Reconnaissance
Was ist Reconnaissance?
ReconnaissanceErste Angriffsphase, in der Angreifer Informationen über Mitarbeitende, Technologie und Angriffsfläche eines Ziels sammeln, bevor sie eindringen.
Reconnaissance ist die Informationssammlungsphase vor dem eigentlichen Eindringen. In MITRE ATT&CK ist sie als Taktik TA0043 hinterlegt und umfasst Techniken wie das Scannen von IP-Bereichen, das Ernten von Mitarbeiternamen aus LinkedIn, OSINT-Recherche, DNS-Enumeration und die Suche nach geleakten Zugangsdaten auf Paste-Sites. Sie ist außerdem die erste Phase der Lockheed-Martin-Cyber-Kill-Chain. Reconnaissance kann passiv erfolgen – mit bereits öffentlich verfügbaren Daten – oder aktiv, wenn der Angreifer das Ziel direkt sondiert und dabei Telemetrie erzeugen kann. Verteidiger reduzieren den Nutzen durch Attack Surface Management, Deception, Brand Monitoring, Takedown-Services und das Erkennen verdächtiger Scans oder Enumerationen in Netzwerk-Logs.
● Beispiele
- 01
Die GitHub-Organisation eines Unternehmens nach hartkodierten Credentials und internen Hostnamen durchsuchen.
- 02
Das Internet massenhaft nach exponierten RDP-Servern und Pre-Auth-Bannern scannen.
● Häufige Fragen
Was ist Reconnaissance?
Erste Angriffsphase, in der Angreifer Informationen über Mitarbeitende, Technologie und Angriffsfläche eines Ziels sammeln, bevor sie eindringen. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Reconnaissance?
Erste Angriffsphase, in der Angreifer Informationen über Mitarbeitende, Technologie und Angriffsfläche eines Ziels sammeln, bevor sie eindringen.
Wie funktioniert Reconnaissance?
Reconnaissance ist die Informationssammlungsphase vor dem eigentlichen Eindringen. In MITRE ATT&CK ist sie als Taktik TA0043 hinterlegt und umfasst Techniken wie das Scannen von IP-Bereichen, das Ernten von Mitarbeiternamen aus LinkedIn, OSINT-Recherche, DNS-Enumeration und die Suche nach geleakten Zugangsdaten auf Paste-Sites. Sie ist außerdem die erste Phase der Lockheed-Martin-Cyber-Kill-Chain. Reconnaissance kann passiv erfolgen – mit bereits öffentlich verfügbaren Daten – oder aktiv, wenn der Angreifer das Ziel direkt sondiert und dabei Telemetrie erzeugen kann. Verteidiger reduzieren den Nutzen durch Attack Surface Management, Deception, Brand Monitoring, Takedown-Services und das Erkennen verdächtiger Scans oder Enumerationen in Netzwerk-Logs.
Wie schützt man sich gegen Reconnaissance?
Schutzmaßnahmen gegen Reconnaissance kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- defense-ops№ 265
Cyber Kill Chain
Siebenstufiges Modell von Lockheed Martin, das den Ablauf eines gezielten Angriffs von der Aufklärung bis zu den Aktionen am Ziel beschreibt.
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 072
Attack Surface Management (ASM)
Kontinuierliche Erkennung, Inventarisierung, Klassifizierung und Überwachung aller Assets, die eine Organisation potenziellen Cyberangriffen aussetzen.
- defense-ops№ 1148
Threat Intelligence
Evidenzbasiertes Wissen über Bedrohungen und Akteure — inklusive Indikatoren, TTPs und Kontext — zur Steuerung von Sicherheitsentscheidungen und Detection.
- defense-ops№ 535
Initial Access
Die MITRE-ATT&CK-Taktik (TA0001), die Techniken zusammenfasst, mit denen Angreifer erstmals Fuß in einer Zielumgebung fassen.
- defense-ops№ 325
Discovery (MITRE-Taktik)
MITRE-ATT&CK-Taktik (TA0007), die Techniken bündelt, mit denen Angreifer eine kompromittierte Umgebung nach dem Eindringen kartieren.