OSINT, ohne dich zu verraten
Practical Guides & Tutorials

OSINT, ohne dich zu verraten

Journalistinnen, Ermittler und Recherche-Teams hinterlassen bei jeder Suche Spuren. So recherchierst du aus offenen Quellen, ohne dass dein Ziel mitbekommt, dass es beobachtet wird.

BROWSER.LOL
12.03.2026
20 Min. Lesezeit
Teilen

Eine Investigativ-Redaktion recherchierte zu einem mittelständischen Zahlungsabwickler, der in mehrere Betrugsfälle verwickelt war. Zwei Reporter klickten am selben Nachmittag aus Bequemlichkeit vom Büronetz aus die Firmenwebsite, die LinkedIn-Profile der Geschäftsführung und die About-Seiten der Tochterfirmen an. Drei Tage später rief die PR-Agentur des Ziels in der Chefredaktion an und fragte nach dem Stand der Geschichte. Die Recherche war geplatzt, bevor irgendjemand eine Zeile geschrieben hatte.

Offene Quellen sind offen, der Besuch dort ist es selten. Webseiten loggen IP-Adressen, Session-Cookies, Referrer, Fingerprint-Attribute und häufig auch das Scrollverhalten. LinkedIn zeigt dem Profilinhaber, wer reingeschaut hat. Manche Firmenseiten setzen Clearbit oder ähnliche Lead-Identification-Tools ein, die deine IP direkt einem Arbeitgeber zuordnen. Für OSINT heisst das: Die eigentliche Arbeit beginnt vor dem ersten Klick.

Was du als Ermittler preisgibst

Die offensichtlichste Spur ist die IP-Adresse. Wer über ein Firmen-VPN oder einen regionalen ISP-Bereich recherchiert, gibt Arbeitgeber und geografische Herkunft preis. Für Ziele, die ihre Besucher-Logs auswerten (grosse Unternehmen, beobachtete Akteure, Betrüger mit eigener Logging-Infrastruktur), ist das oft das erste Anzeichen einer laufenden Recherche.

Dann kommen Cookies und Logins. Wer OSINT in einem persönlichen Chrome-Profil betreibt, recherchiert mit dem echten Google-Account im Hintergrund. Eine Google-Suche zu einer Person hängt an deiner E-Mail-Adresse, ein YouTube-Klick signalisiert der Plattform, dass dich dieses Thema interessiert, und der Weg von einer öffentlichen Quelle zurück in deinen Posteingang ist manchmal nur einen Cookie-Abgleich lang.

Den Rest erledigt der Fingerprint. Dein Browser-Fingerprint ist stabil genug, dass ein Ziel mit eigener Analytics dich über mehrere Besuche und mehrere Seiten hinweg wiedererkennt, selbst wenn du die Cookies löschst. Wie das im Detail funktioniert, steht in Browser Fingerprinting.

Sock-Puppet-Accounts richtig aufbauen

Drei Profil-Silhouetten untereinander, jede mit einem eigenen kleinen Umriss einer Browser-Seite und einer gestrichelten Trennlinie zwischen den Profilen

Ein Sock-Puppet ist keine Lüge. Es ist ein Arbeitsaccount, der bewusst nicht an deine Identität gekoppelt ist, damit du Plattformen nutzen kannst, ohne dass etwas auf dein Klarnamen-Profil zurückführt. Entscheidend ist die Konsistenz: Name, Geburtsdatum, E-Mail-Domain, Telefonnummer und genutztes Gerät müssen zusammenpassen. Plattformen wie Facebook und LinkedIn erkennen Widersprüche in der Signatur eines Accounts und blockieren Neuanmeldungen rigoros.

Der zweite Punkt ist die Aufwärmphase. Ein Account, der am ersten Tag nach einer bestimmten Person sucht, wirkt verdächtig. Einer, der drei Wochen lang unauffällig aktiv war, bevor er recherchiert, geht im Grundrauschen unter. Plane die Aufwärmzeit ein, bevor du den Account wirklich brauchst.

Und der dritte Punkt: Jedes Sock-Puppet lebt in seinem eigenen Browser-Profil. Sessions dürfen sich nie überlappen, weil gemeinsame Cookies, Referrer und Fingerprints sonst alle Accounts miteinander verknüpfen.

Browser-Hygiene für OSINT-Sessions

Der Browser auf dem Arbeitslaptop ist der natürliche Feind sauberer OSINT-Arbeit. Er hängt an deinem Arbeitgeber, kennt deine produktiven Logins und teilt Fingerprint-Daten mit jeder Seite, die du privat ansteuerst. Die einfachste und wirksamste Regel: OSINT läuft nie im Alltagsbrowser.

Eine saubere Umgebung hat vier Eigenschaften. Sie startet ohne gespeicherte Cookies. Sie hat keine Erweiterungen installiert, weil jede Extension ein weiteres Fingerprint-Merkmal liefert. Sie nutzt eine IP-Adresse, die sich weder deinem Arbeitgeber noch deinem Zuhause zuordnen lässt. Und sie verschwindet am Ende der Session spurlos, sodass eine spätere Kompromittierung des Geräts keinen Verlauf preisgibt.

Ein isolierter Remote-Browser erfüllt alle vier Punkte automatisch. Der Browser läuft in der Cloud, ist mit keinem deiner Accounts verbunden, zeigt eine IP-Adresse ausserhalb deines Netzwerks und wird nach der Session komplett verworfen. Für Redaktionen und Investigativ-Teams ist das die Standardinfrastruktur.

IP-, DNS- und Timing-Trennung

Eine Karte mit drei Punkten: Nutzer, Cloud-Browser, Zielserver, dazwischen gestrichelte Pfeile, die verschiedene Wege andeuten

IP-Hygiene ist mehr als ein VPN. Die IP-Bereiche kommerzieller VPN-Anbieter sind auf vielen recherche-relevanten Seiten bekannt und werden entweder blockiert oder bevorzugt mitgeloggt. Residential Proxies, also IPs aus echten Privathaushalten, fallen weniger auf, sind aber rechtlich und ethisch ein Minenfeld, sobald ihre Herkunft unklar ist. Der pragmatische Mittelweg sind IP-Adressen aus seriösen Rechenzentren, in Ländern, die zur Recherche passen.

Die DNS-Trennung wird unterschätzt. Löst dein Gerät den DNS über den Firmenresolver auf, bevor der VPN-Tunnel steht, entsteht ein DNS-Leak, der genau die Seiten zeigt, die du gleich anonym besuchen wolltest. Ein isolierter Browser in der Cloud löst DNS ausserhalb deines Netzwerks auf und schliesst dieses Leck von vornherein aus.

Auch das Timing spielt eine Rolle. Wenn mehrere Reporter derselben Redaktion innerhalb einer Stunde dieselbe Domain ansteuern, ergibt das ein Muster, das in jeder halbwegs brauchbaren Analytics auffällt. Verteile die Besuche über den Tag, vermeide lokale Spitzen.

Ein nachhaltiger Arbeitsablauf

„Ich schau nur kurz nach" ist der häufigste Grund, warum Recherchen auffliegen. Ein nachhaltiger Ablauf sorgt dafür, dass die Rechercheumgebung schneller offen ist als dein Alltagsbrowser. Ein Lesezeichen, eine Verknüpfung auf dem Desktop oder ein Eintrag im Launcher, der direkt eine isolierte Session startet, entscheidet, ob eine Recherche sauber bleibt oder auffliegt.

Dokumentiere jede Session, egal wie kurz sie ist. Screenshots entstehen innerhalb der Session und werden von dort aus exportiert. Der Screenshot selbst trägt selten verräterische Metadaten, das Browser-Profil dahinter dagegen schon.

Desktop-Power, auf jedem Gerät?

Probier Browser.lol kostenlos aus und sieh selbst, wie produktiv du mobil arbeiten kannst.

Desktop-Browser starten

Kein Download nötig • Läuft auf jedem Gerät

Über 250'000 Profis sind schon dabei
Volle Desktop-Kompatibilität
Sofort einsatzbereit

Neueste Beiträge

Alle Beiträge
Sicher ins Dark Web: Tor aus einem Cloud-Browser
Praxis-Guides & Tutorials

Sicher ins Dark Web: Tor aus einem Cloud-Browser

Tor auf dem eigenen Rechner verknüpft deine IP, dein Gerät und deine Identität mit allem, was du dir ansiehst. So besuchst du .onion-Seiten aus einer wegwerfbaren Cloud-Session.

17.05.2026Weiterlesen
Einloggen auf fremden Rechnern
Praxis-Guides & Tutorials

Einloggen auf fremden Rechnern

Hotelkiosk, Bibliotheks-PC, Laptop eines Freundes. Was Keylogger, gespeicherte Passwörter und Autofill auf geteilten Geräten wirklich abgreifen, und wie ein Cloud-Browser deine Accounts aus der Schusslinie hält.

26.03.2026Weiterlesen
Verdächtige Links ohne Risiko prüfen
Praxis-Guides & Tutorials

Verdächtige Links ohne Risiko prüfen

Sicherheitsanalysten müssen zwielichtige URLs öffnen, ohne das Netzwerk zu infizieren. Erfahre, wie du mit isolierten Browsern, wiederholbaren Checklisten und sauberer Dokumentation einen sicheren Untersuchungs-Workflow aufbaust.

30.10.2025Weiterlesen