30 Minuten reichen aus

Der unsichtbare Auftakt 30 Minuten:

So schnell finden Hacker alle wichtigen Informationen über Ihr Unternehmen

Der eigentliche Anfang eines Angriffs

Die meisten denken bei einem Cyberangriff an den Moment des Eindringens: kompromittierte Konten, Schadsoftware, verschlüsselte Systeme. In der Praxis beginnt ein Angriff jedoch oft früher. Bevor Angreifer aktiv werden, versuchen sie zu verstehen, wen sie vor sich haben, welche Infrastruktur sichtbar ist, welche Personen relevant sind und wo sich ein Angriff überhaupt lohnen könnte. Genau diese Vorbereitungsphase beschreibt MITRE ATT&CK als Reconnaissance: das aktive oder passive Sammeln von Informationen über Organisation, Infrastruktur und Mitarbeitende, um spätere Schritte gezielt planen zu können.

Darum sind 30 Minuten ein realistischer Maßstab. Nicht, weil in einer halben Stunde bereits ein kompletter Angriff vorbereitet wäre. Sondern weil diese Zeit oft genügt, um aus frei verfügbaren und technisch ableitbaren Informationen ein erstes, brauchbares Lagebild zu erstellen. Für ein Unternehmen ist genau das problematisch: nicht weil Außenstehende sofort alles wissen, sondern weil sie erstaunlich schnell genug wissen können.

Was Maltego dabei so relevant macht

An dieser Stelle wird Maltego relevant. Maltego beschreibt sich selbst als eine Plattform für OSINT und Cyber-Investigations, die komplexe Untersuchungen von Stunden auf Minuten beschleunigen soll. Der Kern des Werkzeugs ist nicht das Eindringen in Systeme, sondern das Sammeln, Zusammenführen und Visualisieren von Beziehungen zwischen Datenpunkten. Statt nur Trefferlisten zu liefern, baut Maltego ein Netz aus Verbindungen auf, etwa zwischen:

  • Domains
  • Hosts
  • E-Mail-Adressen
  • Personen
  • Social-Media-Profilen
  • digitalen Identitäten
  • weiteren externen Datenquellen

Für Hacker ist das wertvoll, weil Angriffe heute stark von Orientierung leben. Ein Werkzeug wie Maltego beantwortet nicht die Frage, wie man in ein System eindringt. Es beantwortet die viel frühere Frage, wo man ansetzen sollte.

Ein Angreifer kann mit einem einzigen Ausgangspunkt beginnen, etwa dem Firmennamen oder einer Domain. Von dort aus lassen sich weitere Domains, Subdomains, technische Spuren, öffentlich sichtbare Personen und organisatorische Zusammenhänge ableiten. Die offizielle Dokumentation beschreibt genau das als typischen Anwendungsfall der Standard-Transforms: von einer Domain, IP, DNS- oder Website-Entity aus schnell Informationen über die Cyber-Infrastruktur eines Standorts oder Servers zu sammeln.

Das wirkt auf den ersten Blick unspektakulär. Gerade darin liegt die Stärke. Maltego hackt nichts. Es liefert keine Schadsoftware und keinen direkten Zugriff auf fremde Systeme. Sein Wert liegt darin, aus vielen unscheinbaren Fragmenten ein Muster zu machen. Eine Stellenanzeige kann verraten, welche Technologien im Einsatz sind. Ein Mitarbeiterprofil kann Zuständigkeiten sichtbar machen. Eine Domain kann weitere technische Spuren offenlegen. Ein Zertifikat kann auf verbundene Systeme hinweisen. Erst in der Verbindung dieser Informationen entsteht ein Bild, das für einen Angriff operativ nutzbar wird.

Was Angreifer daraus in kurzer Zeit ableiten

Genau deshalb passt Maltego so gut als Beispiel für die ersten 30 Minuten eines Angriffs. Es zeigt sehr anschaulich, dass moderne Aufklärung nicht mehr aus einzelnen Suchanfragen besteht, sondern aus strukturierter Verknüpfung. Maltego bewirbt diese Fähigkeit ausdrücklich: Daten aus OSINT, kommerziellen Quellen und eigenen internen Quellen lassen sich zusammenführen, Beziehungen sichtbar machen und Risiken in Minuten statt in Stunden erkennen. Für Angreifer entstehen daraus vier praktische Vorteile:

  • schnellere technische Einordnung der extern sichtbaren Infrastruktur
  • besseres Verständnis dafür, welche Personen oder Funktionen für Social Engineering interessant sein könnten
  • Erkennen von Zusammenhängen, die in isolierten Einzeldaten verborgen bleiben
  • bessere Priorisierung: Welcher Ansatz ist am wahrscheinlichsten erfolgreich, glaubwürdig und effizient?

Genau diese Priorisierung ist der eigentliche Gewinn der Aufklärungsphase. Sie macht aus einem beliebigen Ziel ein einschätzbares Ziel.

Wichtig ist dabei: Dieselbe Methodik wird nicht nur von Angreifern genutzt. Maltego richtet sich ausdrücklich auch an Behörden. Auf den entsprechenden Produktseiten beschreibt das Unternehmen Anwendungsfälle wie Cyber-Ermittlungen, öffentliche Sicherheit, Netzwerk- und Mustererkennung sowie die Auswertung fragmentierter Daten in komplexen Untersuchungen. Das heißt nicht, dass das Tool „für Hacker gemacht“ wäre. Es heißt vielmehr, dass die Fähigkeit, Zusammenhänge sichtbar zu machen, in vielen Kontexten wertvoll ist — in der Strafverfolgung ebenso wie in der Verteidigung oder in internen Sicherheitsanalysen.

Dafür gibt es auch einen konkreten behördlichen Bezug. Im Europol-Jahresbericht 2015 wird festgehalten, dass ein „Maltego training (on digital intelligence gathering)“ für Mitarbeitende des European Cybercrime Centre (EC3) und der Joint Cybercrime Action Taskforce organisiert wurde. Das belegt nicht jede denkbare Nutzung von Maltego im Behördenumfeld, zeigt aber klar, dass das Werkzeug beziehungsweise die zugrunde liegende Methodik auch im europäischen Cybercrime-Kontext professionell eingesetzt und geschult wurde.

Was das für Unternehmen bedeutet

Damit ein Angreifer in kurzer Zeit wirklich weit kommt, müssen allerdings bestimmte Voraussetzungen erfüllt sein. Das Unternehmen muss genügend digitale Spuren hinterlassen. Diese Spuren müssen sich miteinander verknüpfen lassen. Und die Außensicht darf nicht aktiv genug gepflegt sein, um veraltete, überflüssige oder unnötig transparente Informationen zu begrenzen. Besonders leicht wird die Aufklärung, wenn:

  • viele Informationen öffentlich verfügbar sind
  • technische und organisatorische Spuren konsistent auftreten
  • alte Domains, Subdomains oder Zertifikate weiter sichtbar bleiben
  • Rollen, Zuständigkeiten und Dienstleister leicht nachvollziehbar sind

Genau hier wird die Management-Perspektive interessant: Das Risiko entsteht nicht nur durch Schwachstellen im engeren Sinn, sondern auch durch Lesbarkeit. Je klarer ein Unternehmen von außen erkennbar wird, desto einfacher lässt sich ein belastbares Lagebild erstellen.

Natürlich gibt es Grenzen. Veraltete Daten können in die Irre führen. Widersprüche verlangsamen die Analyse. Geringe Sichtbarkeit kritischer Funktionen reduziert den Erkenntniswert. Und eine sauber gepflegte externe Angriffsfläche macht es schwieriger, aus offenen Informationen operative Schlüsse zu ziehen. Gerade deshalb ist die erste halbe Stunde nicht automatisch gefährlich. Gefährlich wird sie dann, wenn sie ohne großen Aufwand zu einem konsistenten Bild führt. Die entscheidende Frage für CEOs und CISOs lautet deshalb nicht nur, wie gut ihre Systeme geschützt sind. Sie lautet auch, wie schnell ein Außenstehender ein verwertbares Bild des Unternehmens aufbauen kann. Wer diese Frage ignoriert, betrachtet Cyberrisiken zu eng. Denn bevor ein Angriff technisch wird, ist er oft zunächst analytisch.

Maltego macht genau diesen Punkt sichtbar. Das Tool steht beispielhaft für eine Realität, über die im Management noch zu selten gesprochen wird: Angriffe beginnen heute häufig nicht mit dem ersten Zugriff, sondern mit dem ersten Zusammenhang. Und wenn diese Zusammenhänge schnell genug sichtbar werden, reichen 30 Minuten bereits aus, um aus verstreuten Informationen ein brauchbares Angriffsbild zu formen.

Quellen

  • Maltego – offizielle Website: https://www.maltego.com/
  • Maltego – Law Enforcement & Government Use Cases: https://www.maltego.com/law-enforcement/
  • Maltego – Standard Transforms Dokumentation: https://docs.maltego.com/en/support/solutions/articles/15000041468-introduction-to-maltego-standard-transforms
  • MITRE ATT&CK – Reconnaissance (TA0043): https://attack.mitre.org/tactics/TA0043/
  • Maltego Data (OSINT & Datenquellen): https://www.maltego.com/maltego-data/
  • Europol CAAR 2015: https://www.europol.europa.eu/cms/sites/default/files/documents/caar_2015.pdf
    • Zurück
Bitte versuchen Sie es erneut.
Anti-Spam-Schutz
Bitte klicken Sie hier um zu bestätigen, dass Sie kein Robot sind.
Der Anti-Spam-Schutz konnte Sie erfolgreich verifizieren.
Danke, Sie können nun das Formular abschicken.
Bitte erlauben Sie aus Sicherheitsgründen Cookies für diese Website um das Formular zu nutzen.