Fachbeitrag · Objektschutz & IT-/KI-Sicherheit

Autor: Jörg Weidemann  |  JW Safety & Security  

KI-gestützte OSINT-Analyse im Objektschutz

Strategische Risikoanalyse, Praxiserfahrung und konkrete Schutzmaßnahmen für Sicherheitsverantwortliche

Der Auftrag war klassisch: Sicherheitsbewertung eines geschützten Objekts. Physische Schutzmaßnahmen prüfen, Schwachstellen identifizieren, Empfehlungen ableiten. Was ich anders gemacht habe als bei einem konventionellen Gutachten: Ich habe das Objekt nicht sofort betreten.

Stattdessen stand am Anfang eine strukturierte OSINT-Analyse – unterstützt durch KI-gestützte Auswertungstools. Das Ergebnis war ernüchternd: Bevor ich einen einzigen Schritt auf das Gelände gesetzt hatte, lagen Strukturen, Verantwortlichkeiten, eingesetzte Systeme, Dienstleisterverflechtungen und erhebliche Schwachstellen klar vor mir. Zusammengetragen aus öffentlich zugänglichen Quellen. Legal. Vollständig.

Bei der anschließenden Realbegehung wurde bestätigt, was die Analyse ergeben hatte. Die Schwachstellen existierten. Genau so. An genau den Stellen.

„Das Objekt war physisch gut abgesichert – und trotzdem bereits virtuell kompromittiert. Nicht durch Hacker. Nicht durch einen Datenleck. Sondern durch die Summe öffentlich verfügbarer Informationen, verdichtet durch KI."

Dieser Fachbeitrag verbindet diese Praxiserfahrung mit einer strategischen Risikoanalyse: Wie funktioniert KI-gestützte OSINT methodisch? Was bedeutet das regulatorisch? Und was müssen Sicherheitsverantwortliche und Management-Entscheider konkret tun?

---

1. Der Outside-In-Blick als Sicherheitsimperativ

Während traditionelle Sicherheitskonzepte in physischen Schutzzonen und Werkzäunen denken, liegt die erste Verteidigungslinie heute im digitalen Raum. Öffentlich verfügbare Informationen sind die Primärwaffe in der Vorbereitungsphase moderner Angriffe.

OSINT-Management ist kein optionaler Cyber-Zusatz. Unter regulatorischen Rahmenbedingungen wie NIS2 ist es eine zwingende Voraussetzung für organisatorische Resilienz. Die professionelle Einordnung basiert auf drei etablierten Standards:

• ISO/IEC: Begreift OSINT als integralen Bestandteil des Risikomanagements zur kontinuierlichen Bedrohungsmodellierung.
• NIST: Nutzt offene Informationen zur Bestimmung des realen Angriffsprofils im Rahmen des Vulnerability Managements.
• BSI: Fordert Organisationen aktiv dazu auf, die eigene Exponierung zu kennen und zu begrenzen – um Angreifern die Basis zu entziehen.

Sicherheits-OSINT vs. andere Analyseformen

Sicherheits-OSINT unterscheidet sich in drei Dimensionen von anderen Ansätzen:

• Journalistische Recherche vs. Sicherheits-OSINT: Erstere zielt auf öffentliche Aufklärung – Sicherheits-OSINT fokussiert exklusiv auf Angriffsrelevanz, Schadenspotenzial und Eintrittswahrscheinlichkeiten.
• Behördliche Ermittlung vs. privatwirtschaftliche OSINT: Behörden agieren mit Sonderbefugnissen. Private OSINT-Analyse zeigt exakt auf, was ein Angreifer allein durch legale, öffentliche Daten ohne hoheitliche Rechte erreichen kann.
• Interne Unternehmensrecherche vs. externe OSINT: Interne Audits nutzen Logfiles und interne Daten. OSINT nimmt konsequent die Außensicht ein – und versteht, wie ein Gegner die Organisation wahrnimmt.

Dieser Outside-In-Blick transformiert verstreute Datenfragmente in verwertbare Erkenntnisse. Und er bildet das Fundament für den strukturierten Aufklärungsprozess, den professionelle Angreifer nutzen.

2. Der Recon-Prozess: Strukturierte Vorbereitung der Attacke

Professionelle Angreifer agieren ökonomisch. Sie investieren Ressourcen nur dort, wo solide Aufklärung den Return on Investment sicherstellt. Recon reduziert die Unsicherheit des Angreifers und maximiert die Glaubwürdigkeit der ersten manipulativen Interaktion.

Phase	Ziel des Angreifers	Typisches Fehlerbild der Verteidigung
1. Zieldefinition	Identifikation attraktiver Werte: Daten, Zugang, Systeme.	Fragmentierung der Verantwortung zwischen Abteilungen.
2. Bedarfsanalyse	Festlegung benötigter Rollen und Systeme.	Unterschätzung der Attraktivität eigener Teilprozesse.
3. Planung	Auswahl der effizientesten Quellen und Methoden.	Fehlende Abstimmung zwischen IT- und Objektsicherheit.
4. Erhebung	Sammeln von Daten aus Social Media, Registern, Archiven.	Unterschätzung der Außenwirkung harmloser Details.
5. Validierung	Abgleich der Informationen auf Konsistenz und Verwertbarkeit.	Inkonsistente Angaben in Marketing und Recruiting.
6. Verdichtung	Erstellung von Angriffshypothesen und Narrativen.	Sichtbare Muster in Hierarchien und Abläufen.

Das Gefährliche ist nicht die technische Raffinesse dieses Prozesses – sondern seine Alltäglichkeit. Durch Recon gewonnene Details wie interne Projektnamen oder der spezifische Tonfall der Unternehmenskommunikation erlauben es dem Angreifer, Normalität zu inszenieren. Wenn Normalität inszeniert wird, löst kein technisches System Alarm aus. Die menschliche Routine wird zur Schwachstelle.

3. Die fünf Dimensionen der Exponierung

Eine strukturierte OSINT-Analyse nutzt fünf Quellkategorien als Rohmaterial. Im beschriebenen Mandat wurde aus jeder dieser Kategorien verwertbares Material gewonnen – bevor die Begehung begann:

• Personenbezogene OSINT: LinkedIn-Profile, Karrierestationen, Expertenbeträge, Fotos mit sichtbaren Firmenausweisen. Liefert: Rollen, Routinen, Entscheidungswege, Kommunikationsstile.
• Prozessbezogene OSINT: Referenzberichte, Ausschreibungsunterlagen, Pressemitteilungen mit Projektdetails. Liefert: Wertschöpfungsketten, Dienstleisterstrukturen, Meilensteine.
• Technische OSINT: Metadaten in PDF-Dokumenten, Software-Stacks aus Stellenausschreibungen, offene Code-Repositories. Liefert: Infrastrukturinformationen, Systemarchitektur.
• Physische OSINT: Geoportale, Baugenehmigungsunterlagen, Fotos von Wartungsfirmen mit sichtbarer Sicherungstechnik. Liefert: Grundrisse, Zugangspunkte, Kamerastandorte, Schließtechnik.
• Dokumenten-OSINT: Interne Namenskonventionen aus öffentlichen Schulungsskripten, technische Handbücher, öffentliche Normenverweise. Liefert: Fachsprache, Systembezeichnungen, Prozesslogik.

Digitale Informationen hebeln physische Barrieren virtuell aus. Baupläne aus urbanen Archiven kombiniert mit Fotos von Lieferanteneingängen ermöglichen es, Laufwege und Schwachstellen zu kennen, ohne jemals vor Ort gewesen zu sein. Die digitale Aufklärung diktiert den Erfolg der physischen Infiltration.

4. KI und LLMs: Die Skalierung der Aufklärung

Hier liegt die entscheidende Verschiebung der letzten Jahre. KI-gestützte Auswertungstools haben die Qualität und Geschwindigkeit von OSINT-Analysen fundamental verändert:

• Mustererkennung: Algorithmen identifizieren automatisch Zusammenhänge zwischen Dienstleistern, Standorten und Projekten, die manuell kaum korreliert werden könnten.
• Sprachmodelle (LLMs): Automatisierte Extraktion strukturierter Daten aus unstrukturierten Texten – Fachartikel, Stellenausschreibungen, Pressemitteilungen.
• Monitoring: Kontinuierliche Überwachung von Leaks und Foren auf Erwähnungen des Unternehmens oder kompromittierter Zugangsdaten.

Die praktische Konsequenz: KI ermöglicht Spear-Phishing mit einer Präzision, die bisher individueller Recherche vorbehalten war. Durch die Aggregation verstreuter Datenpunkte formuliert ein KI-System E-Mails, die so spezifisch auf interne Projekte, Personen und Tonalität zugeschnitten sind, dass sie selbst für geschulte Mitarbeiter kaum noch als Täuschung erkennbar sind.

Was früher Wochen manueller Analyse erforderte, ist heute in Stunden möglich. Diese Verschiebung ist keine Zukunftsprognose – sie ist Gegenwart.

5. Von Daten zur Attacke: Die Logik der Manipulation

Social Engineering ist kein technischer Defekt, sondern die Manipulation einer gezielt geschaffenen Situation. Der Angreifer gewinnt, indem er die Situation definiert – als „dringende Störung", als „Routine-Audit", als „Servicetermin". Damit steuert er, welche Regeln das Opfer anwendet.

Die hybride Schwachstellenmatrix

Die vier Bedingungen der Angriffsreife

Professionelle Angreifer gehen erst zur aktiven Interaktion über, wenn vier Bedingungen erfüllt sind:

• 1 Attraktivität – Ein klares Ziel mit hohem Nutzen ist identifiziert.
• 2 Plausibilität – Ein glaubwürdiges Narrativ – die „Story" – ist konstruiert.
• 3 Einstiegspunkt – Eine spezifische Kontaktperson oder Rolle ist ausgewählt.
• 4 Sicherheitsgefühl – Die Unsicherheit über interne Abläufe wurde durch Recon ausreichend reduziert.

Das Ziel der Verteidigung ist klar: Diese vier Bedingungen so schwer wie möglich zu erfüllen – durch Informationsreduktion, robuste Prozesse und gezielte Awareness.

6. Strategische Resilienz: Governance und Informationsreduktion

Das Management muss ein Governance-Modell für OSINT-Risiken etablieren. Ziel ist nicht Unsichtbarkeit – das ist weder möglich noch zielführend. Ziel ist bewusste Transparenz: die aktive Steuerung dessen, was öffentlich sichtbar ist und was nicht.

Governance-Zuständigkeiten

• PR / Marketing: Prüfung von Veröffentlichungen auf sicherheitskritische Detailtiefe – Fotos, Referenzberichte, Pressemitteilungen.
• HR / Recruiting: Gestaltung von Stellenausschreibungen ohne Preisgabe der Systemarchitektur oder interner Prozessdetails.
• IT / CISO: Monitoring der digitalen Exponierung, Metadaten-Bereinigung in öffentlichen Dokumenten.
• Facility Management: Kontrolle der Sichtbarkeit physischer Sicherungssysteme – auf eigenen und Dienstleister-Fotos.

Der 4-Stufen-Prozess zur Informationsreduktion

• 1 Pflichtinformation – Gesetzlich notwendige Daten (z.B. Impressum). Schutz durch robuste interne Prozesse, nicht durch Weglassen.
• 2 Nutzenkritische Information – Strategisch wichtige Daten. Reduktion der Detailtiefe ohne Verlust der Außenwirkung.
• 3 Detailinformation – Unnötige Interna: Projektnamen, Durchwahlen, Systembezeichnungen. Sofortige Entfernung aus öffentlichen Kanälen.
• 4 Veraltete Information – Historische Datenleichen: alte Mitarbeiterprofile, nicht mehr relevante Ausschreibungen, veraltete Dokumente. Konsequente Löschung.

Statt pauschaler Verbote braucht es eine rollenbasierte Exponierungsanalyse. Führungskräfte, IT-Administratoren und Recruiting-Mitarbeiter sind besonders exponierte Rollen mit hohem Angriffswert. Eine gezielte Reduktion ihrer Sichtbarkeit erhöht die Schwelle zur Angriffsreife massiv – da der Angreifer kein plausibles Narrativ mehr konstruieren kann.

7. Fazit: Sicherheit beginnt heute weit vor dem Werkszaun

Die strategische Risikoanalyse belegt, was die Praxiserfahrung aus dem realen Mandat bestätigt: Die eigene digitale Sichtbarkeit ist kein Nebenprodukt des Geschäftsbetriebs – sie ist ein geschäftskritischer Sicherheitsfaktor.

KI-gestützte OSINT-Methoden haben die Angriffsplanung demokratisiert. Was früher spezialisiertes Wissen und Wochen manueller Arbeit erforderte, ist heute mit zugänglichen Tools in Stunden möglich. Wer die eigene Exponierung vernachlässigt, liefert Angreifern die Blaupause für Manipulation frei Haus.

Management-Entscheider und Sicherheitsverantwortliche müssen Recon-Methoden proaktiv zur Verteidigung einsetzen. Nur wer die eigene Organisation konsequent durch die Augen eines Angreifers betrachtet, verschlechtert die Kosten-Nutzen-Rechnung potenzieller Gegner – und stärkt die strategische Resilienz gegenüber hybriden Attacken.

„Ein Sicherheitskonzept, das die digitale Exponierung ausblendet, ist heute kein vollständiges Sicherheitskonzept mehr. Die Frage ist nicht ob – sondern wie viel ein Angreifer bereits über Ihr Objekt weiß."