Schon im Zweiten Weltkrieg überwachten hochqualifizierte Geheimdienstagenten öffentlich zugängliche Informationen wie Radiosendungen, Zeitungen und Marktschwankungen. Angesichts der Anzahl und Vielfalt der leicht zugänglichen Datenquellen kann sich heute fast jeder an der Sammlung von Open-Source-Informationen beteiligen.

Einige der öffentlichen Quellen, aus denen OSINT-Forscher Datenpunkte sammeln, sind:

• Internet-Suchmaschinen wie Google, DuckDuckGo, Yahoo, Bing und Yandex.

• Print- und Online-Nachrichtenmedien, einschließlich Zeitungen, Zeitschriften und Nachrichtenseiten.

• Social-Media-Konten auf Plattformen wie Facebook, X, Instagram und LinkedIn.

• Online-Foren, Blogs und Internet-Relay-Chats (IRC).

• Das Dark Web, ein verschlüsselter Bereich des Internets, der von Suchmaschinen nicht indiziert wird.

• Online-Verzeichnisse mit Telefonnummern, E-Mail-Adressen und physischen Adressen.

• Öffentliche Aufzeichnungen, einschließlich Geburten, Todesfälle, Gerichtsdokumente und Geschäftsanmeldungen.

• Regierungsunterlagen wie z. B. Sitzungsprotokolle, Budgets, Reden und Pressemitteilungen, die von lokalen, Landes- und Bundes-/Nationalregierungen herausgegeben wurden.

• Akademische Forschung, einschließlich Studienarbeiten, Dissertationen und Fachzeitschriften.

• Technische Daten wie IP-Adressen, APIs, offene Ports und Metadaten von Webseiten.

Bevor jedoch mit der Datensammlung aus OSINT-Quellen begonnen wird, sollte ein klares Ziel festgelegt werden. Sicherheitsexperten, die OSINT einsetzen, legen beispielsweise zunächst fest, welche Erkenntnisse sie aufdecken wollen und welche öffentlichen Daten die gewünschten Ergebnisse liefern.

Nachdem die öffentlichen Informationen gesammelt wurden, müssen sie verarbeitet werden, um unnötige oder redundante Daten herauszufiltern. Sicherheitsteams können dann die bereinigten Daten analysieren und einen umsetzbaren Intelligence-Bericht erstellen.

Bedrohungsakteure nutzen OSINT häufig, um sensible Informationen aufzudecken, die sie zur Ausnutzung von Schwachstellen in Computernetzwerken nutzen können.

Dazu zählen unter anderem persönliche Daten über die Mitarbeiter, Partner und Lieferanten eines Unternehmens, die über soziale Medien und Unternehmenswebsites leicht zugänglich sind. Oder technische Informationen wie Anmeldedaten, Sicherheitslücken oder Verschlüsselungscodes, die im Quellcode von Webseiten oder Cloud-Anwendungen erscheinen können. Es gibt auch öffentliche Websites, die kompromittierende Informationen wie gestohlene Logins und Passwörter veröffentlichen, die aus Datenschutzverletzungen stammen.

Cyberkriminelle sind in der Lage, diese öffentlichen Daten für eine Vielzahl schändlicher Zwecke zu verwenden.

So könnten sie beispielsweise persönliche Informationen aus sozialen Netzwerken nutzen, um maßgeschneiderte Phishing-E-Mails zu erstellen, die den Leser dazu bringen, auf einen schädlichen Link zu klicken. Oder führen Sie eine Google-Suche mit bestimmten Befehlen durch, die Sicherheitslücken in einer Webanwendung aufdecken, eine Praxis, die „Google Dorking“ genannt wird. Außerdem entgehen sie möglicherweise der Erkennung während eines Hacking-Versuchs, indem sie die öffentlich zugänglichen Unterlagen eines Unternehmens einsehen, in denen dessen Strategien zur Abwehr von Cyberangriffen beschrieben sind.

Aus diesen Gründen führen viele Organisationen OSINT-Bewertungen der öffentlichen Informationsquellen in Bezug auf ihre Systeme, Anwendungen und Mitarbeiter durch.

Die Ergebnisse können verwendet werden, um unbefugte Lecks von geschützten oder sensiblen Daten zu lokalisieren, die Informationssicherheit zu bewerten und Schwachstellen wie nicht gepatchte Software, Fehlkonfigurationen oder offene Ports zu identifizieren. Unternehmen können auch Penetrationstests ihrer Systeme und Netzwerke durchführen und dabei dieselben OSINT-Daten verwenden, die für Cyberkriminelle und Hacker öffentlich zugänglich sind.

Oft werden die bei einer OSINT-Bewertung gesammelten Informationen mit nicht-öffentlichen Daten kombiniert, um einen umfassenderen Threat-Intelligence-Bericht zu erstellen. Regelmäßige Aktualisierungen der OSINT-Cybersicherheitsbewertungen können Unternehmen dabei unterstützen, das Risiko von Datenschutzverletzungen, Ransomware, Malware und anderen Cyberangriffen zu verringern.

Aufgrund der riesigen Menge an öffentlich verfügbaren Informationen ist es oft unpraktisch, OSINT-Daten manuell zu sammeln, zu sortieren und zu analysieren. Spezialisierte Open-Source-Intelligence-Tools können bei der Verwaltung und Automatisierung von Datenaufgaben für eine Vielzahl von OSINT-Anwendungsfällen eingesetzt werden.

Einige OSINT-Analysetools verwenden künstliche Intelligenz und maschinelles Lernen, um zu erkennen, welche Informationen wertvoll und relevant sind und welche unbedeutend oder nicht relevant sind. Zu den beliebtesten OSINT-Tools gehören:

• Osintframework.com (Link befindet sich außerhalb von ibm.com) – Ein umfangreiches Verzeichnis kostenloser Online-OSINT-Tools und -Ressourcen, die auf der Entwicklerplattform GitHub gehostet werden. Sowohl Hacker als auch Cybersicherheitsexperten können dieses Verzeichnis als Ausgangspunkt nutzen, um die spezifischen Funktionen zu finden, die sie in einem OSINT-Tool suchen.

• Maltego (Link befindet sich außerhalb von ibm.com) – Eine Data-Mining-Lösung in Echtzeit für Windows-, Mac- und Linux-Plattformen, die grafische Darstellungen von Datenmustern und -verbindungen bietet. Mit seiner Fähigkeit, Profile zu erstellen und die Online-Aktivitäten von Einzelpersonen zu verfolgen, kann dieses Tool sowohl für Cybersicherheitsexperten als auch für Bedrohungsakteure nützlich sein.

• Spiderfoot (Link befindet sich außerhalb von ibm.com) – Ein Tool zur Integration von Datenquellen für Informationen wie E-Mail-Adressen, Telefonnummern, IP-Adressen, Subdomains und mehr. Ethische Hacker können diese Ressource nutzen, um öffentlich zugängliche Informationen zu untersuchen, die eine Bedrohung für ein Unternehmen oder eine Person darstellen könnten.

• Shodan (Link führt zu einer Seite außerhalb von ibm.com) — Eine Suchmaschine für mit dem Internet verbundene Geräte, die auch Informationen über Metadaten und offene Ports bereitstellen kann. Da dieses Tool Sicherheitslücken für Millionen von Geräten identifizieren kann, ist es sowohl für Cybersicherheitsexperten als auch für Cyberkriminelle von Nutzen.

• Babel X (Link befindet sich außerhalb von ibm.com) – Ein mehrsprachiges, KI-gestütztes Suchtool, mit dem das World Wide Web und das Dark Web in über 200 Sprachen durchsucht werden kann. Sicherheitsteams innerhalb eines Unternehmens können dieses Tool nutzen, um nach sensiblen oder geschützten Informationen zu suchen, die im Dark Web oder im Ausland veröffentlicht wurden.

• Metasploit (Link befindet sich außerhalb von ibm.com) – Eine Penetrationsprüfung, das Sicherheitslücken in Netzwerken, Systemen und Anwendungen identifizieren kann. Sowohl Cybersicherheitsexperten als auch Hacker schätzen dieses Tool, da es die spezifischen Schwachstellen aufdecken kann, die einen erfolgreichen Cyberangriff ermöglichen.