Für Einwohner der EU ist es toll, die General Data Protection Regulation (GDPR), auch als Datenschutz-Grundverordnung bekannt, zu haben. Sie sorgt dafür, dass es Regeln für die Speicherung und Verarbeitung von personenbezogenen Daten gibt. Wenn man über den großen Teich blickt ist dies ganz anders. In den USA sind große Datenbanken entstanden, die allerlei Details über eine Person ausgeben – angefangen von der Sozialversicherungsnummer bis hin zur Parteizugehörigkeit. Immer wieder, wenn man Artikel über OSINT liest, werden genutzte Dienste erwähnt, die diese Daten bereitstellen. Aber in der Regel beschränken diese Dienste ihre Sammelwut auf die USA.
Ich lasse mich da gerne eines besseren belehren. Aber mir ist nichts auch nur annähernd umfangreiches für Europa bekannt. Und mit den Regeln für die Speicherung von Daten ist das „Problem“ ja nicht zu Ende. Es gibt in Europa auch ein „Recht auf Vergessen werden„. Es gibt für Anbieter auch Löschpflichten, die auch einklagbar sind. So wurden in der Vergangenheit auch schon Suchmaschinen verpflichtet gewisse Einträge aus ihrem Index zu entfernen.
So blöd wie es klingt. Die beste Personensuchmaschine ist vermutlich das Telefonbuch – wohl wissend, dass die Bedeutung immer mehr abnimmt, weil sich viele Menschen nicht mehr eintragen lassen.
Was ansonsten bleibt, sind Suchmaschinen. Und am besten möglichst viele unterschiedliche Suchmaschinen. Vor allem Suchmaschinen, die einen eigenen Index betreiben wie Google, Bing, Yandex und Baidu, oder Suchmaschinen die schon teilweise einen eigenen Index haben, wie Brave Search, DuckDuckGo oder Qwant. Und natürlich auch Suchmaschinen, die zwar die Daten eines Indexes von Google oder Bing nutzen, aber ein anderes Ranking verwenden wie Ecosia, Startpage oder you.com. Natürlich kann man auch Metasuchmaschinen wie eTools oder Metager in seine Bemühungen einbeziehen. Man sollte die Indexe anderer Suchmaschinen nie unterschätzen. Nach meinen Beobachtungen bzgl. meines Blogs ist Bing z.B. deutlich schneller bei der Aufnahme des Blogs in seinen Index als Google.
Wenn man nun seine Suchen klug mit den Suchoperatoren wie filetype:, site:, AROUND und dem Wissen um das Verwenden von Sonderzeichen in Suchen kombiniert, kann man Erfolg haben. Zu Beachten ist, dass manche Suchmaschinen andere Suchoperatoren als Google verwenden. Eine Synopse über die unterschiedlichen Suchoperatoren bei den Suchmaschinen Google, Bing und Yandex findet sich in diesem Artikel. Einen Überblick über Googles Suchoperatoren gibt es hier. Und auch für Bing gibt es entsprechende Artikel.
Man könnte auf Ideen kommen wie z.B.: dass eine E-Mail-Adresse oder ein Name ja in Excel Dateien gefunden werden könnte:
filetype:xls OR filetype:xlsx "mail@example.com"filetype:xls OR filetype:xlsx Vorname AROUND 5 Nachname
Oder dass ein Name in einem gewissen Sozialen Netzwerk vorkommen könnte:
site:facebook.com Vorname AROUND 5 Nachname
Oder dass jemand seinen Echtnamen bei einem Kleinanzeigenportal für Gesuche und Angebote nutzt:
site:kleinanzeigen.de Vorname AROUND 5 Nachname
Oder dass man einen berühmten Namensvetter aussortieren will (was nie vollständig gelingt):
"Oliver Kahn" -fussball -"fc bayern" -torwart -"bayern münchen" -nationalmannschaftIm Endeffekt geht es darum, darüber nachzudenken in welchen Zusammenhängen Menschen ihren echten Namen im Internet verwenden. Vereine nutzen oft Excel Listen für ihre Mitgliederverwaltung. Manche Soziale Netzwerke haben eine Klarnamenpflicht wie Facebook, oder es wäre für den Zweck des Netzwerks (z.B.: Karrierenetzwerke wie Xing oder Linkedin) nicht sinnvoll einen falschen Namen zu verwenden. Beim Kauf und Verkauf von Artikeln im Netz, wollen die Menschen seriös wirken und verwenden ihre echten Namen und so weiter.
Apropos Karrierenetzwerke. Dort veröffentlichen Menschen nicht nur ihren Klarnamen sondern auch ihren Arbeitgeber, ihren Lebenslauf und vieles mehr. Sozusagen ein Quell der Freude für jeden OSINTler. Aber Vorsicht. Bei Xing erfährt man, wer das eigene Profil aufgerufen hat. Bei Linkedin kann man einstellen, dass andere nur sehen, dass das Profil aufgerufen wurde, aber nicht von wem. Aus diesem Grund sollte man sich bei diesen Netzwerken besonders gut überlegen, wie man seinen Fake-Account gestaltet. Ein paar Hinweise von mir findest Du in diesem Artikel.
Natürlich gibt es auch für Europa das Angebot von z.B. Yasni. In meinen Tests fand ich dort aber nur Informationen, die auch über die Suchmaschinen fand, aber dafür einige relevante Informationen nicht. Der derzeitige Sprecher des Chaos Computer Club, Linus Neumann, hat auf Netzpolitik.org Yasni im Jahr 2011 ziemlich verrissen: „Die automatischen Datensammelalgorithmen sind dermaßen schlecht, dass sie den Jabber-Account von Adrian Lamo für meine Emailadresse halten, nur weil ich vor ein paar Tagen mal über die Lamo/Manning-Chatlogs geschrieben habe. Das ist künstliche Intelligenz auf 80er-Jahre-Niveau!“ Ich kann nicht einschätzen, ob sich seither viel getan hat. Aber was ich weiß ist, dass man immer wieder tote Links oder vor Jahren gelöschte Accounts aus Sozialen Netzwerken bei Yasni findet (die man dann ggf. in einem Webarchiv doch wiederfinden kann.). Das halte ich eigentlich für ganz nützlich für OSINT.
Von vielen Leuten wird auch WebMii oder Social Searcher beworben. Wenn man sich die Dienste aber genau anschaut, handelt es sich jeweils um eine Custom Google Search – also einer Google Suche, die vom Ersteller einige Vorgaben bekommen hat. Und ja, man kann diese Dienste natürlich benutzen – es sind halt nur Google Ergebnisse, die man auch in Google direkt findet.
Tipp: Wenn ich solche Dienste teste, suche ich gerne nach mir. Ich weiß ja welche Informationen über mich zu finden sein werden.
Und natürlich muss ich auch hier wieder NAMINT von SEINTpl erwähnen, da es enorm viele Ideen liefert, nach was man alles suchen kann. Zu NAMINT hatte ich bereits in einem Artikel zu Sozialen Netzwerken geschrieben.