Cyber Security Check oder OSINT-Analyse? Unterschiede und Anwendungsbeispiele im Sinne der Compliance
Veröffentlicht: 25. Juni 2025
von Hannah und René
Für Unternehmen mit hohen Anforderungen an IT-Sicherheit wie kritische Infrastrukturen, Finanzdienstleister oder der gehobene Mittelstand wird eine ganzheitliche Cybersicherheit immer drängender. Doch bevor Maßnahmen umgesetzt werden können, stehen viele IT-Leiter, CISOs und Geschäftsführer vor der Frage: Was muss eigentlich getan werden?
Diese Frage kann mit einer OSINT-Analyse oder einem Cyber Security Check beantwortet werden. Doch was ist eigentlich der Unterschied zwischen den beiden Vorgehen und wann ist welche Methode sinnvoll?
In diesem Beitrag beleuchten wir beide Methoden, zeigen Gemeinsamkeiten und Unterschiede auf und geben Entscheidungshilfen für Compliance-Manager, IT-Leiter, CISOs sowie Geschäftsführer und Management.
Was ist ein Cyber Security Check?
Ein Cyber Security Check ist eine strukturierte Sicherheitsüberprüfung der technischen Infrastruktur, Prozesse und IT-Organisation eines Unternehmens. Ziel ist es, die tatsächliche Sicherheitslage zu ermitteln und priorisierte Empfehlungen zur Risikominimierung abzuleiten.
Bei Admijalo folgt der Cyber Security Check einem mehrstufigen Ablauf:
- Bestandsaufnahme: Wie ist Ihre Organisation strukturiert? Welche Prozesse sind relevant?
- Technikanalyse: Identifikation typischer Schwachstellen in Systemen, Netzwerken und Konfigurationen.
- Mitarbeiterbefragung: Einschätzung des Sicherheitsbewusstseins und der organisatorischen Maßnahmen.
- Risikobericht und Empfehlungen: Konkrete Handlungsempfehlungen nach Dringlichkeit priorisiert und für die sofortige Umsetzung geeignet.
Der Cyber Security Check ist ideal für Unternehmen, die eine strukturelle Schwachstellenanalyse benötigen, sei es zur Vorbereitung auf Audits (ISO 27001, DORA, NIS2) oder als unabhängige Statusaufnahme zur eigenen Absicherung.
Was ist eine OSINT-Analyse?
OSINT steht für Open Source Intelligence; also öffentlich zugängliche Informationen, die Angreifer nutzen könnten, um ein Unternehmen gezielt zu attackieren. Die Besonderheit: Bei einer OSINT-Analyse erfolgt kein Zugriff auf interne Systeme. Stattdessen betrachtet die Analyse, wie das Unternehmen von außen wirkt – aus Sicht potenzieller Angreifer.
Die OSINT-Analyse bei Admijalo umfasst:
- Informationssammlung: Offene Datenquellen wie Webseiten, Social Media Profile, DNS-Einträge, Pastebin, Darknet, Code-Repositories, …
- Risikoeinschätzung: Wie angreifbar erscheint das Unternehmen? Welche Daten sind ungewollt öffentlich?
- Risikobericht und Handlungsempfehlungen: Jedes Ergebnis wird mit Screenshots und Quellen dokumentiert und entsprechend dem Risiko für einen Cyberangriff bewertet.
Gerade in Unternehmen mit hoher Sichtbarkeit nach außen oder vielen digitalen Schnittstellen ist eine OSINT-Analyse ein unverzichtbares Werkzeug, um blinde Flecken zu identifizieren und potenzielle Sicherheitslücken zu schließen.
Auch Cyberkriminelle nutzen OSINT als Werkzeug zur Informationsbeschaffung, um Schwachstellen zu identifizieren und Cyberangriffe vorzubereiten. So wurden in den vergangenen Jahren unter anderem LinkedIn-Profile von CEOs ausgespäht oder Informationen aus öffentlich zugänglichen Stellenausschreibungen genutzt, um anschließend mit gezielten Phishing-Kampagnen mehrere Millionen US-Dollar von öffentlichen Einrichtungen und Unternehmen zu erbeuten.
Mehr zur OSINT-Analyse finden Sie auch in unserem Blog-Beitrag: Was ist OSINT?
OSINT versus Cyber Security Check: Unterschiede auf einen Blick
| Cyber Security Check | OSINT-Analyse | |
|---|---|---|
| Perspektive | Intern / System-zentriert | Extern / Angreifer-zentriert |
| Datenquellen | Interne Systeme und Interviews | Öffentliche Quellen und Datenleaks |
| Technischer Zugriff | Ja | Nein |
| Typisches Ziel | Schwachstellen im Betrieb | Exponierte Informationen und Angriffsfläche |
| Einsatz im Audit | Ja (z.B. ISO 27001, DORA, NIS2) | Ja (z.B. ISO 27001, DORA, NIS2) |
Wann ergibt was für ein Unternehmen Sinn?
Die Wahl der Methode hängt stark vom Ziel, der Reife der Sicherheitsstruktur und den regulatorischen Anforderungen ab:
Lassen Sie einen Cyber Security Check durchführen, wenn Sie …
- eine umfassende Schwachstellenbewertung Ihrer IT-Systeme brauchen,
- sich auf Audits oder Zertifizierungen vorbereiten (ISO 27001, DORA, NIS2),
- Klarheit über technische Risiken benötigen.
Lassen Sie eine OSINT-Analyse durchführen, wenn Sie …
- verstehen möchten, wie potenzielle Angreifer Ihr Unternehmen von außen sehen,
- potenzielle Datenlecks oder Expositionen für eine Risikobewertung oder zur Sicherstellung der Compliance identifizieren wollen,
- Awareness schaffen und das Sicherheitsbewusstsein insbesondere auf Personalebene erhöhen möchten.
Idealfall: Kombination aus Cyber Security Check und OSINT-Analyse
Eine OSINT-Analyse nutzt das, was bei einem Cyber Security Check nicht entdeckt wird. Deshalb gilt: Wer sein Unternehmen ernsthaft vor Cyberangriffen schützen will, braucht beides. Nur durch die Kombination erhalten Sie ein vollständiges Bild von der aktuellen Sicherheitslage in Ihrer Firma.
Compliance im Blick: DORA, NIS2 und Co.
Regulatorische Anforderungen wie DORA, NIS2, ISO 27001 oder auch die DSGVO verlangen von Unternehmen eine angemessene und nachweisbare Cybersicherheitsstrategie. Dabei geht es nicht nur um reaktive Maßnahmen nach Vorfällen, sondern um kontinuierliche Risikoanalyse und Prävention.
Beide Maßnahmen – Cyber Security Check und OSINT-Analyse – sind geeignet, um:
- Risiken systematisch und ganzheitlich zu identifizieren
- Lücken in bestehenden Maßnahmen aufzudecken
- die Einhaltung gesetzlicher Anforderungen nachweisbar zu gestalten
Besonders für KRITIS-Unternehmen oder solche mit regulatorischem Druck ist dies essenziell.
Cyber Security Check und OSINT-Analyse: Zwei Seiten derselben Medaille
Cyber Security Check und OSINT-Analyse betrachten unterschiedliche Ebenen Ihrer Sicherheitslage und genau deshalb sollten sie zusammenspielen: Der Cyber Security Check prüft Ihre Verteidigung von innen. Die OSINT-Analyse zeigt, wie Sie von außen verwundbar wirken.
Unternehmen, die sich auf Audits, Compliance-Anforderungen oder reale Bedrohungsszenarien vorbereiten, sollten daher beide Methoden in ihre Sicherheitsstrategie integrieren und regelmäßig durchführen.