11
Okt

Was ist OSINT?

Written by admin. Posted in Datenschutz, Internet, Privatsphäre, Sonstige Fragen

OSINT steht für Open Source Intelligence und beschreibt die systematische Informationsgewinnung aus unterschiedlichen, frei verfügbaren Quellen (vor allem im Web), um durch Analyse dieser Informationen verwertbare Erkenntnisse über eine Person oder Unternehmen zu gewinnen. Bei sog. OSINT-Verfahren werden Informationen nicht mit illegalen Mitteln erhoben, was dazu führt, dass durch die Anwendung auch grundsätzlich keine rechtlichen Konsequenzen zu befürchten sind.

Die Anwendung dieser Verfahren ist mit einer niedrigen technischen Einstiegshürde verbunden, wird, da zahlreiche Tools und Dienste inzwischen für jeden Dritte frei verwendbar zur Verfügung stehen. Mittels dieser Tools und Dienste lassen sich aus öffentlich zugänglichen, wie auch aus Quellen, die einen eingeschränkten Perso-nenkreis zur Verfügung stehen (Magazine, Newsletter und technische Reports), Informationen abrufen und entsprechend der zuvor beschrieben Analyse konsolidie-ren. Bei den Diensten handelt es sich um etablierte Suchmaschinen, wie sie milliar-denfach am Tag verwendet werden (Google, Bing, Yahoo & Co.). sowie spezialisierte Dienste, die darauf ausgelegt sind beispielsweise Personen zu finden. Diese Dienste durchsuchen u. a. soziale Medien, wie Facebook oder Instagram und konsolidieren die abrufbaren Informationen. So bietet der Einsatz für Firmen und Privatpersonen eine attraktive Möglichkeit Hintergrundinformationen zu bestimmten Personen zu erfassen.

Wer setzt OSINT ein?

Gerade Cyberkriminelle setzen zur Vorbereitung ihrer Angriffe häufig OSINT-Verfahren innerhalb der Informationsbeschaffungsphase mit ein, wenn sie bei-spielsweise sogenannte Phishing- oder Social Engineering Angriffe vorbereiten, bei denen ein unwissendes Opfer dazu animiert wird, eine gewisse Aktion auszuführen, zu unterlassen oder zu dulden. Häufig erfolgen die Angriffe direkt über den Men-schen. So werden E-Mails unter einem verfälschten Absender – oftmals der CEO – im entsprechend angepassten Design und Wording an Mitarbeiter versendet, um gültige Zugangsdaten zu erhalten oder auch die Anweisung einen Geldbetrag auf ein innerhalb der E-Mail genanntes Bankkonto zu überweisen. Solche als „CEO Fraud“ bezeichneten Angriffe sind mittlerweile keine Seltenheit und verursachen in den bekannten Fällen jährlich Schäden in Milliardenhöhe.

Seit wann gibt es denn OSINT?

Eine solche Form der freien Informationsbeschaffung klingt relativ modern, dabei wurde der Begriff OSINT erstmalig 2002 offiziell eingeführt. Somit besteht die defi-nierte Methodik im Internetzeitalter schon seit verhältnismäßig langer Zeit zur Verfü-gung; jedoch ist erst in den letzten Jahren ein rasant angestiegener Informationsge-halt zu verzeichnen, welcher entsprechend frei zugänglich und auffindbar ist. Die Ursache liegt in der weiten Verbreitung von Privatcomputern und Smartphones in den letzten 10 Jahren, sowie die starke Zunahme und der gesellschaftlichen Prägung private Daten über sich und andere Personen in sozialen Netzen breitwillig preiszugeben. Die Entwicklung von OSINT nimmt linear mit dieser Entwicklung zu, sodass bereits jetzt schon deutlich ersichtlich ist, wie unterschiedliche Instanzen (Privatpersonen, Firmen, Behörden und andere staatliche Stellen) sich OSINT Ver-fahren bedienen um an Informationen zu gelangen.

Folgen sind nicht absehbar

Auch wenn die Folgen für Privatpersonen nicht absehbar sind, werden technische Entwicklungen weiter vorangetrieben, die dazu führen, dass jeder zu einem gläser-nen Menschen wird. Jegliche Transaktion, die wir ausüben, jegliche Gefühlsstim-mung die wir erleben wird digital erfasst und erzeugen wiederrum Daten, die als Informationen zu Erkenntnissen führen. Dies sind Erkenntnisse die uns bewerten, unseren sozialen Stellenwert bestimmen und uns gefährden. Dabei geht die Ge-fährdung von zwei Aspekten aus, bei dem derzeitig ein Problem bei der Aufbereitung und Validierung von größeren Datenmengen an Informationen besteht. Um diese Probleme in den Griff zu kriegen wird aktuell mit Hochdruck an Automatisie-rungsverfahren gearbeitet, um mittels modernen Techniken wie Big Data und Ma-chine Learning die massive Aufbereitung und Analyse der Daten in den Griff zu be-kommen. Bei den genannten Techniken besteht zurzeit noch ein sehr hohes Feh-lerpotential, welches sich in einem nicht eindeutig messbaren Rahmen befindet. Dennoch werden die Ergebnisse zu leichtfertig akzeptiert und die Fehlabweichung ignoriert. Wenn der Blick nun ein paar Jahre in die Zukunft geht sollte jedem klar werden, dass eben diese Verfahren möglicherweise über Menschen urteilen und in Folge dessen der Mensch mit den Konsequenzen benachteiligt wird.

Was kann ich als Datenschutzbeauftragter tun?

Durch eine systematische Informationsbeschaffung über das Unternehmen und deren Mitarbeiter, kann man sich die gleichen Wissensvoraussetzungen beschaffen, wie Angreifer sie durch öffentliche Recherchen auch erlangen. Ausgehend von diesem Wissensstand kann dann geprüft werden, welche potentiellen Angriffswege ein Angreifer nehmen kann und wie hoch das damit verbundene Schadenspotential zu bewerten ist. Es ist notwendig von Zeit zu Zeit die öffentlich verfügbaren Informatio-nen im Web zu kontrollieren. Eine Selbstrecherche kann Auskunft darüber geben, welche Informationen über die eigene Person, Angehörige oder das eigene Unter-nehmen derzeit im Internet verfügbar sind. Sie kann allerdings auch dazu führen, dass durch die Recherche neue Daten erstellt werden. Dieses geschieht beispiels-weise, wenn man regelmäßig nach dem eigenen Namen gefolgt von dem Begriff „Datenschutz“ bei dem Suchdienst des geringsten Misstrauens sucht. So wird dieser Begriff nach einer Weile als Suchvorschlag in Verbindung mit dem Namen angezeigt. Dieses als „Predictive Search“ bezeichnete Feature schlägt weitere Suchbegriffe anhand ihrer Beliebtheit im Zusammenhang mit der bisherigen Eingabe vor und kann daher Auskunft darüber geben, welche Informationen man selbst für besonders wichtig und schützenswert hält.

Fazit: Datensparsamkeit ist Qualitätsverbesserung

Der beste Schutz kann durch entsprechende Datensparsamkeit erreicht werden, indem versucht wird, möglichst wenige Informationen über das Unternehmen und deren Mitarbeiter preiszugeben. Hier wird deutlich, dass die von der DSGVO gefor-derte „Privacy By Default“ oder „Privacy by Design“ Einstellungen sinnvoll sind. Lei-der finden sich zu häufig sog. Dark Patterns. Diese sind dafür ausgelegt, dem Nutzer die Auswahl datenschutzfreundlicher Einstellungen zu erschweren, indem diese in verwinkelten Unterpunkten oder unter missverständlichen Namen auf der Webseite versteckt werden.Das Entfernen von z. B. eigenen Profildaten bei nicht mehr genutzten Services ist nicht ohne weiteres möglich. So zeigt die Webseite https://www.justdelete.me zwar anhand von Anleitungen, wie man seine Daten bei vielen Anbietern löschen kann, allerdings wird für über 70 Webseiten angegeben, dass eine vollständige Löschung der eigenen Daten nicht möglich sei.
Darüber hinaus besteht noch das Problem, dass selbst bereits gelöschte Daten noch im Cache von Anbietern wie Google, Archive.org, etc. auftauchen können. Die Suchmaschine Google bietet zwar die Möglichkeit, nicht mehr aktuelle Inhalte ent-fernen zu lassen, allerdings ist nicht garantiert, wann und ob die Daten auch wirklich gelöscht werden.

Trackback from your site.

Leave a comment