TIPPS FÜR UNTERNEHMEN

Open Source Intelligence – Informationsquelle für Verteidiger und Angreifer

Lesedauer 6 Min.

Die Nutzung von Open Source Intelligence (OSINT) gewinnt innerhalb der IT-Sicherheit von Unternehmen zunehmend an Bedeutung. Unter OSINT versteht man das Beschaffen, Sammeln, Analysieren und Zusammenführen frei verfügbarer Informationen aus öffentlichen Quellen wie dem Internet. Es ist ein probates Mittel für Sicherheitsteams, um interne Daten aufzuspüren, die in der Öffentlichkeit eigentlich nichts zu suchen haben. Dazu zählen beispielsweise interne Ressourcen wie offene Ports und vernetzte Geräte. Aber auch auf eigenen Webseiten und den sozialen Netzwerken lassen sich viele Informationen finden, die besser nicht veröffentlicht werden sollten.

Doch OSINT liefert nicht nur den Sicherheitsverantwortlichen wichtige Daten und Informationen zum Schutz ihrer Organisation. Auch Cyberkriminelle profitieren bei ihren Angriffsversuchen von den hilfreichen Tools und Hinweisen . Damit wird OSINT quasi zur Informationsdatenbank für Cyberkriminelle und Verteidiger!

In unserem Artikel erfahren Sie:

  • Welche OSINT-Tools es gibt und für welche Zwecke sie genutzt werden können
  • Ob OSINT legal ist
  • Wie Angreifer es für ihre Attacken nutzen
  • Wie Security Teams OSINT nutzen, um die IT-Sicherheit im Unternehmen zu erhöhen
  • Was sie beachten sollten, wenn Sie OSINT als Teil Ihres Cyber-Risikomanagements einsetzen möchten

Hackergruppen arbeiten heute professioneller als jemals zuvor – nicht zuletzt durch ihre enormen finanziellen und personellen Ressourcen. Dennoch müssen sie zuerst „ihre Hausaufgaben“ machen, bevor sie die eigentlichen Attacken umsetzen können. Dazu spionieren Cyberkriminelle ihre Opfer umfassend aus,  um möglichst viele Informationen über potentielle Schwachstellen und Co. gewinnen zu können.

Was liegt also näher, als die größte Informationsquelle der Welt, das World Wide Web, anzuzapfen. Angefangen bei frei zugänglichen Massenmedien über Social Media Kanäle bis hin zu offenen Quellen für beinahe jedes beliebige Thema: Das Internet stellt eine schier unendliche Ressource dar, die Cyberkriminelle nur ausnutzen müssen.

Auch IT-Administratoren können diese Quellen nutzen, um öffentlich zugängliche und frei verfügbare Informationen zu Firmen-Interna, ihrer IT-Umgehung und anderen sensiblen Daten zu identifizieren.

Obwohl sich die Ziele, rechtlichen Rahmenbedingungen sowie Intention der Verwendung unterscheiden, wird deutlich, dass sowohl Security-Verantwortliche als auch Cyberkriminelle mit OSINT im Prinzip dieselben Informationsquellen nutzen können. Bildlich gesprochen ist Open Source Intelligence in etwa vergleichbar mit einem Kaufhaus, in dem Polizisten und Gangster gleichermaßen ihre Ausrüstung kaufen können.

Welche OSINT-Tools gibt es und für welche Zwecke können Sie genutzt werden?

  • Mithilfe von Shodan wird es beispielsweise möglich, IoT-Geräte, OT-Systeme (Operational Technology) und offene Ports aufzuspüren.
  • Das Tool Maltego dient dazu, versteckte Beziehungen zwischen Personen, Domänen, Unternehmen, Dokumentenbesitzern und anderen Entitäten zu ermitteln. Praktisch: Die gefundenen Informationen werden im Anschluss direkt über eine intuitive Benutzeroberfläche visualisiert.
  • Metagoofil wurde dazu entwickelt, Metadaten aus öffentlich zugänglichen Dokumenten zu extrahieren. Dies ist beispielsweise nützlich, um Benutzern Informationen zu IT-Systemen (Verzeichnisbäumen, Servernamen usw.) bereitzustellen.
  • theHarvester ist eines der meist genutzten OSINT-Tools, das obendrein einfach zu bedienen ist. Damit lassen sich interne Informationen in externen Quellen lokalisieren. Dazu nutzt theHarvester nicht nur Google und Bing, sondern auch weniger bekannte Suchmaschinen wie DNSDumpster oder die Metadaten-Suchmaschine Exalead.

 

Ist OSINT legal?

Wie bereits erläutert wurde, geht es bei OSINT darum, öffentliche und frei zugängliche Informationen zu finden. In dieser Hinsicht ist es in den meisten westlichen Ländern völlig legal. Vorsicht ist jedoch bei den Vorgaben des Datenschutzes geboten. Um nur zwei Beispiele zu nennen: Das Auslesen von passwortgeschützten oder in anderer Weise nicht öffentlichen Daten ist illegal. Auch verstößt die Nutzung von Informationen aus sozialen Netzwerken gegen die Nutzungsbedingungen der meisten Plattformen.

Doch wie nutzen Angreifer OSINT konkret für ihre Attacken?

Cyberkriminelle versuchen, geeignete Datenquellen zu identifizieren, um sie dann mit entsprechenden Tools anzuzapfen – im Idealfall, ohne dabei Spuren zu hinterlassen. Dabei greifen die Cybergangster nicht selten auf moderne Informations- und Kommunikationstechniken zurück, die diese Aufgaben vollautomatisiert erledigen.

Beispiel Spear-Phishing

Es ist beinahe vollautomatisch möglich, das Internet nach persönlichen und beruflichen Informationen von Personen zu durchsuchen. Dankbare Quellen für diese Art von OSINT-Nutzung sind beispielsweise Karrierenetzwerke wie LinkedIn und Xing. Aber auch andere soziale Medien bieten nicht weniger brauchbare Details (beispielwiese Namen von Haustieren und Verwandten), um damit wiederum Passwörter zu knacken.  Die dadurch gewonnenen Daten können dann  dazu verwendet werden, lohnenswerte Ziele (meist Personen mit weitreichenden Rechten für die eigenen Nutzerkonten oder Zugang zu vertraulichen Informationen) auszumachen.

Beispiel Sicherheitslücken

Angreifer suchen mithilfe von OSINT gezielt nach Sicherheitslücken wie ungepatchte Geräte, offene Ports, falsch konfigurierte Cloudspeichern oder auch versehentlich veröffentlichte Informationen, um potentielle Angriffsziele ausfindig zu machen.

Und wie nutzen Security-Teams OSINT für die IT-Sicherheit im Unternehmen?

Den Sicherheitsteams von Unternehmen geht es bei der Nutzung von OSINT primär darum, öffentlich zugängliche Informationen zu den eigenen IT-Systemen zu erhalten und Sicherheitslücken zu schließen. Darunter zählen beispielsweise:

  • offene Ports und unsichere vernetzte Geräte
  • ungepatchte Software
  • sowie Informationen zu eingesetzten Geräten und Software, wie Softwareversionen, Gerätenamen, Netzwerke und IP-Adressen

Ebenso ist OSINT für die IT-Verantwortlichen nützlich, um öffentliche Informationen außerhalb des Unternehmens, wie Inhalte auf Websites und in sozialen Medien, zu identifizieren. Hinzu kommen Informationen von nicht indizierten Websites und Dateien, welche auch als Deep Web bezeichnet werden. Sie tauchen zwar nicht in den Suchergebnissen auf, sind jedoch technisch öffentlich und somit über OSINT-Tools zugänglich.

Wenn Sie OSINT als Teil Ihres Cyber-Risikomanagement einsetzen wollen, sollten Sie im Vorfeld eine klare Strategie definieren und sich mit folgenden Fragestellungen auseinandersetzen:

  • Möchten Sie Netzwerk- und Software-Schwachstellen erkennen?
  • Möchten Sie öffentlich zugängige Assets identifizieren, mit deren Inhalte Hacker entsprechende Angriffsvektoren auswählen können?
  • Möchten Sie herausfinden, ob eventuelle Risiken durch Mitarbeiter-Postings in sozialen Medien bestehen?

Bitte achten Sie jedoch dabei darauf, dass bei entsprechenden Analysen eine hohe Menge an Daten generiert wird. Deshalb ist ein hoher Automatisierungsgrad dafür Grundvorrausetzung. In der Praxis haben sich regelmäßige Penetrationstestes bereits bewährt, bei denen auch OSINT-Informationen berücksichtigt werden. Neben technischen Abwehrmaßnahmen wie Virenschutz, Firewall oder Sandboxing sowie regelmäßigen Schulungen aller Mitarbeiter im Unternehmen sollte daher auch OSINT in ein Sicherheitskonzept eingebunden werden.