Kategorie: IT-/KI-Sicherheit | Autor: Jörg Weidemann | JW Safety & Security
Von der OSINT-Analyse zur Social-Engineering-Attacke
Wie frei verfügbare Informationen zu realen Sicherheitsrisiken werden
Ein reales Mandat. Ein geschütztes Objekt. Und eine Vorgehensweise, die ich bewusst anders angelegt habe als üblich.
Bevor ich das Gelände betreten habe, haben KI-gestützte OSINT-Methoden ein erschreckendes Bild gezeichnet: Strukturen, Verantwortlichkeiten, eingesetzte Systeme, Dienstleister, Zugangspunkte, technische Details – zusammengetragen aus öffentlich zugänglichen Quellen, verdichtet durch KI-gestützte Analyse zu einem präzisen Risikoprofil. Mit erheblichen Schwachstellen.
Bei der anschließenden Realbegehung wurde klar: Was die Analyse ergeben hatte, stimmte. Die Schwachstellen existierten. Genau so. An genau den Stellen.
Das Objekt war physisch gut abgesichert – und trotzdem bereits virtuell kompromittiert. Nicht durch Hacker. Nicht durch einen Datenleck. Sondern durch öffentlich zugängliche Informationen, die niemand bewusst veröffentlicht hatte – und die in ihrer Summe ein vollständiges Angriffsprofil ergaben.
Aus dieser Erfahrung entstand das Buch. Es ist kein Lehrbuch für Angreifer. Es ist ein Werkzeugkasten für alle, die Sicherheitsverantwortung tragen.
OSINT und KI: Was heute in kurzer Zeit möglich ist
OSINT – Open Source Intelligence – bezeichnet die strukturierte Auswertung öffentlich zugänglicher Informationen. Was früher manuelle Recherchearbeit von Analysten erforderte, lässt sich heute durch KI-gestützte Tools in deutlich kürzerer Zeit und mit weit höherer Verdichtung leisten.
Stellenausschreibungen verraten eingesetzte Systeme und Prozessverantwortliche. LinkedIn-Profile zeigen Routinen, Projekte, Entscheidungswege. Dienstleister dokumentieren unbeabsichtigt technische Infrastruktur. Behördliche Archive liefern Grundrisse. Pressemitteilungen offenbaren strategische Pläne.
Jede einzelne Information ist harmlos. KI verbindet sie – und erzeugt daraus ein strukturiertes Risikobild, das ein erfahrener Angreifer direkt als Grundlage für eine Social-Engineering-Attacke nutzen kann.
Social Engineering ist dabei das Bindeglied zwischen Aufklärung und Angriff: Es übersetzt gesammelte Daten in Handlung. Ein Telefonat, eine E-Mail, ein Besuch an der Pforte – maßgeschneidert auf Basis strukturierter Vorabinformation. Wer ausreichend vorbereitet ist, muss nicht hacken. Er muss nur überzeugend wirken.
Normativer Rahmen: Was Standards und Gesetze fordern
Die im Buch behandelten Risiken sind keine theoretischen Szenarien. Sie sind Gegenstand konkreter regulatorischer Anforderungen:
- ISO/IEC 27001 fordert in Annex A explizit die Bewertung von Risiken durch Social Engineering, Informationsexponierung und physischen Zugang.
- NIS2 (EU-Richtlinie 2022/2555) verpflichtet KRITIS-Betreiber zu umfassenden Risikomanagementsystemen – inklusive Maßnahmen gegen Social Engineering.
- BSI-Grundschutz hält Organisationen an, die eigene Exponierung zu kennen und zu begrenzen – ausdrücklich auch gegenüber öffentlich zugänglichen Quellen.
- DSGVO und StGB (§ 202a ff.) setzen klare Grenzen für die Nutzung personenbezogener Daten – deren Kenntnis ist für jeden relevant, der mit OSINT-Methoden arbeitet.
Das Buch stellt diese Bezüge konsequent her – ohne zum Compliance-Kompendium zu werden. Normen liefern den Rahmen, Praxisbeispiele und Modelle füllen ihn aus.
Aufbau: Fünf Teile, eine Logik
Der Aufbau folgt der Logik eines Angriffs – und gleichzeitig der Perspektive einer professionellen Verteidigung:
- Teil I – Professionelle Aufklärung verstehen: OSINT-Definitionen, Rechtslage, KI-gestützte Analyse, Recon-Prozesse.
- Teil II – Daten zu Angriffswinkeln machen: Analyseverfahren, Verhaltens- und Rollenmuster, Schwachstellenmatrix (Mensch – Prozess – Technik – Objekt).
- Teil III – Social-Engineering-Szenarien: Digitale, physische und hybride Angriffe aus Industrie, Verwaltung, KRITIS, Logistik und Bildung.
- Teil IV – Prävention: Informationshygiene, Governance, technische und organisatorische Maßnahmen, Sicherheitskultur, Frühwarnindikatoren.
- Teil V – Werkzeuge: Checklisten, Modelle, Vorlagen, 30/60/90-Tage-Plan.
Warum dieses Buch geschrieben wurde
In vielen Sicherheitskonzepten dominieren bis heute technische Schwachstellen: Firewalls, Patches, Zutrittskontrolle, Alarmsysteme. Gleichzeitig hat sich die Realität der Angriffe verändert. Angreifer nutzen legale, offene Quellen als Ausgangsbasis – und KI als Analyse-Werkzeug. Sie verbinden physische, digitale und menschliche Schwachstellen zu einem schlüssigen Gesamtbild.
Das Buch ist aus einem realen Beratungsmandat entstanden. Es bündelt Erfahrungen aus Sicherheitsgutachten, Objektbewertungen und Beratungsprojekten. Es will nicht beeindrucken. Es will befähigen.
„Wenn Sie beim Lesen häufiger denken ‚Das könnte bei uns genauso passieren' als ‚So etwas passiert nur in Extremfällen' – erfüllt es seinen Zweck."
Für wen ist dieses Buch?
- Führungskräfte, die OSINT-gestützte Risiken in Entscheidungen und Budgets integrieren wollen.
- Sicherheitsverantwortliche in IT, OT und Objektschutz, die bestehende Konzepte gezielt ergänzen wollen.
- Awareness-Trainer und Ausbilder, die praxisnahe Szenarien für Schulungen suchen.
- Compliance-, Revisions- und Forensikverantwortliche, die Angriffslogiken in Prüfpläne einbauen.
Das Buch ist ab sofort verfügbar – als Print- und E-Book-Version im JW Medienshop, auf Amazon, epubli, Thalia und Hugendubel.
Sie haben Fragen zu einem Sicherheitsgutachten oder einer OSINT-Risikoanalyse für Ihr Objekt? Sprechen Sie mich direkt an: jw-safety-security.de
Häufige Fragen zum Buch
OSINT (Open Source Intelligence) bezeichnet die strukturierte Auswertung öffentlich zugänglicher Informationen – von sozialen Netzwerken über Unternehmenswebsites bis hin zu behördlichen Archiven. KI-gestützte OSINT-Methoden können heute in kurzer Zeit ein präzises Risikobild eines Unternehmens erzeugen – aus Mitarbeiterrollen, eingesetzten Systemen, Gebäudeplänen, Routinen und Dienstleisterinformationen. Alles legal beschafft, alles verwertbar. Das Buch zeigt diesen Mechanismus systematisch auf – und wie Sicherheitsverantwortliche die eigene Exponierung bewerten und reduzieren.
Das Buch richtet sich nicht nur an IT-Fachleute. Es spricht Führungskräfte, Sicherheitsverantwortliche in Objektschutz und OT, Compliance-Beauftragte sowie Awareness-Trainer an. Technisches Vorwissen ist nicht erforderlich. Die Inhalte werden verständlich erklärt, mit Praxisbeispielen belegt und in normative Rahmenwerke wie ISO/IEC 27001, NIS2 und BSI eingebettet.
Nein. Das Buch beschreibt Angriffslogiken, um Abwehrmaßnahmen zu ermöglichen – nicht, um Angriffe zu erleichtern. Es werden keine Schritt-für-Schritt-Anleitungen geliefert, keine Tools aus dem Graubereich empfohlen und keine Kontrolllücken zum Nachmachen beschrieben. Rechtliche und ethische Rahmenbedingungen werden klar benannt. Der Fokus liegt auf realistischer Lageeinschätzung und konkreten Schutzmaßnahmen.
Teil V enthält direkt einsetzbare Werkzeuge: Checklisten zur Bewertung der eigenen Informationsexponierung, Modelle zur Schwachstellenanalyse (Mensch – Prozess – Technik – Objekt), Vorlagen für Sicherheitsrichtlinien sowie einen 30/60/90-Tage-Plan für die strukturierte Umsetzung von Schutzmaßnahmen. Diese lassen sich direkt in bestehende Sicherheits- und Compliance-Strukturen integrieren.
Das Buch ist als Print- und E-Book-Version verfügbar – im JW Medienshop (jwmedien.shop.copecart.com), auf Amazon, epubli, Thalia und Hugendubel. Für Unternehmen, die das Buch als Schulungsgrundlage oder in größeren Stückzahlen einsetzen möchten, ist eine direkte Anfrage über jw-safety-security.de möglich.
Dieser Artikel wurde durch den Einsatz von KI-gestützten Tools optimiert, um Ihnen die bestmögliche Qualität zu bieten. Alle Inhalte werden sorgfältig geprüft und finalisiert. Mehr über meinen verantwortungsvollen Umgang mit KI und Datenschutz erfahren Sie auf meiner Seite zur Arbeitsweise.
