Leistungen Ablauf Referenzen Über mich Preise Blog Erstgespräch vereinbaren

Start / Blog / OSINT

OSINT

Open-Source Intelligence (OSINT)

JB Jonas Borgartz 20. März 2026 8 Min. Lesezeit
Open-Source Intelligence

Immer wieder habe ich in den letzten Monaten das Wort OSINT in den Medien gehört. In unserer vernetzten Welt, in der der digitale Raum immer mehr Präsenz in unserem Alltag einfordert, ist OSINT eine beliebte Methode, nicht nur unter den Geheimdiensten dieser Welt, um sensible Informationen über Zielobjekte wie Personen und Behörden zu sammeln und für weitere Aktionen auszuwerten. Auch für Penetrationstests verwende ich OSINT und finde dabei oft wichtige Informationen, auf deren Basis ich weitere Angriffe erfolgreich ausführen konnte.

Was ist eigentlich OSINT?

OSINT ist der Prozess, öffentlich frei verfügbare Informationen über ein Ziel zu sammeln und die gefundenen Informationen aus verschiedenen Quellen miteinander in Verbindung zu setzen. Wichtig ist dabei zu verstehen, dass OSINT ausschließlich die passive Informationssammlung beschreibt. Das schließt etwa das Scannen von Subdomains aus, die Analyse des SSL-Zertifikats eines Webservers jedoch mit ein.

Methodik

Während einer Recherche unterscheiden wir zwischen Kernelementen und Informationsquellen. Die Kernelemente helfen uns, ein Gesamtbild des Ziels zu erhalten, etwa eingesetzte Applikationen, Server, Namen oder URLs. Die Informationsquellen liefern uns die Informationen über diese Kernelemente. Das können beispielsweise die Unternehmenswebseite oder soziale Netzwerke sein.

OSINT-Methodik: Kernelemente und Informationsquellen

Für alle, die noch nicht ihr eigenes Framework entwickelt haben, kann ich als ersten Anhaltspunkt das OSINT Framework empfehlen. Dort findet ihr jede Menge Tools, die euch bei eurer Recherche unterstützen können.

OSINT Framework Übersicht

OSINT in der Praxis: Stadtverwaltung Rosenheim

Im Folgenden nehme ich die Stadtverwaltung Rosenheim als Beispiel und führe eine OSINT-Recherche durch.

Standorte

Die ersten Informationen über das Ziel können wir sehr bequem von der Homepage rosenheim.de abrufen. Direkt dort finden wir die offiziellen Verwaltungsgebäude. Diese sollten wir uns genauer anschauen, da jedes einzelne unterschiedliche Angriffsvektoren bereithält: Architektur, Mitarbeiter und Sicherheitsmaßnahmen unterscheiden sich von Standort zu Standort.

Verwaltungsstandorte der Stadt Rosenheim

Für eine erste passive Informationssammlung können wir uns mit showmystreet die äußeren Fassaden anschauen, mögliche Schwachpunkte für ein unbefugtes Eindringen notieren, gute Spots für USB-Drop-Angriffe ermitteln und erste Sicherheitsmaßnahmen wie Kameras und Türschlosssysteme erkennen. Darüber hinaus sind alle WLAN-Standorte verzeichnet. Diese können wir zu einem späteren Zeitpunkt auf Fehlkonfigurationen untersuchen, um weitere Angriffsvektoren zu identifizieren.

Standortansicht über showmystreet

Mitarbeiter

Eine genaue Übersicht über die Mitarbeiter-Struktur ist entscheidend, um weitere Angriffe wie Phishing oder Social Engineering erfolgreich durchzuführen. Die Stadt Rosenheim veröffentlicht umfangreiche Informationen über ihre interne Struktur. So steht das aktuelle Organigramm öffentlich zur Verfügung, ebenso die verschiedenen Dienststellen.

Öffentliches Organigramm der Stadtverwaltung

Zusätzlich können Personendatenbanken wie Lusha untersucht werden, um weitere Informationen zu Mitarbeitern sowie deren Positionen und Kontaktdaten zu finden.

Personendatenbank-Recherche

Auf Basis der gesammelten Informationen können wir auf sozialen Netzwerken wie LinkedIn oder Instagram nach Zielpersonen suchen und persönliche Informationen abgreifen. Hunter.io ist ein weiteres Tool, das uns helfen kann, Informationen über Personen zu finden. Die Wayback Machine ist ein Internetarchiv, das regelmäßig Snapshots von Webseiten erstellt und abspeichert. Wir können das für unsere Recherche nutzen und uns ältere Versionen von Webseiten ansehen, auf denen möglicherweise sensible Informationen öffentlich waren, da Datenschutz früher nicht so stark im Fokus stand. So lässt sich beispielsweise die Webseite der Stadt Rosenheim von 2017 betrachten:

Archivierte Webseite 2017 (1)
Archivierte Webseite 2017 (2)

Dateien

Um gezielt nach Dateien zu suchen, kann ich Google Hacking empfehlen. Dabei filtern wir gezielt nach bestimmten Informationen. Zum Beispiel kann ich mit der Anfrage inurl:rosenheim.de filetype:pdf gezielt PDFs suchen, die rosenheim.de in der URL enthalten.

Google-Hacking-Suchanfrage

Die gefundenen Dateien können wir anschließend nach Metadaten untersuchen. Hier sehen wir, dass die Stadt Rosenheim Microsoft 365 einsetzt, und vermutlich die Personalnummer des Erstellers.

Metadaten-Analyse mit exiftool

Die Stadt Rosenheim veröffentlicht recht umfangreiche Informationen über künftig geplante Maßnahmen, aus denen wir einige interessante Schlüsse ziehen können. Schauen wir uns die aktuelle IT- und Digitalisierungsstrategie 2035 an:

IT- und Digitalisierungsstrategie 2035

Hier wird ein Dokumentenmanagementsystem erwähnt, das möglicherweise noch im Einsatz ist, aber bereits keinen Support mehr vom Hersteller erhält.

Hinweis auf veraltetes Dokumentenmanagementsystem

Ein weiterer interessanter Abschnitt findet sich unter dem Titel Cybersicherheit:

Abschnitt Cybersicherheit der IT-Strategie

Da es sich um die Strategie bis 2035 handelt, können wir davon ausgehen, dass einige der oben erwähnten Maßnahmen noch nicht umgesetzt wurden und Verteidigungsmaßnahmen wie IDS/IPS-Systeme und MFA nicht im Einsatz sind. Das kann uns bei späteren offensiven Maßnahmen erheblich erleichtern.

IT-Infrastruktur

Aus unseren bisherigen Recherchen wissen wir, dass die Stadt Rosenheim auf eine hybride Infrastruktur setzt. Es kommen also sowohl Cloud-Anbieter als auch eigene On-Premise-Server zum Einsatz. Wenn wir die URL rosenheim.de in die zugehörige IPv4-Adresse auflösen und diese mit whois abfragen, sehen wir, dass der Webserver in der Cloud bei Amazon steht.

whois-Abfrage der IP-Adresse

Da wir keine aktiven Untersuchungsmethoden wie Subdomain-Enumeration verwenden dürfen, müssen wir auf Drittanbieter wie shodan.io zurückgreifen, um mehr über die IT-Infrastruktur unseres Ziels zu erfahren. Hier erhalten wir eine Übersicht über alle registrierten Subdomänen und deren zugehörige IPv4-Adressen.

Shodan-Übersicht der Subdomänen

Mit dem org-Suchfilter können wir auch direkt nach Clients filtern, die der Stadt Rosenheim zugeordnet sind. Diese sind für einen Angreifer besonders interessant, weil sie oft in der DMZ einer Organisation stehen und eine erfolgreiche Übernahme direkten Zugang ins interne Netzwerk gewährt. Im Screenshot sehen wir eine Reihe von IP-Adressen, offenen Ports und eingesetzten Produkten.

Shodan-Ergebnisse mit org-Filter

Wir können die Ergebnisse weiter filtern und uns nur Port 80 anzeigen lassen, um Interfaces zu finden, die unverschlüsselt kommunizieren. Wir sehen, dass zwei IP-Adressen den HTTP-Status 200 zurücksenden, wo eigentlich ein Redirect (302) auf den HTTPS-Port 443 erfolgen sollte.

Unverschlüsselte HTTP-Endpunkte auf Port 80

Wenn wir die IP-Adresse für das Ticketsystem der Leitstelle Rosenheim untersuchen, sehen wir, dass diese sowie die IP-Range 80.155.171.240-255 zur Stadtverwaltung Rosenheim gehören. Diese sollten wir weiter untersuchen.

whois-Abfrage der IP-Range

Eine weitere Methode, um mehr über die Infrastruktur von Unternehmen zu erfahren, ist tineye.com. Damit führen wir eine Reverse-Image-Suche durch: Wir geben einen Link zu einem Unternehmenslogo an und erhalten alle Webseiten angezeigt, die dieses Logo enthalten.

Fazit

Wie demonstriert, konnte ich mit wirklich minimalem Aufwand bereits eine ganze Menge an Informationen über die Stadtverwaltung in Erfahrung bringen und einige interessante Angriffsvektoren identifizieren. Die vorhandenen HTTP-Endpunkte zeigen erste Fehlkonfigurationen in der IT-Infrastruktur, und wo eine Schwachstelle ist, sind erfahrungsgemäß noch weitere zu finden.

Happy Hacking :)

Jonas Borgartz

Jonas Borgartz

Freiberuflicher Ethical Hacker und Penetrationstester. Ich prüfe Unternehmensnetzwerke aus der Perspektive eines echten Angreifers, von OSINT bis zur vollständigen Domänenübernahme.

Alle Artikel Erstgespräch vereinbaren