Am Abend des 17. Oktober 2023 kam es neben dem Al-Ahli-Arabi-Krankenhaus in Gaza zu einer Explosion. Die Hamas inszenierte eine Pressekonferenz in einem Leichenberg und behauptete, ein israelischer Luftschlag habe knapp 500 Menschen getötet. Im Netz wurden die Bilder millionenfach geteilt und kommentiert. „Israelischer Krankenhaus-Angriff tötet laut Palästinensern Hunderte“, titelte die New York Times zunächst. Noch am selben Abend sagte der jordanische König Abdullah II. ein geplantes Treffen mit US-Präsident Joe Biden ab. In Amman, Beirut und Teheran gingen tausende Menschen auf die Straße. Die Ausweitung des Krieges auf die gesamte Region schien kurz bevorzustehen.
In den Stunden und Tagen nach der Explosion sichteten Journalist:innen und Hobby-Rechercheure Webcam-Bilder, Tik-Tok-Videos und Zeugenaussagen, um zwischen Lügen und Propaganda, Social-Media-Hass und Fake News herauszufinden, was tatsächlich passierte. Inzwischen ist klar: Das Krankenhaus selbst wurde nicht getroffen. Stattdessen kam es zu einer Explosion auf dem Parkplatz neben dem Gebäude. Verifizierbare Angaben über die Opferzahl gibt es nicht. Ob der Auslöser der Explosion eine fehlgeleitete Rakete aus Gaza oder ein israelisches Artilleriegeschoss war, ist nicht abschließend geklärt. Denn die Videos, die die Medien und Geheimdienste zunächst veröffentlichten, zeigen eine andere, keine palästinensische Rakete. Das haben sogenannte OSINT-Recherchen herausgefunden.
OSINT ist die Abkürzung für Open Source Intelligence. Der Begriff bezeichnet Recherchen, die frei zugängliche Quellen verwenden: Social-Media-Posts, Bilder, Satellitendaten. Ob in Gaza, dem Bergkarabach-Konflikt oder in der Ukraine: Diese Daten spielen seit einem Jahrzehnt eine immer bedeutendere Rolle bei der Aufklärung von Menschenrechtsverletzungen, Korruption und Kriegsverbrechen. Dank OSINT wissen wir, wer für die Massaker in Butscha verantwortlich ist, wer Alexej Nawalny vergiftet hat und wie der Rechtsterrorist von Christchurch sich im Netz radikalisierte. Und das Besondere ist: Viele OSINT-Recherchen werden weiterhin von Menschen erledigt, für die es eine Freizeitbeschäftigung ist.
Auch dass pro-russische Separatisten im Jahr 2014 die malaysische Passagiermaschine MH17 über der Ukraine abgeschossen hatten, war dank solcher Recherchen schon längst klar, als staatliche Stellen und große Medien noch recherchierten. Inzwischen wurden zwei Russen und ein Ukrainer wegen Mordes in den Niederlanden verurteilt.
Es wird deutlich: OSINT-Recherchen sind aus der Gegenwart nicht mehr wegzudenken. Wer aktuelle politische Entwicklungen besser verstehen will, sollte wissen, was OSINT ist und wie die Rechercheur:innen arbeiten. Das erkläre ich in diesem Text – und gebe dir gleichzeitig alle Werkzeuge an die Hand, mit denen auch du so recherchieren kannst.
Waffen, Gift, Kriegsverbrechen: Eine kurze Geschichte der OSINT-Revolution
Am 17. Dezember 2010 verbrannte sich der tunesische Gemüsehändler Mohamed Bouazizi in der Stadt Sidi Bouzid öffentlich. Sein Tod markierte den Beginn der sogenannten Arabellion, eine Reihe von Massenprotesten und Aufständen in Tunesien, Libyen, Ägypten und Syrien gegen Autoritarismus und Misswirtschaft. Doch alte und neue Herrscher schlugen die Proteste vielerorts nieder, Syrien und Libyen befinden sich bis heute in Bürgerkriegen. Damals begann das, was Wissenschaftler:innen heute als Open-Source-Intelligence-Revolution bezeichnen.
Weil in den 2010er Jahren immer mehr Menschen Smartphones, Internetzugang und Social-Media-Accounts hatten, wurden die Aufstände und späteren Bürgerkriege der Arabellion nicht nur auf Facebook und Twitter organisiert, sondern auf Instagram, Youtube und Co. auch quasi live im Netz übertragen. Nicht von Reporter:innen, sondern von Bürger:innen. Sie lieferten eine nie dagewesene Menge an Bildern und Videos der Geschehnisse. Jedes Jahr wurden es mehr. Und Menschen aus aller Welt konnten darauf zugreifen.
Damals begann eine weltweite Community, diese Daten zu sichten, zu organisieren und zu analysieren. Ein Hobby-Blogger aus England schaute sich auf seinem Asus-Laptop tausende Youtube-Videos aus Syrien an und konnte anhand der Bilder beweisen, welche ausländischen Waffen im Krieg benutzt wurden. Sein Name: Elliot Higgins. 2014 gründete er per Crowdfunding die Rechercheplattform Bellingcat und revolutionierte damit den Investigativ-Journalismus.
„Wir haben bewiesen, dass der syrische Diktator Bashar al-Assad Chemiewaffen auf sein eigenes Volk abgefeuert hat. Wir haben gezeigt, wer hinter dem Abschuss von Flug MH17 steckt. Wir haben ISIS-Unterstützer in Europa geortet. Wir haben die Neonazis identifiziert, die in Charlottesville randalierten (…). Und wir haben ein Killerkommando des Kremls enttarnt“, schreibt Higgins in seinem Buch „We Are Bellingcat“ über die Recherchen der Gruppe. All das mit öffentlich zugänglichen Daten im Netz.
Der Einfluss von OSINT-Recherchen ist so groß, dass sie inzwischen überall benutzt werden. Spekulant:innen nutzen OSINT, um Schwachstellen von Firmen auszumachen, auf deren Wertverlust sie wetten. Der Internationale Strafgerichtshof (ICC) recherchiert mit öffentlich zugänglichen Daten Kriegsverbrechen. Selbst Mafia-Gangs nutzen OSINT. 2020 ermittelte eine serbisch-montenegrische Gang durch Instagram-Posts den Aufenthaltsort eines Rivalen und brachte ihn um.
Kurz: OSINT ist inzwischen überall. Und die Grundlagen sind leicht zu erlernen.
Die Grundlagen: Google Operator, Reverse Image Search, Web Archive
Der Anfang jeder OSINT-Recherche ist eine einfache Frage: Woher kommt das Material, das mich interessiert? Aus welcher Quelle stammt es? Dann sind die sogenannten W-Fragen interessant: Wer oder was ist zu sehen? Von wo und wann stammt das Material? Um das herauszufinden, gibt es drei einfache, wesentliche Recherchewege, die jede:r kennen sollte.
1. Internet Archive: Das Internet vergisst nicht – und das ist gut so
Kurz nach der Explosion am Al-Ahli-Krankenhaus in Gaza setzte eine Twitter-Nutzerin mit dem Namen @_Faridakhan einen Tweet ab. Der Account behauptete, als Journalistin für Al Jazeera zu arbeiten und wichtige Videobeweise für die Explosion zu haben. Innerhalb der ersten zwei Stunden wurde der Tweet mehr als tausendmal retweetet, auch von Journalist:innen. Screenshots machten auf Instagram und in Telegram-Gruppen die Runde. Das Problem: Der Beitrag stammte von einem Fake-Account. Und das ist einfach herauszufinden – auch wenn der Original-Account inzwischen deaktiviert wurde.
Die sogenannte Waybackmachine funktioniert wie ein normales Archiv. Sie speichert Momentaufnahmen von Websites, Social-Media-Posts, Bildern und Videos. Dank dieses Programms ist es heute möglich nachzuschauen, wie die Krautreporter-Website 2015 aussah. Das ist möglich, weil Einzelpersonen oder automatisierte Programme Websites dort archivieren.
Eine kurze Suche in der Waybackmachine zeigt, wie das Profil der angeblichen Farida Khan auf X (vormals Twitter) aussah, bevor es gelöscht wurde. Sofort fällt auf: Der Account wurde im September 2023 gegründet. Das weist darauf hin, dass es sich mit hoher Wahrscheinlichkeit um einen Fake handelt.
Der X-Account @_Faridakhan und ihr Post zur Explosion. Quelle: Waybackmachine
2. Suchoperatoren: Zeit sparen durch richtiges googeln
Wer richtig googeln kann, findet auch ohne Waybackmachine innerhalb von Sekunden heraus, dass es höchstwahrscheinlich keine Farida Khan bei Al Jazeera gibt. Der Weg dorthin ist einfach. Er führt über sogenannte Search Operators. Suchoperatoren präzisieren deine Google-Suche (und machen dein Leben leichter). Du kannst so zum Beispiel nach bestimmten Dateitypen auf Google suchen. Oder nach Wörtern auf einer bestimmten Website. Hier findest du eine Liste mit Suchoperatoren. Im folgenden Video erklärt die Nachrichtenagentur AFP, wie sie funktionieren:
https://www.youtube.com/watch?v=l2SbfqF-2Rg
Wer „Farida Khan“ und „site:aljazeera.com“ in die Google-Suchmaske eingibt, bekommt nur Ergebnisse angezeigt, die exakt diesen Namen enthalten und von der offiziellen Seite Al Jazeeras stammen. Man könnte noch „before:2023-10-07“ hinzufügen. Dann zeigt Google lediglich Ergebnisse aus der Zeit vor dem Terroranschlag der Hamas an. Schnell wird klar: Bei Al Jazeera hat eine solche Autorin nie etwas veröffentlicht.
3. Reverse Image & Video Search: Verifizieren durch Bild-Rückwärtssuche
OSINT-Recherchen fangen oft mit unverifizierten Bildern oder Videos an. Ein Beispiel: In den Tagen nach dem 7. Oktober posteten, teilten und kommentierten Millionen von Menschen auf X, Insta oder TikTok ein Video. Darauf zu sehen: Eine Stadt bei Nacht, rotes Licht, Feuer, Rauch (und Feuerwerk, aber es scheint nur wenigen Menschen aufgefallen zu sein). „Es regnet Bomben auf Gaza“, schrieben Nutzer:innen. Andere kommentierten mit weinenden Emojis oder forderten Rache gegen Israel.
Das Problem: Dieses Video hat nichts mit Gaza oder Israel zu tun. Es stammt aus Algerien und zeigt die Feierlichkeiten nach einem Fußball-Match. Das lässt sich leicht herausfinden, per Reverse Image Search, oder: Bild-Rückwärtssuche. Wie das funktioniert, siehst du im folgenden Video:
https://www.youtube.com/watch?v=W9JkBkOE0TM
Die besten Suchmaschinen für Bild-Rückwärtssuchen sind Google, Yandex, Bing und Tin-Eye. Letztere ist besonders hilfreich, weil man die Suchergebnisse nach Erscheinungsdatum sortieren kann. So findet sich schnell heraus, wann ein bestimmtes Bild zum ersten Mal im Netz erschienen ist – und damit, aus welchem Kontext es wahrscheinlich kommt. Damit du nicht für jede Bild-Rückwärtssuche verschiedene Suchmaschinen nutzen musst, empfehle ich das RevEye-Plugin für Bildsuchen und den Fake News Debunker von Invid und WeVerify für Video-Analysen.
https://www.youtube.com/watch?v=VMn5DPJTOAQ
Bild-Rückwärtssuche, Suchoperatoren und Internet-Archive sind die OSINT-Werkzeuge, die alle im Haus haben sollten. Jede Recherche beginnt mit diesen drei Methoden. Stellt sich dann aber heraus, dass Bilder oder Videos von Interesse unbekannt sind, gilt es, Ort und Zeit der Aufnahme herauszufinden.
Geo- und Chronolocation: Mit Satellitenbildern und Sonnenstand recherchieren
Hast du schon einmal Videos oder Bilder gesehen und dich gefragt: Wo wurde dieses Material aufgezeichnet? Hier kommt sogenannte Geolocation ins Spiel, die Ortung von Bildern oder Videos anhand von Umgebungsmerkmalen oder Hinweisen im Bild. Das können Berge oder Seen im Hintergrund sein, Straßenschilder, Gebäude, Leitplanken, Fahnen, Nummernschilder, Geschäftsnamen, Straßenmarkierungen oder sogar Pflanzengattungen. All das sind Puzzleteile, mögliche Hinweise auf den Ort, an dem Bilder oder Videos entstanden sind. Mithilfe von Satellitenbildern und Kartendiensten wie Google Maps, Google Earth Pro oder PeakVisor lassen sich Videos dann orten. Hier zu sehen im AFP-Tutorial:
https://www.youtube.com/watch?v=FJsvS0f2WG4
Geolocation ist manchmal kompliziert. Bellingcat hat kürzlich ein Tool entwickelt, das den Beginn jeder Geolocation-Suche erleichtern soll, indem man verschiedene Umgebungsmerkmale in eine Suchmaske eingeben kann, die Kartensysteme dann entsprechend filtert. Du kannst es aber auch spielerisch lernen, mit GeoGuessr. Wenn dich interessiert, wie die Ausrichtung von Satellitenschüsseln, verschiedene Straßenmarkierungen oder Architekturstile dabei helfen, empfehle ich dir diesen (endlosen) Artikel. Letztlich ist es das Wichtigste bei komplizierten Suchen, kreativ zu sein. Dein Bild zeigt bloß eine Eisenbahntrasse im Grünen? Es gibt Facebook-Gruppen, in denen Nerds sich über verschiedene Schienentypen in Ex-Sowjet-Staaten unterhalten – und dir gerne weiterhelfen. Kein Scherz. Ähnliche Gruppen gibt es für so ziemlich jedes andere Thema.
Bei komplizierten Bildern kann die Ortung Tage oder Wochen dauern, aber zu wichtigen Ergebnissen führen. Bellingcat gelang es zum Beispiel anhand von Social-Media-Videos das Luftabwehrsystem zu orten, das 2014 für den Abschuss von MH17 benutzt wurde – von prorussischen Separatisten im Donbass.
Hinten rechts im Bild versteckt: Das Luftabwehrsystem, mit dem MH17 abgeschossen wurde. Quelle: Bellingcat
Die Gruppe konnte nicht nur feststellen, wo dieses Bild aufgenommen wurde, sondern auch zu welcher Uhrzeit: Gegen 12.30 Uhr. Der Grund: Anhand der Schatten berechneten sie den Stand der Sonne und folglich die ungefähre Uhrzeit. Das geht zum Beispiel mit der Seite SunCalc. Den ganzen Rechercheweg zu MH17 hat Bellingcat hier auch auf Deutsch veröffentlicht. Die Bestimmung des Zeitpunkts, an dem ein Foto oder Video aufgenommen wurde, nennt sich Chronolocation. Einen Guide dafür findest du hier.
Neben Geo- und Chronolocation sind OSINT-Personensuchen für viele Recherchen relevant. Wer zum Beispiel Videos geortet hat, in denen Männer in Militärkleidung Zivilist:innen ermorden, will anschließend wissen, wer die Täter sind.
Personensuche im Netz: Brotkrümel für Brotkrümel
Jeder macht Fehler. Das gilt umso mehr für unsere digitalen Fußabdrücke. Genau diese Fehler helfen bei OSINT-Recherchen nach Personen. Dabei ist es wichtig, zunächst so viele Informationspunkte wie möglich über eine Person zu finden. Hast du ein Foto einer Person, kannst du über die Bild-Rückwärtssuche oder über Gesichtserkennungssoftware vielleicht Social-Media-Accounts der Person finden. Hat die Person eine Website, findet sich dort vielleicht eine Mailadresse. Wenn nicht, hilft ein Blick in die WaybackMachine. Vielleicht war die E-Mail-Adresse oder Handynummer früher einmal dort zu finden. Wer Handynummern und Mailadressen bei haveibeenpwned und leakcheck sucht, findet eventuell weitere Profile. Hat die Person Instagram oder TikTok-Profile? Über die Follower lassen sich vielleicht Familienangehörige oder Freund:innen finden, die wichtig für die Recherche sein könnten. Bellingcat konnte über die Insta-Posts einer Hochzeit eine ganze Reihe russischer Geheimagenten enttarnen.
Der Spotify-Account von Jeffrey Epstein. Quelle: Spotify
Ein Beispiel dafür, wie einfach Details über Personen herauszufinden sind: Das Magazin Business Insider veröffentlichte 2019 einen Social-Media-Handle des verurteilten Sexualstraftäters Jeffrey Epstein: „Jeevacation“. Das ist sehr nützlich, denn Menschen sind faul. Sie benutzen oft dieselben Nutzernamen für verschiedene Social-Media-Accounts. Auf der Seite whatsmyname.app lässt sich checken, auf welchen Plattformen und Websites ein Nutzername registriert ist. Wer dort nach „Jeevacation“ sucht, findet schnell einen Spotify-Account von Jeffrey Epstein. Dort sind auch dessen öffentliche Playlists zu sehen. Eine davon trägt den Namen Celina. Das ist der Name der Tochter einer Ex-Partnerin Eppsteins, über die er sagte, er würde sie gern heiraten.
FOI-Anfragen, Unternehmensregister, Telegram, Schiffsverkehr und Flugzeugdaten
Geo- und Chronolocation und Personensuchen sind Teil der meisten OSINT-Recherchen. Es gibt aber noch jede Menge weitere Möglichkeiten, mit öffentlich zugänglichen Quellen zu recherchieren. Da sind Register wie OpenCorporates, OpenOwnership oder die Aleph-Datenbank. Es gibt spezielle Tools, um Telegram-Gruppen zu analysieren und Seiten, mit denen du Schiffsverkehr oder Flugzeug-Reisen von Politiker:innen analysieren kannst. Bei FragDenStaat kannst du von Behörden in Deutschland und Europa Akten, Kalendereinträge, Meeting-Notizen oder Mailverkehr zu bestimmten Themen anfordern. All das ist öffentlich zugänglich, man muss nur danach fragen.
Wenn du richtig loslegen möchtest, empfehle ich dir auch diesen Guide, um dich online während deiner Recherchen zu schützen. Hier gibt es eine ausführliche Anleitung für deine digitale Sicherheit. Sowohl Bellingcat, als auch das Dart Center for Journalism and Trauma haben zudem wichtige Anleitungen zum Schutz der eigenen psychischen Gesundheit während schwieriger Recherchen. Wie du Hinweise auf sexualisierte oder geschlechtsspezifische Gewalt während der OSINT-Recherche erkennst, erklärt Hannah Bagdasar hier.
Tipps, um sofort loszulegen
Benjamin Strick vom Center for Information Resilience hat einen Youtube-Channel mit hervorragenden Videos für OSINT-Einsteiger. Der CyberDetective-Newsletter liefert dir wöchentlich interessante OSINT-Tools in dein Postfach. Hier findest du zudem ein Dokument mit allen OSINT-Tools von Bellingcat, hier das OSINT-Handbuch von Al Jazeera und das „Berkeley Protocol on Digital Open Source Investigations“ der Vereinten Nationen.
Wem solltest du folgen? Oliver Alexander, Benjamin Pittet und Aric Toler teilen oft ihre OSINT-Recherchewege auf X. Die Discord-Server von Bellingcat und Project Owl sind hervorragend, um anderen bei der Arbeit zuzuschauen und zu lernen. Dort kommen tausende Menschen aus aller Welt digital zusammen, um gemeinsam zu recherchieren. Lehrerinnen, Ex-Geheimdienstler, Waffenexpertinnen und Biologen arbeiten gemeinsam daran, Material zu verifizieren und zu orten. Diese Vielfalt an Volunteers ist einer der wichtigsten Gründe, warum OSINT so erfolgreich ist: Jeder Mensch bringt eine eigene Ausbildung und eigenes Hintergrundwissen mit. Gemeinsam schaffen sie ein weltweites Netz aus hochspezialisiertem Wissen. Man könnte sagen: gecrowdsourcte Intelligenz. Das ist auch ihr großer Vorteil gegenüber klassischen Medien: Kein Newsroom der Welt hat ein solch breit gefächertes Netz an Wissen.
Bevor Du jetzt loslegst, achte auf drei wichtige Regeln.
1. Transparenz: Gute OSINT-Arbeit ist immer transparent. Das heißt, sie liefert Quellen mit und erklärt die Methodik hinter der eigenen Recherche. So können andere sie wiederholen und überprüfen.
2. „Do no harm!“ So bezeichnete OSINT-Journalist Giancarlo Fiorella die wichtigste Regel für OSINT-Neulinge im Kontext von Kriegen und Konflikten. Achte auf dich und andere. Schaue dir nur an, was wirklich sein muss. Teile nichts öffentlich, was Menschen in Gefahr bringen könnte.
3. Trial and Error: OSINT funktioniert (im Idealfall) ähnlich wie Wissenschaft: Eine Analyse bleibt so lange gültig, bis sie falsifiziert wird. Das ist insbesondere in Krisensituationen wichtig. In Breaking-News-Momenten wie bei der Explosion auf dem Gelände des Al-Ahli-Krankenhauses in Gaza zum Beispiel, in denen beide Seiten einander beschuldigen und keine unabhängigen Reporter:innen vor Ort sind.
Personensuchen, Geolocation, Bild-Rückwärtssuchen. Dieser Guide hat dir einige der wichtigsten Methoden vorgestellt, die hinter OSINT-Recherchen stecken. Vieles spricht dafür, dass diese Recherchen auch zukünftig immer wichtiger werden. Denn erstens ermöglichen öffentlich zugängliche Quellen das Recherchieren zu Orten oder Ereignissen, zu denen Journalist:innen keinen Zugang haben. Zum Beispiel in Gaza. Zweitens basieren OSINT-Recherchen auf Transparenz. Die Idee ist, dass jeder, der will, eine Recherche überprüfen kann. Schließlich sind die Quellen frei zugänglich. Das gilt für viele Veröffentlichungen von Medien oder Geheimdiensten nicht. Sie halten ihre Quellen geheim. OSINT-Recherchen haben also einen großen Vorteil: Transparenz schafft Überprüfbarkeit. Und das schafft Vertrauen.
Aber klar: Dieses Vertrauen kann auch missbraucht werden – für die eigene ideologische Mission, für Propaganda, oder um jemanden öffentlich zu diffamieren. Gerade deshalb ist es wichtig, selber nachvollziehen zu können, wie ein Recherche-Ergebnis zustande kommt – und auch die Ergebnisse von OSINT-Recherchen nicht einfach unkritisch zu glauben.
Redaktion: Rico Grimm, Schlussredaktion: Martin Gommel, Audioversion: Iris Hochberger