Reconnaissance ist der Punkt, an dem fast jeder erfolgreiche Angriff und jeder erfolgreiche Test beginnt. Bevor du eine Schwachstelle finden kannst, musst du wissen, was überhaupt existiert. Recon ist der disziplinierte Prozess, alles zu entdecken und zu kartieren, was ein Ziel exponiert, von Domains und APIs bis hin zu Technologien und Personen. Es ist die erste Phase nahezu jeder offensiven Methodik und diejenige, die am häufigsten die produktiven von den frustrierten Testern trennt.
Warum es wichtig ist
Die Qualität deiner Reconnaissance setzt eine Obergrenze für alles, was danach folgt. Du kannst keinen Endpoint ausnutzen, den du nie gefunden hast, keine API testen, die du nie entdeckt hast, und keine Schwachstelle auf einer Subdomain verketten, die du nie enumeriert hast. Genau deshalb verbringen erfahrene Penetration Tester und Bug-Bounty-Hunter den Großteil ihrer Zeit mit Recon: eine breitere, genauere Karte der Angriffsfläche verwandelt sich fast immer in mehr und bessere Findings.
Die Bugs, die andere übersehen, leben meist in den Teilen der Angriffsfläche, die sich niemand die Mühe gemacht hat zu kartieren: eine alte API-Version, eine vergessene Subdomain, ein Staging-Server mit schwächerer Sicherheit oder ein undokumentierter Endpoint, versteckt in einer JavaScript-Datei. Recon ist die Art, wie du sie zuerst findest.
Passive vs. aktive Reconnaissance
In einem Bug-Bounty-Programm musst du aktive Recon strikt innerhalb des veröffentlichten Scopes und der Rate-Limits halten, denn aggressives Scanning kann als Angriff gewertet werden.
Der Reconnaissance-Workflow
Ein typischer Ablauf bewegt sich vom am wenigsten aufdringlichen zum aufdringlichsten Vorgehen:
- Passive OSINT, um die Organisation, ihre Marken und ihren öffentlichen Footprint kennenzulernen.
- Subdomain-Enumeration, um von einer Domain zum gesamten Bestand zu expandieren.
- Port- und Service-Scanning mit Nmap, um zu sehen, was läuft.
- Content- und Endpoint-Discovery, um die Anwendung selbst zu kartieren.
Zentrale Recon-Techniken und -Tools
- Subdomain-Enumeration mit Amass und Subfinder, um Assets jenseits der Hauptseite zu finden.
- Content- und Endpoint-Discovery mit ffuf und Gobuster.
- JavaScript-Review, um versteckte API-Pfade und geleakte Keys zu extrahieren.
- Google Dorking, um exponierte Dateien und Disclosure-Policies aufzudecken.
- Certificate Transparency (crt.sh), um Hostnamen aus ausgestellten TLS-Zertifikaten zu entdecken.
- Technologie-Fingerprinting, um die verwendeten Frameworks zu erkennen und gezielt auf bekannte Schwachstellen abzuzielen.
Recon in der Praxis
Bei einer einzelnen Anwendung bedeutet Recon, Konten zu registrieren, jede Funktion und Nutzerrolle aufzulisten und Dokumentation wie Swagger-Dateien zu finden, also genau jenen strukturierten Kartierungsprozess, der in unserem Leitfaden zur Auswahl deines ersten Bug-Bounty-Ziels beschrieben wird. Für Arbeiten auf Netzwerkebene kombinierst du Recon mit einer formalen Methodik und Frameworks wie MITRE ATT&CK, das Reconnaissance als erste Stufe realer Intrusionen katalogisiert.
Recon ist kein Kästchen, das du einmal abhakst und hinter dir lässt. Die besten Tester kehren während eines gesamten Engagements immer wieder dorthin zurück, denn jedes neue Finding offenbart neue Teile der Angriffsfläche, die es zu kartieren lohnt.
Wie wir Reconnaissance (Recon) unterrichten
In unserem Cybersecurity Bootcamp lernen Sie nicht nur Reconnaissance (Recon) in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.
Behandelt in:
Modul 10: Penetrationstests und Ethisches Hacking
360+ Stunden Expertentraining • CompTIA Security+ inklusive