Cyber-Risikomanagement Mit Open Source Intelligence die IT-Sicherheit erhöhen

Autor: Melanie Staudacher

Den Angreifer mit seinen eigenen Waffen schlagen: Diese Strategie verfolgen Unternehmen mit der OSINT-Taktik. Im Rahmen von Schwachstellen-Scans und Penetration-Tests werden öffentlich zugängliche Informationen gefiltert, um die Angriffsfläche zu verringern.

Firmen zum Thema

Mit der Analyse der im Unternehmen befindlichen Daten lassen sich Sicherheitsrisiken verringern.
Mit der Analyse der im Unternehmen befindlichen Daten lassen sich Sicherheitsrisiken verringern.
(Bild: © bakhtiarzein - stock.adobe.com)

Achtung Phrase: Daten sind das Gold des 21. Jahrhunderts. Mittlerweile etwas abgegriffen, doch die Aussage stimmt nach wie vor. Sammeln Unternehmen Daten, können sie sich damit Wettbewerbsvorteile verschaffen. Dadurch erhalten sie neue Einblicke in die Interessen und das Kaufverhalten ihrer Kunden und potenziellen Interessenten. Somit können sie mithilfe der Daten mehr Umsätze generieren.

Doch auch Cyberangreifer sammeln Daten. Und zwar über Unternehmen und deren Mitarbeiter, um gezielte Angriffe vorzunehmen. Dafür setzen sie die sogenannte OSINT-Taktik ein.

Was ist Open Source Intelligence?

Der Begriff Open Source Intelligence (OSINT) entstand zunächst außerhalb der IT-Sicherheitsbranche. Er bezeichnet das Sammeln von Daten aus frei verfügbaren, offenen Quellen, um durch die Analyse der Daten verwertbare Erkenntnisse zu erlangen.

Bereits seit vielen Jahren nutzen Geheimdienste und Nachrichtendienste Quellen, wie Fernsehen, Radio, Printmedien oder das Internet, um Informationen zu sammeln. Dabei liegt der Vorteil darin, dass die Kosten sehr gering sind, da die Quellen zahlreich und öffentlich zugänglich sind. Zudem lassen sich viele Recherchetätigkeiten automatisieren. Hinzu kommt, dass die Beschaffung der Informationen über öffentliche Infrastrukturen weniger risikoreich ist, als beispielsweise die Spionage in einem feindlichen Land.

Auch der Bundesnachrichtendienst (BND) nutzt OSINT und entsprechende Tools, um relevante Inhalte zu finden.

Die meisten Unternehmen verfügen über eine unstrukturierte Masse an Assets und Applikationen, die auf verschiedenen Geräten innerhalb und außerhalb des Firmennetzwerks liegen. Selten wissen die IT-Abteilungen über alle Inhalte Bescheid, Stichwort Schatten-IT. Erhalten Angreifer Zugriff auf die zum Teil öffentlich zugänglichen Infrastrukturen, können sie die Informationen aus den Assets für Social Engineering und Phishing nutzen.

Aufgabe von IT-Verantwortlichen ist es deshalb, alle Informationen zu finden, die ein Risiko für das Unternehmen darstellen könnten. Damit minimieren sie die Angriffsfläche für Cyberattacken. Als Teil des Cyber-Risikomanagements nutzen Unternehmen vermehrt OSINT, um dem Missbrauch frei verfügbarer Daten vorzubeugen.

Social Engineering und Phishing hätten nie den Erfolg, wenn Unternehmen und Mitarbeiter vorsichtiger nach außen kommunizieren würden.

Thomas Uhlemann, Security Specialist bei Eset

Mithilfe von Penetration-Tests finden Sicherheitsteams Informationen zu internen Ressourcen, die öffentlich einsehbar sind sowie relevante Informationen außerhalb der Organisation. Wie der Sicherheitsanbieter Eset erläutert, gehören dazu offene Ports, unsicher vernetzte Geräte, ungepatchte Software, Informationen zu eingesetzten Geräten und Software, wie die Versionen, Gerätenamen, Netzwerke und IP-Adressen. Auch über die sozialen Medien und in Karriereportalen lässt sich viel über Mitarbeiter in Erfahrung bringen, was Angreifern weiterhilft.

Auch Tech Data nutzt OSINT für das Cyber Scoring. Damit gibt der Distributor den Partnern einen Service an die Hand, mit denen sie Unternehmen eine Übersicht über die Bedrohungslage ihrer aus dem Internet erreichbaren IT-Systeme anbieten können.

Für die Scans reicht dem Team von Tech Data die Domain des zu prüfenden Unternehmens aus. Auf dieser Basis finden sie das Impressum und dadurch die im Handelsregister eingetragene Gesellschaft. Durch Auflösen des Domain Name Systems leitet das Team weitere Informationen ab, wie die Subdomains, eMail Server und Online-Shops. Tech Data analysiert und bewertet die Schwachstellen in den Anwendungen und bereitet die Ergebnisse den Kunden in verständlichen Reports auf.

Ist OSINT legal?

Da es bei OSINT darum geht öffentlich zugängliche Informationen zu finden, ist es in den meisten Ländern legal. Allerdings müssen zu jeder Zeit die Vorgaben des Datenschutzes und des Urheberrechts beachtet werden. Wie Eset ergänzt, kann es für die OSINT-Teams rechtliche Folgen haben, wenn sie Daten untersuchen, die passwortgeschützt oder auf andere Weise privat sind.

Pen-Tester definieren meist im Vorfeld Rahmenbedingungen darüber, welche Aktivitäten bei ihren Angriffsversuchen erlaubt und verboten sind.

(ID:47492406)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH