OSINT-Audit für eine europäische Hotelkette

Sektor

Hotellerie · Boutique-Kette mit 8-12 Häusern · Mittel- und Osteuropa · 250-400 Mitarbeitende.

Ausgangslage

Vor einer Finanzierungsrunde bat die Geschäftsleitung um eine Überprüfung, welche sensiblen Informationen über das Unternehmen öffentlich zugänglich waren. Anlass waren ein jüngster Vorfall in der Branche sowie die Vorbereitung eines Due-Diligence-Prozesses, in dem die Datenschutzpraktiken geprüft werden sollten.

Vorgehen

Wir führten ein strukturiertes OSINT-Audit auf vier Ebenen durch: technische Oberfläche (exponierte Subdomains, öffentliche Repositories, nicht authentifizierte Buckets), Dokumentenoberfläche (Scribd, SlideShare, akademische Repositories und Ausschreibungsportale), menschliche Oberfläche (berufliche Profile mit Hinweisen auf interne Infrastruktur) und Lieferantenoberfläche. Die Ergebnisse wurden mit dem unter NDA bereitgestellten internen Inventar abgeglichen. Jeder Befund wurde manuell validiert, um Fehlalarme vor der Berichtsabgabe auszuschließen.

Ergebnis

Interne Dokumente mit personenbezogenen Daten von Gästen und Mitarbeitenden waren unbeabsichtigt in externen Repositories veröffentlicht worden, ebenso historische Zugangsdaten aus Datenpannen Dritter. Wir entwarfen einen Eindämmungsplan über fünf Tage und bereiteten die Unterlagen für die fristgerechte Meldung an die zuständige Aufsichtsbehörde nach DSGVO vor.

Lehre

Die schwerwiegendsten Datenabflüsse stammen selten aus einem ausgefeilten Angriff: Sie stammen aus Routineprozessen ohne Kontrolle darüber, wo geteilte Dokumente landen.

Zeit und Aufwand

12-18 Kalendertage · 35-50 Beratungsstunden · 1 Management-Report + 1 technischer Bericht + 1 Remediation-Plan.

Schlagwörter

OSINT · DSGVO · Datenschutzbeauftragter · Incident Management · Due Diligence · Dokumentenhygiene