JunkMail
Zurück zum Blog
OSINT: Wie Ermittler vergessene E-Mails nutzen, um Sie aufzuspüren

OSINT: Wie Ermittler vergessene E-Mails nutzen, um Sie aufzuspüren

Glauben Sie, anonym zu sein? Eine alte E-Mail-Adresse in einem Forum von 2012 kann ausreichen, um Ihr ganzes Leben zu rekonstruieren. Ein Einblick in die Techniken der Open Source Intelligence.

Von Der Sicherheitsexperte21.1.2026

Stellen Sie sich ein Szenario vor. Sie sind ein Cybersicherheitsexperte oder vielleicht ein investigativer Journalist. Sie möchten diskret bleiben. Aber eines Tages klopft jemand an Ihre Tür. Er kennt Ihren echten Namen, Ihren Arbeitgeber und sogar den Namen Ihres Hundes.

Wie hat er das gemacht? Er hat nicht die NSA gehackt. Er hat einfach Google und ein altes "SchülerVZ"-Konto benutzt, das Sie mit 14 erstellt haben.

Willkommen in der Welt von OSINT (Open Source Intelligence).

Die Schwachstelle: Die Wiederverwendung von Pseudonymen

Der häufigste Fehler ist das Festhalten an einem Pseudonym. Nehmen wir an, Sie verwenden DarkVador99 auf Twitter. Ein Ermittler wird überall nach DarkVador99 suchen. Er wird ein GitHub-Konto finden. Auf diesem GitHub gibt es in einem alten Commit von 2018 eine E-Mail-Adresse: darkvador99@gmail.com.

Bingo. Jetzt hat er Ihre Gmail-Adresse.

Das furchteinflößende Werkzeug: Die Kontowiederherstellung

Der Ermittler geht zu Google, Facebook, PayPal, Amazon. Er gibt Ihre E-Mail ein und klickt auf "Passwort vergessen". Er will nicht Ihr Konto hacken. Er will nur sehen, was die Seite anzeigt.

"Ein Code wurde an +49 1* ** 45 12 gesendet"*. Er hat die letzten 4 Ziffern Ihrer Nummer.

Er versucht es auf einer anderen, weniger sicheren Seite erneut, die manchmal anzeigt: "Wiederherstellungs-E-Mail: m.mustermann@firma.de". Bingo. Er hat Ihre Initiale, Ihren Nachnamen und Ihren Arbeitgeber.

Die Datenzusammenführung (Data Cross-Referencing)

Mit m.mustermann@firma.de geht er auf LinkedIn. Er findet "Max Mustermann". Er schaut sich Ihre Beiträge an. Sie haben ein Foto von Ihrem Schreibtisch gepostet. Man sieht das Firmenlogo. Man sieht die Aussicht aus dem Fenster. Mit Google Street View lokalisiert er Ihr Büro.

Ausgehend von einem Pseudonym auf Twitter ist er in weniger als 20 Minuten bei Ihrer physischen Adresse angekommen. Ohne ein einziges illegales Werkzeug zu benutzen.

Die Abwehr: Totale Abschottung

Um sich vor OSINT zu schützen, müssen Sie die Kette der Verbindungen durchbrechen. Es darf keine Verbindung zwischen Ihrer Identität A (Twitter) und Ihrer Identität B (LinkedIn) geben.

Die Lösung ist nicht, 50 Gmail-Konten zu haben (zu schwer zu verwalten). Die Lösung ist eine eindeutige E-Mail pro Dienst.

Wenn Ihr Twitter-Konto mit twitter.zugang@junkmail.site verknüpft ist:

  1. Der Ermittler kann diese Adresse nicht erraten (sie ist nicht öffentlich).
  2. Selbst wenn er sie findet (durch ein Datenleck), führt sie nirgendwohin. Sie ist mit keinem anderen Konto verknüpft.
  3. Wenn Sie sie löschen, ist es eine Sackgasse (Dead End).

Fazit

Im Internet ist Ihre Vergangenheit Ihr schlimmster Feind. Die Brotkrumen, die Sie vor 10 Jahren hinterlassen haben, führen direkt zu Ihrer heutigen Tür.

Hören Sie auf, Spuren zu hinterlassen. Benutzen Sie Schuhe, die keine Abdrücke auf dem Boden hinterlassen. Verwenden Sie Wegwerf-E-Mails für alles, was nicht Ihre legale Identität erfordert.

Werden Sie zum Geist. Sichern Sie Ihren digitalen Fußabdruck mit JunkMail.