FALLSTUDIE // IT-INFRASTRUKTUR-ERMITTLUNG
Eine 27-teilige passive OSINT-Ermittlung, die eine multinationale Streaming-Infrastruktur kartografierte, den Betreiber anhand von 37+ verknüpften Konten identifizierte und ein vollständiges Intelligenzdossier mit 186 Beweisschritten erstellte.
Ein illegales Streaming-Geschäft, das Tausende von Piratenkanälen über mehrere europäische Märkte verteilte, wurde mithilfe ausschließlich passiver OSINT-Techniken untersucht. Im Rahmen einer mehrphasigen Ermittlung, die sich über 27 Analyse-Sessions erstreckte, wurde der Betreiber vollständig identifiziert, die gesamte Server-Infrastruktur kartografiert, das Finanzmodell rekonstruiert und ein für die Strafverfolgung geeignetes Dokumentationspaket erstellt.
Die Ermittlung begann mit einem einzelnen Datenpunkt – einer Streaming-Panel-URL – und durch systematische Mehrquellen-Intelligenz-Korrelation erweiterte sie sich, um die Identität des Betreibers, dessen Wohnort, Familienverbindungen, ISP-Beziehung, eine 5-Knoten-Server-Architektur über drei Länder hinweg und ein geschätztes Geschäftsmodell mit 84.000 bis 420.000 Euro Umsatz über die Lebensdauer zu offenbaren.
Das Ziel operierte hinter mehreren Schichten der Verdeckung: bulletproof Hosting-Anbieter, Cloudflare-Schutz, Wildcard-DNS und getrennte Infrastrukturrollen (Codierung, Bedienfeldverwaltung, CDN-Bereitstellung, Edge-Verteilung). Der Betreiber unterhielt keine registrierte Geschäftseinheit – keine Gesellschaftsunterlagen, keine Steuererklärung unter ihrem Namen, die mit der Operation verknüpft waren.
Das Ziel bestand darin, drei Fragen allein durch passive Mittel zu beantworten: Wer betreibt diese Infrastruktur? Wie ist die Operation technisch und finanziell strukturiert? Welche Beweise existieren, um Durchsetzungsmaßnahmen zu unterstützen?
Analyse von Benutzernamenmustern, E-Mail-Korrelation, Plattformauflistung. Entdeckte 37+ Accounts auf Entwicklerplattformen, sozialen Medien, Spielplattformen und Untergrundforen – alle miteinander über konsistente Benutzernamenmuster und E-Mail-Adressen verknüpft.
DNS-Analyse, Zertifikatskorrelation, Portscanning, Dienstfingerprinting. Kartenbasierte Zuordnung von 5 Serverknoten in 3 Ländern mit unterschiedlichen Rollen: Kodierungsquelle, Panel-Management, CDN-Verteilung, europäischer Edge-Server und E-Mail-Relay. Identifizierte bulletproof Hosting, NAS-Infrastruktur und VPN-Zugriffsverläufe.
API-Auflistung, Kanalbestand, Inhaltskategorisierung. Dokumentierte den Gesamtumfang: Tausende Live-Streams, Tausende VOD-Titel, Hunderte Fernsehserien – einschließlich Hunderten Premium-Kanälen von 11+ Rechteinhabern in 5+ Rechtsraum.
Identifizierung von Zahlungskanälen, Einnahmenabschätzung, Zuordnung von Auftraggebern. Entdeckte fiat-basiertes Zahlungsmodell über identifizierte Zahlungsplattformen, geschätzte Abonnentenzahl und Umsätze sowie Nachverfolgung der Inhaltslieferkette von der Satellitenquelle über Kodierung bis zur Verteilung.
Kreuzvalidierung aller Intelligenzströme. Die reale Identität des Betreibers wurde durch Konvergenz mehrerer unabhängiger Beweisketten bestätigt: Code-Repository-Commits, soziale Medienprofile, öffentliche Registrierungen, Forumbeiträge und Infrastruktur-Artfakte.
Die 5-Knoten-Architektur wurde über passives DNS, Zertifikats-Transparenz und Dienstfingerprinting kartografiert:
Knoten 1 (Ursprung/Codierer): Residentieller ISP-Anschluss, der Codierhardware (NAS + Hardware-Codierer) hosts. Aus der physischen Lage des Betreibers betrieben mit offenen FTP-, SMTP-, RTSP-, RTMP- und VPN-Diensten. Der OPSEC-armseligste Knoten.
Knoten 2 (Panel): Bulletproof-Hosting-Anbieter, der Streaming-Panel-Software betreibt mit offenen Datenbank- (MariaDB) und Cache-Ports (Redis), die aus dem Internet zugänglich sind – obwohl IP-Weißlistung aktiviert ist.
Knoten 3 (CDN): Derselbe Bulletproof-Hosting-Anbieter, der Stream-Verteilung und VOD-Hosting (Video on Demand) übernimmt. Mit End-of-Life-Webserver-Software, die bekannte CVEs aufweist.
Knoten 4 (Edge): Europäischer Edge-Delivery-Knoten bei einem anderen Hosting-Anbieter.
Knoten 5 (Mail): Cloud-Mail-Relay, das Domänenkommunikationen verarbeitet.
Das umfassende Intelligenz-Paket – einschließlich Operatoridentifizierung, Infrastruktur-Topologie, Finanzanalyse, Inhaltsinventar und Auswirkungsbeurteilung für Rechteinhaber – wurde in ein strukturiertes Dossier zusammengestellt, das für die Überweisung an Strafverfolgungsbehörden geeignet ist. Die Dokumentation identifizierte anwendbare Rechtsrahmen in über 5 Jurisdiktionen und schlug konkrete Ermittlungsschritte vor, die zur Ausführung eine rechtliche Befugnis erfordern würden (Datenbankzugriff, Transaktionsdaten, ISP-Abonnenteninformationen).
Die gesamte 27-teilige Untersuchung wurde unter ausschließlicher Anwendung passiver OSINT-Techniken durchgeführt. Die Informationsquellen umfassten: öffentliche API-Antworten, DNS-Einträge, Zertifikats-Transparenzprotokolle, Analyse von Code-Repositories, soziale Medienprofile, Suchanfragen in öffentlichen Registern, passives Service-Fingerprinting und Analyse von Forum-Beiträgen. Es wurde zu keinem Zeitpunkt ein System ohne Genehmigung betreten, keine Anmeldeinformationen getestet und keine aktive Ausnutzung durchgeführt.
Egal ob Betrugsnetzwerke, Markenmissbrauch oder Wettbewerberinfrastruktur – wir kartieren, was andere übersehen.