Stephanie Böhm, Norphluchs: Transparente und rechtssichere OSINT-Prüfungen digitaler Identitäten
Wer Menschen, Identitäten und Risiken besser verstehen will, kommt an OSINT nicht mehr vorbei. Stephanie Böhm, Co-Founder von Norphluchs, zeigt im Confare Interview, wie ihre Plattform Unternehmen in HR, Compliance und Security unterstützt – strukturiert, DSGVO-konform und mit überraschenden Einsichten aus offenen Quellen.
Mehr Einblicke gibt’s beim Confare CIOSUMMIT Wien am 25. & 26. März 2026 – jetzt anmelden und dabei sein!
Über 430 CIOs und IT-Leader sind bereits angemeldet! Sichern Sie sich Ihren Platz beim Confare CIOSUMMIT Wien 2026.
Eure Plattform spricht verschiedene Anwendungsfälle an – HR/Recruiting, Compliance, IT-Sicherheit. Welcher dieser Use-Cases war ursprünglich der Auslöser für Eure Idee, und wie haben sich die anderen hinzuentwickelt?
Ursprünglich haben wir Norphluchs als Pre-Employment-Check konzipiert – insbesondere für kleine und mittelständische Unternehmen. Die Idee war, OSINT-Daten für die Industrie nutzbar zu machen und den Einstellungsprozess durch verlässliche, effiziente Hintergrundinformationen zu unterstützen. Denn jedes Unternehmen hat Firmengeheimnisse und ein berechtigtes Interesse daran zu wissen, mit wem es arbeitet. Ein Strafregisterauszug allein reicht dafür nicht aus: Eine Person kann völlig straffrei sein und dennoch nicht zur Unternehmenskultur passen oder im Extremfall ein Risiko darstellen – insbesondere in sensiblen Rollen oder bei der Zusammenarbeit mit Freelancern, die etwa Zugang zu Source Code oder internen Systemen erhalten sollen.
Viele Unternehmen „googeln“ Bewerber ohnehin – wir ermöglichen dieselbe Intention, aber strukturiert, professionell und umfassend. Unsere Plattform durchsucht auf Knopfdruck über 1500 Webseiten, um festzustellen, wo eine E-Mail-Adresse zur Registrierung genutzt wurde. Dadurch wird sichtbar, ob die Online-Identität einer Person konsistent ist oder ob eine E-Mail vielleicht ausschließlich für eine Bewerbung angelegt wurde. Dasselbe gilt für Telefonnummernrecherchen.
Wir empfehlen Unternehmen immer, sich zuerst bewusst zu machen, welche zentrale Frage sie über eine Person beantworten möchten:
- Handelt es sich um eine echte Person?
- Gibt es Hinweise auf Social-Engineering-Risiken oder sogar Spionage?
- Gibt es Reputationsrisiken?
- Passt die Person ins Team?
- Gibt es einen Russland-Bezug?
- Steht die Person auf einer Sanktions- und Watchliste?
Anschließend kann gezielt nach relevanten Daten gesucht werden, statt unstrukturiert Informationen zu sammeln.
Aus diesem Ansatz heraus hat sich der Anwendungsbereich schnell erweitert: Durch das breite Interesse aus unterschiedlichen Branchen wurde klar, dass unsere Lösung ebenso wertvoll für Compliance, AML, Due Diligence und andere Untersuchungsbereiche ist.
Heute ist der zweitgrößte Use-Case jedoch Security Awareness. Führungskräfte und Vorstände nutzen Norphluchs, um zu verstehen, welche Informationen über sie öffentlich verfügbar sind – und wie Angreifer sie potenziell für Phishing oder Social Engineering missbrauchen könnten. Gerade weil all diese Informationen per Knopfdruck sichtbar werden, ist unser Ansatz für viele Organisationen so attraktiv.
Darüber hinaus wird Norphluchs weiterhin von Detekteien, Investigativjournalisten, HR-Abteilungen und Compliance-Teams eingesetzt, die unsere Plattform nutzen, um fundierte Entscheidungen zu treffen und Risiken früh zu erkennen.
Wie schafft Ihr den Spagat zwischen schneller, automatisierter Recherche (z. B. Dark Web, Social Media, offene Quellen) und gleichzeitig voller DSGVO-Konformität, wie Ihr es auf der Website betont?
Wir schaffen den Spagat zwischen schneller, automatisierter Recherche und voller DSGVO-Konformität, indem wir unseren gesamten Ansatz konsequent auf Privacy-by-Design aufbauen. Das bedeutet: Datenschutz ist von Anfang an in unsere Architektur, unsere Prozesse und unsere technischen Schutzmechanismen integriert – nicht erst im Nachhinein ergänzt. Alle Daten, die wir verarbeiten, stammen aus offiziellen Registern, öffentlich zugänglichen Quellen oder frei einsehbaren Bereichen des Internets. Nichts davon ist „geheim“ oder exklusiv; es handelt sich ausschließlich um Informationen, die grundsätzlich jeder finden kann, der sehr gut googeln, dorken oder andere OSINT-Techniken anwenden kann.
Wichtig ist aber: Wir arbeiten ausschließlich im B2B- und B2G-Bereich und verarbeiten Daten nur dann, wenn ein klar definiertes berechtigtes Interesse besteht, etwa im Rahmen von Sicherheitsprüfungen, Compliance-Anforderungen oder der Prävention von Social-Engineering-Angriffen. Um diese rechtliche Grundlage wasserdicht zu machen, haben wir von Beginn an ein umfangreiches Anwaltsteam eingebunden und sämtliche Abläufe – vom technischen Design bis zur Kundenkommunikation – gemeinsam geprüft und DSGVO-konform ausgestaltet.
Besonders sensibel gehen wir mit potenziell problematischen Informationen aus Bereichen wie dem Dark Web oder Leaks um. Hier zeigen wir in vielen Fällen bewusst nur eine grüne oder rote Flagge, statt konkrete Daten offenzulegen – insbesondere, wenn ein fundierter Hinweis ausreicht, um ein Risiko zu erkennen. Dadurch schützen wir die betroffene Person und verhindern unnötige oder unverhältnismäßige Datenverarbeitung, ohne den sicherheitsrelevanten Mehrwert für das Unternehmen zu verlieren.
Ihr bietet die Prüfung in „mehr als 200 Rechtsordnungen“ und Dark-Web-Zugriff auf Milliarden Einträge an. Welche technischen oder organisatorischen Hürden musstet Ihr überwinden, damit das funktioniert?
Technisch fungieren wir als Datenaggregator, der weltweit verteilte Quellen in Echtzeit abfragt, ohne personenbezogene Daten zu speichern. Dafür mussten wir eine skalierbare, session-basierte Architektur entwickeln, die stabile Performance sicherstellt.
Eine Herausforderung war die starke Unterschiedlichkeit der Datenformate – von modernen APIs bis zu sehr unstrukturierten Quellen. Wir haben daher Prozesse aufgebaut, die diese Informationen automatisch vereinheitlichen und verlässliche Ergebnisse liefern.Im Dark-Web-Bereich ging es vor allem darum, große und oft unstrukturierte Datenmengen so zu verarbeiten, dass wir präzise Informationen ausgeben können, ohne unnötige Informationen anzuzeigen.
In welchem Maß spielt Künstliche Intelligenz bzw. Machine Learning bei Norphluchs eine Rolle – und wo setzt Ihr stattdessen gezielt auf menschliche Expertise?
KI spielt bei Norphluchs vor allem dort eine Rolle, wo große Mengen unstrukturierter Daten in eine nutzbare Form gebracht werden müssen. Unsere Modelle helfen dabei, Informationen zu erkennen, zu ordnen und strukturiert darzustellen.
Die eigentliche Einordnung im Kontext erfolgt jedoch bewusst durch den Menschen. Wie im Intelligence Cycle beginnt alles mit der Frage: Was möchte ich über diese Person oder dieses Risiko wirklich herausfinden? Wir liefern die Daten und die Struktur – aber der Nutzer ist derjenige, der hinterfragt, überprüft und entscheidet, welche Schlussfolgerungen relevant sind.
Aktuell ist dieser menschliche Schritt unerlässlich, denn nur Menschen können Absichten, Risiken oder kulturelle Nuancen korrekt einschätzen. Wir arbeiten jedoch kontinuierlich daran, KI so einzusetzen, dass sie Nutzer künftig noch stärker unterstützt – etwa durch bessere Priorisierung, Risikohinweise oder automatisierte Kontextvorschläge. Die Kombination aus automatisierter Datenaufbereitung und menschlicher Expertise bleibt für uns der Schlüssel zu verlässigen Ergebnissen.
Wenn Ihr auf Eure bisherigen Kunden schaut: Welche überraschende Erkenntnis oder welches Lernmoment gab es, das Ihr beim Entwickeln der Lösung nicht erwartet hattet?
Eine der überraschendsten Erkenntnisse war, wie unterschiedlich unsere Lösung am Ende tatsächlich genutzt wird. Unsere Kunden kommen aus völlig verschiedenen Bereichen – Sicherheitsbehörden, Banken, Fintech, Versicherungen, kritischer Infrastruktur, NGOs, Ermittlungsdiensten und dem Journalismus. Gleichzeitig wissen wir nicht, wonach unsere Kunden im Einzelfall suchen, weil wir solche Daten aus Datenschutz- und Sicherheitsgründen nicht loggen. Trotzdem stehen wir im engen Austausch mit der internationalen OSINT-Community und bekommen so ein gutes Gefühl dafür, welche Herausforderungen und Fragestellungen in der Praxis immer wieder auftreten.
Was uns besonders geprägt hat, ist die Erkenntnis, wie mächtig OSINT in der Realität ist. Viele Menschen hinterlassen mehr digitale Spuren, als ihnen bewusst ist – und oft reichen kleine Fragmente, um ein erstaunlich präzises Profil zu erstellen. Ein Beispiel: Aus einer einzigen E-Mail-Adresse lässt sich häufig ein Benutzername ableiten. Sucht man nach diesem Namen weiter, findet man plötzlich Forenbeiträge, Kommentare unter Zeitungsartikeln oder alte Social-Media-Aktivitäten – alles öffentlich zugänglich, aber höchst aussagekräftig.
Oder ein anderes reales Beispiel aus der OSINT-Szene: Durch den großen TrueCaller-Leak wurde sichtbar, wie Menschen im Telefonbuch anderer gespeichert waren – etwa „Mama von …“, „Chef XY“, „Kollegin, die ich nicht mag“. Solche Metadaten sind öffentlich zugänglich gewesen und eröffnen plötzlich völlig neue Einblicke.
Diese Fälle zeigen sehr deutlich, wie schnell sich aus vielen kleinen, harmlos wirkenden Spuren ein vollständiges Bild ergibt – und wie wichtig es für Unternehmen und Privatpersonen ist, bewusst mit ihren digitalen Fußabdrücken umzugehen. Genau hier setzt Norphluchs an: Wir machen sichtbar, was ohnehin offen im Netz steht, damit Risiken früh erkannt und minimiert werden können.
Welche Rolle spielt die österreichische bzw. deutschsprachige Marktumgebung (AT/DE/CH) für Euch – und wie plant Ihr, international weiter zu wachsen?
Die österreichische und generell deutschsprachige Marktumgebung spielt für uns eine zentrale Rolle. Gerade im DACH-Raum sind Unternehmen durch strenge Vorgaben wie die DSGVO, nationale Datenschutzgesetze oder auch durch betriebsrätliche Regelungen oft stark eingeschränkt, wenn es um Background Checks oder Screenings bei Verdachtsfällen geht. Gleichzeitig steigt der Bedarf an professionellen, rechtssicheren OSINT-Lösungen. Genau hier bietet Norphluchs einen großen Vorteil: Unser Tool kann ohne rechtliche Hürden eingesetzt werden, weil wir ausschließlich öffentlich verfügbare Informationen verarbeiten und konsequent auf Datenschutzkonformität ausgelegt sind.
Als österreichisches Unternehmen kennen wir die regulatorischen Anforderungen im DACH-Raum sehr gut und haben unsere Prozesse und die Architektur der Plattform bewusst darauf abgestimmt. Vertrauen, Transparenz und Compliance sind hier entscheidende Kriterien – und gleichzeitig ein Wettbewerbsvorteil, da der Markt Lösungen bevorzugt, die sich sicher und nachvollziehbar einsetzen lassen.
Für unsere internationale Expansion setzen wir zunächst auf Märkte innerhalb der EU, die ähnliche Datenschutzstandards haben und deshalb nahtlos von unserer Privacy-by-Design-Architektur profitieren. In einem weiteren Schritt planen wir, die Plattform global auszubauen – jedoch immer mit einem Fokus auf rechtliche Rahmenbedingungen und regionale Compliance-Anforderungen, um denselben Qualitäts- und Sicherheitsstandard weltweit sicherzustellen.
Welche Vision habt Ihr für Norphluchs in den nächsten 3-5 Jahren – insbesondere im Hinblick auf Themen wie digitale Compliance, Risiken durch neue Plattformen oder Regulierungen?
Unsere Vision für die nächsten drei bis fünf Jahre ist es, Norphluchs als führende Plattform in der EU für personenbezogene Background Checks zu etablieren – sowohl im Bereich Pre-Employment als auch im Bereich Security Awareness. Digitale Compliance und regulatorische Anforderungen werden weiter steigen, und Unternehmen brauchen Lösungen, die rechtssicher, transparent und gleichzeitig technologisch flexibel sind.
Gleichzeitig entstehen laufend neue Plattformen, Kommunikationskanäle und Datenquellen – damit auch neue Risiken. Wir wollen Unternehmen befähigen, diese Entwicklungen frühzeitig zu erkennen und ihre Mitarbeiterinnen und Mitarbeiter besser zu schützen. Dazu gehört, digitale Spuren sichtbar zu machen, Risiken aus Social Media, Leaks und neuen Ökosystemen rechtzeitig zu identifizieren und OSINT-Inhalte so aufzubereiten, dass sie im Unternehmensalltag einfach nutzbar sind.
Unsere langfristige Vision ist eine Plattform, die automatisierte OSINT-Analyse, Compliance-Vorgaben und KI-gestützte Risikoerkennung miteinander verbindet – immer DSGVO-konform und mit maximaler Transparenz. Kurz gesagt: Wir wollen jene EU-weite Lösung sein, der Unternehmen vertrauen, wenn es darum geht, Personenrisiken zu verstehen, Angriffsflächen zu reduzieren und sich sicher in einer zunehmend digitalen Welt zu bewegen.
Jetzt für den Confare CIOSUMMIT Wien am 25.–26. März 2026 in der METAStadt anmelden und Teil des wichtigsten IT-Management-Treffpunkts im DACH-Raum werden.