Open Source Intelligence (OSINT)

November 9, 2022

Open Source Intelligence (OSINT) steht für die Sammlung und Analyse öffentlich zugänglicher Daten mit dem Ziel, Erkenntnisse zu gewinnen.

Was sind Open-Source-Daten?

Open-Source-Daten sind Informationen, die der Öffentlichkeit frei zur Verfügung stehen oder auf Anfrage verfügbar gemacht werden können. OSINT-Quellen können Folgendes umfassen:

  • Artikel in Zeitungen und Zeitschriften sowie Medienberichte
  • Wissenschaftliche Arbeiten und Forschungsveröffentlichungen
  • Bücher und andere Referenzmaterialien
  • Social-Media-Beiträge
  • Zensusdaten
  • Telefonbücher
  • Gerichtsdokumente
  • Festnahmeberichte
  • Öffentliche Handelsdaten
  • Öffentliche Umfragen
  • Standort-Kontextdaten
  • Informationen aus Kompromittierungsberichten
  • Öffentlich weitergegebene Cyberangriffsindikatoren wie IP-Adressen, Domänen oder Datei-Hashes
  • Zertifikat- oder Domänenregistrierungsdaten
  • Daten zu Schwachstellen in Anwendungen oder Systemen

Die meisten Open-Source-Daten sind über das Open Web zugänglich und möglicherweise bei einer Suchmaschine wie Google indexiert. Sie können aber auch über geschlossenere Foren ohne Suchmaschinen-Indexierung zur Verfügung gestellt werden. Die meisten Deep Web-Inhalte sind für die Allgemeinheit nicht zugänglich, da sie sich hinter einer Paywall befinden oder der Zugriff erst nach Anmeldung möglich ist. Diese Inhalte gelten aber dennoch als Teil des öffentlichen Bereichs.

Zu bedenken ist auch, dass Open-Source-Informationen oft erhebliche Mengen an Sekundärdaten liefern. Social-Media-Konten können beispielsweise nach persönlichen Informationen durchsucht werden, um Details wie Name, Geburtsdatum, Familienmitglieder und Wohnort von Benutzern ausfindig zu machen. Die Dateimetadaten einiger Posts liefern möglicherweise sogar noch weitere Informationen, z. B. zum Ort, an dem der Post entstanden ist, zum Ersteller der Datei oder zum Gerät, das für die Erstellung verwendet wurde.

Wie werden Open-Source-Daten verwendet?

Bei OSINT steht „Intelligence“ für die Extraktion und Analyse öffentlicher Daten, um mithilfe der gewonnenen Erkenntnisse die Entscheidungsfindung zu verbessern und informierte Maßnahmen ergreifen zu können. Ursprünglich war OSINT eine Technik, die von nationalen Sicherheitsbehörden und der Strafverfolgung eingesetzt wurde. In den letzten Jahren ist diese Technik aber auch zu einem elementaren Bestandteil der Cybersicherheit geworden.

OSINT und Cybersicherheit

Im Bereich der Cybersicherheit nutzen Intelligence-Forscher und Analysten Open-Source-Daten, um sich ein besseres Bild der Bedrohungslandschaft zu machen und Unternehmen sowie Benutzern zu helfen, sich vor bekannten Risiken in ihren IT-Umgebungen zu schützen.

OSINT-Anwendungsszenarien in der Cybersicherheit

Im Bereich der Cybersicherheit gibt es zwei gängige Anwendungsszenarien für OSINT:

  1. Einschätzung des Risikos für das eigene Unternehmen
  2. Verständnis der Akteure, Taktiken und Ziele

Einschätzung des eigenen Risikos

Unter einem Penetrationstest (auch bekannt als Sicherheitsvalidierung, Analyse der Angriffsfläche oder ethisches Hacking) versteht man die Simulation eines realen Cyberangriffs mit dem Ziel, die Cybersicherheitsfunktionen des Unternehmens zu prüfen und Schwachstellen aufzudecken. Bei einem Penetrationstest sollen Schwachstellen und Sicherheitslücken in der IT-Umgebung identifiziert werden, sodass sie beseitigt werden können, bevor Bedrohungsakteure sie entdecken und ausnutzen.

Es gibt viele verschiedene Arten von Penetrationstests, bei OSINT werden vor allem diese Formen eingesetzt:

  • Externer Penetrationstest: Bei diesem Test werden die mit dem Internet verbundenen Systeme beurteilt, um zu bestimmen, ob ausnutzbare Schwachstellen vorhanden sind, die Daten gegenüber Dritten offenlegen oder unerlaubten Zugriff gewähren könnten. Der Test beinhaltet Systemidentifizierung, Auflistung, Schwachstellensuche und Ausnutzung.
  • Analyse der Angriffsfläche: Dieser Vorgang zielt darauf ab, die Teile eines Systems aufzuzeigen, die überprüft und auf Sicherheitsschwachstellen getestet werden müssen. Durch die Analyse der Angriffsfläche sollen die Risikobereiche einer Anwendung ermittelt und Entwickler sowie Sicherheitsexperten darauf aufmerksam gemacht werden, welche Teile einer Anwendung für Angriffe anfällig sind. Außerdem sollen dadurch Möglichkeiten zur Minimierung der Anfälligkeit gefunden und festgestellt werden, wann und wie die Angriffsfläche sich verändert und was das mit Blick auf das Risiko bedeutet.
  • Penetrationstest für Web-Applikationen: Ihre Webanwendung wird anhand eines Prozesses mit drei Phasen evaluiert. In der Reconnaissance-Phase sammelt das Sicherheitsteam Informationen zu Betriebssystem, Services und genutzten Ressourcen. Darauf folgt die Erkennungsphase, in der die Sicherheitsanalysten nach Schwachstellen suchen, z. B. schwache Anmeldedaten, offene Ports oder nicht gepatchte Software. Zum Schluss kommt die Ausnutzungsphase, in der das Team sich die gefundenen Schwachstellen zunutze macht, um sich unbefugt Zugang zu sensiblen Daten zu verschaffen.

Verständnis der Akteure, Taktiken und Ziele

Open-Source-Daten sind eine von vielen Arten von Daten, die Cybersicherheitsteams für umfassende Bedrohungsanalysen nutzen, um sich ein Bild vom Akteur hinter dem Angriff machen.

Die Bedrohungsanalyse ist der Prozess, bei dem erfasste Daten analysiert werden, um sich die Motive, Ziele und das Angriffsverhalten von Bedrohungsakteuren zu verdeutlichen. Bei der Bedrohungsanalyse werden Open-Source-Daten verwendet und mit geschlossenen Datenquellen wie internen Telemetriedaten, Daten aus dem Dark Web und anderen externen Datenquellen kombiniert, um ein umfassenderes Bild von der Bedrohungslandschaft zu erhalten.

Generell fehlt bei Open-Source-Daten der nötige Kontext, um sie für Sicherheitsteams aussagekräftig zu machen. Ein Post auf einer öffentlichen Pinnwand liefert Cybersicherheitsteams beispielsweise keine nützlichen Informationen. Bei Betrachtung dieser Aktivität im Rahmen einer umfangreicheren Sammlung und eines Bedrohungsanalyse-Frameworks ist es aber unter Umständen möglich, sie einer bekannten Angreifergruppe zuzuordnen. Dadurch wird deren Profil weiter ergänzt, was wiederum dem Schutz des Unternehmens vor diesem Bedrohungsakteur zugutekommen kann.

OSINT: Ein zweischneidiges Schwert

Open-Source-Informationen sind für jeden verfügbar. Das bedeutet, dass sie von sich Bedrohungsakteuren und Angreifergruppen auch für böswillige Zwecke missbrauchen lassen – denn diese können genauso leicht darauf zugreifen wie Cybersicherheitsexperten oder Nachrichtendienste.

Cyberkriminelle nutzen OSINT mitunter am häufigsten für Social Engineering. Oftmals sammeln sie in Social-Media-Profilen und anderen Online-Aktivitäten persönliche Informationen zu ihren potenziellen Opfern, um dann ein Profil der Person zu erstellen, das für die individuelle Anpassung von Phishing-Angriffen herangezogen wird. OSINT kann auch verwendet werden, um der Erkennung zu entgehen. Anhand öffentlich verfügbarer Informationen können Bedrohungsakteure beispielsweise bestimmen, wo Unternehmen womöglich Verteidigungslinien aufbauen, und dann andere Angriffsmethoden ermitteln.

Eine andere von Hackern oft eingesetzte Technik ist Google-Hacking, manchmal auch als Google-Dorking bezeichnet. Beim Google-Hacking werden mithilfe der Google-Suchmaschine und Anwendungen Suchvorgänge mit äußerst spezifischen Befehlen ausgeführt, um Systemschwachstellen oder sensible Informationen zu identifizieren. Cyberkriminelle können beispielsweise gezielt nach Dokumenten suchen, die den Text „sensible, aber nicht vertrauliche Informationen“ enthalten, und mithilfe von Tools nach Konfigurationsfehlern oder Sicherheitslücken im Code einer Website suchen. Diese Schwachstellen lassen sich als Einfallstor für künftige Ransomware- oder Malware-Angriffe missbrauchen.

Angreifer sind auch dafür bekannt, Google-Suchen zu beeinflussen, indem sie ein Netzwerk aus gefälschten Websites mit größtenteils unzuverlässigen Open-Source-Daten einrichten. Diese Fehlinformationen werden mit dem Ziel veröffentlicht, Webcrawler und Leser zu täuschen und sie dazu zu bringen, Malware zu verteilen.

OSINT-Techniken

Die vielleicht größte Herausforderung im Zusammenhang mit OSINT ist die Handhabung der enormen Mengen öffentlicher Daten, die täglich weiter zunehmen. Da Menschen mit so vielen Informationen unmöglich fertigwerden können, müssen Unternehmen die Datenerfassung und -analyse automatisieren und Mapping-Tools einsetzen, damit Datenpunkte klarer visualisiert und verknüpft werden können.

Mit Machine Learning und künstlicher Intelligenz kann ein OSINT-Tool den entsprechenden Experten helfen, große Datenmengen zusammenzutragen und zu speichern. Diese Tools können auch wichtige Zusammenhänge und Muster in unterschiedlichen Informationen ausfindig machen.

Zudem müssen Unternehmen eine klare strategische Grundlage erarbeiten, um zu definieren, welche Datenquellen verwendet werden sollen. So kann vermieden werden, dass das System mit Informationen überlastet wird, die keinen wirklichen Nutzen bringen oder deren Zuverlässigkeit fragwürdig ist. Zu diesem Zweck müssen Unternehmen klar definieren, was ihre Ziele in Bezug auf Open Source Intelligence sind.

OSINT-Erfassungstechniken

Im Allgemeinen kann die Erfassung bei Open Source Intelligence in zwei Kategorien eingeteilt werden: passive Erfassung und aktive Erfassung.

  1. Bei der passiven Erfassung werden alle verfügbaren Daten an einem einzigen leicht zugänglichen Ort kombiniert. Mit Machine Learning (ML) und künstlicher Intelligenz (KI) können die Bedrohungsanalyseplattformen helfen, diese Daten zu verwalten und zu priorisieren sowie bestimmte Datenpunkte basierend auf den vom Unternehmen definierten Regeln auszuschließen.
  2. Bei der aktiven Erfassung kommt eine Reihe von Untersuchungstechniken zum Identifizieren spezifischer Informationen zum Einsatz. Die aktive Datenerfassung kann ad hoc eingesetzt werden, um von passiven Datentools identifizierte Cyberbedrohungsprofile zu vervollständigen oder spezifische Untersuchungen auf andere Weise zu unterstützen. Bekannte OSINT-Erfassungstools sind beispielsweise Domänen- oder Zertifikatregistrierungsprüfungen, um den Inhaber bestimmter Domänen zu ermitteln. Das öffentliche Malware-Sandboxing zum Scannen von Anwendungen ist ein weiteres Beispiel für die OSINT-Erfassung.

OSINT-Framework

Cybersicherheitsexperten können auf Unmengen an öffentlich verfügbaren Informationen zurückgreifen, doch das gewaltige Volumen an OSINT-Daten – die zudem über verschiedene Quellen verteilt sind – kann Sicherheitsteams das Herausziehen wichtiger Datenpunkte erschweren. Außerdem ist es wichtig, die wertvollen, relevanten Informationen, die bei OSINT-Aktivitäten erfasst wurden, dann auch in Cybersicherheitstools und -systeme einzubinden.

Das OSINT-Framework ist eine Methodik, die Daten, Prozesse, Methoden, Tools und Techniken vereint, um dem Sicherheitsteam bei der schnellen und präzisen Identifizierung von Informationen über einen Angreifer und dessen Aktionen zu helfen.

Ein OSINT-Framework kann für Folgendes verwendet werden:

  • Ermitteln des digitalen Fußabdrucks einer bekannten Bedrohung
  • Sammeln aller verfügbaren Informationen zu den Aktivitäten, Interessen, Techniken, Motiven und Gewohnheiten eines Angreifers
  • Kategorisieren von Daten nach Quelle, Tool, Methode oder Ziel
  • Identifizieren von Möglichkeiten zur Stärkung der aktuellen Sicherheit durch Systemempfehlungen

Probleme mit Open Source Intelligence

OSINT wird regelmäßig von Nachrichtendiensten, nationalen Sicherheitsbehörden und von Strafverfolgungsbehörden verwendet, um Unternehmen und die Gesellschaft vor Bedrohungen aller Art zu schützen.

Wie oben angegeben kann OSINT aber auch leicht von Cyberkriminellen und anderen Bedrohungsakteuren für böswillige Zwecke missbraucht werden. Außerdem hat OSINT in den letzten Jahren zu Debatten darüber geführt, wie Informationen aus dem öffentlichen Bereich sicher und verantwortungsvoll verwendet werden können. Zu den vorherrschenden Problemen gehören unter anderem:

Rechtmäßigkeit

Es ist vollkommen legal, auf öffentlich zugängliche Daten zuzugreifen, sie zu analysieren und zu verteilen. Allerdings können diese Daten auch von Angreifern für illegale Aktivitäten genutzt werden, indem irreführende oder böswillige Daten in bestimmten Communitys in Umlauf gebracht werden. Insbesondere Hacktivisten sind dafür bekannt, dass sie Daten öffentlich verbreiten, um die Öffentlichkeit zu beeinflussen.

Ethik

Es stehen zwar viele Informationen online zur Verfügung, allerdings müssen Unternehmen und Benutzer diese auch auf ethisch korrekte Weise verwenden. Im Falle von OSINT muss sichergestellt werden, dass die Nutzungszwecke legitim sind und dass die Informationen nicht verwendet werden, um andere Menschen auszunutzen, zu belästigen, auszugrenzen oder zu schädigen.

Datenschutz und Privatsphäre

Im öffentlichen Bereich ist eine erschreckende Menge an Informationen über Privatpersonen verfügbar. Durch das Zusammenführen von Informationen aus Social-Media-Profilen, Online-Aktivitäten, öffentlichen Datensätzen und anderen Quellen kann ein detailliertes Profil über die Gewohnheiten, Interessen und Verhaltensweisen einer Person erstellt werden. Viele der über private Verbraucher verfügbaren Daten wurden zwar von ihnen selbst geteilt, doch oftmals waren sie sich der Auswirkungen dieses Vorgehens nicht vollumfänglich bewusst. Es gibt intensive Debatten darüber, welche Informationen Marken und Unternehmen erfassen und speichern dürfen, wenn Verbraucher ihre Services nutzen, ihre Shops besuchen oder online interagieren – und wie diese Informationen in Zukunft genutzt werden dürfen.