Open Source Intelligence für Risikoidentifikation in Unternehmen

Bachelor Studiengang IT Security

Edin Spahic

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Für Robert ist es ein normaler Arbeitstag. Er sitzt im Büro in seiner Firma und langweilt sich. Deshalb beschließt Robert, Fotos von der neuen Orchidee zu machen, die das Team bekommen und im Büro platziert hat, und sie dann stolz mit seinen Freunden auf seiner Facebook-Seite zu teilen. Was Robert nicht bemerkt, ist, dass sein Facebook-Profil öffentlich ist und er mit der Orchidee auch seinen Arbeitsplatz mitfotografiert hat, auf dem seine Anmeldeinformationen für das Firmennetzwerk zu sehen sind. Da Roberts Profil öffentlich ist, kann jeder auf seine Informationen und Bilder zugreifen, auch ohne einen Account.

Heutzutage können Websites und soziale Netzwerke eine umfangreiche Quelle für persönliche Informationen und persönliche Merkmale von Mitarbeiter*innen darstellen und sogar dazu verwendet werden, die IT-Infrastruktur eines Unternehmens zu identifizieren, die wiederum später dazu verwendet werden kann, potenzielle Schwachstellen im System zu erkennen. Open-Source-Intelligence (oder OSINT) ist die Methode, mit der frei verfügbare Informationen aus verschiedenen Medien (Internet, Zeitung, Fernsehen, ... etc.) bezogen werden können. Diese Arbeit befasst sich mit der Extraktion von Informationen aus verschiedenen OSINT-Tools, um potenzielle Risiken für Unternehmen zu identifizieren.

Ziel

Das Ziel dieser Bachelorarbeit ist es, zu untersuchen, wie mithilfe von Open-Source-Intelligence und den Einsatz ausgewählter OSINT-Tools Risiken für ein Unternehmen identifiziert werden, die sich als potenzielle Sicherheitsschwachstellen herausstellen könnten. Zusätzlich wird noch untersucht, worin sich kommerzielle OSINT-Lösungen von der herkömmlichen Methode der Informationsgewinnung unterscheiden.

Ergebnis

Die im Rahmen dieser Arbeit durchgeführte Analyse wurde als eine demonstrative Auswertung durchgeführt, bei der der Einsatz und die Ergebnisse ausgewählter OSINT-Tools aufgezeichnet und potenzielle Risiken anschließend veranschaulicht wurden. Im Zuge dieser Bachelorarbeit wurde ein bestimmtes Unternehmen, welches in Österreich tätig ist, profiliert und anschließend mithilfe von OSINT-Tools auf Schwachstellen und Risiken analysiert. Der auf OSINT basierender Ansatz nutzte eine Kombination aus geschäftlichen und sozialen Netzwerken und einer Analyse von Netzwerkdomänen.