Definition

Beacons und Beaconing

Michael Eckert
von
Zuletzt aktualisiert:Sept. 27, 2025

Was sind Beacons und Beaconing?

Beacon

Ein Beacon ist ein kleines, batteriebetriebenes BLE-Gerät (Bluetooth Low Energy), das in regelmäßigen Abständen ein Signal aussendet. Dieses Signal enthält in der Regel eine eindeutige Kennung (UUID) sowie weitere Werte. Mit diesen Informationen können andere Geräte, wie Smartphones oder Tablets, den Standort des Beacons erkennen und entsprechend reagieren. Beacons dienen zur ortsbezogenen Informationsübermittlung und kommen zum Beispiel in der Navigation, Asset-Tracking, Werbung oder Zugangssteuerung in Gebäuden und öffentlichen Bereichen zum Einsatz. Sie sind passive Sender, die keine Daten empfangen, sondern nur Signale ausstrahlen.

Beaconing

Beaconing beschreibt den Vorgang des kontinuierlichen Aussendens (Broadcastens) dieser Beacon-Signale durch einen Beacon. Es bezeichnet also die Aktivität oder Methode, mit der ein Beacon seine Funksignale periodisch versendet, um von empfangenden Geräten erkannt zu werden. Im weiteren Sinne bezeichnet der Begriff auch die allgemeine Technologie beziehungsweise das Konzept, Lokalisierung und kontextbezogene Kommunikation durch solche periodischen Signale zu ermöglichen.

Begriffe und Varianten

Im Unternehmensumfeld gibt es drei verbreitete Ausprägungen, die sich in ihrem Zweck und ihrem Risiko unterscheiden. Zur Orientierung hier die Kurzdefinitionen:

  • WLAN-Beacon (legitim): Access Points senden regelmäßig Beacon-Frames, um ihre Präsenz und Parameter wie SSID, Verschlüsselung und unterstützte Datenraten bekannt zu geben.
  • Bluetooth-/BLE-Beacon (legitim): Ein kleines Gerät oder eine App, die in kurzen Abständen Kennungen ausstrahlen.
  • C2-Beaconing (bösartig): Schadsoftware oder ein persistenter Angreifer meldet sich in Intervallen bei einer externen Infrastruktur, um Befehle zu empfangen oder Daten zu exfiltrieren.

Legitimes Beaconing: Zweck und Funktionsweise

Legitime Beacons dienen der Auffindbarkeit, Synchronisierung und Dienstankündigung. Sie sind kurz, ressourcenschonend und enthalten keine sensiblen Nutzdaten. Zur Einordnung der wichtigsten Merkmale:

  • WLAN: Beacon-Frames werden typischerweise zehnmal pro Sekunde ausgesendet. Sie enthalten Managementinformationen (zum Beispiel TIM/DTIM), die Stationen beim Stromsparen und Roaming unterstützen.
  • BLE: BLE-Beacons werben im Advertising-Kanal (zum Beispiel iBeacon- oder Eddystone-Formate) mit UUIDs, Major/Minor-IDs oder Telemetriedaten. Die Sendeintervalle reichen von Millisekunden bis zu einigen Sekunden.
  • Enterprise-Software: Auch legitime Agenten (Management, EDR, Backup) senden Beacons – etwa mit Heartbeats, um Erreichbarkeit oder Jobstatus zu melden.

Bösartiges Beaconing: Taktiken, Techniken und Prozeduren

Angreifer nutzen Beaconing, um nach einer ersten Kompromittierung unauffällig die Kontrolle zu behalten. Das Muster ist oft minimalistisch, verschleiert und an legitime Muster angelehnt. Typische Merkmale, auf die Sie achten sollten, sind:

  • Periodizität mit Jitter: Feste Intervalle (zum Beispiel alle 60 Sekunden) mit bewusst eingebauter Zufallsabweichung, um starre Signaturerkennung zu umgehen.
  • Unscheinbare Protokolle: HTTP/HTTPS, DNS, NTP oder sogar ICMP, häufig über Standardports (443/80) und legitime Domains (zum Beispiel über CDNs).
  • Kleine Nutzlasten: Heartbeats, die nur minimalen Traffic erzeugen und erst bei und erst bei Tasking (vom C2-Server zugewiesene Aufträge/Befehle) werden Aktionen ausgeführt oder zusätzliche Daten nachgeladen..
  • Verschleierung: Domain-Rotation, DNS-Tunneling, verschachtelte Encodings, TLS-Fingerprint-Anpassung.

Praxisbeispiele

Zur schnellen Verortung typischer Einsatz- und Vorfallszenarien:

  • Office-Campus: BLE-Beacons unterstützen die Indoor-Navigation, die Lokalisierung von Meeting-Räumen und das Asset-Tracking.
  • WLAN-Betrieb: Acsess-Point-Beacons liefern Clients Informationen für Roaming und Energiemanagement.
  • OT/IoT: Sensoren nutzen regelmäßige Heartbeats. Fehlende Telemetrie oder plötzlich veränderte Intervalle deuten auf eine Störung oder Manipulation hin.
  • Incident Response: Ein kompromittierter Host baut alle 90 Sekunden eine HTTPS-Verbindung zu wechselnden Subdomains auf – ein klassisches Beaconing-Indiz.

Erfahren Sie mehr über Netzwerkhardware