OSINT (Samuel Lolagar)

Ist das vielleicht ein Unternehmen, das sanktioniert ist, also wo ich dann sogar

Probleme bekomme, wenn ich mit dem zusammenarbeite?

Das sind alles Themen, die kann man mittels OSINT-Quellen sehr gut aufklären,

weil man eben schauen kann, wie viele Mitarbeiter finde ich denn über Social

Media, also LinkedIn, Xing und Co.

Teilweise könnte man sogar so weit gehen: Wenn ich ein produzierendes Gewerbe habe

und die haben Fabriken, dann kann ich über Satellitenbilder natürlich schauen, gibt

es denn überhaupt Bewegungen von LKWs an diesem Produktionsstandort oder tut sich

da nichts?

Ich könnte sogar noch tiefer reingehen und Wärmesignaturen über Satelliten erheben

und schauen: Ist da Betrieb oder ist da alles kalt, es bewegt sich nichts?

Produzieren die wahrscheinlich auch gerade gar nicht oder haben vielleicht noch nie

produziert?

Hallo und herzlich willkommen zu »Klüger als gestern«, einem Podcast des Rheinwerk

Verlags.

Mein Name ist Ali Hackalife und ich darf euch heute ein Buch aus dem Verlagskatalog

vorstellen und mit dem Autor darüber reden.

Mit dabei ist heute Samuel Lolagar, und wir sprechen über sein Buch »OSINT«.

Hi Samuel.

Hi, grüß dich.

Vielen Dank für die Einladung.

Danke an Rheinwerk für das Organisieren des Gesprächs und danke für deine Zeit.

Das Buch »OSINT« ist erschienen mit dem Untertitel »Wie Sie Informationen finden,

verifizieren und verknüpfen«.

Bevor wir ins Buch einsteigen, würde ich sagen: Informationen verifizieren ist ja

unabhängig von OSINT gerade das Thema der Stunde – mit so viel künstlicher

Intelligenz, die Dinge generiert wie noch nie zuvor.

Wie lange beschäftigt dich dieses Thema, also OSINT im Speziellen und das

Verifizieren von Informationen?

Das ist eine schwierige Frage, weil ich der Überzeugung bin, dass fast jeder in

irgendeiner Art und Weise OSINT nutzt.

Bei mir war es tatsächlich so, dass ich beim Einstieg bei der Kriminalpolizei im

Bereich Internetbetrug ermittelt habe und mir irgendwann klar wurde: Das, was ich da

im Internet ermittle, das hat einen Namen.

Das nennt sich Open Source Intelligence.

Natürlich habe ich in der Jugend auch schon im Internet herumgesurft und

Informationen gesucht und manchmal auch gefunden.

Aber dass sich das so professionalisiert hat, das war tatsächlich erst bei der

Kriminalpolizei.

Zur Kriminalpolizei kommt man ja nicht aus Versehen.

Waren Ermittlungen schon etwas, das du immer verfolgt hast?

Ja, natürlich.

Wer sich als Jugendlicher oder als Kind schon für Detektivromane

und Sonstiges interessiert, da sind Ermittlungen, glaube ich, nicht fernab.

Und du hast vollkommen recht: Verifikation wird immer wichtiger,

gerade heutzutage, wo es einfach ein Knopfdruck ist, mit dem man falsche

Informationen erstellen kann, die wirklich glaubwürdig aussehen.

Jetzt ist OSINT ja ein Sammelbegriff – Open Source Intelligence.

Du schlüsselst in deinem Buch auf, welche Unterformen es davon gibt.

Zum Beispiel, dass es einen eigenen Unterbegriff hat, wenn man explizit

Informationen aus Social Media heraussucht.

Lass uns mal kurz das Akronym OSINT zerlegen, wofür das steht.

Bei »Open Source« denken die meisten vermutlich erstmal an Quellcode, den

andere frei ins Internet gestellt haben.

Ja, das ist leider etwas, was da sehr häufig mitschwingt.

Tatsächlich ist Open Source Intelligence eine Informationsgewinnungsdisziplin, und

da merkt man auch schon, das kommt aus dem nachrichtendienstlichen, militärischen

Bereich.

Staatlich war da der Ursprung.

OSINT grenzt sich insofern von anderen Disziplinen ab, als eben offene

Quellen, also Open Sources, als Datenquelle genutzt werden.

Ansonsten ist es ja so, dass Nachrichtendienste Closed Sources haben.

Das ist genau dieser Gegensatz: Open Sources, Closed Sources – also offene

Quellen, geschlossene Quellen, oder staatliche Quellen, die speziell geschützt

sind und die nicht jeder verfügbar hat.

Was ich interessant finde, ist die Entwicklung, dass immer mehr Quellen

öffentlich werden.

Wenn wir uns Satellitenbilder betrachten: Vor zehn Jahren hatte kaum jemand Zugang

zu Satellitenbildern.

Heutzutage haben wir von jedem Quadratmeter der Welt Satellitenbilder in

unserem Smartphone verfügbar.

Wir haben für die meisten Städte 3D-Ansichten, sogar auf

Straßenlevel, dass wir uns da bewegen können und alles betrachten können.

Du machst in deinem Buch den Unterschied zwischen Open Source und Closed Source

auch nochmal deutlich: Open Source bedeutet nicht, dass es frei verfügbar

ist, sondern dass es einfach nur der Öffentlichkeit zugänglich ist.

Also ein Buch, das erscheint, wie jetzt zum Beispiel dein Buch, würde auch unter

die Open Sources fallen?

Genau, ich ziehe die Grenze nicht bei »es sollte kostenlos sein«.

Natürlich geht das in vielen Fällen einher, aber für ein

Zeitschriftenabo oder das Buch zum Beispiel muss ich Geld bezahlen.

Ich brauche aber keine besondere Eigenschaft – ich muss kein Amtsträger

sein, ich muss nicht Mitglied eines bestimmten Unternehmens oder Verbands

sein, dass ich das überhaupt erwerben darf.

Jeder kann in seine Buchhandlung gehen und sagen: Ich möchte das Buch kaufen.

Er legt das Geld auf den Tisch und kann dann die Informationen, die da

drinstecken, verwerten.

Und der zweite Teil des Akronyms, die Intelligence – eigentlich ja auch ein

bisschen kompliziert, dass sowohl beim ersten als auch beim zweiten Teil die

Leute falsche Vorstellungen haben.

Aber wenn man es erstmal aufgeschlüsselt hat, ist der Begriff ganz gut.

Und auch hier: Intelligence meint nicht, wie man plump annehmen könnte, Intelligenz

– so wie bei Artificial Intelligence ja auch nicht.

Künstliche Intelligenz finde ich auch da einen etwas schlechten Begriff.

Aber Intelligence kommt aus dem Umfeld der Nachrichtendienste, die als Intelligence

Services Informationen zusammentragen und kontextualisieren.

Dieser Schritt, aus Daten Informationen und aus Informationen Kontext zu machen,

das ist, wie du im Buch sagst, das, was sich hinter »Intelligence« verbirgt?

Ein Stück weit verdiene ich ja auch damit mein Geld, diesen Begriff den Leuten

nahezubringen.

Tatsächlich könnte man Intelligence mit »Wissen« übersetzen, das geht schon eher

in die Richtung.

Am besten finde ich noch die deutsche Übersetzung mit »Erkenntnis« oder

»Erkenntnisse«.

Aber für mich steckt da noch mehr drin als rein Erkenntnis.

Intelligence ist wirklich ein Prozess, weshalb ich sogar das gesamte Buch am

Intelligence Cycle, auf den wir vielleicht nochmal genauer eingehen können, aufgebaut

habe.

Von der rein öffentlichen Quelle, den Daten, den Informationen, dann zu

Intelligence, zu den Erkenntnissen hin – das ist ein Prozess.

Und ihn überspringen viele, die mit OSINT starten oder vermeintlich OSINT nutzen.

Ganz häufig nehmen die einfach etwas aus Social Media oder aus dem Internet und

sagen dann: Ich habe dieses Bild gefunden, das ist jetzt OSINT.

Und genau das ist eben nicht OSINT.

In der IT-Security ist das auch ein verbreitetes Phänomen.

Da wird oft gesagt: Ich mache OSINT.

Und dann zieht man sich von irgendeinem beliebigen Vendor, also Dienstleister,

einen Bericht über einen Bedrohungsakteur, einen Threat Actor, und sagt: Ich habe

jetzt OSINT gemacht.

Der Dienstleister hat vielleicht OSINT betrieben und Intelligence produziert,

aber nur einen Bericht zu nehmen und zu sagen »Copy-Paste, jetzt habe ich

Intelligence erschaffen«, das ist eben falsch, weil es um diese

Kontextualisierung, Verifizierung und Analyse geht.

Ich würde sagen, ein sehr griffiges Beispiel von OSINT in praktischer

Anwendung ist GeoGuessr.

Das ist auch etwas, wo ich viele Stunden hineinversenken kann, Leuten dabei

zuzuschauen, wenn sie erklären.

Kurz für alle, die es nicht kennen: GeoGuessr ist ein Spiel, bei dem man einen

Ausschnitt aus Google Street View bekommt und möglichst genau auf einer Weltkarte

positionieren muss, wo der Ausschnitt aufgenommen wurde.

Google Street View ist mittlerweile weltumspannend, nicht in allen Ländern,

aber in sehr vielen.

Und dann gibt es Leute, die in Meisterschaften gegeneinander antreten und

sagen: Weil hier die Leitplanke folgende Farbe hat und das Verkehrsschild mit

folgender Schrift ist, muss das auf jeden Fall in dieser Provinz in Norwegen sein.

Ich bin jedes Mal fasziniert davon, wie viel von solchen Kleinstdetails Leute

wissen, wie methodisch man da vorgehen kann, was es für Eselsbrücken gibt.

Da würde ich sagen, sieht man OSINT in der praktischen Anwendung.

Du hast einen gegebenen Datenabschnitt, nämlich dieses Foto, und jetzt ist die

Frage: Wo findet das statt?

Dann sammle ich erstmal alles, was ich an diesem Datenausschnitt an Information

finde.

Gibt es auffallende Strommasten, gibt es auffallende Poller, gibt es auffallende

Schilder, welche Sprache steht auf den Schildern, gibt es vielleicht irgendetwas,

das mir schon direkt einen guten Anhaltspunkt gibt, weil auf einem Plakat

eine Domain steht, die auf Punkt NL endet, und dann weiß ich, ich bin vermutlich in

den Niederlanden?

Aus diesen Informationen kann ich dann nach und nach den Kontext, also die

Intelligence, bilden und sagen: Das Foto wurde in Nordbrabant aufgenommen, und hier

ist die Ecke, an der es aufgenommen wurde, weil nur an dieser Ecke eine

Straßenlaterne in Verbindung zu einem Highway steht.

Da gibt es verschiedene Möglichkeiten, Intelligence zu produzieren.

Und ich finde das immer sehr griffig und gut anzuschauen, wie aus Daten

Informationen werden und nach und nach Deduktion passiert.

Absolut.

GeoGuessr ist sowieso ein interessantes Phänomen.

Da kann man sehr viel Zeit aufbringen – verschwenden, hätte ich jetzt fast gesagt.

Ich finde es beeindruckend, weil es da wirklich Koryphäen gibt, gerade im Bereich

Geolocation, also herauszufinden, wo ein Foto oder Video aufgenommen wurde.

Da gibt es Leute, die können wortwörtlich eine Düne in der Wüste lokalisieren.

Das ist sehr faszinierend.

Und das macht für mich auch OSINT so reizvoll, weil es eben sehr vielfältig

ist.

Diesen Aufnahmeort zu bestimmen, das ist ein Teilbereich, eine Teildisziplin.

Die Vielfalt macht das Thema interessant, weil man ja alle Quellen verwenden

kann, die öffentlich zugänglich sind.

Es gibt einfach unendlich viele Quellen oder zumindest gefühlt unendlich viele

Quellen.

Manchmal kommt es eben auf die kreative Nutzung an.

Ein Beispiel, das ich gerne heranziehe, ist aus dem Zweiten Weltkrieg.

Die Alliierten haben den Preis von Orangen beobachtet.

Man könnte sich fragen: Warum machen die das?

Tatsächlich war es so, dass sie anhand des Orangenpreises Rückschlüsse darauf ziehen

konnten, ob Angriffe auf Brücken und Bahnschienen erfolgreich waren.

Wir wissen: Orangen in Deutschland anzupflanzen ist nicht so einfach,

deswegen werden die importiert.

Wenn so ein Angriff erfolgreich ist, dann ist der Import schwieriger, gestört,

aufwendiger, verzögert sich – und Angebot-Nachfrage, entsprechend entwickelt

sich der Preis.

Da steckt für mich so viel drin, was OSINT auch bezeichnend macht.

Es ist natürlich wesentlich gefährlicher, wenn ich irgendwo hingehe, wo ein Angriff

stattgefunden hat, mich mit einem Fernglas ins Feld stelle und schaue: Okay, die

Brücke ist tatsächlich kaputt.

Dann kann ich genau da aufgegriffen werden und muss mich Fragen stellen.

Wenn ich aber einfach zum Marktplatz gehe und frage »Was kosten die Orangen?«, ist

das wenig verwerflich und erweckt keinen Verdacht.

Und dann geht es ja noch weiter: Ich muss die Informationen auch noch aus dem Land

herausbekommen.

Wenn ich meiner Tante in London eine Postkarte schreibe und sage »Ich hätte

eigentlich gerne wieder Orangenmarmelade gemacht, aber der Preis ist um eine Marke

gestiegen, deswegen mache ich das jetzt erstmal nicht, und ich hoffe, bei dir ist

alles gut«, dann erweckt das auch keinen Verdacht, wenn das durch die Zensur geht.

Und bei so etwas ist auch wieder die Spannbreite von bis.

Der Juwel Noah Harari erzählt unter anderem die Geschichte, dass sie, um

während des Zweiten Weltkriegs zu kommunizieren, mit Jalousien, die auf und

zu waren, Informationen übermittelt haben, weil man die schon von der Küste aus von

Fischerbooten sehen konnte und gesehen hat: Hier sind drei Fenster, da sind die

Jalousien unten.

Wenn jetzt beim vierten Fenster die Jalousie oben ist, will der, der sie

verstellt, uns eine Information mitteilen.

Solche Daten, die im Offensichtlichen versteckt sind, weil das Jalousien mal

oben und mal unten sind – das ist die Natur einer Jalousie –, aber dass jemand

die benutzt, um damit zu kommunizieren, um die Ecke zu denken, das ist auch Teil von

dem, womit OSINT spielt.

Die Frage: Wie kann ich nicht nur Informationen gewinnen, sondern mit der

Information auch selbst sicher arbeiten, ohne mich zu verraten?

Das gehst du in deinem Buch auch durch, neben der Gewinnung.

Welche Information kann ich bekommen, wie kann ich die auswerten, welche Information

darf ich auswerten – aber dann auch: Wie arbeite ich damit sicher, dass es nicht

völlig auffällig ist?

Da gibst du selbst ein Bekenntnis ab, dass du mit einem privaten Account etwas

nachgeschaut hast, wo du dann Spuren hinterlassen hast.

Die Frage, welche Spuren hinterlasse ich generell und welche, die auf mich deuten,

ist auch etwas, womit sich dein Buch und die OSINT-Community befasst.

Ja, das läuft mittlerweile unter dem Begriff OPSEC, Operational Security, was

auch ein militärischer Begriff ist beziehungsweise aus dem Militärischen

stammt.

Da geht es darum, dass wir Informationen zu Ermittlungen, zu Operationen

schützen und damit auch uns selbst.

Nicht jeder versucht nur herauszufinden, wo auf der Welt ein Ausschnitt von Google

Street View lokalisiert ist, sondern es gibt natürlich auch Leute, die in

sensibleren Bereichen ermitteln, sei es Terrorismus, organisierte Kriminalität,

Kinderpornografie und Sonstiges.

Da hat man es vielleicht auch mit Leuten zu tun, die ganz genau wissen, was sie

tun, und sich entsprechend schützen, Informationen zu sich verbergen,

aber auch Gegenmaßnahmen treffen, wenn sie den Verdacht haben, dass ihnen jemand auf

die Schliche kommt.

Deswegen ist dieses Thema relevant.

Ganz grundsätzliche Standards, die eigentlich jeder beherzigen sollte, der

sich im Internet bewegt, müssen auf alle Fälle sitzen.

Darüber hinaus dann je nach Bedrohungsniveau noch zusätzliche

Maßnahmen.

Du sagst »ganz grundsätzliche Standards« – ich würde sagen, große Teile dessen, was

du da vorstellst, würde ich unter Medienkompetenz zusammenfassen.

Das, was ich als Informatiker und Nerd darunter verstehe, dass man im Zweifel

nachvollziehen kann, wo kommt diese Quelle her, wie ist diese Quelle zustande

gekommen.

Und du sagst ja, das Verifizieren von Informationen steht schon im Untertitel

deines Buchs.

Ich würde sagen, das ist die Frage des aktuellen Zeitalters.

Wenn Leute mich fragen: Wie bekommt man Medienkompetenz in die Schüler?

– dann ist das sehr nah an dem, was du vorstellst: dass es eine Reverse Image

Search gibt, dass man mit Google ein Ergebnis finden kann, das wortgleich ist

zu dem, was ich suchen möchte, und nicht nur etwas, das Google mir dafür

vorschlägt, und so weiter.

Große Teile deines Buches, vor allem bei der Methodik, sind ja Medienkompetenz.

Da ist vielleicht die interessante Frage: Wo beginnt es, von der Medienkompetenz weg

zu speziell für OSINT-Anwendungen, für Operatives, für Recherchen, für

Ermittlungen, relevant zu werden?

Oh, das ist eine sehr gute Frage, die ich mir so noch gar nicht gestellt habe.

Zum einen teile ich auf alle Fälle deine Meinung: Medienkompetenz ist

heutzutage noch wichtiger als früher und wird, glaube ich, immer wichtiger.

Von daher freue ich mich, wenn das Buch vielleicht auch eine neue Zielgruppe damit

ansprechen kann.

Wo hört Medienkompetenz auf und wo fangen Ermittlungen an?

Ich glaube, da kann man gar nicht so einen klaren Cut ziehen, weil Ermittlungen,

zumindest wenn man sie sauber macht, sowieso immer in beide Richtungen

recherchieren müssen – einmal belastend, entlastend, wenn wir im Bereich der

Strafverfolgung sind.

Dann muss man sich an jeder Stelle fragen: Was, wenn diese Information gefälscht ist?

Was, wenn diese Information manipuliert ist?

Das heißt, Medienkompetenz und Verifikation sind in jedem Schritt

eingebettet.

Deswegen kann ich da gar nicht so eine klare Grenze ziehen und sagen: Hier hört

Medienkompetenz auf.

Im Bereich OPSEC, also wenn ich mich schütze, gibt es auch große

Überschneidungen mit dem, was jeder beherzigen sollte, wie ich eben

angedeutet habe.

Das sind für mich Standards: dass ich sichere Passwörter habe, dass ich ein

System habe, das up to date ist.

Das sollte meiner Meinung nach jeder beherzigen, um sich keiner Gefahr

auszusetzen.

Wenn es jetzt aber sensiblere Bereiche sind und man anfängt, wirklich eine

virtuelle Maschine aufzusetzen, Rechercheidentitäten zu erstellen, dann

verlassen wir, glaube ich, den Bereich, der für den Otto Normalverbraucher

relevant und sinnvoll ist.

Ich würde für mich persönlich die Grenze ziehen zwischen dem Abwägen von Risiken

und dass ich im Alltag vor allem den Leuten mit Medienkompetenz mitgeben

möchte, dass sie wissen, welche Risiken sie eingehen.

Das wäre mein Anspruch an eine informierte, digitale Gesellschaft.

Dass wir jetzt miteinander reden und ich nicht mit einem Handtuch über dem Kopf an

meinem Laptop sitze und die Mikrofone alle physisch getrennt sind – so wie Edward

Snowden, wenn er Dinge in seinen Computer eintippt, weil er davon ausgehen muss,

dass seine Maschine überwacht wird –, bedeutet ja auch, dass ich verstehe, dass

das Risiko bei mir, dass mein Computer explizit gerade abgehört wird, relativ

gering ist.

Ich glaube, dieses Bewusstsein zu schaffen für: Es geht immer noch abgeschlossener,

es geht immer noch sicherer, aber die Convenience, die man dafür einbüßt, ist

irgendwann auch irrational.

Da würde ich sagen, das ist der Grad zu Medienkompetenz – verstehen, was in meinem

Alltag gegen mich verwendet werden kann, was wird gegen mich verwendet, und warum

ist es okay, dass ich private Daten auf meinem Laptop habe, aber nicht okay, dass

ich private Daten auf Social Media teile?

Ich denke, irgendwo in dieser Güterabwägung findet für mich

Medienkompetenz statt.

Bei OSINT würde ich aus dem Bauch heraus sagen: Das ist ab dem Moment, wo man das

Ganze operationalisiert.

Wir werden ja gleich noch über den Intelligence Cycle reden.

Aber ab dem Moment, wo ich nicht auf gut Glück mal losscharwenzle und mich im

Internet umschaue, sondern ab dem Moment, wo ich mit einem klaren Ziel und vor allem

der Aufbereitung des Ganzen drangehe, da würde ich sagen, beginnt für mich OSINT.

Würdest du das so ungefähr teilen?

Ja, das macht durchaus Sinn.

Kleiner Funfact, weil du eben gesagt hast »nicht mit dem Handtuch vorm Mikrofon

sitzen«: Ich weiß nicht, ob du das gesehen hast, aber teilweise wird das unter

Podcastern als Geheimtipp gehandelt, dass man eben mit einer Decke über dem Kopf ins

Mikrofon spricht, damit man einen besseren Sound hat.

Ja, ich kenne auch Leute, die ganze Hip-Hop-Alben so eingerappt haben, damit

es nicht so hallig klingt.

Im Kleiderschrank, genau.

Aber auch das: Viele Geräte bieten mittlerweile so Sachen wie einen

Lockdown-Modus an.

Wenn man sich anschaut, wie Leute auf hoher Sicherheitsstufe ihre Geräte

eingerichtet bekommen – da gibt es einen Bit, wo Obama bei so einer Late-Night-Show

war und sagt, er hat jetzt endlich ein iPhone bekommen, aber er darf damit keine

Fotos machen, er kann das Web nicht browsen, er kann nur von vorgespeicherten

Kontakten angerufen werden.

Alle Funktionen, für die man ein iPhone haben wollte, sind aus Sicherheitsgründen

abgestellt.

Jetzt verstehe ich, dass man, wenn man der Präsident der USA ist, da limitierte

Zugriffe hat, damit man nicht aus Versehen wichtige Informationen verteilt.

Aber unsereins geht ja eben darauf ein, zu sagen: Ich bin nicht so eine

Hochrisikoperson, deswegen gehe ich damit entspannter um.

Genau, du hast das eben als Güterabwägung bezeichnet, und das trifft es ganz gut.

Ich teile auch deine Meinung.

Ich sage immer: Benutzerkomfort und Sicherheit stehen sich quasi

gegenüber, und man muss schauen, dass die Balance für einen passt.

Ein hundertprozentig sicheres System gibt es ohnehin nicht, aber ein

Hochsicherheitssystem ist vom Benutzerkomfort einfach nicht mehr schön.

Die Erfahrung zeigt, dass wenn zu

viele Sicherheitskontrollen implementiert werden, die Nutzer anfangen, diese zu

umgehen und einen Shortcut zu finden – dann ein sehr einfaches Passwort

verwenden, weil sie das Passwort immer wieder eintippen müssen.

Ein klassisches Beispiel: Man hat irgendwann angefangen zu sagen, alle 90

Tage muss man ein neues Passwort vergeben.

Den meisten Leuten war das ein Graus, und dann haben sie eben gesagt: Passwort 1,

Passwort 2, Passwort 3 – und haben das durchiteriert.

Was natürlich fatal für die Sicherheit ist, weil ich, sobald ich ein Passwort

kenne, die anderen ableiten kann.

Ja, ich kenne genau das aus der praktischen Anwendung: Wenn man behördlich

sagt »Wir geben hier alle drei Monate ein neues Passwort«, dann konntest du davon

ausgehen, dass das Passwort die letzten drei Male war: Büroschneidereit Sommer,

Büroschneidereit Herbst, Büroschneidereit Winter – was wird wohl das Passwort

gewesen sein, als es das nächste Mal aktualisiert wurde?

Genauso etwas: Wir hatten gerade aktuell den Fall mit der

Bundestagspräsidentin Julia Klöckner, die bei Signal ihren PIN von der

Passwortanfrage rausgegeben hat.

Sie hat verteidigend gesagt: Ja, aber ich werde das so oft gefragt, ich habe das so

oft eingegeben, wenn es angefordert war, dass mir nicht aufgefallen ist, dass

dieses eine Mal eben ein Angreifer war.

Und so etwas passiert halt.

Wenn wir die Nachfragen hochschrauben, dann sind die Leute davon genervt, werden

fahrlässig und begehen solche Fehler.

Du listest in deinem Buch verschiedene Bereiche auf, in denen OSINT praktische

Anwendung findet: den Journalismus, Unternehmen, also die Wirtschaft, und die

Wissenschaft.

Im journalistischen Kontext habe ich es öfter erlebt – sowohl, dass ich angefragt

wurde, ob ich Journalisten helfen kann, als auch, dass ich Journalisten zugeschaut

habe und dachte: Das hättet ihr einfacher haben können.

Ganz konkret wurde ich gefragt: Ist das Video aktuell und von wo ist das?

Auf dem Video sah man anzügliche Szenen auf einer Karnevalsparade in Spanien,

und keiner wusste, wo das war.

Dann habe ich mich hingesetzt und habe aus den Dingen, die in dem Video zu sehen

waren – da war ein Zahnarzt, da war eine Ampel mit einem Straßenübergang, da war

eine Fußgängerzone, da war ein Café –, angefangen, diese Informationen zu einem

Layer zu basteln, mit dem ich dann in OpenStreetMap herausfinden konnte: Es gibt

acht Orte in Spanien, auf die das zutrifft, dass dort von dieser

Zahnarztpraxiskette eine Filiale ist und direkt daneben eine Ampel.

Dann gucken wir doch mal, welche von denen in echt so aussehen wie in dem Video.

Innerhalb von vielleicht zwei Stunden herausgefunden, wo genau dieser Clip

aufgenommen wurde.

Dann konnte man mit lokalen Medien verifizieren: Das ist da vor wenigen

Stunden passiert, gibt auch schon die ersten Leute, die sich beschweren.

Und man konnte verifizieren: Nicht nur im Internet geht ein Clip rum, sondern in der

Ortschaft in Spanien ist Folgendes passiert.

Das ist etwas, wo ich sagen würde, das fällt unter OSINT, also mit öffentlichen

Daten und den entsprechenden Tools.

Das war jetzt Advanced GeoGuessr, um ehrlich zu sein.

Aber im weitesten Sinne, das, was der OSINT-Journalismus macht, das, glaube ich,

können sich viele Leute auch noch vorstellen: dass Journalisten ihre Quellen

entsprechend verifizieren oder Netzwerke aufdecken, indem sie schauen, wer mit wem

öffentlich irgendwo vernetzt ist.

Aber für die anderen Bereiche, für Wissenschaft und für Unternehmen und

Industrie, ist es vielleicht etwas komplizierter.

Kannst du da Beispiele nennen?

Ja, der Wirtschaftssektor holt da sehr stark auf.

Da muss man sehen: Unternehmen, gerade große Unternehmen, haben schon

fast – ich will jetzt nicht sagen staatliche Strukturen, aber schon vieles,

was auch eine Behörde abbildet.

Im Bereich der Öffentlichkeitsarbeit fängt es an: ein Medienscreening, was wird über

das Unternehmen gesagt.

Im Bereich der Entwicklung: Konkurrenzanalyse, also wer sind meine

Konkurrenten, was machen die, haben die irgendwelche Patente angemeldet,

Stellenausschreibungen, was für Kompetenzen suchen die – daraus kann ich

ableiten, was haben die vielleicht vor, was wollen die bauen.

Preisgestaltung, Prospekte – all das sind öffentliche Quellen, die ich für mein

Unternehmen nutzen kann, um zu bewerten: In welcher Nische entwickelt sich

mein Konkurrent, was sind deren Werte, wo hebe ich mich vielleicht auch von

der Konkurrenz ab, wie ist die Preisgestaltung, mit welchen

Dienstleistern arbeiten die zusammen?

Die ganze Supply Chain kann ich mir anschauen.

Dann aber auch, wenn ich mit einem Unternehmen Geschäfte machen möchte: Nicht

nur in Social Media wird viel gefaket, auch im Unternehmenskontext wird natürlich

versucht, sich besser darzustellen, als man vielleicht ist.

Das läuft dann so unter dem Bereich Due Diligence, dass ich schaue: Wer sind meine

Geschäftspartner?

Ist das vielleicht ein Unternehmen, das sanktioniert ist, also wo ich Probleme

bekomme, wenn ich mit dem zusammenarbeite, weil ich gegen Sanktionen verstoße?

Oder ist das ein Unternehmen, das mir zwar Lieferungen, Leistungen verspricht, die

aber gar nicht einhalten kann, weil hinter der Fassade gar kein Geschäftsbetrieb

existiert?

Das sind alles Themen, die kann man mittels OSINT-Quellen sehr gut aufklären,

weil man schauen kann: Wie viele Mitarbeiter finde ich denn über Social

Media, also LinkedIn, Xing und Co.?

Teilweise könnte man sogar so weit gehen: Wenn ich ein produzierendes Gewerbe habe

und die haben Fabriken, dann kann ich über Satellitenbilder schauen, gibt es

überhaupt Bewegungen von LKWs an diesem Produktionsstandort oder tut sich da

nichts?

Ich könnte sogar noch tiefer reingehen und Wärmesignaturen über Satelliten erheben

und schauen: Ist da Betrieb?

Dann sehe ich, dass diese Fabrikhalle eine gewisse Wärme abstrahlt.

Oder ist da alles kalt, es bewegt sich nichts?

Dann produzieren die wahrscheinlich gerade gar nicht oder haben vielleicht noch nie

produziert.

All das sind Themen, mit denen man sich auseinandersetzen kann.

IT-Security ist klar, da haben wir

auch Themen, die sich über OSINT abbilden lassen: welches

Unternehmen wurde gehackt, welche Ransomware-Gruppe hat gerade Daten

veröffentlicht, dann Leak-Daten, Breach-Daten kann ich mir anschauen.

Im Bereich Corporate Security, auch ein wichtiges Feld, kann man schauen:

Was passiert gerade in der Weltgeopolitik?

Auch das ist ein Thema, das von öffentlichen Quellen, von Nachrichten

lebt, und diese eben bewertet und in den eigenen Kontext setzt.

Da listest du in deinem Buch ja auch einiges an Beispielen auf: Sind die

Raketen, die dieser feindliche Staat aufgebaut hat, echte Raketen oder

Attrappen?

Wo ich auch daran erinnert wurde, dass ich zu genau so etwas mal gelesen hatte: wie

Israel die Raketen aus dem Libanon bewertet hat und dann zu der Erkenntnis

kam: Die haben jetzt innerhalb von wenigen Wochen zwar viele Raketen aufgestellt,

aber ein paar Wochen später kamen dann nach und nach die LKWs und die Raketen

durchzutauschen.

Also waren das, was sie da aufgestellt haben, wohl erst mal Attrappen, und man

kann davon ausgehen, dass jetzt nach und nach die scharfe Munition hinkommt.

Solche Sachen sind mittlerweile, wenn es unter freiem Himmel passiert: Man kann

draufschauen und kann das nachvollziehen.

Das sind Daten, die nicht mehr nur einem Geheimdienst oder einem Militär zur

Verfügung stehen, sondern die man auch privatwirtschaftlich gegen überraschend

wenig Geld kaufen kann.

Ja, tatsächlich.

Wobei gerade dieser Satellitenbildmarkt einerseits noch sehr

unbekannt für viele ist und andererseits aber auch sehr volatil.

Gerade jetzt in dem Konflikt Middle East haben wir gesehen, dass dann auch ganz

schnell diese ganzen kommerziellen Anbieter Auflagen bekommen, dass sie zum

Beispiel diese Daten sehr zeitverzögert nur herausgeben dürfen oder gar nicht

mehr.

Und darunter haben dann viele Journalisten stark gelitten, weil sie keine

Satellitenbilder mehr zur Auswertung, zur Verifikation hatten.

Man sieht auch, wie schnell solche Quellen versiegen können.

Ich würde sagen, ein prominenter Fall in Deutschland zum Thema OSINT war der –

Hacker finde ich jetzt der falsche Begriff – das war der Störenfried, der sich unter

dem Namen Orbit herumgetrieben hat und der ein großes Dokument veröffentlicht hat mit

so Sachen wie: Das ist Politiker XY, das ist seine Handynummer, das ist seine

E-Mail-Adresse.

Das waren Dinge, die über OSINT-Methoden erschlossen wurden.

Gar nicht mal über perfides super mega Geheimwissen, sondern – natürlich, da

waren auch Phishing-Angriffe dabei, dass er Büroleute angeschrieben hat,

Büroleiter, und gesagt hat: Hier, die und die Handynummer, ist die noch aktuell, ich

muss Herrn Schneidereit morgen anrufen.

Und dann kam die Antwort: Oh, gut, dass Sie das sagen, nein, die aktuelle

Handynummer ist diese.

Dann hatte er die Handynummer.

Dass er die Gutgläubigkeit der Leute auch ausgenutzt hat, aber im Wesentlichen hat

er öffentlich verfügbare Informationen zusammengetragen.

Die deutsche Presse hat rotiert und geschrieben: Da hat jemand

sicherheitskritische Informationen aus dem Parlament gehackt.

Und die Antwort ist: Da hat jemand einfach mal intensiv nachgeschaut und die Sachen

zusammengetragen.

Ich glaube, das ist so der prominenteste Angriff aus dem OSINT-Bereich, den man in

Deutschland kennt.

Denn man darf das nicht unterschätzen: Nur weil die Daten offen sind, heißt es nicht,

dass es nicht auch ein riesiges Schadpotenzial gibt, wenn man es

zusammenführt.

Absolut, und das ist, glaube ich, auch was, warum OSINT so oft unterschätzt

wurde.

Auch im nachrichtendienstlichen Bereich wurde OSINT lange stiefmütterlich

behandelt.

Das war so ein bisschen Radio hören, Fernsehen schauen und Zeitungen lesen.

Mittlerweile hat man aber auch erkannt, dass das eine sehr wertvolle Möglichkeit

ist, an Informationen zu gelangen.

Man merkt darüber auf alle Fälle, welchen Stellenwert OSINT auch erlangt hat, wenn

zum Beispiel Journalisten große Klimaschäden aufdecken können oder

Kriegsverbrechen aufdecken können.

Oder das Beispiel von dem Internationalen Strafgerichtshof, der seine

Ermittlungen jetzt sehr stark gegen Putin auch auf öffentliche Quellen gestützt hat.

Und gerade jüngst hat Europol viele Kinder, die aus der Ukraine verschleppt

wurden, mittels OSINT, also biometrischen Suchen, dann wiederfinden können.

Da sieht man einfach, wie mächtig diese Möglichkeit ist.

Sie ist sehr vielfältig, man muss manchmal auch einfach auf die Idee kommen, an der

richtigen Stelle zu schauen.

Dafür vielleicht ein kleines Beispiel, ich glaube, das habe ich auch im Buch mit

aufgenommen, vom THW: das Virtual Operations Support Team, was so eine

digitale Einheit ist, die genau OSINT für den Katastrophenschutz nutzen.

Da war mal die Fragestellung nach einem Hochwasser, wie das Schadensausmaß ist.

Oftmals geht es im ersten Moment darum zu verstehen, wie groß ist diese Katastrophe,

wo wird Hilfe benötigt, damit man die Hilfe an den richtigen Ort bringt.

Dann war die Frage: Wo ist noch Strom verfügbar, wo ist noch Internet verfügbar?

Einer der Helfer ist auf die Idee gekommen – das war so die Zeit, als die ersten

Ladestationen aufgestellt wurden für E-Fahrzeuge – auf die Idee gekommen: Die

funken doch ihren Status ins Netz.

Dann haben wir einfach recherchiert: Welche Ladesäulen können wir denn

überhaupt finden, und was für einen Status funken die gerade ins Netz?

Daraus konnte man dann relativ gut sagen: Wenn die erreichbar ist und sagt »Hier

kannst du laden«, dann kann man erstmal davon ausgehen, dass in der Region noch

Strom und Internet verfügbar sind.

Und mit so etwas kann man dann recht praktisch sagen, wir können das Gebiet auf

die und die Straßenzüge, Viertel, was auch immer eingrenzen.

Genau, man kann es eingrenzen, das ist dann Lagekartierung.

Intelligence bedeutet ja auch: Am Ende hat man ein Produkt, ein Intelligence-Produkt.

In so einem Katastrophenfall kann das eine Lagekarte sein, die interaktiv

visualisiert: Wo findet gerade was statt, wo sind welche Gefahren, wo passiert was?

Das kann sich zu einem großen Teil aus OSINT-Daten speisen.

Anderer Part, der dann leider auch immer wichtiger wird, ist tatsächlich die

Verifikation von Behauptungen, weil über Social Media – man mag es kaum glauben –

auch in solchen Katastrophenfällen immer Falschbehauptungen verbreitet werden,

altes Material verwendet wird, KI-Material verwendet wird.

Da muss man schauen: Ist das aktuelles Material, stammt das Material tatsächlich

aus der Region, und handelt es sich um echte Aufnahmen oder ist das KI-generiert?

In England gab es kürzlich ein Beispiel: Da wurde über Social Media ein Foto

geteilt von einer Eisenbahnbrücke, die eingestürzt war oder beschädigt war.

Daraufhin wurde tatsächlich der Zugverkehr temporär eingestellt, bis man festgestellt

hatte: Das Bild wurde nur mittels KI abgewandelt.

Da hat ein Nutzer ein Foto gemacht, hat es in die KI geladen und gesagt: Lass mal so

aussehen, dass diese Brücke hier beschädigt ist.

Man sieht: Solche Falschbehauptungen können reale Konsequenzen haben.

Und wir sind mittlerweile an dem Punkt, wo das Generieren solcher Falschbehauptungen

extrem einfach ist.

Im harmlosen Fall: »Ich kann heute leider wirklich nicht zur Vorstandssitzung

des Kaninchenzüchtervereins kommen, denn guckt mal hier, mein Fahrrad hat einen

Platten.« Mache ich ein Foto von meinem Fahrrad mit normalen Reifen, sage ich:

»Hey ChatGPT, wie sähe es denn aus, wenn das einen Platten hätte?« Foto fertig,

Foto für die meisten Leute akzeptabel genug, Kontext passt irgendwie, okay, dann

kommt der heute halt nicht.

Aber das skaliert zu, wie du gerade sagst, der Brücke.

Oder wir erinnern uns: Weapons of Mass Destruction, wo die USA mit angeblichen

Beweisen für mobile Chemiefabriken die Welt in einen Krieg mitgenommen haben,

also der Irakkrieg.

Das Verifizieren von Informationen wird immer wichtiger, das Erstellen von

falschen Informationen wird zeitgleich immer einfacher.

Man braucht heute kein Medienteam eines US-Geheimdienstes mehr, sondern kann sich

das in Sekunden generieren lassen.

Um vielleicht nochmal auf einen Punkt zu kommen, den du vorhin aufgemacht hast mit

den ukrainischen Kindern, die durch OSINT-Methoden gefunden werden: Das ist in

dem Fall ein Ermittlungserfolg.

Aber die gleichen Methoden können ja auch benutzt werden für Stalking.

Du machst den ethischen Unterschied in deinem Buch auf, aber lass uns darüber

vielleicht nochmal kurz reden.

Im Detail können die Leute das dann in dem Werk nachlesen.

Aber das ist schon etwas, was einen beschäftigt: dass die Anleitung, die du

hier gibst, um Dinge zu finden, um Dinge zu verifizieren, um Gutes in die Welt zu

bringen, genauso gut auch gegen dich verwendet werden kann – für Stalking, für

Beschattung von Leuten, die eigentlich gar nicht beschattet werden sollten, für das

Unterjubeln von falschen Informationen, falsche Beweise.

Lass uns mal in den ganzen Themenkomplex reingehen: Wo ist der Unterschied zwischen

OSINT und Stalking?

Ja, für mich ist der Unterschied auf alle Fälle in der Motivation und der ethischen

Komponente.

Und natürlich ist das eine Frage, die immer wieder aufkommt.

Der Punkt, den ich aber sehe und warum ich mich dazu entschlossen habe, dieses Wissen

zu vermitteln in Kursen oder jetzt auch in Form von diesem Buch, ist für mich ähnlich

wie bei anderen Themen, die quasi Dual-Use-Themen sind, wie Social

Engineering.

Ja, wir könnten uns totschweigen über Social Engineering und sagen: Wir

vermitteln das nicht.

Aber meiner Meinung nach ist der positive Nutzen definitiv größer, dass wir

Leute aufklären, dass wir zeigen, was die Möglichkeiten sind, um informiert dann

Entscheidungen zu treffen.

Hier kommt nochmal hinzu: Diese Techniken können sowohl für positive

Zwecke, für noble Zwecke eingesetzt werden – Ermittlungen, Strafverfolgung, im

Unternehmenskontext, von Journalisten, die Sachen aufdecken, wissenschaftlich.

Die positiven Use Cases gibt es, und gibt es in ganz vielen Bereichen.

Und die Leute, die das missbrauchen, die würden das auch ohne das Buch machen.

Die tauschen sich nämlich in Foren aus, und die ziehen keine ethische Grenze, was

noch OSINT ist.

Du hast das Beispiel mit Orbit angeführt: Ja, der hat viel OSINT

genutzt oder öffentliche Informationen zusammengetragen, aber du hast genauso

beschrieben, er hat dann eben auch E-Mails an das Vorzimmer geschickt und

im Prinzip Social-Engineering-Phishing-Kampagnen

durchgeführt, was meiner Meinung nach kein OSINT mehr ist.

Das könnte jeder machen, aber es ist nicht mehr öffentlich zugänglich.

Da sieht man: Für solche Menschen gibt es keine Grenze.

Deswegen bin ich definitiv der Überzeugung, dass dieses Wissen nicht

versperrt sein sollte.

Natürlich gibt es Leute, die anderer Meinung sind und sowas lieber nur in

geschlossenen Kursen haben möchten.

Aber meine Erfahrung zeigt: Die meisten Leute wollen es für gute Zwecke einsetzen.

Natürlich kann man sich nicht in jeden Mensch hineinversetzen, aber sagen wir

mal, ich schule 100 Leute, und 99 davon wollen das für positive Zwecke einsetzen

und einer will es missbrauchen, dann ist für mich die Rechnung trotzdem eine

positive.

Ich rede in meinen Vorträgen und Podcasts auch viel über Hackerangriffe und wie die

funktioniert haben.

Jetzt könnte man auch den Vorwurf machen: Ja, jetzt bringe ich Leuten Methoden bei,

die ich für besonders raffiniert gehalten habe.

Auf der anderen Seite, ich möchte sie ja eben in der Masse schulen, auf so etwas

nicht reinzufallen.

Eines meiner Highlights, um hier mal kurz über den Bereich des QR-Code-Phishings zu

reden: Da haben Leute falsche QR-Codes an Ladesäulen angeklebt, und wenn man die

gescannt hat, wurde man erstmal auf die Seite der Betrüger weitergeleitet.

Dort wurde ein Kleinstbetrag abgebucht, aber da die ja nichts mit der Ladesäule zu

tun hatten, hat die Ladesäule natürlich nicht entriegelt.

Wenn man dann nochmal den QR-Code gescannt hat, hat das Cookie im Browser erkannt:

Oh, du warst ja schon mal hier, ich leite dich jetzt zur Seite des Herstellers

weiter, wo man dann regulär die Säule entsperrt.

Das hat dazu geführt, dass die Leute an der Ladesäule gedacht haben: Ja, irgendein

technischer Fehler, für die zweifünfzig, die da abgebucht wurden, mache ich jetzt

nicht ein Support-Ticket auf.

In der Masse ist dann echt viel Geld bei Leuten gelandet, die sich einfach mal

dahingestellt haben.

Sowas fällt dann echt spät auf, aber andererseits: Wundern sich Leute darüber

nicht genug?

Wenn man ihnen sagt, das ist aber ein echter Angriffsfall, dann sind sie

vielleicht das nächste Mal skeptisch: Warum klebt denn da ein Sticker über dem

Sticker, oder warum hat denn die Ladesäule gar nicht entriegelt, das sollte doch

eigentlich immer funktionieren?

Solche Angriffe zu kennen macht am Ende des Tages die Welt zu einem sichereren

Ort, auch wenn es bestimmt jemanden gibt, der, wenn ich davon erzähle, sich denkt:

Ja, das Geld hätte ja auch ich über den Betrug gewinnen können.

Generell Phishing, da gibt es so viele schöne Beispiele.

Eins meiner Lieblingsprodukte gegen Social Engineering: Das ist ein kleines

Tischchen.

Deviant Ollam, den kennst du bestimmt, ist ein Großer im Bereich Physical Penetration

Testing, also wie man in Gebäude reinkommt.

Sein Standard ist: Er hat ein Lanyard umhängen mit einem Namensschildchen, das

ungefähr so aussieht wie das, womit die anderen Leute herauslaufen.

Das kann er sich in seinem Minivan drucken.

Dann geht er mit zwei Bechern Kaffee in der Hand auf die Tür zu und nickt einem

Kollegen zu, dass er ja gerade die Hände voll hat, ob der ihm eben die Tür

aufhalten kann.

Nützlicherweise, wenn er Leuten demonstriert, wie er so in die Gebäude

einbrechen kann, verkauft er als Produkt ein kleines Tischchen, das du neben dem

Batchscanner am Eingang montierst, damit alle Leute immer eine Hand frei haben

können, indem sie kurz ihren Kaffee auf dieses kleine Tischchen abstellen, damit

sich alle wirklich selbst ein- und ausloggen.

Das sind solche Kleinigkeiten, über die denkt man im Alltag gar nicht nach.

Da steht jemand mit zwei Bechern, der sieht aus, als würde er ins Gebäude

gehören, ja, dann halte ich halt die Tür auf, weil ich freundlich sein möchte.

Genau sowas nutzt ein Angreifer dann aus.

Jetzt könnte man sagen: Deviant macht Workshops, wie kann man besser einbrechen.

Aber am Ende des Tages macht er vor allem Workshops, wie mache ich mein Gebäude

sicher.

Kommen wir mal zu dem OSINT-Teil, der mir völlig neu war, wo ich das Gefühl hatte,

intuitiv mache ich das schon ähnlich, aber ich habe es nie so formuliert gesehen: der

Intelligence Cycle.

Ein Mechanismus, mit dem man Informationen gewinnt, aufbereitet, auswertet und dann

auf ihnen weiterarbeitet.

»Cycle« impliziert ja auch: Das ist ein Kreislauf, da gibt es kein direktes Ende,

und trotzdem fallen da die ganze Zeit Erkenntnisse über neue Informationen, neue

Ermittlungsansätze, Sackgassen und so weiter heraus.

Wie ist der aufgebaut, woraus besteht er?

Ja, der Intelligence Cycle besteht aus mehreren Phasen, und je

nachdem, welche Variante des Intelligence Cycle man kennt oder lernt oder

vertritt, hat er unterschiedlich viele Phasen.

Ich habe jetzt den gewählt mit sechs Phasen: Fängt an mit der Planungsphase,

dann die Sammlungsphase, Verarbeitung, Analyse, Verbreitung und dann Feedback.

Und dann geht es eben wieder in die Planungsphase.

Sehr häufig kommen Leute auf mich zu und sagen: Samuel, ich mache schon ein

bisschen OSINT, aber ich würde gerne strukturierter recherchieren,

strukturierter ermitteln.

Genau dafür ist der Intelligence Cycle ein super Hilfsmittel, weil er eine Struktur,

einen roten Faden gibt und einem hilft, eine Ermittlung, eine Recherche

strukturiert anzugehen.

Den Fehler, den gerade Anfänger machen, ist: Die laufen einfach los und versuchen

alles an Informationen im Internet zusammenzutragen.

Dann haben sie hinterher 200 Tabs offen, 50 PDFs heruntergeladen und wissen gar

nicht mehr, wo oben und unten ist.

Vor allem wissen sie auch nicht, wie sie zu den Informationen gekommen sind, und

können die dann auch nicht mehr in den Kontext setzen.

Für mich macht gerade die Planungsphase einen sehr großen Unterschied, weil

sie sowieso eine sehr große Phase ist, die man sehr weit fassen kann.

Es fängt für mich nämlich schon damit an: Wie bereite ich mich auf eine Recherche

vor?

Habe ich überhaupt die Kenntnisse?

Habe ich die Ausbildung?

Habe ich die Ausstattung?

Habe ich das Personal, wenn ich jetzt im Kontext einer Organisation denke?

Habe ich ausreichendes Personal zur richtigen Zeit?

Natürlich ist es schön, wenn ich eine OSINT-Koryphäe eingestellt habe, aber wenn

ich die im Fall der Fälle nicht greifbar habe, weil Urlaub, krank oder sonst

irgendwas ansteht, dann habe ich natürlich auch wieder ein Problem.

Auch das fällt für mich unter die Planungsphase.

Für die konkrete Recherche geht es vor allem darum: Was

ist Zweck der Recherche?

Man hat ja eine Frage, die man beantworten möchte.

Gerade wenn man als Dienstleister OSINT-Recherchen durchführt oder in

Behörden als Abteilung, die für andere Kommissariate zum

Beispiel Recherchen im Internet durchführt, dann ist häufig der Auftrag:

Mach mal OSINT zu der Person, find mal alles.

Das ist ein denkbar schlechter Auftrag, weil zum einen OSINT

immer eine Momentaufnahme ist und es sich auch weiterentwickelt.

Heute finde ich andere Ergebnisse als morgen, weil die Person weiterlebt.

Gerade wenn die auf Social Media viel aktiv ist, gibt es eigentlich kein Ende.

Dann fange ich an, die unendliche Geschichte zu schreiben.

Ich muss wissen, was will ich überhaupt beantworten, was ist die konkrete Frage.

Umso konkreter ich meine Recherchefragen formulieren kann, umso besser und

gezielter kann ich recherchieren.

Eine gute Recherchefrage wäre zum Beispiel: Kennen sich A und B?

Dann kann ich schauen, finde ich irgendwo einen gemeinsamen Nenner.

Waren die gemeinsam in der Schule?

Sind die im gleichen Verein?

Waren die zur gleichen Zeit am gleichen Ort?

Finde ich da irgendeine Verbindung?

Gibt es Unternehmen, wo es eine Partnerschaft gibt?

All das kann ich dann recherchieren.

Alles zu einer Person – da weiß ich nicht, wo soll ich anfangen, wo soll ich

aufhören?

Ja, vor allem: Ist alles zu der Person wirklich für die Ermittlung relevant?

Natürlich wird es Ziele geben: Wenn Südkorea versucht zu verstehen, was

Nordkorea als Nächstes macht, dann interessiert sie alles zu Kim Jong-un, von

der Schuhgröße bis zu den Lieblingsdesserts, die er gerne isst.

Aber wenn die Frage ist: Wir suchen jemanden, der Kontakt zu der Person hat,

zu der wir ermitteln, dann muss ich nicht wissen, welche Schuhgröße der hat.

Vermutlich nicht.

Es gibt bestimmt auch Fälle, in denen das eine Relevanz hat.

Ich habe früher in meinem Podcast auch mal gesagt: In den allermeisten Fällen wird

die Spotify-Playlist nicht relevant sein.

Dann hat sich tatsächlich ein Hörer mal bei mir gemeldet und gesagt: Ja,

grundsätzlich hast du recht, aber er hat tatsächlich gesagt,

in seinem konkreten Fall war die Spotify-Playlist relevant, und hat dann

auch erklärt, warum.

War ganz interessant.

Ja, kann man sich ja konkret vorstellen: Lehrer reicht ein, er ist

krankheitsbedingt die Woche nicht da.

Und in der Woche sehen dann Leute, die mit ihm auf Spotify verbunden sind, dass er

die ganze Zeit »Malle ist nur einmal im Jahr« rauf und runter spielt.

Und dann kommt er sonnengebräunt wieder, hmm, verdächtig.

Ja, das klingt, als hättest du da ein Beispiel.

Fiktional.

Mallorca gibt es nämlich gar nicht.

Das sind Sachen, über die denken wir im ersten Moment nicht nach, wenn Spotify

fragt: Möchtest du dich mit deinen Freunden verbinden, um zu hören, was die

hören oder zu sehen, wenn die etwas hören?

Dann ist das ein Komfortfeature, das macht die Plattform irgendwie sozialer, das ist

nett, weil Musik zusammen entdecken und Musik zusammen zu teilen ja auch Spaß

macht.

Und auf einmal fällt Leuten dann genau so etwas auf die Füße.

Ja, und dann sind wir wieder bei dem Thema OPSEC und Medienkompetenz, weil ganz oft

wissen wir gar nicht, wie viele Informationen wir teilen.

Wir haben zwar irgendwann mal zugestimmt und Daten in unserem Profil hinterlegt,

aber das vergessen wir, das verdrängen wir.

Gerade auch Metadaten können verräterisch sein, oder die ganzen Informationen, die

in einem Bild stecken.

Gerade gestern wieder eine Doku gesehen, wo – ich will jetzt gar nicht auf die

genauen Inhalte eingehen – aber es war quasi eine Mutter, die war anonymisiert,

aber das Ganze wurde in ihrem Haus gefilmt, man hatte Blick nach draußen, man

hatte Blick aufs Haus.

Dann kann man sich das mit dem Anonymisieren nämlich auch sparen, weil

das ist vielleicht eine halbe Stunde Arbeit, und ich weiß, wo die Person wohnt.

Wahrscheinlich auch, wie sie heißt, und kenne das gesamte Umfeld.

Das finde ich dann immer schade, wenn gerade in Bereichen, in denen eigentlich

dieses Wissen da sein sollte, also im Journalismus, diese Fehler gemacht werden.

Jemanden in einem Film darzustellen, wo die Person wohnt, aber dann

verpixelt oder anonymisiert das darzustellen – das beißt sich dann.

Ja, das ist etwas, wo ich mir oft denke, dass Quellenschutz vor allem bei mit hoher

Geschwindigkeit produzierten Formaten – also die öffentlich-rechtlichen

Jugendformate auf YouTube, bei allem rund um Funk – da habe ich schon sehr oft

gedacht: Ihr habt euch jetzt hier junge Leute herausgesucht, die gut mit der

jungen Generation connecten können, weil die die gleiche Sprache sprechen, im

gleichen Stil kappen und so weiter, die sind aber noch keine so erfahrenen

Journalisten.

Dann schaue ich oft darauf und denke mir: Naja, also ich könnte jetzt herausfinden,

wer eure Quelle ist, und ich bin ja nicht mal ein böswilliger Akteur, der der Quelle

etwas Schlechtes möchte.

Sondern eben, wie du sagst, man sieht eine Wohnung im Hintergrund oder »Wir treffen

ihn in seinem Lieblingscafé« – in seinem Lieblingscafé wird er vielleicht öfter als

einmal sein.

So OPSEC-Fails, die kann man durchaus immer wieder beobachten.

Da hilft OSINT zu verstehen, warum die Informationen, die ich gerade produziere,

ein Angriffsvektor sein können.

Um nochmal konkret über dein Buch zu reden: Du trägst verschiedene Methoden vor

für die Arbeit, du schaffst eine sehr gute Grundlage von welches Betriebssystem,

welche Browser, welche Plug-ins möchte man haben, um überhaupt mal anzufangen.

Dass dann in der Echtweltanwendung viel mit selbst zusammengepfuschten Skripten

passiert oder dass man auf Tools zurückgreift, die man nur zur Hälfte ihrer

Funktionen benutzt – ich stelle auch ständig fest, dass Dinge, die ich seit

Jahren benutze, eigentlich viel mehr können, und es dafür dann nicht nochmal

ein spezialisiertes Tool gebraucht hätte.

Aber da machst du einen relativ großen Teil deines Buchs zum Thema, welche

Methoden, welche Werkzeuge man benutzt.

Das fand ich einen sehr interessanten Grundlagenteil, muss aber auch zugeben,

dass ich Teile davon überflogen habe, weil mir bereits bewusst war, wie man Google

benutzt und dass es Yandex gibt und so weiter.

Dementsprechend die Zielgruppe von deinem Buch: Das sind ja Einsteiger, oder würdest

du sagen, man muss etwas mitbringen, um mit dem Buch Spaß zu haben?

Nein, also das Buch ist bewusst so geschrieben, dass man auch ohne jegliche

Vorkenntnisse in das große Thema Open Source Intelligence einsteigen kann.

Dennoch ist da auch für Fortgeschrittene dann hinten heraus genug Futter, dass man

es als Nachschlagewerk nutzen kann.

Jemand, der natürlich Erfahrung mitbringt, der Google Dorks kennt, der braucht da

nicht zu lesen: Was ist eine Suchmaschine, und wie kann ich Google-Operatoren nutzen.

Sondern der kann an anderen Stellen einsteigen, wo er vielleicht tiefer

recherchieren will, wo er vielleicht für sich auch einen Mehrwert hat, einen Trick

nochmal nachlesen will, und dann das eher als Nachschlagewerk nutzen.

Aber der Anfänger kann sich von vorne bis hinten durcharbeiten und hat dann wirklich

einen sehr soliden Überblick, was die Möglichkeiten sind.

Dann muss man auch sagen: OSINT ist ein wahnsinnig dynamisches Feld.

Jedes dieser Tools wird sich verändern, manche werden verschwinden, es werden neue

dazukommen.

Deswegen war mir auch wichtig, dass die grundlegende Methodik und das Mindset

einen großen Stellenwert haben.

Dass man eben zeigt: Ja, das ist das Denken hinter den Tools, und deswegen

mache ich genau diesen Schritt.

Quasi vom Großen – was sind Suchmaschinen und was kann ich damit machen – dann zu

den konkreten Techniken: Was sind die Operatoren, was kann ich damit anstellen,

was kann ich damit erreichen, und was gibt es vielleicht neben Google noch für

Alternativen, die mir den einen oder anderen Mehrwert bieten können.

Ja, eine der Sachen, die ich in deinem Buch wirklich mit Begeisterung gelesen

habe, obwohl das erstmal kontraintuitiv ist, ist der ganze rechtliche Teil.

Denn wenn man, so wie ich als Detektiv Pikachu, sich nach und nach in die

verschiedenen Tools eingegraben hat und sich nie gefragt hat, wie sieht das

eigentlich aus – du gehst ja explizit durch von wegen, was ist nach AGB

zulässig, was ist überhaupt eine verwertbare Information.

Denn nichts ist ärgerlicher, als eine Erkenntnis zu haben, die man auf

Informationen stützt, die man nicht zur Verwendung gerichtsfest benutzen kann.

Das ist etwas, was eben der Kontext ist, den du mitbringst, weil du aus der

Kriminalermittlung, aus der behördlichen Arbeit kommst.

Ich bin natürlich kein Rechtsanwalt und kann auch keine Rechtsberatung machen,

aber mir war wichtig, dass auch die rechtliche Betrachtung da einen Platz hat,

weil dieser Glaube »Es ist ja öffentlich, also kann ich es einfach verwenden, wie

ich möchte« – damit wollte ich aufräumen.

Natürlich ist da ein anderer Standard anzulegen, aber es kommt immer auf den Use

Case drauf an, in welchem Anwendungsfall ich das einsetze.

Eine Strafverfolgungsbehörde darf anders arbeiten, als das ein Unternehmen darf,

und das darf wieder anders arbeiten, als das vielleicht ein Journalist darf.

Da hat jeder so seine eigenen Standards und rechtlichen Grundlagen.

Dein Buch schafft ein gutes Kompendium, um in das Thema nicht nur einzusteigen,

sondern nach dem Lesen des Buches würde ich sagen, wenn man verinnerlicht hat, was

darin steht, und das eine oder andere auch mal angewendet hat, dann hat man eine gute

Augenhöhe, um sich über die vertiefenden OSINT-Themen zu informieren.

Dementsprechend die Frage: Du bist als OSINT-Geek seit einigen Jahren unterwegs,

du bietest vertiefende Kurse an.

Wird es spezielle Recherchen geben?

Ich hatte mir öfter gedacht: Jetzt wäre eigentlich schön, wenn es rechtlich

irgendwie möglich wäre, sowas zu lesen wie aus dem Anwendungsalltag, wie ich folgende

Tools zu folgender Erkenntnis benutzt habe.

Wird aus dem Einstieg mit diesem Buch noch ein Folgeband geben, oder sind das dann

deine Seminare?

Es sind dann eher die Seminare, weil dann wird es sehr praktisch.

Ich scheue mich sehr vor dieser Darstellung »Hier, ich habe dieses Tool

benutzt, und damit habe ich das und das aufgeklärt und diese Informationen

gefunden«, weil für mich grenzt das immer sehr an Doxing.

Das würde natürlich Reichweite schaffen, das würde Klicks schaffen, aber

da fühle ich mich nicht wohl mit, muss ich ganz ehrlich sagen.

Ich sehe das auch immer kritisch, wenn dann irgendwelche OSINT-Tool-Anbieter

sagen: Guck mal mit unserem Tool, und hier hast du jetzt die ganzen Daten zu der und

der Person.

Ich finde, für so etwas ist ein Kurs der richtige Raum, weil dann hat man einen

geschlossenen Raum, eine begrenzte Personengruppe, wo man wirklich im

Anwendungsfall schauen kann, was damit möglich ist.

Aber ich würde das jetzt nicht veröffentlichen oder irgendjemanden in die

Öffentlichkeit ziehen.

Das macht es schwierig, weil man dann immer sehr abstrakt vielleicht auch über

Themen redet, und da ist mir aber der Datenschutz doch auch

wichtig.

Ich möchte ja auch nicht, dass irgendjemand anfängt und sagt: Guck mal,

von Samuel gibt es da dieses Foto, da habe ich jetzt das und das herausgefunden, und

hier ist noch das und die Information.

Das würde ich auch nicht wollen.

Natürlich gibt es manchmal die Momente, wo man dann bewusst etwas vielleicht auch

nach außen trägt und sagt: Hier, findet doch mal raus, wo das war.

Dann bin ich mir aber des Risikos bewusst und habe mich bewusst dazu entschieden.

Da gibt es ja auch diverse Accounts online, die genau diese Inhalte dann auch

nutzen.

Wo jemand sagt: Hier, find doch mal raus, wo ich bin, und dann wird herausgefunden,

wo die Person sich aufhält.

Das hat dann eine andere Qualität.

Teilweise versucht man da, glaube ich, jetzt aber auch einfach nur, um

Aufmerksamkeit zu haben, dann aktuelle Geschehnisse nach außen zu tragen, und

das würde ich kritisch sehen.

Ich würde noch über eine aktuelle Entwicklung im OSINT-Bereich reden wollen,

um die man kaum noch herumkommt, nämlich die ganzen KI-Tools, die sich da

anpreisen, denen ich aus praktischer Anwendung sehr skeptisch gegenüberstehe.

Ich hatte ja vorhin erzählt mit den Journalisten, die die Frage hatten: Wo ist

diese Parade gewesen, wo kommt dieses Video her?

Dann habe ich in Spanien mit Filtern in OpenStreetMap gesucht, und da habe ich

konkret die Erfahrung gemacht, dass Leute sagen: Welches KI-Tool benutzt du denn, um

das herauszufinden?

Da kommen wir an den Punkt: Selbst wenn das KI-Tool dir einen Kontext gibt, gibt

es dir oft nicht die Daten und die Informationen.

Es gibt dir etwas, das vermeintlich Intelligence ist, aber nicht

nachvollziehbare Intelligence.

Du schneidest ja auch an, dass es entsprechende KI-Tools gibt und zeigst

auch Anwendungsfälle, wie zum Beispiel: Wenn ich in der Planungsphase bin und ich

überlege noch, welche Synonyme könnte es denn für das geben, was ich gerade suche,

oder welche Begriffe in anderen Sprachen.

Wenn ich in einem Milieu ermitteln möchte, dessen Sprache ich nicht spreche oder

nicht gut spreche, dass ich dann zum Beispiel ein LLM frage: Was sind beliebte

Emoji-Kombinationen, um Folgendes auszudrücken?

Aber dann kommen wir ganz schnell in einen Bereich, wo KI nicht mehr die Hilfe

anbieten kann, die sie verspricht.

Wie sind da deine Erfahrungen?

Sehr gemischt, tatsächlich.

Ich bin auch KI gegenüber erstmal kritisch und bin auch immer der Meinung, man sollte

verstehen, was man an Aufgaben abgibt.

KI ist natürlich super, um hochzuskalieren.

Wenn ich ein Bild geolokalisieren muss, dann kann ich das manuell machen.

Wenn es auf einmal 100 sind, dann wird es schon schwieriger.

Wenn ich jetzt aber 1.000 oder 10.000 Bilder geolokalisieren will, dann kriege

ich das alleine in einer überschaubaren Zeit gar nicht mehr hin.

Dann ist die Frage: Was will ich damit erreichen?

Reicht es mir, herauszufinden, mit einer Trefferquote 60 bis 80 Prozent, in welchem

Land, in welcher Region ein Großteil der Bilder entstanden ist?

Dann kann mir eine KI vielleicht weiterhelfen.

Dafür muss ich aber verstehen, was die Möglichkeiten sind und was auch die

Grenzen und Gefahren von KI sind.

Eine KI wird mir eher zustimmen.

Die wird mit sehr viel Selbstbewusstsein behaupten, dass etwas so ist.

Wenn man das nicht durchschaut und vielleicht das Hintergrundwissen nicht

hat, dann fällt man darauf sehr leicht rein.

Das kann jeder einfach selbst testen, indem man ein Thema wählt, bei dem man

sich wirklich auskennt, und dann einfach mal mit einem LLM hin und her chattet,

sich mal so ein paar Behauptungen anschaut und die vielleicht dann auch

auseinandernimmt.

Was ich eine ganz witzige Übung finde, wenn wir jetzt über OSINT sprechen: dass

man ChatGPT oder irgendeinem anderen Tool sagt: Gib mir doch mal eine lustige

Anekdote aus öffentlichen Quellen zu Samuel Lolagar.

Das ist interessant, wenn man zu seiner eigenen Person dann auf einmal irgendeine

Anekdote, die ja angeblich aus öffentlichen Quellen stammen soll, hört

oder liest und dann aber feststellt, dass das ziemlicher Quatsch ist.

Deswegen wird sehr schnell offensichtlich, dass es zwar glaubhaft klingt, dass es

ordentlich geschrieben ist, aber dass es nicht unbedingt glaubwürdig sein muss.

Ein anderer Punkt, um jetzt vielleicht für KI noch eine Lanze zu brechen: Wenn wir

10.000 Seiten PDF durchsuchen müssen – Volltextsuche haben wir

zwar, aber es können unterschiedliche Begriffe verwendet worden sein, gerade für

Personen, Orte.

Man schreibt nicht immer das Gleiche, oder manchmal ist es einfach im Kontext, dass

sich dann herausstellt, es geht um den Bruder oder Ähnliches.

Da kann KI tatsächlich extrem hilfreich sein.

Natürlich kann eine KI da auch Fehler machen.

Aber dann ist der Punkt: Sie führt mich zur Fundstelle, ich schaue mir die

Fundstelle an, und da muss ich sagen: Ja, vielleicht macht die KI Fehler, aber ein

Mensch, der 10.000 Seiten PDF durchsucht, wird auch Fehler machen.

Konzentration, Aufmerksamkeit.

Wird sich das irgendwann vielleicht sogar die Waage halten, oder die KI vielleicht

sogar besser abschneiden?

In dieser Bandbreite bewegt sich für mich KI.

Ich bin der Überzeugung, dass ich mit KI viele lästige, repetitive Aufgaben

nach und nach abgeben und auch beschleunigen kann.

Aber ich sollte immer verstehen: Was macht die KI denn unten drunter, und das im

Zweifel auch reproduzieren können manuell.

Gerade wenn ich dann ein Ergebnis habe und ich weiß nicht, wo kommt das denn her,

dann muss ich besonders aufmerksam sein und schauen: Wo kommt diese Information

her?

Kann ich das reproduzieren?

Wo ist die Quelle?

Das auch verifizieren, dass das tatsächlich so ist.

Eine KI kann sehr schnell einen Kontext zwischen Informationen herstellen, der gar

nicht existiert.

Da gab es ein schönes Beispiel von einem Journalisten, der dann als mehrfach

verurteilter Mörder und Sexualstraftäter von der KI bezeichnet wurde, weil er immer

zu diesen Fällen berichtet hatte.

Dann tauchte natürlich sein Name immer im Kontext von diesen Gewalttaten,

Sexualstraftaten auf.

Dann war klar: Wenn man den Namen bei ChatGPT abgefragt hat, dann war das

natürlich der Vergewaltiger und Mörder, der zigmal lebenslänglich verurteilt

wurde.

Ich habe da aus ganz privater Erfahrung, als Google angefangen hat, KI-Ergebnisse

vorzuschlagen in den ersten Zeilen: Ich habe irgendwann mal scherzhaft in einem

Vortrag, wo ich über eine Schwachstelle gesprochen habe, gesagt: Ich mache

beruflich Schwachstellen.

Und dann stand in der KI-Zusammenfassung aus diesem Transkript: Ali Hackalife ist

Programmierer und Künstler, beruflich stellt er Schwachstellen her.

Ich meine damit was anderes, wenn ich sage, ich mache beruflich Schwachstellen.

Aber die Maschine ist ja auch nur so schlau wie das, was wir ins Internet

reden.

Wenn ihr jetzt Interesse habt, euch weiter mit OSINT zu befassen, dann ist das Buch

von Samuel eine gute Grundlage, um in die Methoden einzusteigen, in die Theorie

hinter den Methoden, zu verstehen, wie man seine Recherchen strukturiert, wie man

seine Recherchen für sich selbst und andere nachvollziehbar macht.

Das ist durchaus ein wichtiger Teil – Dokumentation: Dass wenn ich etwas heute

anrecherchiere, aufgebe und in drei Monaten denke »Moment, da war doch was«,

dass ich dann nicht wieder bei null anfange, sondern auf bestehenden

Ergebnissen aufbauen kann.

Wenn euch interessiert, wie man da Struktur und Methode reinbringt und was

man damit herausfinden kann, dann gibt es im Rheinwerk Verlag erschienen das Buch

»OSINT – Wie Sie Informationen finden, verifizieren und verknüpfen«.

Danke, Samuel, für deine Zeit.

Vielen Dank.