Was als professionelle Selbstinszenierung gedacht ist, wird zunehmend zum operativen Rohstoff für Cyberkriminelle. Öffentliche Informationen auf LinkedIn lassen sich mithilfe von Künstlicher Intelligenz automatisiert auswerten, strukturieren und in personalisierte Angriffe übersetzen. Eine Analyse von Trend Micro zeigt, wie schnell und skalierbar diese neue Form der digitalen Aufklärung funktioniert – und welche sicherheitsrelevanten Implikationen sich daraus ergeben.
Foto: Rokas - stock.adobe.com
LinkedIn ist für viele Unternehmen zur digitalen Visitenkarte geworden. Projektstarts, Produktivsetzungen, Beförderungen oder Messeauftritte werden öffentlich geteilt – mit Namen, Funktionen, Fotos und oft detailliertem Kontext. Genau diese Offenheit bildet die Grundlage einer Entwicklung, die Sicherheitsverantwortliche zunehmend beschäftigt.
Denn Open Source Intelligence (OSINT) hat sich verändert. Was früher manuelle Recherche, Zeit und spezielles Know-how erforderte, lässt sich heute mit KI-gestützten Tools automatisieren. Öffentlich sichtbare Inhalte werden systematisch gesammelt, angereichert und strukturiert – ohne Login, ohne technische Kompromittierung, allein auf Basis frei zugänglicher Daten.
Die Untersuchung von Trend Micro beschreibt, wie stark sich der Aufwand für die sogenannte Reconnaissance-Phase reduziert hat. Offene Profildaten, Posts und Metadaten lassen sich automatisiert aggregieren und auswerten. Damit verliert die Informationsbeschaffung ihren bisherigen Charakter als zeitlicher Engpass.
Aus Berufsbezeichnungen, Projektbeschreibungen, Interaktionen und geteilten Inhalten entsteht ein Organisationsbild, das Entscheidungswege, Zuständigkeiten und Hierarchien sichtbar macht. Wer verantwortet Budgets? Wer ist in neue Projekte involviert? Wer kommuniziert mit welchen Abteilungen?
Diese Strukturierung erfolgt automatisiert. Im Rahmen der Analyse konnte ein Proof of Concept in weniger als 24 Stunden umgesetzt werden. Das Profiling einer gesamten Führungsebene inklusive der Erstellung benötigter Angriffsressourcen sei in weniger als 30 Minuten möglich gewesen.
Damit verschiebt sich die ökonomische Logik gezielter Angriffe: Sie werden schneller, günstiger und skalierbar.
Ein zentrales Ergebnis betrifft visuelle Inhalte. Neben Textbeiträgen werden auch Bilder kontextuell ausgewertet. Fotos von Konferenzen, Team-Events oder internen Präsentationen enthalten häufig mehr Informationen als beabsichtigt.
Badges, Whiteboards, Präsentationsfolien oder Screens können Hinweise auf eingesetzte Technologien, Projektbezeichnungen, Partnerunternehmen oder interne Strukturen liefern. Auch Teamfotos ermöglichen Rückschlüsse auf Rollenverteilungen und Entscheidungswege.
KI-Modelle extrahieren solche Informationen automatisiert und ordnen sie in ein Gesamtbild ein. Was für menschliche Betrachter beiläufig wirkt, wird maschinell zu verwertbarer Angriffsintelligenz.
Damit erweitert sich die relevante Angriffsfläche über rein textliche Kommunikation hinaus auf sämtliche öffentlich geteilten visuellen Inhalte – inklusive Metadaten.
Wie unmittelbar diese Informationen nutzbar sind, zeigt ein in der Analyse beschriebenes Szenario: Ein öffentlicher Beitrag zum Start eines neuen ERP-Projekts liefert bereits ausreichend Kontext für eine gezielte Ansprache. Projektreferenz, beteiligte Personen und zeitlicher Rahmen sind bekannt. Eine E-Mail an die Buchhaltung mit der Bitte, „Zahlungsdaten kurz zu prüfen“, wirkt unter diesen Umständen plausibel.
Die Analyse beschreibt zudem, dass ein KI-Assistent innerhalb weniger Minuten eine thematisch passende Phishing-Landingpage erzeugen kann. Von der personalisierten E-Mail bis zur funktionalen Website vergehen demnach nur wenige Minuten.
Entscheidend ist dabei nicht technische Raffinesse, sondern Kontextgenauigkeit. Inhalt, Absendername und Timing orientieren sich an realen, öffentlich einsehbaren Details. Klassische Warnsignale – etwa generische Formulierungen oder sprachliche Unstimmigkeiten – treten in den Hintergrund, wenn der kommunikative Rahmen stimmig erscheint.
Die Angriffe erfolgen über legitime Kommunikationskanäle. Dadurch greifen bestehende Kontrollmechanismen oft nicht, wenn Inhalt und Ablauf konsistent wirken.
Die zentrale Erkenntnis der Analyse ist klar: Unternehmen werden nicht mehr ausschließlich über Schwachstellen in ihrer IT-Infrastruktur angegriffen, sondern zunehmend über ihre öffentliche Selbstdarstellung.
Was Mitarbeitende posten, kommentieren oder bebildern, ist maschinenlesbar und unmittelbar auswertbar. Die Kombination aus Text-, Bild- und Metadatenanalyse ermöglicht es, innerhalb kürzester Zeit detaillierte Zielprofile zu erstellen.
Damit wird die digitale Außenwirkung der Belegschaft zu einem sicherheitsrelevanten Faktor. Nicht im Sinne eines Verbots öffentlicher Kommunikation, sondern als Bestandteil der Risikobetrachtung.
Als relevante Gegenmaßnahmen nennt die Analyse klare Richtlinien für öffentliche Inhalte – ausdrücklich inklusive Bildern und Metadaten. Ebenso wichtig sind Schulungen, die nicht nur auf verdächtige E-Mails fokussieren, sondern auf Kontextmanipulation und visuelle Informationslecks. Ergänzend sind technische und prozessuale Kontrollen erforderlich, etwa bei Zahlungsfreigaben oder sensiblen Änderungsanforderungen.
Die Entwicklung zeigt: Angriffe werden nicht zwangsläufig technischer, sondern kontextueller. Und sie beginnen mit Informationen, die Unternehmen freiwillig veröffentlichen.
Weitere Details und Hintergründe finden sich im englischsprachigen Blogbeitrag von Trend Micro.
