SHIELD

Digitale Identität

Defensives OSINT: Was Sie durchsickern lassen

Die Werkzeuge der offensiven Aufklärung gegen sich selbst einsetzen, um vorwegzunehmen, was ein Gegner in 2 Stunden sieht.

Veröffentlicht am 14 Min. Lesezeit Exponiert

Zuletzt überprüft:

Lupe vor einem Hintergrund aus digitalen Daten

„Es gibt nichts über mich im Netz”, sagt mir der Kunde zur Eröffnung der Besprechung. Zwei Stunden später zeige ich auf der Projektorleinwand sein Ferienhaus, die Vornamen seiner beiden Kinder, seine alte Handynummer von 2014, die auf einem vergessenen Konto noch aktiv ist, und das Foto seines Büros, aufgenommen aus seinem Fenster — mit den GPS-Koordinaten in den Metadaten. Er hat dreißig Sekunden lang kein Wort gesagt. Es ist nicht so, dass er gelogen hätte. Er wusste nicht, was er nicht wusste.

Angle de lecture

Die übliche Falle

Die meisten Menschen verwechseln zwei Dinge, die nichts miteinander zu tun haben: „Wenn ich meinen Namen bei Google eingebe, kommt nichts heraus” und „Nichts ist auffindbar für jemanden, der zu suchen weiß”. Das Erste ist eine gefilterte Sicht, geordnet durch einen Algorithmus, der auf kommerzielle Relevanz und Aktualität ausgelegt ist, der Ihnen zeigt, was Sie absichtlich veröffentlicht haben und was Engagement erzeugt hat. Das Zweite ist die Arbeit eines Ermittlers, der von einem Ausgangsdatum ausgeht und den Faden zieht, bis er ein Profil rekonstruiert hat. Diese beiden Tätigkeiten ähneln sich nicht einmal.

Der vorherrschende Diskurs zum Thema besteht aus zwei Ratschlägen: „löschen Sie sich aus Google” und „stellen Sie einen Antrag auf das Recht auf Vergessenwerden”. Beide sind bequeme Illusionen. Die GoogleNachrichtengewinnung aus offenen (öffentlichen) Quellen: soziale Netzwerke, Register, Archive.-EU-Dereferenzierung entfernt ein Ergebnis aus dem europäischen Index — die Quellseite existiert weiter, das Archiv existiert weiter, die US-Suchmaschine zeigt es weiter an, und der Angreifer, der zu suchen weiß, geht ohnehin nicht über die erste Google-Seite. Was die DSGVOEuropäische Verordnung 2016/679 zum Schutz personenbezogener Daten, seit Mai 2018 anwendbar. Artikel 17 betrifft, so hat sie eine reale, aber begrenzte Reichweite, unterliegt umfangreichen Ausnahmen und hat keinerlei Zugriff auf Leak-Datenbanken oder Akteure außerhalb der Jurisdiktion.

Es gibt eine dritte Illusion, perfider: „Ich habe nichts zu verbergen, also habe ich nichts zu befürchten.” Sie verwechselt zwei verschiedene Fragen. Die Frage ist nicht, ob Ihre Informationen beschämend sind — das sind sie fast nie. Die Frage ist, ob ihre Aggregation einem Gegner genug gibt, um Sie ins Visier zu nehmen. Ihre Adresse, die Vornamen Ihrer Kinder, Ihr täglicher Weg, der Name Ihres Bankberaters: Keines dieser Daten ist geheim, und ihre Kombination ist genau das, was einen Angriff möglich macht. Die Gefahr liegt nicht im verletzten Geheimnis, sie liegt in der Verknüpfung.

Das defensive OSINTNachrichtengewinnung aus offenen (öffentlichen) Quellen: soziale Netzwerke, Register, Archive. dreht die Logik komplett um. Statt zu versuchen zu löschen, machen Sie selbst, was ein Gegner machen würde — vor ihm, mit seinen Werkzeugen, in seiner Geisteshaltung. Das Ziel ist nicht zu „verschwinden”: Es ist, genau zu wissen, was ein kompetenter Angreifer in zwei Stunden von Ihnen sieht, und dieses Wissen in Entscheidungen zu verwandeln. Sie können keine Angriffsfläche verteidigen, die Sie nie betrachtet haben. Und die gute Nachricht, die meine Kunden immer überrascht: Der Großteil dieser Fläche schrumpft mit kostenlosen und schnellen Handgriffen — eine Geolokalisierung abschalten, drei tote Konten schließen, Metadaten bereinigen. Das Teure ist die Unwissenheit, nicht die Behebung.

Das wahre Bedrohungsmodell: Was ein Gegner in zwei Stunden rekonstruiert

OSINT ist keine Liste von Google-Suchen. Es ist eine Graph-Methode: Man geht von einem Ausgangsdatum aus — einem Namen, einer E-Mail-Adresse, einem Pseudonym — und erkundet die Kanten, die dieses Datum mit anderen verbinden. Jedes neue Datum wird zu einem neuen Ausgangspunkt. Das Profil entsteht durch Akkumulation und Verknüpfung, nicht durch eine magische Anfrage.

Hier der typische Ablauf einer AufklärungsNachrichtengewinnung aus offenen (öffentlichen) Quellen: soziale Netzwerke, Register, Archive.-Übung an einer identifizierten Person, so wie ich sie in der Mission praktiziere. Ausgangspunkt: eine berufliche E-Mail-Adresse. Von dieser Adresse aus testen Werkzeuge wie Holehe lautlos einige Hundert Onlinedienste, um zu ermitteln, welche die Adresse als bestehendes Konto erkennen — ohne jemals die Zielperson zu alarmieren. So entdeckt man vergessene Konten: ein altes Forum, eine Mitfahrplattform, einen Speicherdienst, eine Dating-Seite. Jedes dieser Konten trägt oft ein Pseudonym. Zweiter Sprung: von der E-Mail zu den Pseudonymen. Mit Sherlock sucht man dieses Pseudonym auf mehreren Hundert Plattformen gleichzeitig. Ein seit fünfzehn Jahren wiederverwendetes Pseudonym verbindet das berufliche GitHub-Konto mit dem Gaming-Konto aus der Jugend, dem Forum von Luftfahrtbegeisterten, dem anonym geposteten Diskussionskonto über ein Gesundheitsproblem — nur hält die Anonymität nicht, wenn das Pseudonym überall dasselbe ist.

Dritter Sprung: von den Konten zu den Inhalten. Die Konten enthalten Fotos, Kommentare, Daten, Orte. Hier kommen die MetadatenDaten über Daten: wer hat was geschrieben, wann, wo, an wen. ins Spiel. Ein mit dem Smartphone aufgenommenes Foto trägt standardmäßig EXIFMetadaten, die an Bildern hängen: Datum, GPS, Gerät, Aufnahmeparameter.-Daten: präzise GPS-Koordinaten, sekundengenauer Zeitstempel, Gerätemodell. Diese Metadaten überleben den Upload auf vielen Plattformen und in E-Mail-Anhängen. Eine Reihe veröffentlichter Fotos kartiert einen Wohnsitz, einen Arbeitsplatz, Gewohnheiten, einen Tagesablauf. Vierter Sprung: die Leaks. Parallel führt man die E-Mail-Adresse durch Have I Been PwnedKostenloser öffentlicher Dienst von Troy Hunt, der in öffentlichen Datenpannen kompromittierte E-Mails indexiert. und durch die kostenpflichtigen Leak-DatenbankenDienst, der Daten aus öffentlichen oder halb-öffentlichen Datenpannen indexiert. (DeHashed, Intelligence X). Dort findet man alte Klartextpasswörter, zugeordnete Telefonnummern, manchmal eine Postadresse. Ein Passwort von 2014, mit minimaler Variation wiederverwendet, wird zum Schlüssel.

Am Ende der Kette — E-Mail → Konten → Pseudonyme → Fotos → GPS-Koordinaten → Adresse → Telefonnummer → Umfeld → Arbeitgeber — verfügt der Ermittler über eine Akte, die vor zwanzig Jahren eine physische Beschattung erfordert hätte. Das alles in zwei Stunden, aus dem Sessel heraus, für ein paar Hundert Euro Honorar. Und diese Akte ist kein Endpunkt: Sie ist das Rohmaterial eines Angriffs. Ernsthaftes Social EngineeringMenschliche Manipulation zur Gewinnung von Informationen oder Aktionen, unter Umgehung technischer Abwehr. beginnt nicht mit einem technischen Exploit, es beginnt mit dieser Aufklärung. Der glaubwürdige Vorwand — „Guten Tag, ich bin ein Kollege von Jan, er hat mich gebeten, Sie direkt wegen der Münchner Akte anzurufen” — wird vollständig aus dem konstruiert, was das OSINT enthüllt hat.

Die Quellen, an die niemand zu denken pflegt

Wenn ich mit einem Kunden die Orte auflisten, an denen er exponiert ist, nennt er spontan LinkedIn, Facebook, vielleicht Twitter. Er vergisst systematisch die Schichten, die die eigentliche Arbeit eines Ermittlers ausmachen. Zuerst die öffentlichen Register: In Deutschland machen das Handelsregister und das Unternehmensregister Ihre Geschäftsführungsmandate, die Gesellschaften, in denen Sie Geschäftsführer waren, deren Adressen, manchmal Ihre Vergütung bei börsennotierten Gesellschaften einsehbar; der Bundesanzeiger veröffentlicht Jahresabschlüsse, gesellschaftsrechtliche Bekanntmachungen und Insolvenzverfahren. Diese Daten sind kein Leak, sie sind aus gesetzlicher Pflicht öffentlich, und die DSGVO hat keinerlei Zugriff darauf. Für eine Führungskraft kartieren sie in wenigen Minuten ein vollständiges Berufsleben.

Dann die Archive. Die Wayback MachineWeb-Archiv des Internet Archive, das Seiten seit 1996 aufzeichnet. erfasst Webseiten seit 1996: Ihre 2009 bei einem Gratisanbieter gehostete persönliche Website, Ihr LinkedIn-Profil von 2013, als Sie Junior-Berater waren, das Forum, in dem Sie mit zweiundzwanzig unter Ihrem echten Namen posteten — alles bleibt einsehbar. archive.today erlaubt es jedem, einen dauerhaften Snapshot einer Seite einzufrieren, ohne offiziellen Löschmechanismus. Die Quellseite zu löschen, löscht nicht das Archiv.

Schließlich das historische WHOIS, ein klassischer toter Winkel. Wenn Sie jemals einen Domainnamen ohne Datenschutz registriert haben, wurden Ihr Name, Ihre Adresse, Ihre E-Mail und Ihr Telefon in die öffentliche WHOIS-Datenbank eingetragen. Den Schutz später zu aktivieren, löscht nichts: Verlaufsdienste wie DomainTools oder ViewDNS bewahren die früheren Einträge auf. Ich habe die Privatadresse eines Geschäftsführers über eine Domain gefunden, die er 2011 für den Blog seiner Frau reserviert und seither aufgegeben hatte.

Der Ermittler begnügt sich nicht damit zu sammeln: Er verknüpft. Eine in einem WHOIS von 2011 gefundene Adresse bestätigt eine geografische Zone, die aus einem geolokalisierten Foto von 2022 abgeleitet wurde. Ein auf LinkedIn gelisteter Arbeitgeber validiert eine über Holehe gefundene berufliche E-Mail. Ein Gaming-Pseudonym verbindet ein „anonymes” Konto in einem Forum mit der bürgerlichen Identität. Jede Verknüpfung erhöht die Konfidenz und reduziert das Rauschen. Das ist der Unterschied zwischen einer Liste verstreuter Daten und einer verwertbaren Akte.

Der richtige Ansatz: das OSINT-Audit als Routine, nicht als Panik

Der pragmatische Umschwung hält sich an einen Satz: Sie löschen sich nicht, Sie auditieren sich. Die vollständige Löschung ist unmöglich, und sie zu verfolgen verschleißt Ressourcen für ein mittelmäßiges Ergebnis. Das Audit hingegen ist machbar, wiederholbar und produziert konkrete Entscheidungen. Die richtige Haltung ist nicht „alles löschen”, es ist „wissen, was exponiert ist, und für jede Sache entscheiden, was ich damit mache”.

Konkret folgt ein defensives Audit derselben Graph-Logik wie der Angriff, aber gegen Sie selbst gewendet. Sie listen zuerst Ihre Ausgangsdaten auf: Namen und Varianten (Geburtsname, Ehename, berufliche Spitznamen), aktuelle und historische E-Mail-Adressen, aktuelle und alte Pseudonyme, Telefonnummern, Domainnamen, die Sie registriert haben. Sie führen anschließend jedes Datum durch die Werkzeuge: Holehe auf den E-Mails, um die vergessenen Konten zu finden, Sherlock auf den Pseudonymen, um die Plattformen zu finden, Have I Been Pwned auf den E-Mails für die Leaks, ExifTool auf Ihren eigenen veröffentlichten Fotos und Dokumenten für die Metadaten. Sie verknüpfen, Sie notieren, Sie bauen Ihren eigenen Expositionsgraph. Keines dieser Werkzeuge ist Profis vorbehalten: Holehe, Sherlock und ExifTool sind Open Source und kostenlos, Have I Been Pwned ist öffentlich.

Es folgt die Entscheidung, die der Teil ist, der wirklich zählt. Für jede identifizierte Exposition entscheiden Sie zwischen vier Optionen. Mutieren: das zugrunde liegende Datum ändern — ein Konto schließen und unter einer kompartimentierten Identität neu erstellen, eine E-Mail-Adresse rotieren lassen. Entfernen: den Inhalt löschen, das Konto deaktivieren, die Dereferenzierung beantragen, wenn sie Sinn ergibt. Reduzieren: ein Profil auf privat setzen, eine Telefonnummer von einer öffentlichen Seite entfernen, das GPS-Teilen einer App deaktivieren. Akzeptieren: eine unvermeidliche Exposition hinnehmen (Ihre Geschäftsführungsmandate im Handelsregister zum Beispiel) und die Reaktion für den Fall vorbereiten, dass sie ausgenutzt wird. Die Disziplin liegt nicht in der Vollständigkeit der Bereinigung — sie liegt in der Regelmäßigkeit des Audits. Eine exponierte Führungskraft sollte die Übung jedes Quartal wiederholen; eine Privatperson, einmal im Jahr genügt bei Weitem.

Eine oft ignorierte operative Nuance: Lassen Sie sich mindestens einmal von einem Dritten auditieren. Sie haben einen toten Winkel auf sich selbst. Sie wissen, welche Konten Sie schließen „wollten”, Sie wissen nicht, welche tatsächlich noch existieren. Ein externer Ermittler ohne Vorannahmen wird Dinge finden, von denen Sie vergessen haben, dass Sie sie veröffentlicht haben. Es ist dasselbe Prinzip wie bei einem Pentest: Man auditiert sich nicht selbst, nicht wirklich.

Ein Wort zur Legalität und zur Hygiene der Übung

OSINT an sich selbst zu betreiben, wirft kein Problem auf: Es sind Ihre Daten, Ihre Konten, Ihre offenen Quellen. Die Grenze verschiebt sich, sobald die Übung jemand anderen betrifft — Ihre Führungskräfte zum Beispiel. Ein von der Organisation an ihren eigenen Führungskräften beauftragtes OSINT-Audit muss durch ein schriftliches Mandat, einen definierten Geltungsbereich und die informierte Einwilligung der betroffenen Personen eingerahmt sein. Man durchforstet nicht die Exposition eines Mitarbeiters ohne sein Wissen; man erklärt ihm das defensive Ziel, holt seine Zustimmung ein und übergibt ihm die Akte, damit er handelt. Der Drittdienstleister arbeitet ausschließlich in offenen Quellen: kein Zugriff auf Konten, kein Umgehen von Authentifizierung, kein Kauf gestohlener Daten. Die Linie ist klar zwischen dem Einsehen eines bereits öffentlichen Leaks, um seine Exposition zu messen, und dem illegalen Erwerb von Daten — das erste Vorgehen ist defensiv, das zweite ist eine Straftat.

Zur Hygiene zwei Reflexe. Erstens: protokollieren Sie Ihr Audit: Führen Sie ein Nachverfolgungsblatt pro gefundener Exposition, mit der getroffenen Entscheidung (mutieren, entfernen, reduzieren, akzeptieren) und dem Datum. Dieses Dokument verwandelt einen punktuellen Panikanfall in eine messbare Routine und erlaubt es, von Quartal zu Quartal zu vergleichen. Zweitens: führen Sie das Audit aus einer sauberen Umgebung durch: ein dedizierter Browser, von Ihren Konten abgemeldet, idealerweise auf einem separaten Profil, um Ihre Ergebnisse nicht mit Ihren eigenen aktiven Sitzungen zu verunreinigen und um wirklich zu sehen, was ein Dritter sieht — und nicht, was die Plattformen Ihnen zeigen, weil sie wissen, dass Sie es sind.

Was das konkret bedeutet

Angle de lecture

Für Sie als Privatperson

Ihre Metadaten sind Ihr zugänglichster und am schnellsten korrigierter toter Winkel. Ihre LinkedIn- und Twitter-Fotos enthalten vielleicht GPS-Koordinaten. Ihre geteilten PDF- und Word-Dokumente enthalten vielleicht Ihren vollständigen Autorennamen und die Revisionshistorie. All das lässt sich in wenigen Minuten regeln, ohne Budget.

Ihre drei Prioritäten diese Woche, für weniger als 200 € (oft 0 €):

  1. Prüfen Sie Ihre EXIF-Metadaten, dann kappen Sie sie an der Quelle. Installieren Sie ExifTool (kostenlos, brew install exiftool auf Mac, Paket libimage-exiftool-perl auf Linux) und starten Sie exiftool ~/Desktop/mein-foto.jpg auf Ihren zehn letzten veröffentlichten Fotos: Suchen Sie die Zeilen GPS Latitude und GPS Longitude. Auf dem Smartphone kappen Sie anschließend die Geolokalisierung der Kamera (iOS: Einstellungen → Datenschutz → Ortungsdienste → Kamera → Nie; Android: Einstellungen der Kamera-App, Standort-Tags deaktivieren). Kosten: null.

  2. Machen Sie die Runde durch Ihre vergessenen Konten und Ihre Leaks. Führen Sie Ihre Haupt- und Zweit-E-Mail-Adressen durch Have I Been Pwned. Für jeden Leak, der ein noch genutztes Passwort enthält: ändern Sie es sofort, überall. Starten Sie dann Holehe auf Ihren Adressen, um die vergessenen Konten wiederzuentdecken, und schließen Sie jene, die nicht mehr dienen. Kosten: null.

  3. Auditieren Sie Ihre Apps, die eine Position teilen. Sportuhr, Lauf-, Rad-, Geh-App: Prüfen Sie, dass das Profil nicht öffentlich ist und dass Ihre Strecken nicht an Ihrer Haustür beginnen. Deaktivieren Sie das öffentliche Teilen, oder definieren Sie eine „Datenschutzzone” um Ihren Wohnsitz in den App-Einstellungen. Das ist die Falle, die es mir erlaubt hat, einen Geschäftsführer in einer Stunde zu lokalisieren. Kosten: null.

Für Sie als CISO / IT-Leitung / Geschäftsführung

1. Beauftragen Sie eine offensive OSINT-Übung an Ihren 3 bis 5 exponiertesten Führungskräften. Ein schriftlich beauftragter Drittdienstleister produziert die Akte, die ein Angreifer produzieren würde: E-Mail-Exposition, persönliche Konten, Metadaten, Register, kartiertes Umfeld, plausible Vorwandszenarien. Das Lieferobjekt ist kein Compliance-Bericht, es ist eine Angriffskarte. Direkte Konsequenz: Sie kennen Ihre reale Exposition vor Ihrem Gegner und priorisieren die Behebungen auf Fakten, nicht auf Hypothesen. Es ist eines der besten Kosten-Erkenntnis-Verhältnisse Ihres gesamten Sicherheitsbudgets.

2. Integrieren Sie die externe Exposition der Schlüsselpersonen in Ihr Threat ModelNachrichtengewinnung aus offenen (öffentlichen) Quellen: soziale Netzwerke, Register, Archive., nicht nur Ihren technischen Perimeter. Ihr EDR, Ihr SIEM, Ihre Firewall sehen nichts von der Aufklärung, die sich auf LinkedIn, in den Leaks und den öffentlichen Registern abspielt. Das Einfallsglied eines gezielten Angriffs ist fast immer eine Person, per OSINT rekonstruiert. Direkte Konsequenz: Ein jährliches Expositionsaudit am Vorstand und den sensiblen Funktionen (Recht, M&A, F&E, Finanzen, Vorstandsassistenz) wird ebenso strukturierend wie ein Anwendungspentest und speist direkt Ihr gezieltes Sensibilisierungsprogramm.

3. Behandeln Sie die Dokumentenmetadaten als organisatorisches Leck, nicht als individuelles Detail. Ihre Teams veröffentlichen Angebote, Berichte, Antworten auf Ausschreibungen, PDFs auf der Corporate-Website — oft mit dem Autorennamen, dem internen Dateipfad und manchmal wiederherstellbaren Revisionen. Direkte Konsequenz: Eine systematische Bereinigung der Metadaten vor der externen Veröffentlichung (strip-Skript in der Publikationskette oder manuelle Kontrolle für sensible Dokumente) schließt einen Aufklärungsvektor, den niemand überwacht. Es ist eine Maßnahme mit nahezu null Kosten und überproportionalem Verteidigungswert.

Fehler, die man ständig sieht

  • Nur seinen Namen suchen. Der Name ist das ärmste Ausgangsdatum. Die Pseudonyme, die sekundären E-Mail-Adressen, die Domainnamen, der Firmenname sind weitaus produktivere Einstiegspunkte für einen Ermittler — und damit für Ihr Audit.
  • Glauben, das Löschen eines Posts lösche die Information. Die Wayback MachineWeb-Archiv des Internet Archive, das Seiten seit 1996 aufzeichnet., archive.today, die Caches der Suchmaschinen und die Republikationen durch Dritte bewahren, was Sie entfernt haben. Löschen reduziert die Sichtbarkeit, es löscht nicht.
  • Die Metadaten der Dokumente vergessen. Dutzende veröffentlichter beruflicher PDFs enthalten den Autorennamen, die Organisation und manchmal wiederherstellbare Zwischenversionen. Das wird systematisch vernachlässigt, von Privatpersonen wie von Organisationen.
  • Die Spuren von Gaming und Sport unterschätzen. Steam, Discord, Twitch und vor allem die Plattformen zum Teilen sportlicher Aktivitäten: alte, mit persönlichen E-Mails verknüpfte Pseudonyme, öffentliche GPS-Strecken, bei einem Oberflächenaudit selten geprüft.
  • „Diskretes Profil” und „kompartimentiertes Profil” verwechseln. Wenig zu veröffentlichen schützt nicht, wenn das Wenige, das Sie veröffentlichen, Ihre Identitäten miteinander verbindet. Der Schutz kommt aus der Trennung der Identitäten nach VerwendungUnternehmen, das personenbezogene Daten in großem Maßstab sammelt, aggregiert und weiterverkauft., nicht aus dem Schweigen.
  • Das Audit einmal machen und das Thema für erledigt halten. Ihre Exposition ist lebendig: neue Konten, neue Leaks, neue Veröffentlichungen. Ein isoliertes Audit verfällt in wenigen Monaten.

Umsetzbare Checkliste

  • N1 Seine Ausgangsdaten auflisten: Namen und Varianten, aktuelle und historische E-Mails, aktuelle und alte Pseudonyme, Telefonnummern, Domains
  • N1 Seine E-Mail-Adressen auf Have I Been Pwned prüfen und sofort jedes noch genutzte Passwort ändern, das in einem Leak auftaucht
  • N1 ExifTool auf seine 10 letzten veröffentlichten Fotos starten und die Felder GPS Latitude / GPS Longitude prüfen
  • N2 Die Geolokalisierung in der Kamera-App des Smartphones kappen
  • N2 Prüfen, dass die Sport-Apps (Uhr, Laufen, Rad) keine öffentlichen Strecken teilen, die am Wohnsitz beginnen
  • N2 Holehe auf seine E-Mail-Adressen anwenden, um die vergessenen Konten wiederzuentdecken und zu schließen
  • N2 Sherlock auf seine aktiven und alten Pseudonyme anwenden und die Konten bereinigen, die die Identitäten miteinander verbinden
  • N2 Die Metadaten der auf Drittseiten veröffentlichten PDF-/Word-Dokumente prüfen und bereinigen
  • N2 Die Telefonnummer aus den öffentlichen Profilen entfernen (LinkedIn, Foren, Signaturen, Anzeigen)
  • N3 Eine Benachrichtigung auf seinen Namen und seine Hauptpseudonyme einrichten
  • N3 Für exponiertes Profil: eine offensive OSINT-Übung durch einen Dritten beauftragen und die Rekonstruktionszeit messen
  • N3 Für Organisation: die externe Exposition des Vorstands in das Threat Model und das vierteljährliche Dashboard integrieren

Zum Weiterlesen

Die strukturierenden Referenzen stehen im Frontmatter dieses Artikels. Für Methode und Werkzeuge kartiert das OSINT Framework die Tools nach Datentyp, das Bellingcat Online Investigation Toolkit ist der Werkzeugkasten der maßgeblichen Ermittler, und das Werk Open Source Intelligence Techniques von Michael Bazzell — ehemals FBI — bleibt das vollständigste, regelmäßig aktualisierte Handbuch. Für das unmittelbare defensive Werkzeug: die Dokumentation von ExifTool für die Metadaten und Have I Been Pwned für die Verfolgung Ihrer Leaks. In Deutschland liefert das BSI mit seinen Empfehlungen zum sicheren Umgang mit sozialen Netzwerken einen nationalen Bezugsrahmen zur Reduzierung der öffentlichen Exposition.

Für die strategische Einordnung, die diesem Audit seinen Sinn gibt, siehe Ihre Daten sind bereits öffentlich und Das Expositionsaudit. Um die kartierte Exposition in eine defensive Architektur zu verwandeln, siehe Identitätskompartimentierung. Und um zu verstehen, wie diese Daten einen konkreten Angriff speisen, SIM-Swapping und Exponierte Führungskraft.

Quellen und weiterführende Literatur

Verwandte Artikel