Warum Recon der wichtigste Schritt ist
In realen Engagements entscheiden die ersten Tage darueber, wie wertvoll der spätere Report wird. Wer den Angriffsraum nicht kennt, prüft zufällig. Wer ihn kennt, priorisiert nach Risiko.
Auch defensive Teams brauchen Recon: ein Asset, das niemand kennt, kann niemand patchen. Externe Sicht auf die eigene Organisation ist Standard moderner Security-Programme.
Passive Recon (OSINT)
Passive Recherche nutzt Quellen, die ohnehin existieren. Du berührst das Zielsystem nicht direkt.
- DNS: whois, dig, Reverse-Lookups, historische DNS-Daten.
- Certificate Transparency: crt.sh, censys.io - liefert Subdomains aus ausgestellten Zertifikaten.
- Suchmaschinen & Archive: Google-Operatoren, Wayback Machine, GitHub-Codesuche.
- Internet-Indexe: Shodan, Censys, FOFA - sehen, was bereits öffentlich erreichbar ist.
- OSINT-Frameworks: Maltego, SpiderFoot, theHarvester strukturieren die Ergebnisse.
Aktive Recon - nur im autorisierten Scope
Aktive Recon berührt das Ziel: DNS-Bruteforce, Portscans, Banner-Grabbing, Web-Crawling, Verzeichnis-Fuzzing. Sie liefert genauere Daten, hinterlässt aber Spuren in Logs.
Ohne Erlaubnis ist sie problematisch: Portscans gegen fremde Systeme werden von vielen Juristen als Vorbereitung gewertet, gelogged und oft als Vorfall behandelt. Eigene Labs, CTF-Plattformen und schriftlich beauftragte Engagements sind die legitimen Spielräume.
Ein einfacher Recon-Workflow
| Phase | Ziel | Beispielartefakt |
|---|---|---|
| Scope-Definition | Was darf ich prüfen? | Scope-Dokument, Domains, IPs |
| Passive Recherche | Subdomains, Mitarbeiter, Tech-Stack | subdomains.txt, tech.md |
| Aktive Discovery | Ports, Services, Versionen | nmap-Output, services.csv |
| Bewertung | Priorisierung nach Risiko | attack-surface.md |
| Doku | Lueckenlose Nachvollziehbarkeit | Git-Repo mit Zeitstempeln |
Typische Missverständnisse
- "Recon ist nur für Pentester" - auch Blue Teams brauchen externe Sichten.
- "Mehr Tools = besseres Ergebnis" - Werkzeuge ersetzen kein Modell. Methodik schlaegt Werkzeug.
- "Passiv ist immer harmlos" - DSGVO und Persönlichkeitsrechte gelten auch für OSINT.
- "Subdomains sind kein Scope" - viele Bug-Bounty-Programme schließen genau das aus.
Häufige Anfängerfehler
- Aktive Scans gegen öffentliche Webseiten "zum Üben". Das ist keine Übung, das ist ein Vorfall.
- Schlechte Dokumentation - im Report fehlen Belege.
- Aggressive Defaults von Tools, die Dienste stören können.
- OSINT-Daten aus Leaks verwenden, ohne deren Herkunft kritisch zu prüfen.
Praxisbezug
Legale Übung: Recherchiere mit OSINT die öffentliche Angriffsflaeche eines fiktiven Unternehmens, das du selbst erfindest. Lege Domains, Subdomains, Tech-Stack-Annahmen, öffentliche Repositories und Mitarbeiterinfos strukturiert in einem Markdown-Repo ab.
Portfolio-Idee: Erstelle ein Recon-Playbook in deinem GitHub, das Schritte, Tools, Befehle und Output-Formate dokumentiert. Solche Playbooks überzeugen in Bewerbungen mehr als jede Zertifikatsnummer.
Legal-Hinweis
Passive OSINT auf öffentliche Informationen ist in der Regel legal, berührt aber DSGVO und Persönlichkeitsrechte. Aktive Scans gegen fremde Systeme ohne ausdrückliche schriftliche Erlaubnis können nach § 202c StGB als Vorbereitung gewertet werden. Übe aktive Techniken ausschließlich im eigenen Lab, auf TryHackMe, Hack The Box oder in klar definierten Bug-Bounty-Scopes.
Nächste Lernschritte
FAQ
Ist passive Recon wirklich legal?
+
Solange du ausschließlich frei verfügbare, öffentlich zugängliche Informationen ansiehst und keine Authentifizierung umgehst, bewegt sich passive Recherche in einem grundsätzlich legalen Rahmen. Sobald du jedoch nichtöffentliche Daten verarbeitest oder über DSGVO-Grenzen hinausgehst, wird es kompliziert.
Wo verläuft die Grenze zwischen passiv und aktiv?
+
Passiv heisst: du fragst nur Datenquellen ab, die ohnehin existieren (DNS-Resolver, Certificate Transparency, Suchmaschinen). Aktiv heisst: du berührst das Zielsystem direkt - etwa per Portscan, Banner-Grabbing oder Webcrawling. Aktiv ist ohne Erlaubnis problematisch.
Welche Tools sind typisch?
+
Für OSINT: whois, dig, crt.sh, theHarvester, Shodan, Censys, GitHub-Suche. Für aktive Recon im eigenen Lab: nmap, masscan, ffuf, nuclei. Aktive Tools nutzt du ausschließlich gegen eigene Systeme oder autorisierte Scopes.
Wie strukturiere ich Recon-Ergebnisse?
+
Lege für jedes Ziel ein eigenes Verzeichnis an, halte Subdomains, IPs, Ports, Services und Versionen in Tabellen fest und versioniere alles per Git. Später im Report können daraus saubere Belege werden.
Wofür brauche ich Recon überhaupt?
+
Sie liefert das Angriffs- oder Defensive-Modell. Erst wenn du weißt, welche Systeme, Dienste und Versionen existieren, kannst du sinnvoll priorisieren - sowohl als Pentester als auch als Blue Team.