Ethisches OSINT: Den Eigenen Digitalen Fussabdruck mit Maltego und Spiderfoot Untersuchen

Du bist bereits gedoxxt worden und weisst es nicht. An einem Sonntagmorgen kuerzlich liess ich Spiderfoot HX gegen meine Hauptmail laufen und bekam 412 Treffer in 38 Minuten: Broker wie Das Oertliche und Yasni, alte Collection #1 Dumps, ein vergessenes Last.fm Profil von 2011 mit demselben Foto wie auf LinkedIn, und zwei Tech-Foren, in denen ich meine Stadt in der Bio angegeben hatte. Kein einzelner Punkt davon ist gefaehrlich. Kombiniert liefern sie eine ungefaehre Adresse, ein wahrscheinliches Gehaltsband, meinen Tech-Stack und sogar meine ueblichen Schlafzeiten. Genau diesen blinden Fleck loest ethisches Self-OSINT, und deshalb lohnt es sich, vor dem Angreifer anzufangen.

Maltego Community Edition bleibt 2026 der lehrreichste Einstieg. Installiere Version 4.6, lege einen kostenlosen Account an und aktiviere die Standard-Transforms im Hub: Have I Been Pwned, Shodan Free Tier, DNS und WhoisXML. Erzeuge eine Email-Address-Entity mit deiner primaeren Adresse, Rechtsklick, dann To Breaches [HIBP] ausfuehren. Anschliessend eine Phrase mit deinem vollen Namen einfuegen und To Websites [using Search Engine] starten. Der Graph waechst schnell, und der Trick ist der Collections-Tab, um Knoten zu kollabieren, bevor visuelles Chaos entsteht. Markiere jeden neuen Knoten farblich: rot fuer echte PII, gelb fuer Pseudonyme, gruen fuer wegwerfbar. Diese fruehe OPSEC-Disziplin deckt sich mit OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell im Detail.

Spiderfoot ergaenzt Maltego dort, wo manuelle Arbeit ermuedet. Nutze den offiziellen Container: docker run -p 5001:5001 spiderfoot/spiderfoot und oeffne http://localhost:5001. Lege einen Footprint-Scan mit Mail, persoenlicher Domain und Telefon an, aktiviere All modules ausser den kostenpflichtigen, und lass das Ganze 30 bis 90 Minuten laufen. Das Modul sfp_haveibeenpwned listet historische Leaks, sfp_hunter liefert sekundaere Mails zu deiner Domain, und sfp_spider crawlt deine persoenliche Seite nach alten HTML-Kommentaren mit Adressen. Ich fand ein Teilstueck meiner Ausweisnummer in einem Konferenz-PDF von 2018, das Google immer noch indexierte, ein klassisches Problem, das die Techniken aus Metadaten-Hygiene: EXIF, PDF und Office vor der Veroffentlichung saubern rueckwirkend loesen.

Der unglamouroese Teil ist der wertvollste: Fotos abgleichen. Nutze PimEyes mit Vorsicht oder besser FaceCheck.ID self-hosted via Docker und jage dein Bewerbungsfoto durch die Basis. Parallel exiftool auf jedes oeffentliche Bild von dir loslassen: exiftool -a -G1 -s portrait.jpg verraet GPS-Breite, Kameramodell und teilweise Seriennummern, wenn du Metadaten vergessen hast zu strippen. Ich bewahrte einen Mandanten vor aktivem Stalking, weil sein Instagram noch praezise GPS-Daten seines Hauses in Fotos von 2019 trug, die nie bereinigt wurden. Der vollstaendige Workflow zur Kompartmentierung kuenftiger visueller Identitaeten steht in Digitale Kompartimentierung: Getrennte Identitaeten ohne Metadaten zu lecken, und den solltest du lesen, bevor du irgendein neues Profil anlegst.

Telefonnummern sind der am meisten unterschaetzte Vektor. Lass PhoneInfoga gegen deine Nummer laufen: phoneinfoga scan -n +4915112345678. Das Tool fragt NumVerify, OVH und Google Dorks ab, die die Nummer in Kleinanzeigen, oeffentlichen WhatsApp-Gruppen und vergessenen Google Sheets sichtbar machen. Pruefe dann in Truecaller ueber eine saubere App in einer Android-VM, wie Dritte dich sehen, oft mit einem Spitznamen, den eine Lieferapp geleakt hat. Kombiniere das mit regionalen Telefonbuchsuchen und du haeltst denselben Datensatz, den ein Betrueger fuer wenige Euro im Dark Web kaufen wuerde. Fuer das regionale Broker-Playbook ist Personliche Anti-Doxxing-Sicherheit: Daten von brasilianischen Data Brokers entfernen die naechste Referenz, auch wenn du ausserhalb Brasiliens operierst.

Dokumentiere alles in einer Markdown-Datei nach Kategorien: Mail, Telefon, Name, Foto, Adresse, Arbeitgeber, Familie. Schreibe fuer jeden exponierten Eintrag eine Remediation-Aktion mit Deadline: Opt-out-Antrag beim Broker, wiederkehrendes Foto austauschen, alten Post loeschen, Passkeys einfuehren wo noch SMS laeuft. Wiederhole den vollstaendigen Scan alle 90 Tage und mache ein Diff der Ergebnisse, dann siehst du die echte Wirkung deiner Arbeit. Der digitale Fussabdruck verschwindet nicht, er schrumpft nur unter Disziplin. Praktischer Takeaway: blockiere jetzt vier Stunden im Kalender, installiere Maltego CE und Spiderfoot diese Woche und behandle deinen eigenen Namen wie ein Bug-Bounty-Ziel, dessen Payout deine eigene Ruhe ist.