Was ist eigentlich dieses OPSEC?

Ein Artikel über OPSEC hätte vermutlich der zweite Artikel in diesem Blog sein sollen, nachdem ich den Begriff mittlerweile schon so oft als Schlagwort verwendet habe.

„Die Abkürzung OPSEC steht für Operations Security. Es handelt sich ursprünglich um einen militärischen Begriff, der alle Prozesse und Maßnahmen beinhaltet, die Planung und Durchführung von militärischen Operationen und sämtlicher zugehöriger Daten geheim zu halten. OPSEC ist heute auch im nicht-militärischen Umfeld zu finden und versucht durch geeignete Strategien und Prozesse kritische Daten zu identifizieren und zu schützen sowie Schwachstellen, Risiken und Bedrohungen zu bewerten.“

https://www.security-insider.de/was-ist-opsec-a-703830/

Ich verwende OPSEC als Schlagwort immer dann, wenn durch die Information in dem Artikel Wissen entsteht, das hilft die eigene Identität nicht preiszugeben. Zu OPSEC gehören natürlich so einfache Regeln, wie

  • Nutze keine persönlichen und betriebliche Accounts für Recherchen
  • Nutze keine persönlichen und betrieblichen Daten für Registrierungen
  • Verwende nicht die selben Daten (Mailadressen, Telefonnummern) für unterschiedliche Accounts (natürlich können die selben Daten für Fake Person 1 auf z.B. unterschiedlichen Sozialen Netzwerken verwendet werden)
  • Verwende keine privaten Rechner oder mobilen Endgeräte für Recherchen
  • Nutze keine Profilbilder, die im Netz leicht wiederzufinden sind
  • Nutze keine Profilbilder, die sich leicht, als von KI erstellt, erkennen lassen
  • Verwende nicht die selbe Software (z.B. Browser) für unterschiedliche Fälle (und noch problematischer: auch für private oder berufliche Dinge)
  • Verwende nicht die selben Accounts für unterschiedliche Fälle (außer reine „Burner Accounts“ – also schlechte Accounts mit denen man nur passiv ist und niederschwellig recherchiert)
  • Versuche Tracking möglichst zu verhindern
  • Vermeide regelmäßigen Zugriff mit der selben IP-Adresse und dem selben Browser auf von Tätern betriebener Infrastruktur
  • Vermeide zufällige ungeplante direkte Interaktion mit der Zielperson
  • Verwende Schutz gegen die Infektion durch Schadsoftware
  • Verwende komplizierte Passwörter und nutze Passwort-Manager
  • Halte Deine Software aktuell
  • Software aus nicht-vertrauenswürdiger Quelle solltest du in einer Virtuellen Maschine installlieren
  • Passe die Datenschutzeinstellung in Deinem Browser und Deinen Social Media Profilen an
  • Habe immer ein paar alte gut gepflegte Fake-Accounts falls doch einmal Kontakt in den Dunstkreis der Zielperson aufgenommen werden soll. (Auch ein Like ist ein Kontakt)

Sprich, der Fokus für einen OSINTler liegt darauf, möglichst unentdeckt und anonym zu bleiben und seine Infrastruktur nicht zu schädigen. Einen schönen Artikel zu OPSEC-Fails hat Matt (laut eigenen Angaben ehem. Polizist) auf OSINTme.com veröffentlicht.

Und nein, ich werde hier nicht empfehlen immer ein VPN zu verwenden. Warum ich das nicht empfehle habe ich in diesem Artikel beschrieben. Dafür empfehle ich viele unterschiedliche Browser zu nutzen. Wenn Du die Möglichkeit hast, solltest Du Dich mit Virtuellen Maschinen beschäftigen. Und ich empfehle, sich über seine Fake Accounts Gedanken zu machen und nicht einfach blind einen anzulegen. Ich empfehle auch, von Zielpersonen betriebene Infrastruktur zu prüfen, bevor man sie besucht. Und ich werde auch in Zukunft weitere OPSEC-relevante Artikel verfassen, die dann nicht in diesem Artikel verlinkt sein werden, die man aber über die Kategorie OPSEC oder das Schlagwort OPSEC auffinden kann.

Natürlich musst Du die Informationen, die ich gebe, für Deinen Kontext bewerten. Vielleicht hast Du gar nicht die Möglichkeit eine Virtuelle Maschine zu nutzen. Vielleicht verbietet Dein Arbeitgeber die Nutzung von portablen Browsern. Ich kann nur Empfehlungen abgeben und Dir Argumente liefern.

OPSEC ist nicht nur ein einfaches Regelwerk. OPSEC ist aus meiner Sicht eher eine Haltung wie man an eine Sache herangeht. Zum Beispiel kann man sich ja vor einer Recherche schon überlegen, welche Probleme auftreten können und entsprechende Maßnahmen treffen, um diese zu vermeiden. OPSEC ist ein Prozess, der eine regelmäßige Evaluation bedarf. OSINTler Sorglos wird immer in der Gefahr schweben aufzufliegen.