus, sondern eine strategische Routine.
Fallbeispiel: Die OSINT-Spur, die zur Kompromittierung führte
Ein Testsystem war öffentlich zugänglich, aber ohne Funktion. Das Zertifikat war abgelaufen, was es besonders auffällig machte. Ein Entwickler hatte vor Jahren ein GitHub-Repository erstellt. Darin befand sich eine alte Konfigurationsdatei mit dem Hinweis auf eine interne API. Diese API war zwar geschützt, aber ein OSINT-informierter Angreifer erkannte den Zusammenhang.
Die Kombination aus Testsystem, abgelaufenem Zertifikat und einem unbedachten Commit machte die interne Struktur sichtbar. Am Ende führten diese kleinen Spuren zu kompromittierten Daten. Nichts davon war ein technischer Fehler im klassischen Sinne. Der Fehler lag in der Sichtbarkeit.
Fazit: Sichtbarkeit ist unvermeidbar – aber steuern ist möglich
Jedes Unternehmen hinterlässt Spuren. Diese Spuren sind unvermeidbar. Die Frage lautet nicht, wie man unsichtbar wird, sondern wie man Sichtbarkeit steuert. OSINT zeigt, welche Informationen wirklich sichtbar sind – und welche Risiken daraus entstehen.
OSINT ist ein Spiegel. Wer hineinblickt, erkennt nicht nur Angriffsflächen, sondern auch organisatorische Muster. Und dieser Blick ist oft wertvoller als jede technische Analyse.
Die richtige Reaktion ist keine Abschottung, sondern bewusstes Management. Unternehmen, die OSINT als Chance begreifen, reduzieren Risiken, ohne die eigene Kultur einzuschränken. Sie entscheiden bewusst, was sichtbar sein soll – und was nicht.