Wie OSINT, GEOINT & SOCMINT einen anonymen Account einer echten Person zuordnen

Eine Schritt-für-Schritt-Fallstudie: Drei Open-Source-Disziplinen, ein Nutzerprofil, null illegale Mittel.

 

Ein unbekanntes Social-Media-Konto verbreitet seit Wochen koordiniert Fehlinformationen über ein mittelständisches Unternehmen. Keine Klarnamen. Kein Profilfoto. Drei verschiedene Plattformen, konsistent bespielt. Wer steckt dahinter? Wir zeigen euch, wie wir in der Praxis vorgehen — ausschließlich mit öffentlich zugänglichen Mitteln, strukturiert nach drei Kerndisziplinen der Open-Source-Intelligence.

„Die gefährlichsten Spuren sind nicht die, die jemand hinterlässt — sondern die, von denen er nicht weiß, dass er sie hinterlässt."

Was sind OSINT, GEOINT und SOCMINT?

OSINT Open Source Intelligence ist der Oberbegriff: die systematische Auswertung aller öffentlich zugänglichen Informationsquellen — Webseiten, Datenbanken, Archive, Foren, Leaks. Keine Hacking-Methoden, keine verdeckten Ermittlungen.

GEOINT Die geografische Subdisziplin: Satellitenbilder, Kartenauswertung, Bildmetadaten, erkennbare Landmarks in Fotos. Ursprünglich aus militärischer Aufklärung, heute auch in zivilen Ermittlungen Standard.

SOCMINT Fokussiert auf soziale Netzwerke: Verhaltensanalyse, Sprachauswertung, Posting-Muster, Netzwerkkartierung auf Plattformen wie X, LinkedIn, Reddit oder Telegram.

Ausgangslage: @shadow_guy_87 Ein Konto taucht auf drei Plattformen auf. Immer derselbe Handle: shadow_guy_87. Keine persönlichen Angaben, kein Foto, keine Ortsangabe. Die Beiträge haben einen klaren Stil — und sie sind zielgerichtet. Genug, um eine strukturierte OSINT-Untersuchung zu starten.

3 Plattformen | 0 Klarnamen im Profil | 14 Tage Aktiver Zeitraum

PHASE 1 — OSINT: Die digitale Spur im öffentlichen Netz Der erste Schritt ist immer: Was ist über diesen Handle bereits bekannt? Wir starten ohne Vorannahmen und suchen systematisch über mehrere Kanäle. Der Username taucht in einem archivierten Gaming-Forum aus dem Jahr 2019 auf, wo er mit einer E-Mail-Adresse verknüpft ist. Diese Adresse findet sich in einer öffentlich bekannten Datenpanne-Datenbank. Das Ergebnis: ein Vorname und ein Geburtsjahr. Kombiniert mit einer LinkedIn-Suche nach Personen mit einem ähnlichen Handle ergibt sich eine erste Treffermenge von zwei potenziellen Kandidaten.

OSINT-Ergebnis: Vorname identifiziert. Geburtsjahr: 1987. Möglicher Berufshintergrund im IT-Umfeld. Zwei LinkedIn-Profile als potenzielle Treffer identifiziert. Tools: Wayback Machine, Dehashed, Google Dorking, IntelX und LinkedIn.

PHASE 2 — GEOINT: Ein Foto verrät den Standort Einer der Posts enthält ein scheinbar harmloses Foto eines lokalen Cafés – ohne jede Ortsangabe. Für eine GEOINT-Analyse ist das mehr als genug. Die Exif-Metadaten des Bildes wurden nicht bereinigt und enthalten GPS-Koordinaten, die auf den Münchner Stadtteil Schwabing verweisen. Ein Abgleich über Google Street View bestätigt das Café. Die Posting-Zeiten passen zudem konsistent zur mitteleuropäischen Zeitzone. „Ein einziges, unbereinigtes Foto kann präzise genug sein, um den Aufenthaltsort einer Person auf einen Stadtbezirk einzugrenzen.“

GEOINT-Ergebnis: Aufenthaltsort: München, Stadtbezirk Schwabing. Zeitzone MEZ bestätigt. Der Posting-Rhythmus deutet auf eine werktägliche Routine zwischen 7:00–8:30 Uhr und 18:00–20:00 Uhr hin. Tools: ExifTool, Google Reverse Image Search, Google Maps Street View und SunCalc.

PHASE 3 — SOCMINT: Verhalten, Sprache und Netzwerk
SOCMINT schließt das Bild. Wir analysieren nicht mehr wo jemand ist, sondern wer jemand wahrscheinlich ist, basierend auf digitalen Verhaltensmustern. Die Kombination aus Posting-Rhythmus (7:00–8:30 Uhr und 18:00–20:00 Uhr – Pendler-Profil), Schreibstil (bairische Dialektfärbung, IT-Fachvokabular) und Netzwerkumfeld (Folgt Münchner IT-Unternehmen) ermöglicht ein deutliches Persönlichkeitsprofil. Zusätzlich findet sich ein inaktives Reddit-Konto mit identischer Schreibweise und einem Kommentar zu einem Münchner Entwickler-Meetup aus dem Jahr 2021 – derselbe Handle.

SOCMINT-Ergebnis: Pendler-Profil. IT-Hintergrund. München, Stadtbezirk Schwabing. Reddit-Konto mit identischem Handle bestätigt die Verbindung. Von zwei Kandidaten verbleibt einer als sehr wahrscheinliche Attribution. Tools: Maltego, SpiderFoot, Reddit API, Sherlock und Gephi (Netzwerkanalyse).

Das Gesamtbild: Drei Quellen, eine Identität

Keine Disziplin hätte allein eine belastbare Attribution geliefert. Erst die Verschränkung aller drei ergibt ein Bild, das über Zufall hinausgeht. Das ist der Kern jeder OSINT-Ermittlung: Quellen konvergieren – sie addieren sich nicht einfach.

OSINT → Name + Geburtsjahr     GEOINT → Standort München     SOCMINT → IT-Profil + Netzwerk
Attribution: Ein wahrscheinlicher Kandidat identifiziert.

Was ist erlaubt — und was nicht? Alle gezeigten Methoden sind legal, solange sie auf öffentlich zugängliche Quellen beschränkt bleiben und zu legitimen Zwecken eingesetzt werden: Strafverfolgung, journalistische Recherche, Unternehmensschutz im eigenen Kontext oder Sicherheitsforschung. OSINT ist kein Stalking-Werkzeug — die Grenze liegt im Zweck und in der Verhältnismäßigkeit. Was dieser Fall aber auch zeigt: Wir alle hinterlassen digitale Fingerabdrücke, ohne es zu merken. Nicht bereinigte Exif-Daten. Wiederverwendete Benutzernamen. Schreibstile, die konstant bleiben.

Drei Maßnahmen für bessere digitale Hygiene

Exif-Metadaten entfernen: Vor jedem Foto-Upload ExifTool oder Scrambled Exif nutzen, um GPS-Koordinaten und Gerätedaten zu löschen.
Unterschiedliche Handles verwenden: Derselbe Username auf mehreren Plattformen ist eine Brücke zwischen Identitäten.
Posting-Zeiten variieren: Konsistente Zeitmuster verraten Lebensrhythmus, Zeitzone und Tagesstruktur. Zeitgesteuerte Posts durchbrechen dieses Muster.