Awareness für den digitalen Fussabdruck

Und wie OSINT Social Engineering möglich macht

Donnerstagnachmittag, kurz vor 16 Uhr, erhält die neue Mitarbeiterin der Buchhaltung eine persönlich an sie adressierte E-Mail vom CEO. Er erwähnt, dass er sich auf einer Konferenz in Singapur befindet und es gebe eine dringende Zahlung auszuführen. Vom Linkedin-Post heute morgen weiss sie, dass er wirklich auf der Konferenz ist. Die Angreifer haben das genau geplant. Dazu haben sie Open-Source-Intelligence (OSINT) benutzt.

Sie halten das für nicht realistisch?

Der Halbjahresbericht des Bundesamtes für Cybersicherheit (BACS) für das zweite Halbjahr 2024 zeigt die entsprechenden Zahlen. Demnach gab es einen deutlichen Zuwachs an CEO-Betrugsfällen: von 487 im Jahr 2023 auf 719 Ende 2024. Zudem werden zunehmende Angriffe mit aufwändigeren Phishing-Mails erwähnt, die auf den schweizerischen Kontext und auf ausgewählte Personengruppen zugeschnitten sind.

Anonymität als Illusion

Haben Sie sich schon einmal gefragt, was nötig wäre, um online unsichtbar zu sein? Anstatt in unserer Jugend gleich einen Account auf dem damals neuen Portal «Myspace» anzulegen, hätten wir die Finger davon lassen sollen. Genauso hätten wir unseren echten Namen nicht bei unserem ersten Skype-Account verraten dürfen. Danach hätten wir kein Hotmail-Postfach eröffnen, SchülerVZ nutzen oder sonstige Messenger verwenden dürfen. Wir hätten keinesfalls für Partybilder posieren dürfen, die anschliessend auf Facebook landeten. An diese erinnert sich zwar keiner mehr, ausser dem Web-Archiv und der Wayback Machine.

Heutzutage muss sogar noch viel früher angesetzt werden. Denn Eltern sind es gewohnt, Kinderbilder (sogenanntes «Sharenting») auf Instagram zu posten. So ist die Identität des Kindes bereits im Internet, bevor es überhaupt mündig wird. Auch für Kinder, die in Vereinen sind, ist es schwierig, nicht jährlich fotografiert und die Fotos dann auf der Vereinshomepage veröffentlicht zu sehen. Dabei werden oft auch ihr Vor- und Nachname, ihr Geburtsdatum sowie ihr Ranking geteilt.

Auch im Alltag von uns allen werden täglich Daten veröffentlicht. Wenn wir am sozialen Leben teilnehmen möchten, finden viele dieser Austauschprozesse in Messengern wie WhatsApp statt.

Auch wenn die Gespräche im Messenger selbst verschlüsselt sind, können Login-Zeiten, Kontakte und Beziehungen, Häufigkeiten sowie optional geteilte Kontaktbücher oder GPS-Daten sehr viel Aufschluss geben, ohne dass die Inhalte der Nachrichten gelesen werden müssen.

Heute funktioniert vieles nur noch online. Um anonym zu bleiben, müssten wir ausschliesslich bar bezahlen, keine Lieferungen an unsere Adresse akzeptieren, keine Webseiten mit Log-ins nutzen, keinen Google- oder Apple-Account haben und bereits im Kindesalter damit beginnen. Anonymität im Sinne völliger Unsichtbarkeit erscheint somit als kaum erreichbare Möglichkeit.

Ein getrackter Tag in einem Leben

Patrick M. macht sich gerade auf zu seiner morgendlichen Joggingrunde. Dafür hat er die Strava-App aktiviert. In dieser blendet er gewissenhaft den Anfang und das Ende aus.

Er gehört jedoch zu den zehn Besten seines Abschnitts am Riedtliweg und wird somit automatisch mit Profilfoto in der Bestenliste aufgeführt. Mittags landet ein Foto in der Familien-WhatsApp-Gruppe, Metadaten, Zeitstempel und die GPS-Daten inklusive. Am Nachmittag schreibt er eine Google-Bewertung für das Café um die Ecke und erhält dafür einen Sammelkarten-Stempel. Abends läuft Spotify beim Kochen und seine zuletzt gehörten Songs verraten seine Stimmung mit der Playlist «Sad Covers». Wenn Patrick schläft, zeichnet die Apple Watch seine Schlafqualität und Herzfrequenz auf.

Hinzu kommt, was bereits gehacked wurde. Das lässt sich beispielsweise auf haveibeenpwned.com überprüfen. Für viele Personen tauchen E-Mail-Passwort-Kombinationen aus Sammlungen wie «Cit0day» oder «Synthient Credential Stuffing Threat Data» auf. Datenbroker aggregieren diese Daten. Angreifer kaufen die Daten dort ein und verwenden sie für ihre Angriffe.

OSINT: Vom Datenpunkt zum Angriffsplan

OSINT steht also für die systematische Auswertung öffentlich zugänglicher Informationen. Einzeln betrachtet wirken die meisten Funde belanglos. Erst die Kombination macht sie gefährlich. Im Folgenden sind drei beispielhafte Angriffsmuster aufgeführt:

1) Credential Stuffing: Geleakte Passwörter werden automatisiert gegen Microsoft 365, Apple-ID, Google, getestet. Welche Dienste sich überhaupt lohnen, verraten z.B. Social-Media-Profile.

2) Massgeschneidertes Phishing: Betrügerische Werbeanzeigen in Suchmaschinen oder zielgerichtete Köder mit Schweizer Besonderheiten wie Treuepunkteprogrammen (VBS, 2025/2) wirken deshalb glaubwürdig, weil die Angreifer ihre Zielgruppe vorher recherchiert haben: Sprache, Region, genutzte Anbieter, Kaufverhalten.

3) Hochpersonalisiertes Social Engineering auf anderen Kanälen: Beim «Double Phishing» (VBS, 2025/2) werden Opfer nach einem Phishing zusätzlich angerufen. Damit der Anruf glaubhaft wirkt, braucht es Telefonnummer, Klarnamen und Kontext zur Person, Datenpunkte, die OSINT aus WhatsApp-Lookups, Handelsregister, Vereinshomepages oder Datenleaks zusammenträgt.

Die gute Nachricht ist, wer seine eigene Angriffsfläche kennt, kann sie verkleinern. So hätte auch der eingangs erwähnte Angriff mit diesem Wissen abgewehrt werden können. Das Bewusstsein, dass genau jene Details, die eine E-Mail glaubwürdig wirken lassen (der Konferenzort, der vertraute Lieferant, die persönliche Anrede) nur Indizien sind für eine sorgfältige Recherche. Das bedeutet, dass weiterhin Sicherheitsmassnahmen wichtig sind, wie die Verifikation über einen anderen Weg, strikte Prozesse und ein Vier-Augen-Prinzip.

Übung für Awarenessler: Selbstrecherche in 15 Minuten

1. Arbeiten Sie die einzelnen Schritte mit den Mitarbeitenden nacheinander in einem Training ab und notieren Sie sich jeweils Ihre Erkenntnisse.

2. Namenssuche. Suchen Sie den Vor- und Nachnamen in Anführungszeichen, einmal allein und einmal mit dem Firmennamen. Gehen Sie bis Seite drei der Ergebnisse.

3. Bilder-Rückwärtssuche. Laden Sie das Profilbild bei einer Bilder-Rückwärtssuche hoch (z.B. Google Lens oder TinEye). Wo taucht es überall auf? Verrät der Hintergrund eines Fotos Ihren Arbeitsplatz, ein Kennzeichen, einen Ausweis?

4. Soziale Netzwerke. Öffnen Sie das LinkedIn-/Xing-Profil im abgemeldeten Zustand (Browser-Privatmodus). Was sieht ein Fremder? Welche Kollegen, Projekte, Standorte sind ablesbar?

5. Datenlecks. Prüfen Sie die dienstliche und private E-Mail-Adresse auf haveibeenpwned.com. Taucht sie in einem Leck auf, sollte das Passwort geändert werden.

6. Metadaten. Öffnen Sie ein PDF oder Foto, das Sie kürzlich extern geteilt haben, und sehen Sie sich die Dateieigenschaften an. Stehen dort ein voller Name, die Geräte- oder Software-Version, ein Speicherpfad?

Wie können diese Vorgehensweisen im Bereich der Security Awareness genutzt werden? Möglich sind folgende Ansätze:

• Strukturierte Recherche

• Gemeinsames Rätseln und Testen

• Verifikation durch mehrere Quellen

• Praxisnahes Üben, statt theoretische Schulungen

• Community-Austausch zwischen Abteilungen fördern

Wer sich mehr dafür interessiert, wie man seine Cyberhygiene verbessern kann, kann sich hier die Cyberhygiene-Checkliste holen (kostenlos):

Quellen:

EPCYBER. (o. J.). EPCYBER. EPCYBER. Abgerufen 10. Mai 2026, von https://epcyber.com/osint-case-studies

Have I Been Pwned: Who’s Been Pwned. (o. J.). Have I Been Pwned. Abgerufen 10. Mai 2026, von https://haveibeenpwned.com/PwnedWebsites

Kumar, M. (2026). Kinghacker0/WhatsApp-OSINT [Python]. https://github.com/kinghacker0/WhatsApp-OSINT (Ursprünglich erschienen 2025)

Swisscom Campus - Sharenting: Schutz der Kinder in Sozialen Medien. (o. J.). Abgerufen 10. Mai 2026, von https://www.swisscom.ch/de/about/nachhaltigkeit/swisscom-campus/sharenting.html

VBS, E. D. für V., Bevölkerungsschutz und Sport. (o. J.). Halbjahresbericht 2024/2. Abgerufen 10. Mai 2026, von https://www.ncsc.admin.ch/ncsc/de/home/dokumentation/berichte/lageberichte/halbjahresbericht-2024-2.html