Thought Leadership
Open Source Intelligence (OSINT) bezieht sich auf Informationen, die aus öffentlich zugänglichen Quellen für nachrichtendienstliche Zwecke gesammelt werden. Der Begriff wurde ursprünglich geprägt, um OSINT von den anderen Arten der Informationsgewinnung zu unterscheiden – wie Human (HUMINT), Signal (SIGINT) und Geospatial (GEOINT), die von nationalen Sicherheits-, Strafverfolgungs- und Business-Intelligence-Organisationen verwendet werden.
Wenn Sie jemals eine Suchmaschine verwendet haben, um mehr über einen potenziellen Kunden, Arbeitgeber oder eine Person, an der Sie ein persönliches Interesse haben, zu erfahren, haben Sie OSINT gemacht.
OSINT gewinnt für Cyberkriminelle zunehmend an Bedeutung. Wenn Bedrohungsakteure OSINT über ein Angriffsziel oder eine Zielorganisation sammeln, werden sie alle Arten von Informationen ausforschen, welche ihnen nützliche Hinweise für einen digitalen Angriff liefern. Die ausgespähten Informationen lassen sich in drei Kategorien einteilen:
Menschen: Karrierenetzwerke und andere soziale Medien sind eine reichhaltige Informationsquelle über Einzelpersonen und ihre Rollen in einem Unternehmen. Diese Art der Intelligenz ist äußerst nützlich für Social Engineering – häufig lässt sich leicht feststellen, wer für wen arbeitet, wer welche Berechtigungsstufe hat, wer für den IT-Helpdesk tätig ist und den Namen der Führungskraft mit dem größten Einfluss.
Ebenso lassen sich hochwertige Zielpersonen identifizieren und positive Feedbackschleifen der Informationserfassung erstellen. Aus früheren Breaches wiederrum können Informationen über die Wiederverwendung von Passwörtern generiert werden, so werden ehemalige Opfer einer Datenschutzverletzung unwissentlich zu virtuellen Komplizen der Angreifer.
Technologie: Karrierenetzwerke und Stellenausschreibungen sind ebenfalls eine reichhaltige Informationsquelle in Bezug auf die Technologien, die ein Unternehmen einsetzt. Diese Technologieintelligenz ist offensichtlich sehr nützlich bei der Durchführung eines Angriffs, da sie bspw. Auskunft darüber gibt, welche Arten von Datenbanken verwendet werden, welche Cloud-Plattformen für kritischen Geschäftsanwendungen genutzt werden und welche Betriebssysteme auf den Endpoints laufen.
Oftmals lassen Mitarbeiter sogar die Art von Sicherheitslösungen durchsickern, die in einer Organisation verwendet werden. Denn viele Menschen in technischen Bereichen verwenden mittlerweile Karrierenetzwerke als Plattform für ihren Lebenslauf – so fügen sie noch reichhaltigere Informationen in ihre Profile ein. Und je detaillierter Mitarbeiter eines Unternehmens über ihre Fähigkeiten informieren, desto klarer wird für einen Angreifer das Bild der verwendeten Technologien, die es zu kompromittieren gilt.
Assets: Neben einem allgemeinen Überblick über die verwendeten Technologien sind Cyberkriminelle bemüht, Informationen über die spezifischen Assets einer Unternehmung in die Hände zu bekommen. Kostenlose Tools wie Shodan und Censys ermöglichen es ihnen, diese Informationen zu erhalten, ohne einen einzigen Endpoint des Angriffszieles sondieren zu müssen. Diese OSINT ermöglicht es beispielsweise, Webanwendungen zu identifizieren, die für Angriffe geeignet sind. Weitere Risiken birgt die Ausführung von sensiblen Diensten wie Remotedesktop, LDAP oder sogar SQL-Datenbanken, die extern ausgerichtet sind. Auch das Dursuchen öffentlicher Code-Repositories kann für Cyberkriminelle lohnend sein: So sind bspw. mehrere Fälle bekannt, in denen Passwörter in öffentlich zugänglichen Skripten hartcodiert wurden.
Doch es gibt online noch viel mehr OSINT-Intelligenz: Branchen- und Unternehmensjargons, die sich ideal für Social Engineering eignen. Bilder von Unternehmensausweisen, mit denen die physische Sicherheit einer Einrichtung in Gefahr gerät. Oder persönliche Informationen (wie Mädchennamen von Müttern, Grundschulen und Lieblingsurlaubsorte), mit denen sich Passwörter und Antworten auf Sicherheitsfragen erraten lassen. Social Media ist und bleibt einfach eine Fundgrube für OSINT-Intelligenz. Was viele zudem nicht berücksichtigen: Sind Informationen erst einmal in sozialen Medien geposted, werden sie aller Wahrscheinlichkeit nach für immer online verfügbar sein.
Wie Sie sich schützen können – und warum Pentesting allein nicht ausreicht
Die meisten Organisationen denken bei kontradiktorischen Tests in erster Linie an technische Penetrationstests (Pentesting). Sie möchten vielleicht wissen, ob sie ihre Firewalls richtig konfiguriert haben, ob sie ungepatchte Softwareschwachstellen haben und ob geteilte Berechtigungen auf Administratorebene es einem Bedrohungsakteur ermöglichen, sich seitlich durch ihr Environment zu bewegen, sobald der Perimeter kompromittiert wurde. Aber kontradiktorische Tests sind viel mehr als das. Für Sicherheitstest ist es unerlässlich, Ihre Organisation genau der gleichen Art von böswilligem Verhalten aussetzen, die ein echter Cyberkrimineller oder staatlicher Akteur gegen Sie verwenden würde. Mittels sogenanntem Red Teaming versucht eine Gruppe von extern beauftragten Pentestern Ihr Unternehmen zu hacken. Auf diese Weise zeigt sich, wie gut Ihre Cyberresilience ist und wo Sie ggf. nachbessern sollten. Wichtig dabei ist es, möglichst viele potenzielle Angriffsvektoren zu überprüfen: OSINT, Software-Schwachstellen, falsche Konfigurationen, laxe Berechtigungskontrollen, die schlechten digitalen Gewohnheiten Ihrer Mitarbeiter, um nur einige zu nennen.
Nutzen Sie die Möglichkeiten, die Ihnen Pentesting und Red Teaming-Engagements bieten, um herauszufinden, wo Bedrohungsakteure OSINT-Techniken nutzen können, um Ihr Unternehmen zu kompromittieren – und wie genau ein Angreifer vorhandenes OSINT einsetzt, um Chaos in Ihrer Umgebung anzurichten. Egal was Sie denken, wie „abgeschottet“ und sicher Ihre Organisation ist, es gibt OSINT im Internet, dass Ihnen Schaden kann. Zeit herauszufinden, was diese OSINT ist, damit Sie sich vor potenziell erheblichen wirtschaftlichen Schäden und Reputationsverlusten schützen können.
