Unternehmens-OSINT-Audit · Tatsächliche Exposition aus Angreifersicht | OCIRIA
Was ein Angreifer über Ihr Unternehmen sieht, ohne irgendetwas anzufassen. Executive- und Technical-Bericht, 100% legal und passiv.
Unternehmens-OSINT-Audit
Die tatsächliche Exposition Ihrer Organisation, aus Angreifersicht
OSINT (Open Source Intelligence · Aufklärung aus offenen Quellen) ist die Disziplin, die öffentlich verfügbare Informationen sammelt, korreliert und analysiert, um ein Profil eines Ziels aufzubauen. Es ist das Erste, was jeder einigermaßen seriöse Angreifer tut, bevor er aktiv wird. Vorher zu wissen, was über Ihre Organisation offen zugänglich ist, bevor jemand mit schlechteren Absichten es nutzt, ist elementar.
---
Was es ist
Ein Unternehmens-OSINT-Audit ist Aufklärungsarbeit, kein Pentesting. Wir testen keine Schwachstellen, greifen nicht auf Ihre Systeme zu, versenden keine vorgetäuschten E-Mails. Wir sammeln ausschließlich aus offenen und legitimen Quellen alle Informationen, die ein moderat motivierter Angreifer mit zehn Tagen Einsatz über Ihre Organisation erhalten könnte.
Das Ergebnis hat zwei Lesarten. Die erste ist defensiv: Sie zeigt, welche Informationen offenliegen, ohne dass das Unternehmen davon weiß (geleakte Zugangsdaten, irrtümlich veröffentlichte interne Dokumente, in der Cloud eines alten Anbieters vergessene Infrastruktur). Die zweite ist Aufklärung: Sie zeigt, wie ein Angreifer aus diesen Informationen den Angriffsfall konstruieren würde (welche Führungskraft anfällig für Social Engineering ist, welcher schwache Lieferant der wahrscheinlichste Weg ist, welcher exponierte Dienst am leichtesten ausgenutzt werden kann).
Der Unterschied zu einem automatisierten Angriffsflächenscan ist, dass hier ein menschlicher Analyst Stücke korreliert, nicht ein Skript, das Regeln ausführt. Der Bericht ist in klarer Sprache für die Geschäftsleitung und in technischer Sprache für das Team verfasst, ohne Befunde aufzublähen oder hinter Jargon zu verstecken.
---
Wann Sie es brauchen
Nach einer Fusion, Übernahme oder bedeutenden organisatorischen Veränderung. Jede Veränderung bringt neue Domains, geerbte Infrastruktur, Mitarbeitende mit neuen öffentlichen Profilen und geerbte Verträge mit Technologielieferanten mit sich. Die Karte ändert sich schnell, und vieles bleibt halb integriert. Ein OSINT-Audit nach der Veränderung identifiziert die Lücken.
Vor einer bedeutenden Unternehmensoperation. Börsengang, wichtige Finanzierungsrunde, strategischer Vertrag, der Ihr Expositionsprofil ändert. Der Fragebogen des Käufers oder Investors wird Fragen zur digitalen Exposition enthalten. Es ist besser, aus einem aktuellen eigenen Bericht heraus zu antworten als aus der Improvisation.
Nach einem Vorfall oder Verdacht auf ein Leck. Wenn es einen Ransomware-Versuch, einen Betrugsversuch durch Imitation des CFO, ein Leck bei einem Lieferanten oder einfach eine fast durchgekommene Phishing-Mail gab, bestimmt ein OSINT-Audit, ob Informationen Ihrer Organisation an Orten zirkulieren, die zusätzliche Warnungen rechtfertigen.
Als wiederkehrende Praxis. Wir empfehlen die jährliche Wiederholung oder nach wichtigen Änderungen. Exposition ist nicht statisch: Jeder neue Mitarbeitende, jedes neue SaaS-Tool, jedes im Web veröffentlichte Dokument vergrößert die Fläche.
---
So arbeiten wir
Phase 1 · Umfang und Autorisierung (Tag 1-2). Wir vereinbaren schriftlich den Umfang: Domains, Marken, wichtige Führungsprofile, Geografien und einbezogene Lieferanten. Wir unterzeichnen formale Autorisierung (auf unserer Seite erforderlich für saubere rechtliche Abdeckung) und Vertraulichkeitsvereinbarung auf Ihrer Seite.
Phase 2 · Erhebung (Woche 1-2). Feldarbeit im passiven OSINT: Aufzählung von Domains und Subdomains, Zertifikatsanalyse, Inventarisierung exponierter Infrastruktur, Suche in öffentlichen Breach-Datenbanken, Analyse der Präsenz von Führungskräften in beruflichen Netzwerken und Foren, Identifikation versehentlich veröffentlichter interner Dokumente, Überprüfung öffentlicher Repositories auf Leaks von Zugangsdaten oder Geheimnissen, Identifikation aktiver Imitationen (ähnliche Domains, gefälschte Profile), Korrelation mit wichtigen Technologielieferanten.
Phase 3 · Analyse und Priorisierung (Woche 2-3). Wir kreuzen die Befunde. Eine isolierte geleakte Zugangskennung ist ein Datum; eine geleakte Kennung des Finanzleiters kombiniert mit einer kürzlich registrierten Look-alike-Domain ist ein bevorstehendes Betrugsszenario. Wir priorisieren nach Ausnutzungswahrscheinlichkeit und Auswirkung, nicht nach Volumen.
Phase 4 · Übergabe und Präsentation (Woche 3). Wir liefern zwei Berichte und präsentieren sie: einen für die Geschäftsleitung (was wir fanden, was es bedeutet, was in den nächsten neunzig Tagen zu tun ist) und einen technischen für das Team (jeder Befund mit Nachweis, Quelle, Erfassungsdatum und spezifischer operativer Empfehlung).
---
Was wir liefern
- Executive-Bericht (5-8 Seiten) für die Geschäftsleitung und das Exekutivkomitee, mit Zusammenfassung kritischer Befunde, geschätzter Auswirkung, priorisiertem Mitigationsplan und Schlüsselbotschaften zur internen Kommunikation.
- Technical-Bericht (typischerweise 30-60 Seiten je nach Befunden) mit jedem dokumentierten Befund: erfasstem Nachweis, Quelle, Datum, Kritikalität, Ausnutzungsvektor, empfohlener Gegenmaßnahme und Priorität.
- 90-Tage-Mitigationsplan mit konkreten Maßnahmen, vorgeschlagenem Verantwortlichen und vernünftiger Ausführungsreihenfolge.
- Beweisrepository über sicheren Kanal übergeben, mit eingeschränktem Zugang und vereinbarter Aufbewahrung.
- Doppelte Präsentation: eine für die Geschäftsleitung, eine für das Technikteam.
- Priorisierte Liste vorgeschlagener kontinuierlicher Überwachung (zu beobachtende Look-alike-Domains, zu alarmierende Profile, zu prüfende Quellen).
---
Für wen es ist
Organisationen mit signifikanter digitaler Präsenz, sichtbaren Führungskräften oder Exposition gegenüber Social Engineering. Besonders nützlich für:
- Unternehmen in Unternehmensoperationen (Fusion, Übernahme, Runde, Börsengang), die aktuelle und überprüfbare Dokumentation ihrer Exposition benötigen.
- Sektoren mit hohem regulatorischen oder Reputationsrisiko (Finanz, Gesundheit, Energie, kritische Infrastrukturen, professionelle Dienstleistungen mit hochrangigen Kunden).
- Organisationen mit öffentlichen oder einflussreichen Führungskräften, bei denen auf Personen gerichtetes Social Engineering ein relevanter Vektor ist.
---
Häufige Fragen
Ist es legal, ein OSINT-Audit über das eigene Unternehmen durchzuführen?
Ja, im Umfang, den Sie uns autorisieren. Wir arbeiten ausschließlich mit offenen Quellen und passiven Techniken. Wir greifen nicht auf Ihre Systeme oder die Dritter zu, geben uns nicht als jemand anderes aus, kontaktieren keine Mitarbeitenden. Die schriftliche Autorisierung, die wir vor Beginn unterschreiben, deckt uns gegen Missverständnisse und deckt Sie gegen Prüfer, die fragen, warum ein Dritter Daten über die Organisation gesammelt hat.
Wie lange dauert die Arbeit?
Drei Wochen ab Unterzeichnung der formalen Autorisierung und Kick-off. Wenn der Umfang sehr breit ist (internationale Gruppe mit Dutzenden Tochtergesellschaften und Marken), wird er in Wellen segmentiert, um die Qualität der menschlichen Analyse zu wahren.
Was ist der Unterschied zwischen diesem und Pentesting?
Pentesting prüft aktiv Schwachstellen und berührt Ihre Systeme mit Autorisierung. OSINT berührt nichts: Es sammelt und analysiert nur, was bereits öffentlich ist. Sie ergänzen sich; OSINT geht meist dem Pentesting voraus, damit dieses fokussiert auf das geht, was wirklich zählt.
Was passiert, wenn Sie während der Arbeit etwas Ernsthaftes finden?
Wir eskalieren sofort, ohne auf die endgültige Übergabe zu warten. Wenn aktive kritische geleakte Zugangsdaten, eine für Betrug genutzte Look-alike-Domain oder versehentlich veröffentlichte sensible Informationen vorliegen, melden wir uns innerhalb von 24 Stunden mit dem Befund und der sofortigen Mitigationsempfehlung.
Können Sie das periodisch als Managed Service machen?
Ja. Nach dem ersten Audit können wir einen kontinuierlichen Überwachungsdienst anbieten, der relevante Quellen beobachtet und Sie alarmiert, wenn sich etwas ändert (neue geleakte Zugangsdaten, neue Look-alike-Domain, neue Erwähnung Ihrer Organisation in illegalen Foren). Wir besprechen das beim Abschluss, wenn es sinnvoll ist.
Was geschieht mit persönlichen Daten von Mitarbeitenden, die in Befunden auftauchen?
Wir verarbeiten minimal nötige Informationen, anonymisieren wo möglich und löschen Beweise am Projektende mit Ausnahme vereinbarter Aufbewahrung. Wir halten DSGVO als gemeinsam Verantwortliche während des Projekts ein.
---
Typische Anwendungsfälle
Fall 1 · Das Unternehmen mitten im Übernahmeprozess. Industrieunternehmen mit einhundertfünfzig Mitarbeitenden im Verkaufsprozess an eine internationale Gruppe. Der Käufer verlangt Cybersecurity-Due-Diligence als Bedingung für den Preisabschluss. Wir führen OSINT-Audit in drei Wochen durch. Hauptbefund: drei aktive geleakte Zugangsdaten ehemaliger Mitarbeitender mit nicht widerrufenen Zugängen, eine unbekannte Look-alike-Domain in Nutzung und sensible Dokumentation in einem alten IT-Lieferanten-Repository veröffentlicht. Das Unternehmen schließt Befunde vor der formalen Due Diligence und liefert sauberen Bericht an den Käufer.
Fall 2 · Die Kanzlei nach versuchtem CFO-Betrug. Professionelle Kanzlei erleidet einen Betrugsversuch durch Imitation des CFO bei einer Überweisung. Die Überweisung wurde rechtzeitig gestoppt. Das OSINT-Audit identifiziert, dass der Angreifer die gesamte Führungshierarchie aus öffentlichen Berufsnetzwerken profiliert hatte, die Namen wichtiger Mandanten aus der Presse kannte und zwei Monate zuvor eine Look-alike-Domain registriert hatte. Mitigationsplan: Überprüfung der Führungs-Exposition, Überwachung von Look-alike-Domains, Doppelverifizierungsprotokoll für Überweisungen oberhalb einer Schwelle.
Fall 3 · Die internationale Gruppe mit schneller Expansion. Dienstleistungsgruppe mit Präsenz in fünf Ländern und zehn Marken, Wachstum durch Übernahmen. OSINT-Audit fokussiert auf die Kartierung des wahren Perimeters: vergessene Domains übernommener Marken, nicht inventarisierte Infrastruktur, nicht aktualisierte öffentliche Profile geerbter Führungskräfte. Ergebnis: korrigiertes Inventar mit zwölf Domains und dreiundzwanzig zuvor nicht gezählten Assets, nachfolgender Konsolidierungsplan.
---
Wie anfangen?
Der erste Schritt ist eine kostenlose einwöchige Erstdiagnose. Wir vereinbaren Umfang, sagen Ihnen, was wir typisch bei einem Unternehmen Ihres Profils finden würden, und liefern einen konkreten Vorschlag ohne Verpflichtung. Wenn es nicht für Sie ist, sagen wir es.
Schreiben Sie uns an [[email protected]](mailto:[email protected])
---
Andere Leistungen
- [Monatlicher vCISO · Sicherheitsleitung](/de/leistungen/vciso-detalle)
- [ISO/IEC 42001 · Pilot für verantwortungsvolles KI-Management](/de/leistungen/iso-42001-detalle)