Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

OSINT Methoden: Tools und Techniken für Open Source Intelligence

OSINT (Open Source Intelligence) bezeichnet das systematische Sammeln und Auswerten öffentlich verfügbarer Informationen für Sicherheits- und Reconnaissance-Zwecke. Dieser Artikel erklärt OSINT-Methoden für Unternehmensrecherche: DNS-Enumeration (dnsx, amass, subfinder), Google Dorking, Shodan/Censys, Certificate Transparency, Social-Media-OSINT, WHOIS-Analyse und passive Recon-Frameworks wie Maltego und SpiderFoot.

Inhaltsverzeichnis (7 Abschnitte)

OSINT (Open Source Intelligence) ist die Grundlage jedes professionellen Penetrationstests: Bevor ein Angreifer aktiv in ein System eindringt, verbringt er oft Stunden oder Tage damit, öffentlich verfügbare Informationen zu sammeln. Das Ziel: ein vollständiges Bild der Angriffsfläche ohne ein einziges Paket an das Zielnetzwerk zu senden. Was Angreifer sehen, müssen auch Verteidiger kennen.

OSINT-Framework und Phasen

Passive OSINT (ohne direkte Interaktion mit dem Ziel) umfasst DNS-Informationen aus öffentlichen Quellen, WHOIS-Daten, Certificate Transparency Logs, Google Dorking, gecachte Shodan/Censys-Scans, soziale Medien und Unternehmenswebseiten, Job-Postings (aus denen der Technologie-Stack erkennbar ist), Pastebin und Dark-Web-Leaks sowie Code-Repositories auf GitHub und GitLab.

Semi-Passive OSINT (nicht direkt erkennbar) schließt DNS-Auflösungen öffentlicher Records (A, MX, SPF, DMARC), Certificate Transparency Log-Abfragen, die Wayback Machine (archive.org) und Web-Crawling mit passivem Fingerprinting ein.

Aktive Reconnaissance (direkt, für das Ziel erkennbar) umfasst Port-Scanning (nmap), Banner-Grabbing, Web-Technologie-Fingerprinting, WAF-Detection und Subdomain-Bruteforce.

Eine kategorisierte Übersicht aller verfügbaren Tools bietet osintframework.com mit den Kategorien: Username, Email, Domain, IP/Network, Social Media, Dark Web, Documents, Images, Phone, Business.

DNS-Enumeration

Passive Subdomain-Enumeration liefert Subdomains ohne direkte DNS-Anfragen an das Ziel:

# subfinder (Project Discovery) - Quellen: Certificate Transparency, VirusTotal, Shodan etc.:
subfinder -d example.com -all -recursive -o subdomains.txt

# Certificate Transparency Logs via crt.sh:
curl -s "https://crt.sh/?q=%.example.com&output=json" | \
  jq -r '.[].name_value' | sort -u | grep -v "*"

# DNS Brute Force (aktiv):
puredns bruteforce wordlist.txt example.com -r resolvers.txt

DNS-Record-Typen liefern weitere Informationen zur Infrastruktur: MX-Records zeigen die E-Mail-Infrastruktur (Google Workspace? Microsoft 365? Eigener Mailserver?), SPF/DMARC/DKIM-Records zeigen die E-Mail-Sicherheitskonfiguration oder das Fehlen davon, NS-Records offenbaren den DNS-Provider. Ein AXFR-Zone-Transfer-Versuch (dig @ns1.example.com example.com AXFR) gibt bei Erfolg alle DNS-Records der Domain preis.

Google Dorking

Google Dorking nutzt erweiterte Suchoperatoren um sensible Informationen über Suchmaschinen zu finden. Wichtige Operatoren sind site:example.com (nur diese Domain), filetype:pdf (nur PDFs), inurl:/admin (URL enthält /admin), intitle:"Index of /" (Directory-Listings) und intext:"confidential" (Text im Dokument).

Praktische Kombinationen für Penetrationstests:

  • Subdomains: site:*.example.com -site:www.example.com
  • Login-Pages: site:example.com inurl:login OR inurl:signin OR inurl:auth
  • Konfigurationsdateien: site:example.com filetype:env OR filetype:config OR filetype:cfg
  • Backup-Dateien: site:example.com filetype:bak OR filetype:backup OR filetype:sql
  • Fehlermeldungen mit Stack-Traces: site:example.com "stack trace" OR "exception" OR "debug"
  • Exponierte .git-Verzeichnisse: site:example.com inurl:/.git/config

Shodan und Censys

Shodan indexiert das gesamte Internet nach offenen Ports und Diensten. Relevante Suchparameter für Unternehmensrecherche:

# Alle offenen RDP-Ports einer Organisation:
port:3389 org:"Example GmbH"

# Abgelaufene TLS-Zertifikate:
ssl.cert.expired:true org:"Example GmbH"

# Via CLI:
shodan domain example.com
shodan search --fields ip_str,port,org "org:'Example GmbH'" --limit 1000

Typische Funde bei Shodan-Recherchen sind vergessene Test-Server, veraltete SSL-Zertifikate mit bekannten CVEs, offene Admin-Panels (Grafana, Jenkins, Kibana), Default-Credentials auf Netzwerkgeräten und exponierte Datenbanken (MongoDB, Elasticsearch, Redis).

Censys bietet ähnliche Funktionen mit stärkerem Fokus auf SSL/TLS-Analyse und ist über search.censys.io sowie eine Python-API zugänglich.

GitHub und Code-Repositories

GitHub-Suche nach sensiblen Dateien und Secrets:

# Secrets-Scanner für gesamte Organisation:
trufflehog github --org=example-gmbh

# Lokales Repository scannen:
gitleaks detect --source . --report-path leaks.json

Häufige Leaks in Code-Repositories sind AWS Access Keys (Präfix AKIA), private SSH/TLS-Schlüssel, Datenbankpasswörter in .env-Dateien, API-Keys (Stripe, Twilio, SendGrid), JWT-Secrets im Klartext und hardcodierte Produktions-Credentials in Tests.

Social Engineering Reconnaissance

LinkedIn liefert die Mitarbeiterliste der Zielorganisation, den Technologie-Stack aus Job-Postings ("Suchen Python-Entwickler mit Django und AWS-Erfahrung"), das ableitbare E-Mail-Format und das Organigramm. Tools wie linkedin2username können Mitarbeiterlisten in E-Mail-Listen umwandeln.

E-Mail-Enumeration via hunter.io (https://api.hunter.io/v2/domain-search?domain=example.com&api_key=KEY) gibt E-Mail-Format und bekannte Adressen zurück.

WHOIS und Domain-History: whois example.com liefert Registrant, Registrar und Erstellungsdatum. Bei älteren Registrierungen finden sich oft noch echte Kontaktdaten. Reverse-WHOIS über viewdns.info zeigt weitere Domains desselben Inhabers.

Wayback Machine: Alte Website-Versionen unter web.archive.org/web/*/example.com enthalten oft ehemalige Mitarbeiter-Seiten mit echten E-Mail-Adressen, frühere Technologieversionen und gelöschte sensible Seiten.

Job-Postings als Intelligence-Quelle: Formulierungen wie "Erfahrung mit Fortinet FortiGate erwünscht" oder "SIEM-Erfahrung mit Splunk" offenbaren den vollständigen Technologie-Stack vor dem ersten Angriff.

OSINT-Frameworks und Automatisierung

Maltego visualisiert OSINT-Daten als Graph (Domains, IP-Adressen, E-Mails, Personen, Unternehmen) und ermöglicht über automatisierte Transforms (Shodan, Censys, VirusTotal u.a.) die schnelle Erkennung von Zusammenhängen.

SpiderFoot ist ein Open-Source-Framework mit über 200 integrierten Modulen für automatische Subdomain-Enumeration, IP-Recherche, E-Mail-Suche, soziale Profile, Credential-Leaks und mehr.

Recon-ng ist ein modulares Recon-Framework, das mit marketplace install all alle verfügbaren Module lädt und über eine workspace-basierte Struktur verschiedene Ziele trennt.

theHarvester ermöglicht schnelle Email- und Subdomain-Enumeration aus mehreren öffentlichen Quellen: theHarvester -d example.com -l 500 -b google,bing,linkedin,shodan

Ein OSINT-Report enthält typischerweise: Ziel und Scope, passive Findings ohne Zielsystem-Kontakt, Subdomain-Liste mit aktiven IPs, E-Mail-Adressen für den Phishing-Simulations-Scope, Technologie-Stack-Analyse, exponierte Services aus Shodan, Credential-Leaks aus HIBP/DeHashed sowie priorisierte Empfehlungen zur unmittelbaren Bereinigung.

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

E-Mail
PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Vincent Heinen, Abteilungsleiter Offensive Services bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de