Was ist OSINT? Die unterschätzte Gefahr im Unternehmen

Wie öffentlich verfügbare Informationen Phishing-Angriffe ermöglichen

Nicht technische Sicherheitslücken sind die größte Gefahr für Unternehmen – sondern öffentlich zugängliche Informationen, die täglich im Netz stehen. Ein Angreifer braucht keinen technischen Exploit, wenn Impressum, LinkedIn-Profile und Stellenausschreibungen schon alle Zugänge öffnen.

Diese Form der Informationsbeschaffung nennt sich OSINT (Open Source Intelligence)-Analyse. Sie ist das Fundament moderner Social-Engineering-Angriffe und wird in Unternehmen oft unterschätzt.

In diesem Beitrag erfahren Sie, was OSINT ist, wie es funktioniert, welche realen Angriffe damit bereits durchgeführt wurden und was Sie tun können, um Ihre digitale Angriffsfläche zu verringern.

Was bedeutet OSINT – und warum ist es kein Nischenthema mehr?

OSINT (Open Source Intelligence) bezeichnet die systematische Sammlung und Auswertung öffentlich zugänglicher Informationen. Ursprünglich in militärischen Kontexten genutzt, ist OSINT heute fester Bestandteil professioneller Angriffsplanung, Penetrationstests und Red-Teaming-Methoden.

Typische Datenquellen für OSINT-Analysen:

• Unternehmenswebseiten und Impressum
• LinkedIn-, Xing-, Facebook- und sonstige Social-Media-Profile von Mitarbeitenden
• Stellenausschreibungen und Pressemitteilungen
• GitHub, Stack Overflow, Foren
• Shodan, Archive.org, Google-Cache

Je mehr Informationen verfügbar sind, desto leichter lässt sich Vertrauen erschleichen oder ein technischer Angriff vorbereiten.

OSINT vs. klassisches Hacking

Der große Unterschied: OSINT erfordert keine technischen Schwachstellen.
Es geht um frei zugängliche Informationen, glaubwürdige Vortäuschung und gezielte Desinformation.

Wie Cyberkriminelle OSINT nutzen, um Vertrauen zu erschleichen

Angreifer recherchieren bei einer OSINT-Analyse unter anderem folgende Informationen:

• Wer hat welche Rolle im Unternehmen?
• Welche Tools werden genutzt?
• Wie sieht die E-Mail-Signatur aus?
• Welche Sprache, Formulierungen und Abläufe sind typisch?

Auf Basis dieser Informationen werden Phishing-Mails (insbesondere Spear-Phishing), Vishing-Anrufe oder CEO-Fraud-Kampagnen so glaubwürdig gestaltet, dass selbst geschulte Mitarbeitende getäuscht werden können.

OSINT-basierte Cyberangriffe und Learnings für Geschäftsführer und Management

CEO-Fraud via LinkedIn

Angreifer analysierten unter anderem via LinkedIn die Rollen von CEO, CFO und HR-Leitung verschiedener Unternehmen und Behörden. Sie schrieben der HR- bzw. Buchhaltungsabteilung mit gefälschten Absenderadressen und glaubwürdigem Tonfall E-Mails mit der Bitte um „schnelle Übersendung der Gehaltsdaten“. Der Schaden: mehrere Millionen US-Dollar.

Learning: Schon wenige, frei einsehbare Informationen reichen, um Autorität vorzutäuschen und kritische Daten abzugreifen.

GitHub-Leaks über Stellenausschreibungen

Ein großer Cloud-Anbieter veröffentlichte eine Stellenanzeige, in der explizit der verwendete Technologie-Stack genannt wurde. Ein Angreifer nutzte diese Info, kombinierte sie mit geleakten GitHub-Repositories und fand Zugriffsdaten in Konfigurationsdateien. Der Angriff wurde als legitime Anmeldung getarnt.

Im April 2025 berichtete GreyNoise über einen starken Anstieg von Scans nach exponierten Git-Konfigurationsdateien.

Learning: Technische Details in Stellenausschreibungen können ein Startpunkt für zielgerichtetes Scanning und Credential Stuffing sein; besonders wenn Entwickler unsauber mit Repository-Zugängen umgehen.

Admijalo: OSINT-Analysen als Teil des Inkognitoangriffs

Als Angreifer bei unserem Inkognitoangriff ziehen auch wir alle Register. Dies sieht unter anderem wie folgt aus:

Unser Red Team analysiert Website, Stellenanzeigen und öffentliche LinkedIn- oder Xing-Profile beispielsweise eines mittelständischen Industrieunternehmens.
Dabei erhalten wir unter anderem Informationen wie diese hier:

• Es gibt eine IT-Leiterin
• Ein bestimmtes Remote-Tool (TeamViewer) wird genutzt
• Die Telefonnummer der Assistenz steht online

Dieses Wissen nutzt unser Red Team nun, um bei der Firma anzurufen (Voice-Phishing), sich als Techniker des IT-Dienstleisters auszugeben und um einen kurzen „Verbindungstest“ zu bitten.

2024 waren 71% unserer simulierten Voice-Phishing-Angriffe erfolgreich

Learning: Social Engineers nutzen Sprache, Timing und Rollendetails, um stressige Alltagssituationen auszunutzen. Wer gut informiert ist, muss nicht technisch versiert sein, um erfolgreich zu sein.

OSINT-Risiken erkennen: Was sehen Hacker über mein Unternehmen?

Die sogenannte digitale Angriffsfläche beschreibt alle Informationen, die über ein Unternehmen im Netz frei auffindbar sind.

Dazu zählen:

• Namen, Rollen und Telefonnummern im Impressum
• Inhalte und Metadaten von PDF-Dokumenten auf der Website
• Jobanzeigen mit Tools, Standorten, Ansprechpartnern
• GitHub-Repositories mit verknüpften Unternehmens-E-Mails
• Event-Teilnahmen, Presseveröffentlichungen

So identifizieren Sie sensible Informationen

• Googeln Sie Ihren Firmennamen + filetype:pdf
• Suchen Sie GitHub nach Ihrer Unternehmensdomain
• Analysieren Sie Ihre Stellenausschreibungen wie ein Angreifer
• Nutzen Sie Tools wie Spiderfoot oder Recon-ng
• Prüfen Sie, welche Bilder, Dokumente oder Mitarbeitende in Google sichtbar sind

Wie Unternehmen OSINT-Prävention strategisch angehen können

1. Bewusstsein schaffen

• Mitarbeitende aufklären: Welche Infos dürfen wohin?
• Sensibilisierung für Rollen wie HR, Assistenz, Vertrieb

2. Policies und Prozesse überarbeiten

• Impressumsdaten: Rolle statt Namen?
• Stellenausschreibungen: technische Details reduzieren?
• Freigabeprozesse für neue Inhalte und PDFs

3. Monitoring & Self-Check etablieren

• Regelmäßiger „Digital Footprint Check“
• Interne Rolle für Exposure Management definieren
• Kombination mit Datenschutz-Audit prüfen

OSINT und Compliance

Rechtlich ist OSINT oft eine Grauzone. Zwar sind viele Informationen legal zugänglich. Ihre Verwendung zum Angriff ist jedoch hochproblematisch.
Unternehmen sollten prüfen, welche Informationen rechtlich sensibel werden, wenn sie kombiniert werden (z. B. personenbezogene Daten in Metadaten).

Zugleich spielt OSINT eine zentrale Rolle bei der Umsetzung regulatorischer Anforderungen:

• DORA, Artikel 25 Abs. 1–2, verlangt ausdrücklich eine regelmäßige Bewertung der IT-Risiken durch Bedrohungsanalysen – explizit auch unter Einbeziehung von Schwachstellen, die durch öffentlich zugängliche Informationen entstehen können. Mehr zu den DORA-Maßnahmen finden Sie hier.

• Auch NIS2 verpflichtet Unternehmen dazu, ihre Angriffsfläche und potenzielle Informationslecks im Blick zu behalten – inklusive organisatorischer und menschlicher Risiken. Mehr zur NIS2 finden Sie hier.

Eine strukturierte OSINT-Analyse hilft, diese Anforderungen zu erfüllen, und deckt verborgene Sicherheitslücken auf, bevor sie von Angreifern genutzt werden.

Admijalo bietet Unternehmen im Rahmen des Inkognitoangriffs oder einzeln die Möglichkeit, eine OSINT-Analyse durchzuführen, um Sicherheitsrisiken zu erkennen und die Gefahr eines Cyberangriffs zu minimieren.

Mehr Informationen zur OSINT-Analyse finden Sie hier.

Fazit: OSINT öffnet Türen für Cyberangriffe

Die größte Sicherheitslücke vieler Unternehmen liegt nicht in der Technik, sondern in ihrem Informationsmanagement. OSINT bietet Angreifern eine täglich wachsende Grundlage für gezielte Täuschung. Wer Cyberkriminalität verhindern will, muss die eigene digitale Angriffsfläche kennen und bewusst kontrollieren.