OSINT =
gezieltes Sammeln, Verarbeiten und Analysieren von Informationen aus öffentlich zugänglichen Quellen.
Kernprinzip bezüglich öffentlichen Daten
Öffentlich =/= harmlos –> strukturierte Analyse in verwertbare Erkenntnisse
Was ist die Problematik der “freiwilligen” Datenfreigabe?
- Platfformregeln und Datennutzung ändern sich ständig
- Echte Zustimmung fehlt oft
–> isolierte Datenpunkte erscheinen harmlos, können jedoch durch Zusammenführung und Korrelation sensible Profile von Personen erstellen.
OSINT als Bedrohung für Privatsphäre / Datenschutzrisiko:
- Profilbildung durch Datenkorrelation
- Re-Identifzierung trotz Anonymiserung
- Standortverfolgung ohne GPS
- Ableitung von Verhaltensmustern
Modernes OSINT =
Technische Fähigkeiten zur automatisierten Sammlung, Verabeitung und Analyse grosser Mengen öffentlicher Daten.
Methoden für technisches OSINT
- Metadaten-Extraktion
- Umgekehrte Bildsuche
- Benutzernamen-Korrelation
- Automatisierte OSINT-Tools
OSINT und Datenschutz
- Personenbezogene Daten durch Zusammenführung
- Zweckbindung und Verhältnismässigkeit prüfen (Art. 5(1)(b) DSGVO / Art. 6(3) revDSG)
Ist OSINT legal?
Rechtliche Grauzone –> Legalität allein gewährleistet keine Legitimität.
Schutzmassnahmen und Präventionsstrategien gegen OSINT
- Bewusste Informationsfreigabe
- Metadaten-Reduktion
- Identitäskompartimentierung - separate digitale Identitäten
- Regelmässige Selbst-OSINT-Audits
Welche Schutzmassnahmen und Präventionsstrategien sind am besten gegen OSINT?
Am besten ist Kombination aus:
- proaktive technischen Massnahmen
- Verhaltensanpassung
- Kontinuierliche Überwachung
Metadaten-Reduktion =
Entfernen von EXIF-Daten aus Fotos
Tools wie ExifTool, MAT2
Identitätskomopartimentierung =
separate digitale Identitäten für berufliche, private und sensible Kontexte –> unterschiedliche E-Mails, Nutzernamen, Profile
Was ermöglicht OSINT unter Umständen?
Einen vollständigen Datensatz mit Name, Adresse, Tagesablauf und sozialen Kontaken
Kali OSINT Tools
sherlock –> sucht nach Benutzerkonten auf allen Plattformen
exiftool –> extrahiert Metadaten einschliesslich GPS
subfinder –> findet subdomains der Zieldomäne
Legales OSINT:
- Zweck legitim
- Verhältnismässig
- Transparent
- Mit Rechtfertigung
Illegales OSINT:
- Übermässige Datensammlung
- Zweckänderung ohne Basis
- Massenscraping gegen AGB
- Profiling mit hohem Risiko
- Fehlende Transparenz
Beispiels Verhältnismässig verletzt:
Umfassende Social-Media-Analysen für einfache Bewerbung
Beispiel von Zweckentfremdung:
Öffentliche Fotos für Profiling oder kommerzielle Zwecke
Beispiel Informationspflicht missachtet:
Betroffene werden nicht informiert trotz rechtlicher Verpflichtung
Ethische Grenzen, was ist rechtlich und erlaubt?
- Öffentlich zugängliche Social-Media-Profile
- Google-Suchen und öffentliche Suchmaschinen
- Öffentliche Archive und Datenbanken
- EXIF-Daten von selbst heruntergeladenen Bildern
Ethische Grenzen, was ist illegal und verboten?
- Passwort-Cracking oder Brute-Force-Angriffe
- Erstellen gefälschter Profile zur Täuschung
- Stalking- oder Belästigungsaktivitäten
- Doxing (Veröffentlichung von privater Daten mit böswilliger Absicht)
- Identitätsdeibstahl oder Nachahmung
Ethische Grenzen, was ist kontextabhängig und eine Grauzone?
- Aggregation aus vielen Quellen: Legal, aber potenziell ethisch fragwürdig
- kommerzielle Nutzung von Daten: kann je nach Datenschutzgesetzen Einwilligung erfordern
- Automatisierte Datenerfassung: Überpüfen von Plattformrichtliinien und lokale Vorschriften
