Die Cybersicherheitsbranche ist oft technologiebesessen: Es geht um die neuesten Exploits, Hacking-Tools und Software zum Aufspüren von Cyberbedrohungen. Doch in Wirklichkeit kommt auch den Menschen eine große Bedeutung zu. Es sind Menschen, die Malware entwickeln, die sie für Angriffe einsetzen und Menschen auf der anderen Seite, die damit beauftragt sind, die Attacken abzuwehren. Zu diesem Zweck ist OSINT oder Open Source Intelligence ein wichtiger, aber oft übersehener „menschlicher“ Faktor in der Cybersicherheit.
Die Quintessenz ist, dass alles, was Sie online über Ihre Organisation herausfinden können, auch von Angreifern herausgefunden werden kann. Allein dieser Gedanke sollte ausreichen, um in Unternehmen OSINT-Maßnahmen zur Minderung von Cyberrisiken voranzutreiben.
Wie wird OSINT verwendet?
Der Begriff OSINT stammt aus dem militärischen Bereich. Er bezog sich auf die Bemühungen von Militärs und Geheimdiensten, strategisch wichtige, aber öffentlich verfügbare Informationen in Fragen der nationalen Sicherheit zu sammeln. Während sich die Spionagebemühungen der Nachkriegszeit vor allem auf bestimmte Wege der Informationsbeschaffung konzentrierten (z. B. HUMINT, SIGINT), war OSINT ab den 1980er Jahren wieder da. Mit dem Aufkommen des Internets, der sozialen Medien und der digitalen Dienste steht jetzt eine riesige Ressource für OSINT-Akteure zur Verfügung, um Informationen über jeden Teil der IT-Infrastruktur eines Unternehmens sowie über seine Mitarbeiter zu sammeln.
Für CISOs besteht das Hauptziel darin, alle jene Informationen zu finden, die ein Risiko für das Unternehmen darstellen könnten, um diese Risiken zu minimieren, bevor sie von Bedrohungsakteuren ausgenutzt werden. Eine der offensichtlichsten Möglichkeiten, dies zu tun, besteht darin, regelmäßige Penetrationstests und Red Team-Übungen durchzuführen, bei denen auch OSINT-Informationen eingesetzt werden, um Schwachstellen zu auszumachen.
Auf diese Weise kann OSINT von Angreifern und Verteidigern eingesetzt werden:
Wie Sicherheitsteams OSINT nutzen können
Für Pen-Tester und Sicherheitsteams geht es bei OSINT darum, öffentlich verfügbare Informationen zu internen Ressourcen sowie relevante Informationen außerhalb der Organisation zu finden. Manchmal finden sich sensible Informationen in Metadaten, die versehentlich von der Organisation veröffentlicht wurden. Nützliche Informationen zu IT-Systemen könnten sein:
- Offene Ports und unsichere vernetzte Geräte
- Ungepatchte Software
- Informationen zu eingesetzten Geräten und Software, wie Softwareversionen, Gerätenamen, Netzwerke und IP-Adressen
- Durchgesickerte Informationen wie proprietärer Code auf Pastebin oder GitHub
Außerhalb des Unternehmens können Websites und insbesondere soziale Medien eine reichhaltige Fundgrube an Informationen bieten – insbesondere über Mitarbeiter. Auch Lieferanten und Partner geben möglicherweise zu viele Details über Ihre IT-Umgebung weiter, die besser geheim gehalten werden sollten. Dann gibt es noch die riesige Menge von nicht indizierten Websites und Dateien, die man als Deep Web bezeichnet. Obwohl die Webseiten normalerweise nicht in Suchergebnissen auftauchen sind sie dennoch technisch öffentlich zugänglich und somit Freiwild für OSINT.
So nutzen Angreifer OSINT
Die Kehrseite der Medaille ist, dass alle öffentlich verfügbaren Informationen von Angreifern genutzt werden können.
Zu den häufigsten Vorgehensweisen gehören:
- Das Durchsuchen der sozialen Medien nach persönlichen und beruflichen Informationen über Unternehmensmitarbeiter. Diese könnten zur Auswahl von Spear-Phishing-Zielen verwendet werden (zum Beispiel auf die Personen, die wahrscheinlich über privilegierte Nutzerkonten verfügen). LinkedIn ist eine großartige Ressource für diese Art von OSINT. Doch auch andere soziale Netzwerke können interessante Details verraten, wie Geburtsdaten und die Namen von Kindern und Haustieren, die zum Erraten von Passwörtern verwendet werden könnten.
- Das Scannen nach ungepatchten Geräten, offenen Ports und falsch konfigurierten Cloud-Datenspeichern ist dank der Leistungsfähigkeit von Cloud Computing relativ kostengünstig und einfach. Wenn sie wissen, wonach sie suchen müssen, können Angreifer auch Websites wie GitHub nach Anmeldeinformationen und anderen versehentlich veröffentlichten Informationen durchsuchen. Manchmal sind Passwörter und Verschlüsselungsschlüssel in den Code eingebettet, so wurde beispielsweise das Unternehmen Uber durch ein Leak bei GitHub gehacked.
VERWANDTER ARTIKEL: Wie wär’s mit einem digitalen Frühjahrsputz?
Ist OSINT legal?
Bei OSINT geht es darum, öffentlich zugängliche Informationen zu finden, also ist es in dieser Hinsicht zumindest in den meisten westlichen Ländern absolut legal. Beachtet werden müssen allerdings die Vorgaben des Datenschutzrechts. Wo Daten passwortgeschützt oder auf andere Weise privat sind, kann die Suche für OSINT-Teams Folgen haben. Das Auslesen von Daten von Social-Media-Netzwerken verstößt ebenfalls gegen die Nutzungsbedingungen der meisten dieser Unternehmen. Pentesting-Teams definieren normalerweise im Vorfeld, was bei ihren Angriffsversuchen erlaubt und verboten ist, bevor sie ihre Arbeit bei einem Kunden beginnen.
Beliebte OSINT-Tools
Für CISOs, die OSINT als Teil ihres Cyber-Risikomanagements einsetzen möchten, ist es wichtig, mit einer klaren Strategie zu beginnen. Definieren Sie, was Sie durch das Projekt erreichen wollen. Wollen Sie Netzwerk- und Software-Schwachstellen erkennen oder wollen sie herausfinden, ob eventuelle Risiken durch Mitarbeiter-Postings in sozialen Medien bestehen? Wählen Sie dann die Tools und Techniken aus, die Sie zum Erfassen und Verwalten dieser Daten verwenden möchten. Die anfallenden Datenmengen erfordern hier einen hohen Automatisierungsgrad.
Einige gängige Tools sind:
Shodan: Ein sehr beliebter Dienst zum Scannen nach IoT-Geräten, OT-Systemen, offenen Ports und Fehlern.
Maltego: Wurde entwickelt, um versteckte Beziehungen zwischen Personen, Domänen, Unternehmen, Dokumentenbesitzer und andere Entitäten zu erkennen und über eine intuitive Benutzeroberfläche zu visualisieren.
Metagoofil: Extrahiert Metadaten aus öffentlich zugänglichen Dokumenten, um Benutzern nützliche Informationen zu IT-Systemen (Verzeichnisbäume, Servernamen usw.) bereitzustellen.
Google Dorking: Dies ist kein Tool als solches, sondern eine Technik zur fortgeschrittenen Verwendung von Suchmaschinen, um bestimmte Informationen zu finden. Durch die Erstellung spezifischer Abfragen können Einzelpersonen Zugriff auf Server, Webseiten und Informationen erhalten, die Administratoren ansonsten für privat halten. Es wird auch als Google-Hacking bezeichnet.
Es wäre nachlässig, hier OSINT Framework und OSINT.Link nicht zu nennen, zwei riesige Ressourcen, die erforscht und zum Sammeln von Informationen aus öffentlich zugänglichen Quellen verwendet werden können.
Zusammenfassend lässt sich sagen, dass OSINT unabhängig von Ihrem Weg ein immer wichtigerer Bestandteil der Cybersicherheit ist. Mit einer gut durchdachten OSINT-Strategie können Sie Ihrem Risikomanagement eine Sicherheitsebene hinzufügen.