Mit Open Source Intelligence-Tools gibt es verschiedene Werkzeuge, mit denen sich öffentlich zugängliche Informationsquellen nutzen lassen, um Schwachstellen im eigenen Netzwerk zu identifizieren. Wir zeigen in diesem Beitrag 10 interessante Tools für 2023.
Wir stellen zehn OSINT-Tools vor, die auch für die Herausforderungen in 2023 eine wertvolle Hilfe sein können.
(Bild: Who is Danny - stock.adobe.com)
Wir haben bereits im Beitrag „Security mit Open Source – Teil 1“ einige interessante Tools im Bereich Open Source Intelligence (OSINT) erläutert. Im Beitrag „Security mit Open Source – Teil 2“ zeigen wir noch mehr Tools aus diesem Bereich, mit dem Admins umfassende Informationen erlangen und die Sicherheit in ihrem Netzwerk aktiv verbessern können. Im folgenden Beitrag zeigen wir weitere Tools, die auch für die Herausforderungen in 2023 eine wertvolle Hilfe sein können.
1. IBM X-Force Exchange: Bedrohungsdaten untersuchen und Frühwarnfeed nutzen
Mit der IBM-Plattform X-Force Exchange in der IBM-Cloud löassen sich Dateien, Anwendungen, IP-Adressen, URL, Indicators of Compromise (IOC) oder auch Sicherheitslücken genauer untersuchen. Der Dienst kann auch in SIEMS integriert werden. Dazu stehen APIs zur Verfügung, die im Rahmen der Online-Untersuchung von bestimmten Bedrohungen angezeigt werden.
IBM X-Force Exchange lässt sich ohne Anmeldung nutzen, aber auch mit einer kostenlosen IBM-ID über die IBM Cloud. Hier stellt IBM auch ein kostenloses Abonnement mit verschiedenen Möglichkeiten zur Verfügung. Unsere Schwesterseite CloudComputing-Insider hat die Möglichkeiten im Beitrag „IBM Cloud Free Tier – Speicher, Cluster und Datenbanken“ ausführlich behandelt. Das OSINT-Tools kann auch Dateien nach relevanten Inhalten untersuchen, die für die Security interessant sind. Neben der Untersuchung von Dateien und anderen Objekten bietet IBM X-Force Exchange auf verschiedene Frühwarnfeeds für Bedrohungen und aktuelle Schwachstellen.
2. MISP - Die kostenlose Malware Information Sharing Platform
MISP ist ein Open Source-Projekt, mit dem Unternehmen, Organisationen, Forscher und auch Anwender Informationen zu Malware sammeln und teilen können. Die Seite ist ideal für die Analyse von Malware-Angriffe und die Vorbereitung auf solche Angriffe. Mit der Seite lassen sich Indicator of Compromise (IOC) teilen und analysieren.
Mit dem Projekt MISP können Korrelation, automatisierte Exporte für IDS oder SIEM, in STIX oder OpenIOC genutzt und mit anderen MISPs synchronisiert werden. Interessant ist die Plattform für die automatisierte Analyse von Bedrohungen und Malware. Oft werden ähnliche Organisationen vom gleichen Bedrohungsakteur in der gleichen oder in verschiedenen Kampagnen angegriffen. Teilnehmer an MISP können dadurch in einer Gemeinschaft solche Angriffe sehr frühzeitig erkennen und verhindern. Die gemeinsame Nutzung ermöglicht eine kollaborative Analyse. Darüber hinaus bietet MISP Metadaten-Tagging, Feeds, Visualisierung und ermöglicht durch offene Protokolle und Datenformate die Integration mit anderen Tools für weitere Analysen.
3. Project Honey Pot - Verdächtige IP-Adressen analysieren
Mit dem Project Honey Pot können Unternehmen und Forscher an einer Community teilnehmen, in der verdächtige IP-Adressen und Statistiken zu verdächtigen Angriffen von diesen IP-Adressen dokumentiert werden. Dazu stellt das Projekt auch verschiedene Feeds zur Verfügung und im Dashboard des kostenlosen Dienstes sind umfassende Informationen zu sehen, woher aktuell die meisten Angriffe kommen. Dazu zeigt das Tool auch verdächtige IP-Adressen weltweit und im eigenen Land an. IP-Adressen lassen sich darüber hinaus analysieren, um festzustellen, ob diese bereits für verdächtiges Verhalten bekannt ist. Neben IP-Adressen lassen sich mit dem Dienst zusätzlich noch bekannte Spam-Server analysieren und deren IP-Adressen auslesen.
4. Botscout - Verdächtige Bots im Internet erkennen und blockieren
Botscout hilft dabei Skripte und Bots aus dem Internet zu erkennen, die versuchen die eigenen Webdienste und Cloud-Infrastrukturen anzugreifen oder sich automatisiert zu registrieren. Bots lassen sich mit dem Dienst zuverlässig blockieren, zumindest ein Teil der bekannten Bots. Der Dienst speichert IP-Adressen, Namen, Verhalten, E-Mail-Adressen und Signaturen der Bots. Dazu kommt eine API für Botscout, die in die eigenen Webdienste eingebunden werden kann, um Bots zu blockieren.
5. Blueliv Threat Exchange Network - Schutz vor aktuellen Bedrohungen
Das Threat Exchange Network von Blueliv ist ein Netzwerk zum austauschen von Informationen zu aktuellen Bedrohungen. Teilnehmer der Community teilen die Bedrohungsdaten in ihrem Netzwerk mit anderen Teilnehmern und erhalten wiederum die Informationen der anderen Teilnehmer. Dadurch ist es möglich die eigenen Aktionen gegen bekannte Threats zu verbessern und sich auf noch unbekannte Angriffe vorzubereiten. Der Dienst zeigt darüber hinaus Karten an, auf denen Länder und IP-Adressen zu sehen sind, von denen aktuelle Angriffe ausgehen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
6. APTnotes - Sammlung öffentlicher Quellen zu Malware- und Cyberangriffe
APTnotes ist ein Projekt, das auf GitHub zur Verfügung steht. Die Aufgabe der Lösung ist es Informationen aus öffentlich zugänglichen Quellen auszulesen und zentral zur Verfügung zu stellen. Die Daten sind in einem Cloud-Speicher abgelegt. Hier lassen sich die Quellen als CSV- oder JSON-Daten herunterladen und dadurch in eigene SIEMS oder andere Lösungen importieren.
7. Pulsedive: Einfache Threat Intelligence
Über den Webdienst Pulsedive lassen sich Daten zu Webseiten oder IP-Adressen abrufen. Der Dienst kann parallel in Shodan, VirusTotal oder AbuseIPDB integriert werden. Mit dem Dienst können dadurch schnell umfassende Informationen anzeigen lassen. Dadurch werden Angreifer schnell identifiziert.
8. Mr. Looquer IOC Feed - Dual-Stack Feed für IPv4- und Ipv6-Angriffe
Der Dienst Mr. Looquer IOC Feed bietet einen Bedrohungs-Feed, der sich auf Systeme mit Dual-Stack konzentriert. Der Dienst liefert daher Feeds für IPv6 und für IPv4. Hier lassen sich IOCs herunterladen, aus denen hervorgeht welche Angriffe über die beiden Protokoll laufen. Dazu kommt eine Bedrohungsdatenbank, die für eigene Systeme heruntergeladen werden kann. Der Download von IOCs kann auf Basis verschiedener Länder erfolgen. Dazu stehen die Daten als JSON oder als CSV zur Verfügung.
9. ThreatIngestor - Aggregieren von IOCs aus verschiedenen Feeds
Mit dem Tool ThreatIngestor lassen sich Daten aus verschiedenen IOC-Feed aggregieren und dadurch effektiver aus verschiedenen Quellen nutzen. Dazu kann das Tool auch RSS-Feeds nutzen sowie Quellen wie Twitter oder andere Informationen.
10. Phishing-Angriffe erkennen mit PhishTank
Über den Dienst PhishTank können Admins aber auch Anwender aktuelle Phishing-Angriffe und deren Quellen analysieren. Hier sind die Webseiten und Informationen zu den Phishing-Angriffen zu finden. Teilnehmer der Community können auch selbst Informationen und Webseiten zu Phishing-Angriffen übermitteln.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/4f/88/4f8800a8000d2b2ef74bc1381c0a90f6/0110251928v1.jpeg "Bei OSINT steht Open Source für offene Datenquellen, die auch von Nachrichtendiensten ausgwertet werden. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/eb/cf/ebcf0f5d5fc159e4b904ec872ab0b5dc/0110149756.jpeg "IBM X-Force Exchange hilft bei der Analyse von Threats und IOCs.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/ea/a1/eaa1415a26662d40cdf7809d03258ac3/0110149758.jpeg "Bedrohungsdaten mit IBM X-Force Exchange untersuchen.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/b4/81/b4812e09befc4061b70e43194d49e0bf/0110149761.jpeg "IBM X-Force Exchange hilft bei der umfassenden Untersuchung von Threat-Daten.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/a3/73/a37345e82b7d756d334eb6e7c7c8879f/0110149764.jpeg "Project Honey Pot zeigt IP-Adressen von aktuellen Bedrohungsakteuren an.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/b6/a8/b6a8bfb874ff46d181feeaed1af32941/0106697835.jpeg "Mit OSINT-Tools können Security-Experten aus dem Internet zugängliche Systeme und Daten, die eigentlich nicht öffentlich zugreifbar sein sollten, finden um sie anschließend abzusichern. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/0b/f40b7a104fed1c27ffc34585df3ac99c/0107548658.jpeg "Viele OSINT-Tools laufen direkt im Webbrowser und helfen dabei, Schwachstellen und Sicherheitslücken zu finden und Webseiten zu überprüfen. (Bild: Imillian - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/2d/8a2d0865e31fcec2c5f5d142eab3c81f/0124316471v2.jpeg "MISP ist eine Open-Source-basierte Plattform für Threat Intelligence und Threat Sharing. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ef/47/ef47592fafe0c473eb443a75acd7ed30/0123842418v2.jpeg "Eine Threat Intelligence Platform (TIP) ist eine Informationsplattform für aggregierte und strukturierte Bedrohungsinformationen.
(Bild: gemeinfrei)")