RESSOURCEN // GLOSSAR
Schlüsselbegriffe in Open-Source-Intelligence, Cybersicherheit und Website‑Analyse — definiert für sowohl technische als auch geschäftliche Zielgruppen.
Informationsbeschaffung, die eine direkte Interaktion mit dem Zielsystem beinhaltet — Port‑Scanning, Schwachstellenprüfung, Authentifizierungstests. Im Gegensatz zur passiven Aufklärung kann aktive Aufklärung vom Ziel erkannt werden und kann ohne Genehmigung rechtliche Konsequenzen nach sich ziehen.
Siehe auch: Passive Aufklärung
Eine eindeutige Kennung, die einem Netzbetreiber (ISP, Hosting‑Provider, Unternehmen) für die Weiterleitung von Internetverkehr zugewiesen wird. Die ASN‑Abfrage zeigt, welche Organisation eine bestimmte IP‑Adresse kontrolliert, deren geografische Reichweite und ihre Peering‑Beziehungen – nützlich, um Hosting‑Entscheidungen und die Infrastruktur‑Topologie zu verstehen.
Eine staatlich gesponserte oder staatlich angegliederte Bedrohungsgruppe, die langfristige, zielgerichtete Cyber‑Operationen gegen bestimmte Sektoren oder Organisationen durchführt. APT‑Gruppen werden von Regierungsbehörden für Cybersicherheit und Geheimdiensten anhand beobachteter Taktiken, Infrastruktur und Zielmuster Nation‑Staaten zugeordnet. APT‑Bezeichnungen (z. B. APT28, APT41, Lazarus Group) werden von Organisationen wie MITRE ATT&CK, BSI (Bundesamt für Sicherheit in der Informationstechnik) und internationalen CERT‑Gemeinschaften verfolgt. In externen Bewertungen der Angriffsfläche identifiziert das Mapping der APT‑Bedrohungslandschaft, welche staatlich gesponserten Gruppen dokumentierte Aktivitäten haben, die den Industriesektor der Organisation anvisieren, und liefert Kontext für strategische Risikobeschlüsse.
Die Gesamtheit aller Punkte, an denen ein unautorisierter Benutzer versuchen könnte, in ein System einzudringen oder Daten daraus zu extrahieren. Im Bereich der Website‑Intelligenz umfasst die externe Angriffsfläche alle öffentlich sichtbaren Endpunkte, Subdomains, offenen Ports, exponierten APIs und fehlkonfigurierten Diensten. Die Reduzierung der Angriffsfläche ist ein primäres Ziel des Security‑Posture‑Managements.
Ein geografisch verteiltes Netzwerk von Servern, das Webinhalte basierend auf der Nähe zum Nutzer bereitstellt. Zu den gängigen CDNs gehören Cloudflare, Akamai und AWS CloudFront. Die Erkennung von CDNs zeigt das Investitionsniveau in die Infrastruktur und kann Aufschluss über die geografische Verteilung der Zielgruppe geben.
Ein öffentliches Protokollierungssystem, das alle von Zertifizierungsstellen ausgestellten SSL/TLS‑Zertifikate aufzeichnet. Sicherheitsforscher nutzen CT‑Logs, um Subdomains, interne Projektnamen, Staging‑Umgebungen und Infrastruktur‑Muster zu entdecken – häufig werden Informationen aufgedeckt, die die Organisation nicht öffentlich machen wollte.
In einer Bewertung zeigte CT‑Log allein über 520 Subdomains einer großen Finanzplattform, einschließlich interner Projektnamen.
Software, die zum Erstellen und Verwalten von Website-Inhalten verwendet wird — WordPress, Shopify, Drupal, Webflow und weitere. Die Erkennung von CMS ist ein grundlegendes Signal in der Website-Intelligenz und offenbart Technologieentscheidungen, potenzielle Schwachstellen (versionsspezifisch) sowie die operative Reife.
Eine EU‑Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen – Hardware, Software und vernetzte Geräte, die auf dem europäischen Markt verkauft werden, festlegt. Die CRA verlangt von Herstellern und Vertriebspartnern die Umsetzung von Security‑by‑Design‑Prinzipien, die Bereitstellung von Schwachstellen‑Management‑Prozessen und die Meldung aktiv ausgenutzter Schwachstellen innerhalb von 24 Stunden. Bei Nicht‑Einhaltung drohen Strafen von bis zu 15 Millionen € oder 2,5 % des weltweiten Jahresumsatzes. Wichtiger Termin: September 2026 für die vollständige Durchsetzung.
Ein standardisierter Identifier für öffentlich bekannte Cyber‑Sicherheitslücken (z. B. CVE-2024-2473). Jeder CVE verfügt über einen Schweregrad‑Score (CVSS) und eine Beschreibung. Die Website‑Intelligenz vergleicht erkannte Softwareversionen mit CVE‑Datenbanken, um potenzielle Angriffsflächen zu identifizieren.
Ein numerisches Bewertungssystem (0.0–10.0), das die Schwere von Sicherheitslücken bewertet. Werte über 7.0 gelten als hoch, über 9.0 als kritisch. CVSS‑Werte helfen, die Behebung basierend auf realer Ausnutzbarkeit und potenziellem Impact zu priorisieren.
Die gesamte Datenspur, die eine Organisation oder eine Einzelperson im Internet hinterlässt — Websites, DNS‑Einträge, Profile in sozialen Medien, Code‑Repositorys, Zertifikatsregistrierungen und historische Webarchive. Passive Aufklärung kartiert diesen Fußabdruck, ohne neue Spuren zu erzeugen.
Das System, das menschenlesbare Domainnamen (example.com) in IP‑Adressen übersetzt. DNS‑Einträge (A, MX, TXT, CNAME, NS) sind eine reiche Informationsquelle – sie enthüllen Mail‑Provider, Hosting‑Infrastruktur, Integrationen von Drittanbieterdiensten und Domain‑Verifizierungs‑Einträge für SaaS‑Tools.
Ein E‑Mail‑Authentifizierungsprotokoll, das empfangenden Mail‑Servern mitteilt, wie mit E‑Mails umzugehen ist, die die SPF‑ oder DKIM‑Prüfung nicht bestehen. Eine DMARC‑Richtlinie mit „reject“ signalisiert ausgereifte E‑Mail‑Sicherheit; „none“ bedeutet, dass die Domain für Phishing‑Angriffe leicht gefälscht werden kann.
Eine EU‑Verordnung, die für Finanzinstitute gilt – Banken, Versicherungsunternehmen, Investmentfirmen, Zahlungsdienstleister und deren kritische ICT‑Drittanbieter. Seit Januar 2025 in Kraft, verpflichtet DORA zu umfassenden ICT‑Risikomanagement‑Frameworks, Vorfallmeldungen innerhalb strenger Fristen, Tests zur digitalen betrieblichen Resilienz und zur Überwachung von Drittanbieter‑Risiken. Im Gegensatz zu NIS2 ist DORA eine Verordnung (direkt anwendbar) und keine Richtlinie und konzentriert sich speziell auf die operative Resilienz der digitalen Infrastruktur des Finanzsektors.
Der Prozess der Untersuchung der digitalen Präsenz, Sicherheitslage und technischen Infrastruktur eines Unternehmens vor einer geschäftlichen Entscheidung – M&A, Partnerschaft, Anbieterauswahl oder Investition. Website‑Intelligence automatisiert die technische Komponente der digitalen Due Diligence, indem sie über 150 Signale aus öffentlichen Daten extrahiert.
Der kontinuierliche Prozess des Entdeckens, Inventarisierens, Klassifizierens und Überwachens der internetexponierten Assets einer Organisation — einschließlich Assets, von denen die Organisation möglicherweise nicht weiß, dass sie sie besitzt. EASM geht über herkömmliche Schwachstellen‑Scans hinaus, indem es Subdomain‑Erkennung, Analyse der Zertifikatstransparenz, Erkennung von Cloud‑Infrastrukturen, Auflistung exponierter APIs und Mapping von Drittanbieterdiensten zu einem einheitlichen Bild der externen Sichtbarkeit kombiniert. Ein effektives EASM bildet die Grundlage für die regulatorische Konformität gemäß CRA, NIS2 und DORA, indem es kontinuierliche Sicherheitsüberwachung nachweist.
Siehe auch: Angriffsfläche, CRA
Der Teil der Angriffsfläche einer Organisation, der aus dem öffentlichen Internet sichtbar ist — Webserver, DNS‑Einträge, exponierte Dienste, Subdomains und öffentliche APIs. Das Management der externen Angriffsfläche (EASM) umfasst die kontinuierliche Überwachung und Reduzierung dieser Exposition.
EU‑Verordnung, die den Schutz personenbezogener Daten regelt. In der Website‑Intelligenz umfassen GDPR‑Compliance‑Signale Cookie‑Einwilligungsmechanismen, die Qualität der Datenschutzerklärung, die Umsetzung der Betroffenenrechte und die Transparenz der Datenverarbeitung. Fehlende Compliance stellt sowohl ein rechtliches Risiko als auch einen Hinweis auf Vertriebschancen dar.
Ein Sicherheits‑Header, der Browser anweist, ausschließlich über HTTPS zu verbinden und damit Downgrade‑Angriffe zu verhindern. HSTS mit preload und includeSubDomains signalisiert ein hohes Sicherheitsbewusstsein. Das Fehlen ist ein negatives Sicherheitssignal, das durch passive Aufklärung erkennbar ist.
Malware, das dazu entwickelt wurde, Anmeldeinformationen, Cookies und Session‑Tokens von infizierten Geräten zu sammeln. Infostealer‑Logs werden auf Dark‑Web‑Marktplätzen gehandelt und enthalten Benutzernamen, Passwörter und URLs – wodurch sie eine primäre Quelle für Informationen zu Credential‑Verstößen darstellen.
Der strukturierte Prozess zur Erstellung umsetzbarer Erkenntnisse: Anforderungsdefinition → Sammlung → Verarbeitung → Analyse → Berichterstellung → Feedback. Professionelle OSINT‑Operationen folgen diesem Zyklus, um Konsistenz, Genauigkeit und Relevanz der Ergebnisse sicherzustellen.
Siehe: Unsere Methodik
Der Prozess zur Identifizierung und Dokumentation der technischen Infrastruktur einer Organisation — Server, IP‑Bereiche, Hosting‑Provider, DNS‑Topologie, CDN‑Konfiguration und Service‑Architektur. Passives Infrastruktur‑Mapping nutzt DNS, Zertifikate und WHOIS‑Daten, ohne Zielsysteme zu berühren.
Eine Methodik zur Bewertung von Interessenten basierend auf ihrer Wahrscheinlichkeit, zu konvertieren. Im Bereich Website-Intelligence nutzt Lead Scoring öffentliche Signale — Tiefe des Technologie-Stacks, Sicherheitslücken, Compliance-Status und geschäftliche Indikatoren — um A‑F‑Bewertungen zu vergeben, die das Deal‑Potenzial prognostizieren und empfohlene Engagement‑Ansätze vorschlagen.
Die Praxis, Erkenntnisse aus mehreren unabhängigen Quellen zu kreuzverweisen, bevor Ergebnisse gemeldet werden. Ein Signal, das mit einer Methode entdeckt wird, ist ein Hinweis; wird es über drei unabhängige Quellen bestätigt, wird es zur Intelligence. Dieses Prinzip reduziert Fehlalarme und erhöht das Vertrauen in Bewertungen.
EU‑Regulierungsrahmen (Verordnung 2023/1114), der umfassende Regeln für Krypto‑Asset‑Dienstleister (CASPs) festlegt. MiCA deckt das ICT‑Risikomanagement (Art. 62), die operationelle Resilienz (Art. 67), den Schutz der Krypto‑Assets von Kunden (Art. 68), Verwahrung und Verwaltung (Art. 75), Börsendienste (Art. 79) und die Beschwerdebehandlung (Art. 83) ab. Bei der Bewertung externer Angriffsflächen identifiziert die MiCA‑Compliance‑Abbildung Sicherheitslücken, die für Organisationen im Krypto‑Asset‑Sektor relevant sind – von Börsen und Verwahrungs‑Wallet‑Anbietern bis hin zu Token‑Emittenten.
Siehe auch: DORA
Die aktualisierte EU-Richtlinie zur Cybersicherheit, die die ursprüngliche NIS-Richtlinie ersetzt. NIS2 ist eine Richtlinie — was bedeutet, dass die EU-Mitgliedstaaten sie in nationales Recht umsetzen müssen — und keine unmittelbar anwendbare Verordnung wie DORA oder CRA. Sie erweitert den Anwendungsbereich der betroffenen Unternehmen auf zwei Kategorien: „wesentlich“ (Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur) und „wichtig“ (Postdienste, Abfallwirtschaft, Fertigung, Lebensmittel, digitale Anbieter). NIS2 schreibt Risikomanagementmaßnahmen, die Meldung von Vorfällen innerhalb von 24 Stunden bei signifikanten Vorfällen, Sicherheit der Lieferkette und die Verantwortlichkeit des Leitungsorgans vor. Strafen für wesentliche Unternehmen können bis zu 10 Millionen € oder 2 % des weltweiten Umsatzes betragen.
Eine numerische Bewertung (0‑100), die den potenziellen geschäftlichen Wert einer Zusammenarbeit mit einem Interessenten angibt, basierend auf identifizierten Lücken und Bedürfnissen. Hohe Opportunity‑Scores weisen auf mehrere adressierbare Probleme hin – Sicherheitslücken, Compliance‑Lücken oder technische Schulden – kombiniert mit Hinweisen auf Budget und organisatorische Bereitschaft.
Intelligenz, die aus öffentlich zugänglichen Quellen abgeleitet wird — Websites, DNS‑Einträge, soziale Medien, Zertifikats‑Logs, Code‑Repositorys, öffentliche Datenbanken und Webarchive. OSINT ist per Definition legal, weil es ausschließlich Informationen nutzt, die ohne Authentifizierung oder Autorisierung zugänglich sind. Es wird von Sicherheitsforscher*innen, Strafverfolgungsbehörden, Journalist*innen und Unternehmen weltweit verwendet.
Siehe: Passive Reconnaissance 101
Informationsbeschaffung durch Beobachtung öffentlich zugänglicher Daten ohne jegliche Interaktion mit dem Zielsystem. Keine Authentifizierungsversuche, keine Formularübermittlungen, kein aktives Probing. Passive Aufklärung ist für das Ziel unentdeckbar und völlig legal – sie beobachtet dieselben Daten, die jedem Webbrowser oder jeder Suchmaschine sichtbar sind.
Kryptografische Algorithmen, die entwickelt wurden, um Angriffe sowohl klassischer als auch quantenbasierter Computer zu widerstehen. NIST hat im August 2024 drei PQC‑Standards finalisiert: ML‑KEM (FIPS 203) für Schlüsselverkapselung, ML‑DSA (FIPS 204) für digitale Signaturen und SLH‑DSA (FIPS 205) für hashbasierte Signaturen. Organisationen stehen unter regulatorischem Druck, die PQC‑Migration im Rahmen von CRA, NIS2 und CNSA 2.0 zu beginnen, wobei die vollständige Abschaffung quantenanfälliger Algorithmen voraussichtlich zwischen 2030 und 2035 erfolgt.
Siehe auch: Bedrohungs‑Score
Eine gegnerische Strategie, bei der verschlüsselter Netzwerkverkehr heute abgefangen und gespeichert wird, mit der Erwartung, ihn zu entschlüsseln, sobald Quantencomputer in der Lage sind, aktuelle kryptografische Algorithmen zu brechen. Diese Bedrohung ist besonders relevant für Daten mit langfristigen Vertraulichkeitsanforderungen: Finanzunterlagen, medizinische Daten, geistiges Eigentum, diplomatische Kommunikation und Geschäftsgeheimnisse. Der Zeitraum zwischen Ernte und Entschlüsselungsfähigkeit wird auf drei bis zehn Jahre geschätzt, wodurch die sofortige Migration zu post‑quantum Kryptografie zu einer Risikomanagement‑Priorität wird und nicht nur eine zukünftige Überlegung ist.
Der Vorgang, die Netzwerkports eines Servers zu sondieren, um laufende Dienste zu identifizieren (Web‑Server auf 443, Mail auf 25, FTP auf 21 usw.). Aktives Port‑Scanning ist erkennbar; passive Ansätze nutzen historische Scan‑Datenbanken, um exponierte Dienste ohne direkte Interaktion zu identifizieren.
Die Praxis, Sicherheitslücken der betroffenen Organisation zu melden, bevor sie veröffentlicht werden, um Zeit für die Behebung zu ermöglichen. Professionelle OSINT‑Praktiker folgen verantwortlichen Offenlegungs‑Protokollen, wenn passive Aufklärung kritische Sicherheitsprobleme aufdeckt.
HTTP-Antwort-Header, die Browser anweisen, Inhalte sicher zu verarbeiten. Wichtige Header sind Content-Security-Policy (verhindert XSS), X-Frame-Options (verhindert Clickjacking), HSTS (erzwingt HTTPS) und Permissions-Policy (beschränkt Browser‑Funktionen). Fehlende Security-Header gehören zu den häufigsten Befunden bei Website‑Intelligence‑Bewertungen.
Der gesamte Sicherheitsstatus der digitalen Assets einer Organisation, wie von außen beobachtbar — SSL-Konfiguration, Security-Header, bekannte Schwachstellen, offengelegte Dienste und Bedrohungsindikatoren. Die Bewertung der Sicherheitslage durch passive Aufklärung zeigt, was ein Angreifer ohne jegliche Ausnutzung sehen würde.
Automatisierte Sicherheitsbewertung selbst ausführender Programme, die auf Blockchain-Netzwerken (hauptsächlich Ethereum und EVM-kompatible Chains) bereitgestellt werden. Die statische Analyse untersucht den Quellcode des Vertrags auf bekannte Verwundbarkeitsmuster, ohne ihn auszuführen, während die symbolische Analyse Ausführungspfade simuliert, um ausnutzbare Zustände zu entdecken. Zu den wichtigsten Verwundbarkeitsklassen gehören Reentrancy (bei dem ein externer Aufruf den Vertrag erneut betritt, bevor Zustandsaktualisierungen abgeschlossen sind), Schwächen in der Zugriffskontrolle, Integer-Overflow-Bedingungen und unsichere Delegatecall-Muster. Die Analyse erfordert öffentlich verifizierten Quellcode – Verträge ohne verifizierten Quellcode in Block-Explorern können nicht auf Quellcodeebene analysiert werden.
Siehe auch: YARA Rules
Kryptografische Protokolle, die die Kommunikation zwischen Webbrowsern und Servern sichern (das "S" in HTTPS). Die SSL‑Zertifikatanalyse zeigt die ausstellende Behörde, Ablaufdaten, Domain‑Abdeckung (einschließlich Subdomains über SAN‑Einträge) und Certificate‑Transparency‑Logeinträge – alles wertvolle Intelligence‑Signale.
Ein Domain‑Präfix, das innerhalb einer übergeordneten Domain eine separate Adresse erzeugt (z. B. mail.example.com, staging.example.com). Die Subdomain‑Enumeration über DNS‑Einträge und Certificate Transparency deckt häufig interne Systeme, Staging‑Umgebungen und Infrastruktur auf, die nicht für die öffentliche Entdeckung vorgesehen sind.
Informationen über den Technologiestack, den ein Unternehmen nutzt — CMS, Frameworks, Analytics, Zahlungsabwickler, CDN, Hosting und Drittanbieter‑Integrationen. Technografische Daten sind ein primäres Signal für Sales Intelligence, da sie Budget, Reifegrad und spezifische Anforderungen offenbaren, die adressiert werden können.
Der Prozess der Identifizierung von Software, Frameworks und Diensten, die auf einer Website laufen, durch Analyse von HTML‑Mustern, JavaScript‑Bibliotheken, HTTP‑Headern und anderen beobachtbaren Indikatoren. Moderne Fingerprinting‑Datenbanken enthalten über 3.000+ Technologiekennzeichnungen.
Ein zusammengesetztes numerisches Rating (typischerweise 0‑100), das mehrere Sicherheitssignale zu einem einzigen Risikokennwert aggregiert. Bedrohungs‑Scores kombinieren Erkenntnisse aus Malware‑Erkennungsregeln, Datenbanken mit bösartigen URLs, Schwachstellen‑Indikatoren und Analysen der Sicherheitskonfiguration. Höhere Scores weisen auf ein größeres Risiko hin.
Eine Einzelperson, Gruppe oder Organisation, die bösartige Cyber‑Aktivitäten durchführt. Bedrohungsakteure reichen von finanziell motivierten kriminellen Gruppen und Hacktivisten bis hin zu staatlich unterstützten APT‑Gruppen, die Spionage, Sabotage oder den Diebstahl von geistigem Eigentum betreiben. In der Threat Intelligence werden Akteure nach Attribution (Herkunftsland), Motivation (Spionage, finanziell, ideologisch), Zielsektoren (Finanzen, Gesundheitswesen, Verteidigung, Energie) und dokumentierten Taktiken, die an Rahmenwerke wie MITRE ATT&CK angeknüpft sind, klassifiziert. Das Verständnis, welche Bedrohungsakteure einen bestimmten Industriesektor anvisieren, liefert Erkenntnisse für defensive Prioritäten und die Planung von Incident‑Response‑Maßnahmen.
Der vollständige Satz von Bedrohungen, die für eine bestimmte Organisation, einen Sektor oder eine geografische Region zu einem bestimmten Zeitpunkt relevant sind. Eine Bewertung der Bedrohungslandschaft identifiziert, welche Bedrohungsakteure den Sektor aktiv anvisieren, welche Angriffstechniken sie einsetzen und welche Assets oder Daten sie anstreben. Für externe Angriffsflächen‑Bewertungen korreliert die sektorspezifische Zuordnung der Bedrohungslandschaft die Branchenklassifizierung der Organisation mit von Regierungen zugeordneten Datenbanken zu Bedrohungsakteuren, um die relevantesten staatlich unterstützten Gruppen, ihre bekannten Taktiken und ihre dokumentierte Zielhistorie aufzudecken.
Von der Community gepflegte Erkennungsvorlagen, die über 10.000 bekannte Schwachstellen, Fehlkonfigurationen und exponierte Dienste abdecken. Template‑basiertes Scanning ermöglicht die schnelle Identifizierung von Sicherheitsproblemen in groß angelegten Infrastrukturen, indem beobachtbare Muster mit einer kontinuierlich aktualisierten Bibliothek bekannter Schwachstellen abgeglichen werden. Die Vorlagen decken fehlende Sicherheits‑Header, exponierte Administrationspanels, veraltete Software, Standard‑Anmeldedaten und bekannte CVEs ab — sie tragen zur automatisierten Bedrohungsbewertung und zur Zuordnung von Compliance‑Anforderungen bei.
Ein Sicherheitssystem, das den HTTP‑Verkehr zwischen einer Webanwendung und dem Internet überwacht und filtert. Die Erkennung eines WAF (oder dessen Fehlen) ist ein bedeutender Indikator für die Sicherheitslage — Organisationen ohne WAF‑Schutz setzen ihre Anwendungen direkt Angriffstraffic aus.
Die Praxis, umfassende Daten von jeder URL zu extrahieren, zu korrelieren und zu bewerten, um strukturierte, umsetzbare Intelligence-Berichte zu erstellen. Website-Intelligenz kombiniert Technologieerkennung, Sicherheitsbewertung, Kontaktfindung, SEO-Analyse, Compliance-Bewertung und die Extraktion von Geschäftssignalen in einem einzigen automatisierten Prozess.
Siehe: Was ist Website-Intelligenz
Ein Protokoll und Datenbanksystem, das Domain‑Registrierungsinformationen speichert — Registrant, Registrar, Nameserver, Erstellungs‑/Ablaufdaten. Selbst bei aktivierter Datenschutz‑Schutzfunktion offenbaren WHOIS‑Daten Registrierungsmuster, Nameserver‑Auswahl und das Alter der Domain — alles nützliche Intelligence‑Signale.
Mustererkennungsregeln, die zur Identifizierung und Klassifizierung von Malware, Web‑Bedrohungen und verdächtigem Inhalt verwendet werden. YARA-Regeln durchsuchen HTML, JavaScript und andere Web‑Inhalte nach bekannten bösartigen Mustern — Kryptominer‑Skripte, Phishing‑Formulare, Kreditkarten‑Skimmer, Webshells und schädliche Weiterleitungen.
Submit a target URL and receive a complimentary intelligence assessment within 24 hours.