Welche Signaturen Angreifer während der Reconnaissance hinterlassen und wie man diesen Prozess aktiv beeinflussen kann
Der stille Besucher vor dem Angriff
Es ist ein ruhiger Vormittag im SOC. Keine akuten Alarme, die Dashboards sind grün, die Teams arbeiten ihre Routinen ab. Ein Analyst schaut eher aus Gewohnheit als aus konkretem Anlass in ein paar Logs, blättert durch DNS-Anfragen, Webzugriffe und Threat-Intel-Feeds.
Dabei fällt ihm eine Serie von Anfragen auf, die nicht ganz ins Bild passt. Immer wieder werden eher ungewöhnliche Subdomains abgefragt, die kaum jemand nutzt. Parallel sieht er in einem externen OSINT-Tool, dass in den letzten Tagen mehrere neue, anonyme LinkedIn-Profile auffällig viele Mitarbeiter des Unternehmens anschauen, vor allem aus bestimmten Bereichen. In den Webserver-Logs tauchen Zugriffe auf alte, kaum verlinkte Unterseiten der Firmenwebsite auf, inklusive merkwürdiger User-Agents.
Noch ist nichts passiert. Keine Exploits, kein Einbruch, kein verschlüsseltes Laufwerk. Aber jemand schaut sehr genau hin.
Genau so beginnen viele Angriffe: nicht mit einem lauten Knall, sondern mit stillem, systematischem Reconnaissance. Wer diese Phase erkennt und ernst nimmt, verschafft sich als Verteidiger einen wichtigen Vorsprung.
Reconnaissance: der gefährlichste und leiseste Teil eines Angriffs
In professionellen Kampagnen verbringen Angreifer einen großen Teil ihrer Zeit mit Vorbereitung. Sie wollen verstehen, wie ein Unternehmen wirklich funktioniert. Welche Systeme außen sichtbar sind, welche Personen interessant sind, wie Prozesse zusammenspielen und wo sich die lohnendsten Einstiegspunkte verbergen.
In dieser Phase geht es weniger um Technik als um Strategie. Es geht um Landkarten, nicht um Werkzeuge. Erst wenn das Bild klar ist, entscheiden Angreifer, wo sich ein Exploit lohnt, wo Social Engineering sinnvoll ist oder ob sich der Aufwand überhaupt rechnet.
Viele Verteidiger betrachten Reconnaissance als etwas, das man ohnehin nicht sieht. Die Realität ist differenzierter. Natürlich versuchen Angreifer, möglichst unauffällig zu bleiben. Sie nutzen erlaubte Protokolle und öffentliche Informationsquellen. Trotzdem hinterlassen sie Spuren. Und je besser ein Unternehmen seine eigene Angriffsfläche kennt, desto klarer werden diese Spuren erkennbar.
Die Illusion der Unsichtbarkeit wirkt vor allem auf Seiten der Angreifer. Wer hunderte oder tausende Ziele scannt, verlässt sich schnell darauf, dass niemand im Detail hinschaut. Genau hier liegt die Chance für Verteidiger.
Was Angreifer wirklich wissen wollen
Nein, Angreifer suchen nicht als erstes nach „Server XY Version Z“. Sie beginnen viel früher.
Zuerst interessiert sie die Struktur. Wer ist wofür verantwortlich. Welche Rollen gibt es. Welche Personen haben Zugang zu sensiblen Informationen oder Systemen. Organigramme, Teamseiten, Pressemitteilungen und Social-Media-Profile liefern ein erstaunlich klares Bild von Verantwortlichkeiten und Entscheidungswegen.
Parallel kartieren sie die technologische Angriffsfläche: Domains, Subdomains, SSL-Zertifikate, Clouddienste, Login-Portale, APIs. Vieles davon ist öffentlich einsehbar. Auch alte oder vermeintlich unbedeutende Endpunkte spielen eine Rolle, weil sie oft schlechter gepflegt sind.
Dann kommen menschliche Gewohnheiten ins Spiel. Öffentliche Posts lassen Rückschlüsse auf Arbeitszeiten, Urlaubsphasen oder Projektspitzen zu. Man erkennt, wann bestimmte Teams stärker ausgelastet sind, welche Kommunikationskanäle bevorzugt werden oder wann sich gute Zeitfenster für Social Engineering ergeben.
Angreifer wollen außerdem verstehen, welche Systeme wirklich geschäftskritisch sind. Ein Login-Portal ist sichtbar, aber vielleicht gar nicht das eigentliche Ziel. Vielleicht geht es um ein nachgelagertes System, eine interne Fachanwendung oder um Zugriff auf Daten im Hintergrund.
Und schließlich rücken Lieferanten und Partner in den Fokus. In vielen Kampagnen ist die Supply Chain der effektivere Einstiegspunkt. Ein relativ schwach geschützter Dienstleister mit weitreichenden Rechten kann attraktiver sein als ein direktes Eindringen in das eigentlich angegriffene Unternehmen.
OSINT-Signaturen: Woran Verteidiger erkennen, dass jemand Informationen sammelt
Wer die Aufklärung des Gegners stören will, muss sie zunächst sehen. Reconnaissance hinterlässt unterschiedliche Signaturen, wenn man weiß, wo man suchen muss.
Beim Webzugriff fallen zum Beispiel Muster auf, die nicht zu normalem Nutzerverhalten passen. Es gibt Deep-Browsing über alte Unterseiten, die nur über direkte Links erreichbar sind. Bestimmte Pfade werden systematisch abgeklappert, etwa Verzeichnisse, die wie Admin-Bereiche oder Doku-Sektionen aussehen. Die User-Agents wirken teils generisch, teils exotisch. Ein normaler Nutzer liest Inhalte. Ein Aufklärer untersucht Strukturen.
DNS-Logs zeigen ebenfalls Hinweise. Ungewohnte Queries auf selten genutzte Subdomains, systematische Enumeration, auffällige Abfolgen von Anfragen, die eher nach Werkzeugen als nach echten Nutzern aussehen. Wer zusätzlich Certificate-Transparency-Logs überwacht, sieht manchmal, dass Dritte sehr gezielt nach bestimmten Mustern in Zertifikaten suchen.
Scanning-Verhalten in der Recon-Phase ist überraschend „leise“. Es geht nicht um breite Exploit-Scans, sondern um präzise Fingerprinting-Versuche. Einzelne Ports, spezifische Protokollanfragen, begrenzte IP-Bereiche, alles eher vorsichtig und in moderater Frequenz.
Auch Social Media liefert Signale. Plötzlich steigen Profilaufrufe bei bestimmten Mitarbeitern. Neue, frisch angelegte Accounts mit kaum Kontakten betrachten systematisch Personen aus bestimmten Bereichen. Manchmal folgen sie mehreren Mitarbeitern einer Abteilung in kurzer Zeit oder interagieren mit Inhalten, die inhaltlich sehr sicherheitsrelevant sind.
Für sich allein genommen sind viele dieser Signale harmlos. In der Kombination werden sie interessant. Genau deshalb ist Korrelationsfähigkeit so wichtig.
Mini-Fallbeispiel: Der Angriff, der in der Recon-Phase endete
Ein internationales Unternehmen betreibt ein aktives Monitoring seiner externen Angriffsfläche. Neben klassischen Logs werden auch Certificate-Transparency-Register, DNS-Anfragen und öffentliche Social-Media-Signale beobachtet.
Über einige Tage häufen sich Abfragen auf CT-Logs, die gezielt nach bestimmten Subdomain-Mustern des Unternehmens suchen. Parallel stellt das Security-Team fest, dass mehrere Profile aus dem C-Level-Umfeld und aus der Finanzabteilung verstärkt von neuen, halb anonymen LinkedIn-Accounts aufgerufen werden.
Die Muster wirken koordiniert. Das Unternehmen entscheidet, die Beobachtung nicht zu ignorieren. Es verstärkt für einen Zeitraum interne Überwachungsmaßnahmen, sensibilisiert die betreffenden Führungskräfte, überprüft exponierte Login-Portale und passt WAF-Regeln für typische Recon-Patterns an. Außerdem werden einige decoyartige Ziele vorbereitet, etwa wenig kritische, aber bewusst sichtbare Oberflächen.
Kurz darauf nehmen die Recon-Aktivitäten merklich ab. Es gibt keine offensichtlichen Exploit-Versuche, die beobachteten Social-Media-Profile verschwinden wieder. Ob der Angreifer tatsächlich weitergezogen ist, bleibt unklar. Klar ist jedoch: Ein organisierter Angriff fand nicht statt.
Die Lehre daraus: Wer Recon frühzeitig erkennt und sichtbar reagiert, kann die Kosten für Angreifer so erhöhen, dass ein Ziel unattraktiv wird.
Wie Verteidiger gegnerische Aufklärung stören können
Defensive OSINT bedeutet nicht, dass man zurückhackt. Es bedeutet, die eigene Sichtbarkeit aktiv zu gestalten und das Spielfeld so zu verändern, dass Angreifer mehr Aufwand betreiben müssen.
Am Anfang steht Transparenz. Man muss selbst wissen, wie die eigene Angriffsfläche von außen aussieht. Attack-Surface-Management, regelmäßige externe Scans, Abfragen von CT-Logs, Monitoring von DNS und offenen Quellen sind keine „Nice-to-have-Extras“, sondern Basis, wenn man Recon ernst nimmt. Nur wer weiß, was sichtbar ist, kann erkennen, wenn jemand intensiv hinschaut.
Ein zweiter Hebel sind Täuschungsstrategien. Defensive Deception kann sehr wirkungsvoll sein, ohne aggressiv zu werden. Typische Mittel sind Honeypages mit absichtlich uninteressanten, aber glaubwürdigen Informationen, dedizierte Decoy-Mail-Adressen, die in Dokumenten oder auf Webseiten auftauchen und separat überwacht werden, oder leicht irreführende Metadaten, die den Blick von wirklich kritischen Bereichen weglenken.
Man kann sich das wie falsche Wegweiser in einem digitalen Wald vorstellen: Wer ihnen folgt, verrät seine Absichten und verschwendet Zeit.
Genauso wichtig ist der Schutz von Mitarbeiterprofilen und Unternehmensinformationen. Das bedeutet nicht, dass niemand mehr etwas posten darf. Es bedeutet, klare Leitplanken zu schaffen. Welche Details dürfen in LinkedIn-Profilen auftauchen. Wie offen geht man mit internen Projektnamen um. Wie informiert man Teams über die Risiken scheinbar harmloser Informationen.
Domain- und Zertifikatsmanagement spielt ebenfalls eine Rolle. Je weniger ungenutzte Subdomains und Legacy-Einträge existieren, desto kleiner ist die Angriffsfläche für Recon. Alte Domains, Testnamen oder nie produktiv genutzte Services sollten nicht jahrelang öffentlich sichtbar bleiben.
Inhalte sind ein weiterer Faktor. Marketing-Material, technische Whitepaper, alte Dokumentationen, Metadaten in PDFs: All das sollte regelmäßig überprüft und bei Bedarf entschärft oder entfernt werden.
Technische Kontrollen können die Verteidigung zusätzlich unterstützen. Rate Limiting, angepasste WAF-Regeln für typische Recon-Muster, sauberes Logging und eine Korrelationslogik, die gerade ungewöhnliche, aber noch nicht „laute“ Aktivitäten sichtbar macht, helfen, die stille Phase des Angriffs ans Licht zu holen.
Die Psychologie der Aufklärung: Wann ein Ziel unattraktiv wird
Angreifer sind nicht auf der Suche nach dem heroischen Endgegner. Sie wollen effizient sein. Es geht darum, mit begrenztem Aufwand möglichst zuverlässige Erfolge zu erzielen.
Wenn Reconnaissance auf unerwarteten Widerstand stößt, verändern sich die Kosten. Ein Ziel, das frühzeitig reagiert, seinen Schutz sichtbar macht und die Aufklärungsphase störend beeinflusst, wirkt weniger attraktiv.
Unsicherheit spielt dabei eine große Rolle. Wenn der „Wald Geräusche macht“, bleibt man nicht entspannt auf dem Weg, sondern überlegt, ob es klüger ist, umzudrehen.
Wer als Angreifer das Gefühl bekommt, dass ein Ziel wachsame Verteidiger besitzt, die Recon erkennen, rechnet anders.
Sichtbare Verteidigungsmaßnahmen können deshalb abschreckend wirken, solange sie nicht zum Theater verkommen. Gemeint ist nicht „Wirf mit Buzzwords um dich“, sondern eine konsistente Kombination aus technischer Solidität, klaren Kommunikationslinien und erkennbarer Professionalität.
Die organisatorische Ebene: Recon erkannt man nicht nur im SOC
Reconnaissance ist kein reines Log-Thema. Sie betrifft die gesamte Organisation.
IT kennt Systeme und Abhängigkeiten. Security bringt Methoden und Analysen ein. HR und Kommunikation haben Kontakt zu genau den Personen, die oft im Fokus von OSINT stehen, etwa Führungskräfte oder Mitarbeiter in sensiblen Bereichen.
Wenn diese Bereiche zusammenarbeiten, entsteht ein umfassenderes Bild. Auffällige Profilaufrufe von C-Level-Personen können zum Beispiel in HR auffallen, während das SOC technische Recon-Muster beobachtet. Erst die Kombination ergibt ein klares Warnsignal.
Führungskräfte benötigen besondere Sensibilisierung. Sie sind für Angreifer oft das attraktivste Ziel, weil sie weitreichende Zugänge und hohes Vertrauen im Unternehmen besitzen. Dasselbe gilt für HR und Finance. Diese Rollen sind häufig Angriffsvektor für Social-Engineering-Kampagnen, die auf OSINT beruhen.
Recon-Indikatoren sollten außerdem systematisch in Threat-Intelligence- und Incident-Response-Prozesse eingebunden werden. Nicht jede Auffälligkeit ist ein Incident, aber viele sind wertvolle Frühwarnsignale, die man nicht ignorieren sollte.
Was Recon-Störung nicht ist
Defensives OSINT ist keine Einladung zum Katz-und-Maus-Spiel auf Augenhöhe mit Angreifern. Es ist kein Anlass, Gegenangriffe zu starten oder zu versuchen, fremde Systeme aktiv zu kompromittieren.
Recon zu stören bedeutet auch nicht, dass Angriffe unmöglich werden. Es reduziert Chancen, verschiebt Kosten und macht opportunistische Angreifer weniger interessiert.
Es ersetzt kein Hardening. Wer die Aufklärung stört, aber seine Systeme offen lässt, verschafft sich nur einen kurzen Zeitgewinn. Und es ist keine reine Technikdisziplin. Ohne Prozesse, Kultur und klare Zuständigkeiten bleibt selbst die beste Technik wirkungslos.
Ein Recon-Detection-Programm aufbauen: ein praxisnaher Rahmen
In der Praxis hat es sich bewährt, phasenweise vorzugehen, statt alles gleichzeitig zu versuchen.
Am Anfang steht eine ehrliche Inventarisierung: Welche Assets sind öffentlich sichtbar. Welche Domains, Zertifikate, APIs, Portale, öffentlichen Dokumente und Social-Media-Kanäle existieren wirklich.
Darauf aufbauend kann man automatische Überwachung etablieren. CT-Logs, DNS, ungewöhnliche Zugriffsmuster und Social-Media-Signale werden regelmäßig ausgewertet. Wichtig ist hier, Lärm von echten Signalen zu trennen. Nicht jeder Security-Scanner eines externen Dienstleisters ist ein Angriff, nicht jeder Social-Media-View ist Recon.
Alerts sollten kontextualisiert sein. Eine einzelne Auffälligkeit kann harmlos sein, eine Häufung in mehreren Kanälen ist es meist nicht.
Deception-Elemente lassen sich gezielt ergänzen: Decoy-Systeme oder Honey-Informationen, die klar definiert sind und bei Zugriffen sofort Alarm auslösen.
Und schließlich braucht es Kommunikation und Handlungsfähigkeit. Wer Recon-Indikatoren ernst nimmt, muss definieren, was als Nächstes passiert: Verschärfung von Kontrollen, gezielte Sensibilisierung betroffener Teams, Anpassung von Regeln oder auch einfach strukturierte Beobachtung über einen definierten Zeitraum.
Praxisbeispiel: OSINT für Verteidiger in der Anwendung
Ein Unternehmen bemerkt seit Monaten immer wieder leichte Recon-Aktivitäten. Mal sind es kleinteilige Scans auf externe IP-Bereiche, mal auffällige Anfragen auf wenig genutzte Subdomains, mal gehäufte Profilaufrufe bei bestimmten Mitarbeitern. Einzelne Alarme werden jeweils abgearbeitet, aber es gibt kein gemeinsames Bild.
Schließlich entscheidet sich das Unternehmen, den Ansatz zu ändern. Zunächst wird ein zentrales Register aller extern sichtbaren Assets erstellt. Alte Domains werden aufgeräumt, ungenutzte Subdomains abgeschaltet, Zertifikate konsolidiert. Parallel wird ein Monitoring für CT-Logs eingerichtet und DNS-Logging konsequent zentralisiert.
Im nächsten Schritt führt das Security-Team einfache Deception-Maßnahmen ein. Einige künstliche Einträge und spezielle Mail-Adressen werden gezielt so platziert, dass sie für Recon interessant wirken, aber keinen echten Geschäftswert haben. Zugriffe auf diese Ziele laufen in dedizierte Alarme.
Zusätzlich werden Social-Media-Guidelines geschärft. Führungskräfte, HR und bestimmte Schlüsselrollen erhalten individuelle Hinweise, wie sie ihre Profile gestalten können, ohne Sicherheit unnötig zu schwächen.
Nach einigen Monaten ergibt sich ein anderes Bild. Wiederkehrende Recon-Aktivitäten werden früher erkannt, teilweise über Decoys, teilweise über kombinierte Signale zwischen CT-Logs, DNS und Social-Media-Beobachtungen. Opportunistische Angreifer werden weniger. Zielgerichtete Angriffe werden nicht völlig verschwinden, aber das Unternehmen hat ein Frühwarnsystem gewonnen, das weit vor dem ersten Exploit anspringt.
Fazit: Reconnaissance lässt sich nicht verhindern, aber deutlich beeinflussen
Jeder ernsthafte Angriff beginnt mit Aufklärung. Wer diese Phase ignoriert, überlässt Angreifern das Feld. Wer sie ernst nimmt, gewinnt Zeit, Handlungsspielraum und strategische Kontrolle.
Reconnaissance ist kein Naturgesetz, dem man hilflos ausgeliefert ist. Sie ist ein Prozess, den man sehen, verstehen und stören kann. Defensive OSINT bedeutet, die eigene Sichtbarkeit zu kennen, Signaturen zu erkennen und Angreifern bewusst Steine in den Weg zu legen.
Sichtbarkeit ist die Voraussetzung, Störung ist der Hebel, Kultur und Organisation sind der Rahmen. Zusammen machen sie aus einem passiven Ziel einen aktiven Verteidiger.