Was ist der Unterschied zwischen OSINT und Phishing?

OSINT (Open Source Intelligence) ist die systematische Analyse öffentlich verfügbarer Informationen über Ihre Organisation – z.B. exponierte E-Mail-Adressen, Mitarbeiterdaten oder technische Infrastruktur. Phishing-Simulationen nutzen diese Erkenntnisse, um realistische Angriffs-E-Mails zu erstellen und den menschlichen Faktor zu testen. Beide Methoden ergänzen sich und decken unterschiedliche Angriffsvektoren ab.

Werden unsere Mitarbeitenden über die Phishing-Simulation informiert?

Das hängt von Ihren Zielen ab. Für ein realistisches Ergebnis empfehlen wir, die Simulation verdeckt durchzuführen – nur das Management und ggf. die IT-Abteilung werden vorab informiert. Nach Abschluss erhalten alle Teilnehmenden ein konstruktives Debriefing mit Awareness-Tipps. Wir benennen keine einzelnen Personen im Bericht.

Welche Daten werden bei einer OSINT-Analyse gefunden?

Typische Funde umfassen: exponierte E-Mail-Adressen und Passwörter aus Datenlecks, Mitarbeiterinformationen aus sozialen Netzwerken, technische Details wie Subdomains, IP-Bereiche und verwendete Technologien, öffentlich zugängliche Dokumente mit Metadaten sowie Informationen aus Code-Repositories oder Cloud-Speichern.

Wie wird mit den Ergebnissen der Phishing-Kampagne umgegangen?

Alle Ergebnisse werden vertraulich behandelt und nur in aggregierter Form berichtet. Wir liefern Statistiken zu Öffnungsraten, Klickraten und Credential-Eingaben sowie konkrete Empfehlungen zur Verbesserung der Security Awareness. Einzelne Mitarbeitende werden nicht namentlich genannt – der Fokus liegt auf organisatorischen Verbesserungen.

OSINT & Phishing Simulation

Den menschlichen Faktor testen und öffentliche Angriffsflächen aufdecken

Angreifer beginnen selten mit einem technischen Exploit – sie beginnen mit Recherche. Durch Open Source Intelligence (OSINT) sammeln sie öffentlich verfügbare Informationen über Ihr Unternehmen, Ihre Mitarbeitenden und Ihre Infrastruktur. Mit diesen Informationen erstellen sie massgeschneiderte Phishing-Angriffe, die selbst geschulte Mitarbeitende täuschen können. Unsere OSINT- und Phishing-Simulationen decken genau diese Angriffsflächen auf – bevor ein echter Angreifer sie ausnutzt.

Was ist OSINT?

Open Source Intelligence (OSINT) bezeichnet die systematische Sammlung und Analyse öffentlich zugänglicher Informationen. Angreifer nutzen OSINT, um E-Mail-Adressen, Organisationsstrukturen, technische Infrastrukturdetails und persönliche Informationen über Mitarbeitende zu sammeln – alles ohne ein einziges System direkt anzugreifen. Diese Informationen dienen als Grundlage für gezielte Social-Engineering-Angriffe und Phishing-Kampagnen.

Phishing ist nach wie vor der häufigste initiale Angriffsvektor bei Cyberattacken. Selbst die beste technische Absicherung kann durch einen einzigen Klick eines Mitarbeitenden umgangen werden. Deshalb ist es entscheidend, den menschlichen Faktor regelmässig zu testen und das Bewusstsein für Social-Engineering-Risiken zu schärfen.

OSINT-Analyse

Dark Web Monitoring

Geleakte Zugangsdaten

Social Media Exposure

Domain Intelligence

Phishing Simulation

Gezielte Spear-Phishing-Kampagnen

Awareness-Messung

Technische Filter-Tests

Für wen ist das?

CISOs & Sicherheitsverantwortliche: Öffentliche Angriffsfläche und Mitarbeiter-Awareness bewerten
HR & Schulungsverantwortliche: Phishing-Anfälligkeit messen und Trainings gezielt planen
Unternehmen vor M&A oder Partnerschaften: Digitale Exposition und Risiken durch öffentlich verfügbare Informationen verstehen

Unsere Methodik

01

OSINT Gathering

02

Angriffsszenario-Design

03

Phishing-Kampagne

04

Analyse & Reporting

Aus der Praxis

Anonymisiertes Praxisbeispiel

Ein Schweizer Industrieunternehmen. 120 Mitarbeitende. 15% geben ihre Zugangsdaten preis.

MFA für alle Mitarbeitenden aktiviert, gezielte Awareness-Schulung durchgeführt, öffentliche Dokumente bereinigt. Nachkampagne drei Monate später: Klickrate von 34% auf unter 5% gesenkt.

87 E-Mails rekonstruiert 34% klicken den Link 15% geben Daten ein

Branche: Industrieunternehmen

Umfang: OSINT + 1 Phishing-Kampagne

Dauer: 5 Tage

Ein Schweizer Industrieunternehmen mit 120 Mitarbeitenden möchte prüfen, wie viele Informationen über die Firma und ihre Mitarbeitenden öffentlich auffindbar sind — und ob die Belegschaft auf eine gezielte Phishing-Kampagne hereinfallen würde.

Zentrale Findings

High 87 Mitarbeiter-E-Mail-Adressen über LinkedIn und öffentliche Quellen rekonstruiert. 12 Passwörter in Breach-Datenbanken gefunden.
High Phishing-Kampagne: 34% der Empfänger klicken den Link, 15% geben ihre Zugangsdaten auf der gefälschten Login-Seite ein
Medium Technische Dokumente mit internen IP-Adressen und Netzwerk-Topologie auf der öffentlichen Website auffindbar

Ihre Ergebnisse

OSINT-Dossier

Phishing-Kampagnen-Ergebnisse

Employee Awareness Metriken

Empfehlungen & Massnahmen

ab CHF 4'500

Typische Dauer: 5–10 Tage

Jetzt anfragen

Warum manuelles Testing?

✓ 20x mehr Schwachstellen: Manuelle Tests finden bis zu 20x mehr Schwachstellen als automatisierte Scanner.
✓ Geschäftslogik-Fehler: Fehler in der Anwendungslogik, die kein Tool erkennen kann.
✓ Regulatorische Anforderungen: DORA, NIS2, PCI DSS 4.0 verlangen explizit manuelle Prüfung.
✓ Keine False Positives: Nur bestätigte, ausnutzbare Schwachstellen — kein Rauschen.