Die Wichtigkeit von OSINT

In einer Zeit, in der Cyberangriffe täglich raffinierter und gezielter werden, ist ein ganzheitlicher Blick auf die eigene IT-Angriffsfläche essenziell. Viele Unternehmen investieren bereits in regelmäßige Penetrationstests, um ihre Systeme und Applikationen auf Schwachstellen zu prüfen.

Was dabei jedoch häufig übersehen wird: Der erste Schritt eines realen Angreifers ist in der Regel nicht der aktive Scan, sondern die passive Informationsgewinnung. Auch bekannt als Open Source Intelligence (OSINT) oder Passive Reconnaissance.

Diese Phase ist in vielen klassischen Penetrationstests überhaupt nicht oder nur unzureichend enthalten, obwohl sie für die Gesamteffektivität eines Tests von zentraler Bedeutung sein könnte. In diesem Artikel erklären wir, warum Unternehmen vor einem aktiven Penetrationstest eine passive Reconnaissance in Betracht ziehen sollten und wie dadurch erhebliche Lücken im Sicherheitskonzept sichtbar werden.

Was ist Passive Reconnaissance (OSINT)?

Die passive Reconnaissance beschreibt die systematische Sammlung öffentlich zugänglicher Informationen über ein Zielsystem oder ein Unternehmen. Dabei werden ausschließlich passive Techniken angewendet, die keinen direkten Kontakt zur Zielinfrastruktur erfordern. Das bedeutet, dass keinerlei aktive Interaktion mit Zielsystemen eines Unternehmens stattfindet. Weder Portscans noch Social Engineering oder technische Anfragen an Server oder Dienste.

Dieser rein beobachtende Ansatz ist essenziell, da er auch von realen Angreifern bevorzugt wird. Ziel ist es, anonym und unbemerkt an sicherheitsrelevante Informationen zu gelangen, ohne das potenzielle Angriffsziel auf einen bevorstehenden Angriff aufmerksam zu machen. Besonders SIEM-Systeme oder Security Operations Center (SOC) schlagen häufig bei verdächtigen Netzwerkaktivitäten oder aktiven Portscans Alarm.

Die passive Reconnaissance vermeidet solche Signale nahezu vollständig. Es handelt sich um eine nicht-invasive Methode, die sich auf öffentlich zugängliche Datenquellen stützt, also Informationen, die bereits im Internet vorhanden sind und für jedermann einsehbar sind. Dabei wird simuliert, wie ein echter Angreifer mit offen verfügbaren Werkzeugen und Quellen das Ziel auskundschaftet. Ziel ist es, möglichst viele Details zu IT-Systemen, Mitarbeitern, Subdomains und weiteren potenziell angreifbaren Komponenten in Erfahrung zu bringen.

Warum ist OSINT für Penetrationstests so entscheidend?

Viele Unternehmen verlassen sich auf interne Asset-Listen und definieren daraus den Umfang eines Penetrationstests. Die Realität sieht jedoch häufig anders aus. Angreifer richten sich nicht nach internen Bestandslisten, sondern attackieren das, was sie aus dem Internet erreichen können. Daraus entsteht eine Diskrepanz zwischen dem tatsächlichen Angriffsvektor und dem offiziell geprüften Umfang.

Eine passive OSINT-Analyse kann helfen, diese Lücke zu schließen. Sie identifiziert Systeme und Informationen, die ein Unternehmen möglicherweise nicht als prüfungsrelevant auf dem Schirm hat, aber dennoch angreifbar sind.

Dazu zählen oftmals:

• Veraltete oder vergessene DNS-Einträge und Subdomains, die noch auf produktive oder testweise betriebene Systeme zeigen
• Aktive IT-Systeme, die in internen Asset-Listen nicht erfasst sind, etwa durch fehlende Inventarisierung oder Shadow-IT
• Zugängliche TCP- und UDP-Netzwerkdienste, die unbeabsichtigt exponiert wurden, beispielsweise durch Fehlkonfigurationen in der Firewall oder Cloud-Security-Groups
• Test- und Entwicklungsumgebungen (UAT/DEV), die aus Zeitgründen ohne Authentifizierung oder Härtung veröffentlicht wurden
• Ungeschützte Schnittstellen und APIs, etwa von Partneragenturen, Marketingtools oder externen Portalen
• Leaks von Mitarbeiterdaten, inklusive valider Zugangsdaten zu produktiven IT-Diensten wie SSH, FTP, CMS-Systemen (z.B. WordPress, Joomla) oder Admin-Backends
• Veraltete IP-Adressbereiche, die offiziell außer Betrieb sind, aber nach wie vor Systeme enthalten, die erreichbar und angreifbar sind

Erst durch die Kombination von passivem OSINT und aktivem Penetrationstest ergibt sich ein umfassendes Bild der realen Angriffsfläche.

Welche Datenquellen werden genutzt?

Im Rahmen einer OSINT-Analyse werden zahlreiche spezialisierte Quellen und Tools verwendet, um ein möglichst vollständiges Abbild der öffentlich zugänglichen Informationen über eine Zielorganisation zu erstellen.

Im Folgenden ein Überblick über zentrale Techniken:

• Suchmaschinen und Google Dorking
  • Durch gezielte Suchanfragen lassen sich oft sensible Dateien, archivierte Seiten oder Entwicklungsinstanzen aufspüren. Hierbei können Backups, veraltete Endpunkte oder ungeschützte Webseiten identifiziert werden.
• Shodan.io und Censys.io
  • Diese Dienste indexieren öffentlich erreichbare Hosts und Dienste im Internet. Dies erlaubt eine passive Einsicht in bekannte IP-Adressen, Domains und offenen Ports sowie die Identifikation von eingesetzter Software inklusive Versionen und bekannten Sicherheitsschwachstellen (CVEs).
• Certificate Transparency Logs und DNS-Brute-Forcing
  • Durch die Auswertung von öffentlich einsehbaren Logs von SSL-Zertifikaten (siehe Subdomains unter der Lupe: SSL Transparency Logs | Pentest Factory GmbH) sowie einem aktiven DNS-Brute-Forcing können Subdomains und Hostnamen entdeckt werden, die ein Unternehmen aktiv oder in der Vergangenheit einmal nutzte. Diese Informationen helfen dabei, verdeckte VHost-Anwendungen bis hin zu internen Webdiensten auszukundschaften.
• Soziale Netzwerke und Business-Plattformen (LinkedIn, Xing, GitHub)
  • Mitarbeiterinformationen können auf unterschiedliche Arten in Erfahrung gebracht werden und anschließend während der aktiven Phase eines Penetrationstests zum Einsatz kommen. Sei es bei Social Engineering, Phishing oder dem einfachen Brute-Force-Angriff auf Anmeldeschnittstellen (FTP, SSH, HTTP, etc.). Insbesondere der letzte Punkt wird von Pentesting Unternehmen unzureichend durchgeführt, da oftmals nur Standardlisten an bekannten Nutzernamen zum Einsatz kommen. Diese wurden jedoch nicht oder nur unzureichend an das zu testende Unternehmen und seinen Mitarbeitern angepasst.
• Leaked Credentials und Stealer-Logs
  • Über Leak-Plattformen, speziellen Foren sowie dem Darknet können öffentlich geleakte Zugangsdaten gefunden werden. Häufig inklusive Passwörter im Klartext, die sich im schlimmsten Fall auch für Unternehmens-Dienste wie VPN, FTP, SSH oder sonstige Anmeldeschnittstellen wiederverwenden lassen.

Warum reine IP-Scans allein nicht ausreichen

Ein häufiges Missverständnis bei Penetrationstests besteht in der Annahme, dass das Scannen einer IP-Adresse oder eines Subnetzes ausreicht, um potenzielle Schwachstellen zu identifizieren. Diese Herangehensweise greift jedoch in modernen IT-Infrastrukturen oft zu kurz.

In vielen Architekturen kommen heute Reverse Proxies, Load Balancer oder API-Gateways zum Einsatz. Diese Komponenten routen eingehende Anfragen nicht pauschal basierend auf der IP-Adresse, sondern abhängig vom im HTTP-Header übermittelten Hostnamen. Dieses Prinzip wird als Virtual Host Routing bezeichnet.

Die Konsequenz: Wird eine IP-Adresse ohne den dazugehörigen Hostnamen angesprochen, liefert der Server in vielen Fällen lediglich eine Standardantwort, einen Redirect oder sogar gar keine Anwendung zurück. Der eigentliche Webdienst, etwa ein Kundenportal, eine Verwaltungsoberfläche oder eine API, bleibt verborgen, obwohl technisch erreichbar. Ohne Kenntnis der konkreten Subdomains können relevante Webanwendungen oder APIs also nicht erkannt und umfänglich getestet werden. Das führt in der Praxis dazu, dass kritische Schwachstellen unentdeckt bleiben, obwohl sie tatsächlich aus dem Internet angreifbar wären.

Die passive Reconnaissance ist daher von zentraler Bedeutung, um gültige Hostnamen und Subdomains zu identifizieren, bevor aktive Tests durchgeführt werden. Nur so lässt sich sicherstellen, dass alle relevanten Applikationen geprüft werden. Unabhängig davon, ob sie im Asset-Inventar des Unternehmens aufgeführt sind oder nicht.

Praxisbeispiel: V-Host-Routing und vergessene Subdomain

Ein Unternehmen beauftragte einen Penetrationstest für seine öffentliche IT-Infrastruktur. Neben dem /22 IP-Adressbereich wurde zusätzlich eine erreichbare Nextcloud-Instanz unter „cloud.firma-example.de“ erwähnt. Diese sei eine wichtige Anwendung für den Austausch von Dokumenten mit Partnern und Kunden und sollte fokussiert werden.

Während der Tests wurde festgestellt, dass die Anwendung sauber implementiert, aktuell gepatcht, mit starker Authentifizierung inkl. MFA versehen und durch ein WAF-System zusätzlich geschützt wurde. Im Rahmen der passiven Reconnaissance fiel jedoch auf, dass eine zweite Subdomain bekannt war – nämlich „cloudadm.firma-example.de“.

Über DNS konnte die Subdomain zur gleichen IP-Adresse des Nextcloud-Hosts aufgelöst werden. Ein gezielter HTTP-Request mit entsprechendem Host-Header offenbarte, dass sich hinter dieser Subdomain eine nicht dokumentierte Apache Tomcat Webanwendung aus der Entwicklung befand. Diese Instanz war veraltet und verfügte über Standardpasswörter. Durch eine Remote Code Execution (RCE) konnte die Tomcat-Instanz vollständig kompromittiert werden. Da beide Webanwendungen auf demselben Server betrieben wurden, konnte der Angreifer aus der kompromittierten Tomcat-Instanz heraus auf den gesamten Server zugreifen und demnach auch die Nextcloud-Instanz vollständig übernehmen.

Dieses fiktive Beispiel, auf potenziell realen Vorkommnissen, verdeutlicht die Wichtigkeit einer passiven Reconnaissance (OSINT) im Vorfeld eines Penetrationstests auf externe IT-Infrastrukturen.

Ist eine OSINT-Phase Pflichtbestandteil eines Penetrationstests?

Nein. Eine umfassende OSINT-Analyse ist grundsätzlich optional und kein zwingender Bestandteil eines klassischen Penetrationstests. Jeder Test kann auch ausschließlich auf Basis des vom Kunden gelieferten Prüfumfangs (Scope) durchgeführt werden.

In diesem Fall verlassen sich die Penetrationstester jedoch vollständig auf die Informationen, die ihnen vom Auftraggeber zur Verfügung gestellt wurden. Das bedeutet: Es findet keine eigenständige Validierung oder Erweiterung des Umfangs durch die Tester statt. Wurde eine Subdomain, ein System oder eine IP-Adresse vom Kunden nicht genannt oder übersehen, wird diese auch nicht geprüft. Selbst, wenn sie öffentlich erreichbar ist und ein realistisches Angriffsziel darstellen würde.

Eine vorgeschaltete passive Reconnaissance hingegen stellt sicher, dass der Scope aus der Sicht eines externen Angreifers validiert und gegebenenfalls erweitert wird, bevor der eigentliche aktive Penetrationstest mit seinem fixierten Prüfumfang startet. So kann verhindert werden, dass veraltete, vergessene oder nicht dokumentierte Systeme unter dem Radar bleiben.

Fazit: OSINT als strategisches Addon bei Penetrationstests

Die passive Reconnaissance ist kein bloßes Addon, sondern eine entscheidende Phase für die Vorbereitung eines fundierten Penetrationstests. Ohne diese Phase besteht die Gefahr, dass Unternehmen mit einem trügerischen Sicherheitsgefühl zurückbleiben, da wesentliche Angriffspunkte ungetestet bleiben, nur weil sie intern nicht bekannt oder dokumentiert sind.

Durch den Einsatz professioneller OSINT-Techniken erhalten Sie:

• Einen realistischen Blick auf Ihre digitale Außenwirkung
• Eine erweiterte Asset-Liste für den aktiven Test
• Frühzeitige Hinweise auf vergessene oder unsichere Systeme
• Die Möglichkeit, vor echten Angreifern zu reagieren

Ob als eigenständiger Cyber Security Check oder als vorgeschaltetes Addon eines umfassenden Penetrationstests. Wir empfehlen jedem Unternehmen, diesen Schritt proaktiv einzuplanen. Die gewonnenen Informationen sind ein entscheidender Baustein für eine belastbare Sicherheitsstrategie. 

Unser OSINT-Paket können Sie als optionales Add-On während Ihrer Konfiguration eines Penetrationstests hinzufügen. Vorzugsweise für Penetrationstests auf Ihre öffentliche und extern erreichbare IT-Infrastruktur.