Was ist OSINT?
OSINT ist die Abkürzung für Open Source Intelligence.
Es ist eine Denkweise, bei der öffentlich zugängliche Informationen gesammelt werden, um Rückschlüsse auf Personen, Organisationen, Orte, Verhalten und Beziehungen zu ziehen.
Mit "öffentlich zugänglichen Informationen" sind hier keine Informationen gemeint, die durch besondere Hacking-Methoden gestohlen wurden. Gemeint sind Suchergebnisse, soziale Netzwerke, Profile, Bilder, Blogs, Nachrichten, Foren, Stellenanzeigen, Karten, Archive, öffentliche Unterlagen und Ähnliches.
OSINT ist beim Nachdenken über Anonymität wichtig, weil auch Informationen, die eine Person "versteckt zu haben glaubt", manchmal mit früher öffentlich gemachten Informationen oder Informationen aus einem anderen Dienst verknüpft werden können.
Dieser Artikel ordnet OSINT nicht als Angriffsmethode ein, sondern als Grundlage, mit der man aus defensiver Sicht die eigene Sichtbarkeit prüft.
OSINT kombiniert öffentliche Informationen
Bei OSINT ist nicht nur eine einzelne Information wichtig.
Wichtig ist, kleine Informationen zu sammeln und miteinander zu kombinieren.
Auch wenn die Beiträge eines anonymen Kontos zum Beispiel keinen echten Namen enthalten, können folgende Informationen zurückbleiben.
- Häufig verwendete Benutzernamen
- Früher verwendete Icons
- Gespräche über die Wohnregion
- Beruf oder Fachgebiet
- Muster der Veröffentlichungszeiten
- Bildhintergründe
- Frühere Blogs oder soziale Netzwerke
Jede einzelne davon ist ein schwacher Hinweis. Wenn sich aber mehrere überlappen, wird der Kreis der Kandidaten enger.
| Informationsquelle | Was sichtbar wird | Hinweis zur Anonymität |
|---|---|---|
| Suchergebnisse | Namen, frühere Beiträge, Profile | Alte Informationen bleiben erhalten |
| Soziale Netzwerke | Beziehungen, gewohnte Orte, Schreibstil | Klarnamenseite und anonyme Seite werden verknüpft |
| Bildersuche | Früher verwendete Bilder | Wiederverwendung von Icons oder Fotos wird gefunden |
| Archive | Gelöschte Seiten | Informationen, die man gelöscht zu haben glaubte, bleiben erhalten |
| Öffentliche Unterlagen | Zugehörigkeit, Rollen, Aktivitätsverlauf | Organisationen und Berufe werden sichtbar |
OSINT ist Korrelation öffentlicher Informationen.
Wichtig ist dabei, dass öffentliche Informationen nicht nur "Informationen, die jeder sehen kann" bedeuten. Es gibt Abstufungen der Öffentlichkeit: Informationen, die durch Suche erscheinen, Informationen, die in sozialen Netzwerken verbleiben, Informationen, die über Bildersuche gefunden werden, Informationen, die in PDFs zurückbleiben, Informationen, die in Archiven verbleiben, Informationen, die nach einer Registrierung sichtbar werden, und Ähnliches. Angreifer und Ermittler betrachten solche Informationen quellenübergreifend.
Ein Scheitern von Anonymität entsteht nicht immer durch eine einzelne starke Information. Es entsteht, wenn mehrere schwache Informationen zusammenkommen und in dieselbe Richtung zeigen. Wenn man OSINT zur Verteidigung lernt, muss man weniger auf die einzelnen Informationen als darauf schauen, "wie sie kombiniert werden".
Beziehung zur Anonymität
Um Anonymität zu schützen, reicht es nicht, nur zu prüfen, ob der aktuelle Beitrag den echten Namen enthält.
Informationen, die man früher selbst veröffentlicht hat. Profile anderer Konten. Alte Seiten, die in Suchergebnissen verbleiben. Fotos, die durch Bildersuche gefunden werden. Gelöschte Seiten, die in Archiven verbleiben.
Wenn diese mit der aktuellen anonymen Aktivität verknüpft werden, wird die Anonymität schwächer.
Anonymität wird nicht nur durch aktuelle Handlungen bestimmt, sondern auch durch die Beziehung zu früheren Informationen.
Nehmen wir zum Beispiel an, ein anonymes Konto gibt keinen echten Namen preis. Aber derselbe Handle wurde in einem früheren Blog verwendet. In diesem Blog stand der Name einer Schule. In der Bildersuche erschien dasselbe Icon. Die Veröffentlichungszeiten überschnitten sich mit sozialen Netzwerken unter Klarnamen.
So wird der Kreis der Kandidaten auch ohne direkten echten Namen durch Korrelation eingegrenzt. OSINT ist eine Denkweise, um zu verstehen, dass Anonymität "nicht mit dem aktuellen Beitrag allein abgeschlossen ist".
Informationen, die durch OSINT leicht sichtbar werden
Informationen, die man aus defensiver Sicht prüfen sollte, sind zum Beispiel die folgenden.
| Prüfziel | Warum man es ansieht |
|---|---|
| Klarname und Handle | Frühere Konten und Profile werden gefunden |
| E-Mail-Adresse | Verknüpft sich mit mehreren Diensten |
| Benutzername | Wiederverwendung verbindet mit früheren Informationen |
| Bilder | Wiederverwendung von Icons und Fotos wird gefunden |
| Beruf und Zugehörigkeit | Wird Material zum Eingrenzen von Kandidaten |
| Region und gewohnte Orte | Führt zu Ortskorrelation |
| Frühere Beiträge | Schreibstil und Erfahrungsberichte bleiben erhalten |
Der erste Schritt bei OSINT-Gegenmaßnahmen ist zu prüfen, wie man von außen aussieht.
Wenn man jedoch Klarnamen, frühere Namen, E-Mail-Adressen, Gesichtsfotos, unveröffentlichte Bilder oder Hochrisikomaterial direkt in Suchmaschinen, Gesichtssuchdienste oder externe KI eingibt oder hochlädt, kann diese Prüfung selbst zu einem Log oder zu neuer Sichtbarkeit werden. Beim Prüfen sollte man die gesuchten Informationen minimieren und davon ausgehen, unveröffentlichte Materialien nicht an externe Dienste zu übergeben.
Beim Prüfen sollte man nicht nur den Namen einbeziehen, den man gewöhnlich verwendet, sondern auch frühere Namen. Dazu gehören frühere Nachnamen, Romanisierungen, Spitznamen, Game-IDs, alte E-Mail-Adressen, Benutzernamen in sozialen Netzwerken, Werktitel, Gruppennamen und Veranstaltungsnamen. Auch bei Bildern prüft man, ob bereits veröffentlichte Icons, Werke, Haustiere, Zimmer, Landschaften und Screenshots mit früheren Konten verbunden werden können.
| Wonach gesucht wird | Warum man es ansieht |
|---|---|
| Klarname und früherer Name | Grundlegende Sichtbarkeit prüfen |
| Handle | Verbindungen zu früheren Konten ansehen |
| E-Mail-Adresse | Wiederverwendung über mehrere Dienste prüfen |
| Bilder | Wiederverwendete Icons und Fotos finden |
| Fachgebiet und Region | Überschneidungen zwischen Beitragsinhalt und externen Informationen ansehen |
Nicht für Angriff, sondern für Verteidigung lernen
OSINT kann missbraucht werden.
Es kann zur Identifizierung, für Belästigung, Stalking, Doxxing und sozialen Druck verwendet werden.
Gerade deshalb muss man es aus defensiver Sicht verstehen.
Was unter dem eigenen Namen erscheint. Was unter früheren Handles erscheint. Was die Bildersuche findet. Ob frühere Beiträge und aktuelle anonyme Aktivität miteinander verbunden werden können.
Wenn man das prüfen kann, lässt sich Risiko vor der Veröffentlichung verringern.
Defensives OSINT behandelt keine Untersuchung, die dazu dient, jemanden in die Enge zu treiben. Worauf man schauen sollte, ist, wie man selbst, die eigene Organisation, die eigene Aktivität und beteiligte Personen von außen aussehen. Vor der Veröffentlichung prüfen, nötigenfalls Informationen reduzieren und, wenn es Informationen gibt, die sich nicht löschen lassen, die aktuelle Praxis ändern.
Wenn man OSINT lernt, werden Anonymitätsmaßnahmen konkret. Statt nur "vorsichtig zu sein", kann man entscheiden: "Diesen Handle verwende ich nicht, weil er in einem früheren Blog bleibt", "Dieses Foto verwende ich nicht, weil es in der Bildersuche erscheint", oder "Diese Regionsinformation verallgemeinere ich, weil sie sich mit einem früheren Profil überschneidet".
Einstiegspunkte für Untersuchungen kennen
Um das Gesamtbild von OSINT zu erfassen, ist es hilfreich zu wissen, welche Arten von Informationsquellen zu Einstiegspunkten für Untersuchungen werden.
Ein typischer Einstiegspunkt ist OSINT Framework. OSINT Framework ist ein Verzeichnis, das Informationsquellen und Werkzeuge für Untersuchungen öffentlicher Informationen nach Kategorien ordnet. Es gibt einen Überblick darüber, welche Arten von Informationen, etwa Benutzernamen, E-Mail-Adressen, Bilder, Domains, soziale Netzwerke, Karten und öffentliche Unterlagen, zu welchen Arten von Untersuchungen führen können.
URL : https://osintframework.com/
Wichtig ist dabei nicht, Werkzeuge der Reihe nach wahllos zu benutzen. Was man aus defensiver Sicht ansehen sollte, ist: "Welche meiner Informationen kann zu einem Einstiegspunkt für welche Untersuchung werden?"
Zum Beispiel wird ein alter Handle zu einem Sucheinstieg über mehrere Websites. Eine E-Mail-Adresse wird zu einem Einstieg in geleakte Informationen oder früher registrierte Dienste. Ein Bild wird zu einem Einstieg in Bildersuche oder Gesichtssuche. Eine Domain oder ein Profil in sozialen Netzwerken wird zu einem Einstieg in Zugehörigkeit oder Aktivitätsverlauf.
Wenn man Listen wie OSINT Framework ansieht, erkennt man, dass die Welt öffentlicher Informationen ziemlich breit ist. Allerdings gibt es unter den aufgeführten externen Diensten solche, die Registrierung erfordern, kostenpflichtig sind oder je nach Land oder Region unterschiedlich behandelt werden. Auch Logs, Uploads, Zahlungen sowie rechtliche und ethische Risiken unterscheiden sich je nach Dienst. Wenn das Ziel der Schutz von Anonymität ist, gilt als Voraussetzung, es zuerst zur Prüfung der Sichtbarkeit der eigenen Person oder verwalteter Organisationen zu verwenden, nicht zur Verfolgung oder Bloßstellung anderer Menschen.
Auch die Grenzen von OSINT verstehen
Da OSINT öffentliche Informationen behandelt, führt es nicht immer zu richtigen Schlussfolgerungen. Es gibt Menschen mit gleichem Namen, ähnliche Benutzernamen, dieselben Bildmaterialien und zufällige Übereinstimmungen von Veröffentlichungszeiten. In Rückschlüssen aus öffentlichen Informationen mischen sich Fehler.
Gerade deshalb denkt man aus defensiver Sicht auch über die "Möglichkeit, missverstanden zu werden" nach. Auch Informationen, die mit einem selbst nichts zu tun haben, können von außen betrachtet verbunden aussehen. Um Anonymität zu schützen, ist nicht nur wichtig, nicht korrekt identifiziert zu werden, sondern auch, nicht durch falsche Korrelation hineingezogen zu werden.
Gefundene Informationen klassifizieren
Wenn man öffentliche Informationen über sich selbst findet, klassifiziert man sie, bevor man sofort zur Löschung übergeht. Die Reaktion ändert sich je nachdem, ob es sich um direkte personenbezogene Informationen, Hinweise auf gewohnte Orte, eine Verbindung zu einem früheren Konto oder nur um einen allgemeinen Aktivitätsverlauf handelt.
| Kategorie | Beispiel | Richtung der Reaktion |
|---|---|---|
| Direkte Informationen | Adresse, Telefonnummer, Gesichtsfoto | Löschung oder Nichtöffentlichmachen priorisieren |
| Verbindungsinformationen | Klarname und Handle stehen auf derselben Seite | Aktuellen anonymen Namen ändern |
| Gewohnte Orte | Schule, Arbeitsplatz, regionale Veranstaltung | Granularität von Beiträgen senken |
| Bildinformationen | Icon, Werk, Zimmerfoto | Nicht wiederverwenden |
| Verlaufsinformationen | Alte Beiträge, Blog, Vortrag | Überschneidung mit aktueller Veröffentlichung ansehen |
OSINT-Gegenmaßnahmen enden nicht damit, Informationen zu finden. Auf Grundlage der gefundenen Informationen wählt man Löschung, Korrektur oder eine Änderung der Praxis.
Zusammenfassung
OSINT ist eine Denkweise, bei der öffentliche Informationen gesammelt werden, um Rückschlüsse auf Personen, Organisationen, Orte, Verhalten und Beziehungen zu ziehen.
Suchergebnisse, soziale Netzwerke, Bilder, Archive und öffentliche Unterlagen werden dabei zu Material.
Für Anonymität ist nicht nur der aktuelle Beitrag wichtig, sondern auch die Korrelation mit früheren Informationen und Informationen aus anderen Diensten.
Der Zweck, OSINT zu lernen, besteht nicht darin, jemanden zu untersuchen. Er besteht darin, zu wissen, wie man von außen aussieht, und Hinweise vor der Veröffentlichung zu verringern.
Verwandte Werkzeuge
OSINT Framework
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.