Cyberkriminelle nutzen Open Source Intelligence

Aus öffentlich zugänglichen Quellen lassen sich mit Open Source Intelligence (OSINT) Informationen für nachrichtendienstliche Zwecke sammeln. Wer eine Suchmaschine verwendet, um mehr über einen potenziellen Kunden, Arbeitgeber oder eine Person zu erfahren, nutzt OSINT. Und OSINT gewinnt für Cyberkriminelle zunehmend an Bedeutung. Wenn Bedrohungsakteure OSINT über ein Angriffsziel oder eine Zielorganisation sammeln, werden sie alle Arten von Informationen ausforschen, welche ihnen nützliche Hinweise für einen digitalen Angriff liefern.

Informationen über Einzelpersonen sammeln

Karrierenetzwerke und andere soziale Medien sind eine reichhaltige Informationsquelle über Einzelpersonen und ihre Rollen in einem Unternehmen. Diese Art der Intelligenz ist äußerst nützlich für Social Engineering – häufig lässt sich leicht feststellen, wer für wen arbeitet, wer welche Berechtigungsstufe hat, wer für den IT-Helpdesk tätig ist und den Namen der Führungskraft mit dem größten Einfluss.

Ebenso lassen sich hochwertige Zielpersonen identifizieren und positive Feedbackschleifen der Informationserfassung erstellen. Aus früheren Breaches wiederrum können Informationen über die Wiederverwendung von Passwörtern generiert werden. So werden ehemalige Opfer einer Datenschutzverletzung unwissentlich zu virtuellen Komplizen der Angreifer.

Informationen über genutzte IT

Karrierenetzwerke und Stellenausschreibungen sind ebenfalls eine reichhaltige Informationsquelle in Bezug auf die Technologien, die ein Unternehmen einsetzt. Diese Technologieintelligenz ist offensichtlich sehr nützlich bei der Durchführung eines Angriffs. Sie gibt unter anderem Auskunft darüber, welche Arten von Datenbanken ein Unternehmen verwendet, welche Cloud-Plattformen für kritischen Geschäftsanwendungen es nutzt und welche Betriebssysteme auf den Endpoints laufen.

Oftmals lassen Mitarbeiter sogar die Art von Sicherheitslösungen durchsickern, die ihr Unternehmen verwendet. Denn viele Menschen in technischen Bereichen nutzen Karrierenetzwerke als Plattform für ihren Lebenslauf und fügen reichhaltigere Informationen in ihre Profile ein. So bekommen Angreifer ein gutes Bild der von einem potenziellen Opfer genutzten Technologien, die es zu kompromittieren gilt.

Assets für gezielte Angriffe identifizieren

Cyberkriminelle suchen auch nach Informationen über die spezifischen Assets eines Unternehmens. Die bekommen sie über kostenlose Tools wie Shodan und Censys, ohne einen einzigen Endpoint des Angriffsziels sondieren zu müssen. Diese OSINT ermöglicht es beispielsweise, Webanwendungen zu identifizieren, die für Angriffe geeignet sind. Weitere Risiken birgt die Ausführung von sensiblen Diensten wie Remotedesktop, LDAP oder sogar SQL-Datenbanken, die extern ausgerichtet sind. Auch das Dursuchen öffentlicher Code-Repositories kann für Cyberkriminelle lohnend sein: So sind mehrere Fälle bekannt, in denen Passwörter in öffentlich zugänglichen Skripten hartcodiert wurden.

Doch es gibt online noch viel mehr OSINT-Intelligenz: Branchen- und Unternehmensjargons, die sich ideal für Social Engineering eignen. Bilder von Unternehmensausweisen, mit denen die physische Sicherheit einer Einrichtung in Gefahr gerät. Oder persönliche Informationen wie Mädchennamen von Müttern, Grundschulen und Lieblingsurlaubsorte, mit denen sich Passwörter und Antworten auf Sicherheitsfragen erraten lassen. Social Media ist eine Fundgrube für OSINT-Intelligenz. Was viele zudem nicht berücksichtigen: Sind Informationen erst einmal in sozialen Medien geposted, werden sie aller Wahrscheinlichkeit nach für immer online verfügbar sein.

Pentesting allein hilft nicht

Die meisten Unternehmen denken bei kontradiktorischen Tests in erster Linie an technische Penetrationstests (Pentesting). Sie möchten vielleicht wissen, ob sie ihre Firewalls richtig konfiguriert haben, ob sie ungepatchte Softwareschwachstellen haben und ob geteilte Berechtigungen auf Administratorebene es einem Bedrohungsakteur ermöglichen, sich seitlich durch die Systeme zu bewegen, sobald der Perimeter kompromittiert wurde.

Aber kontradiktorische Tests sind viel mehr als das. Für Sicherheitstests ist es unerlässlich, eine Organisation genau der gleichen Art von böswilligem Verhalten auszusetzen, wie es ein echter Cyberkrimineller oder staatlicher Akteur machen würde. Mittels Red Teaming versucht eine Gruppe von extern beauftragten Pentestern Ihr Unternehmen zu hacken. Auf diese Weise zeigt sich, wie gut die Cyberresilience ist und wo ein Unternehmen nachbessern sollte. Wichtig dabei ist es, möglichst viele potenzielle Angriffsvektoren zu überprüfen: OSINT, Software-Schwachstellen, falsche Konfigurationen, laxe Berechtigungskontrollen oder die schlechten digitalen Gewohnheiten der Mitarbeiter.

Eric Escobar

ist Senior Consultant IT Security bei
Secureworks Adversary Group

Roger Homrich

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago