SpiderFoot: Erste Schritte mit SpiderFoot (3)

Wir schauen uns an, wie das Webinterface aufgebaut ist, wie ein erster Scan angelegt wird, welche Scan-Typen es gibt und wie man die Ergebnisse richtig liest. Denn SpiderFoot kann sehr viele Informationen sammeln. Der eigentliche Mehrwert entsteht aber erst dann, wenn man versteht, was diese Informationen bedeuten.

Was erwartet uns im Webinterface?

SpiderFoot wird in der Regel über ein Webinterface bedient. Nach dem Start der Anwendung ist die Oberfläche über den Browser erreichbar, häufig zum Beispiel über eine Adresse wie:

http://SERVER-IP:5001

oder bei einer produktiveren Installation über eine eigene Subdomain wie:

https://spiderfoot.example.de

Die Oberfläche ist bewusst relativ schlicht gehalten. Im Mittelpunkt stehen nicht Design-Effekte, sondern Scans, Ergebnisse und Beziehungen zwischen gefundenen Informationen.

Typische Bereiche im Webinterface sind:

• Übersicht vorhandener Scans
• Anlegen neuer Scans
• Scan-Konfiguration
• Auswahl von Modulen
• Ergebnisansicht
• Event-Ansicht
• Graph-Ansicht
• Einstellungen für API-Schlüssel und Module

Gerade am Anfang sollte man sich etwas Zeit nehmen, um die Oberfläche kennenzulernen. SpiderFoot liefert schnell sehr viele Ergebnisse. Wer ohne Plan klickt, verliert leicht den Überblick.

Der erste Blick auf die Startseite

Nach dem Aufruf des Webinterfaces landet man normalerweise auf einer Übersichtsseite. Dort sieht man vorhandene Scans oder kann einen neuen Scan starten.

Ein Scan ist bei SpiderFoot immer eine Untersuchung eines bestimmten Zielobjekts. Dieses Zielobjekt kann beispielsweise eine Domain, eine IP-Adresse oder eine E-Mail-Adresse sein.

Beispiele für mögliche Ziele:

example.com
mail.example.com
192.0.2.10
admin@example.com

Wichtig ist: SpiderFoot versucht automatisch zu erkennen, um welche Art von Ziel es sich handelt. Eine Domain wird anders behandelt als eine IP-Adresse, eine E-Mail-Adresse oder ein Benutzername.

Für den Einstieg empfiehlt es sich, mit einer eigenen Domain zu arbeiten. Das ist nicht nur rechtlich sauberer, sondern auch deutlich lehrreicher. Man erkennt sofort, welche Informationen über die eigene Infrastruktur öffentlich sichtbar sind.

Rechtlicher Hinweis vor dem ersten Scan

Bevor ein Scan gestartet wird, sollte ein wichtiger Punkt klar sein: SpiderFoot ist ein OSINT- und Security-Werkzeug. Es kann sowohl defensiv als auch offensiv eingesetzt werden.

Für eigene Domains, eigene Server und eigene Organisationen ist der Einsatz in der Regel unproblematisch. Bei fremden Zielen sollte man jedoch sehr vorsichtig sein. Einige Scan-Methoden sind passiv, andere können aktive Abfragen auslösen.

Deshalb gilt:

Scanne nur Ziele, für die du berechtigt bist.

Für Lernzwecke sollte man am besten eine eigene Testdomain, eine private Laborumgebung oder ausdrücklich freigegebene Testziele verwenden.

Einen neuen Scan anlegen

Um den ersten Scan zu starten, wählt man im Webinterface die Funktion zum Erstellen eines neuen Scans aus. Je nach Version heißt dieser Bereich beispielsweise „New Scan“ oder ähnlich.

Anschließend müssen einige Angaben gemacht werden.

Typischerweise gehören dazu:

• Scan-Name
• Ziel
• Scan-Typ
• Modul-Auswahl
• optionale Einstellungen

Der Scan-Name sollte sinnvoll gewählt werden. Gerade wenn später viele Scans vorhanden sind, hilft eine klare Benennung enorm.

Beispiel:

Scan_open-how2_de_basis_2026-06-20

Ein guter Scan-Name enthält idealerweise:

• Ziel
• Zweck
• Datum
• ggf. Scan-Typ

Ein schlechter Scan-Name wäre dagegen:

test

Das funktioniert zwar technisch, ist aber nach dem zehnten Scan nicht mehr hilfreich.

Das Ziel des Scans auswählen

Im Feld für das Ziel wird die Domain, IP-Adresse oder ein anderes Objekt eingetragen.

Für den Einstieg eignet sich beispielsweise:

example.com

oder eine eigene Domain.

SpiderFoot unterstützt verschiedene Zieltypen, darunter:

• Domains
• Subdomains
• Hostnames
• IP-Adressen
• Netzbereiche
• ASNs
• E-Mail-Adressen
• Telefonnummern
• Benutzernamen
• Personennamen

Je nach Zieltyp werden unterschiedliche Module interessant. Bei einer Domain sind DNS, Whois, Zertifikate und Subdomains besonders relevant. Bei einer E-Mail-Adresse stehen eher Datenlecks, Profile und Fundstellen im Vordergrund.

Scan-Typen verstehen

SpiderFoot bietet unterschiedliche Arten, einen Scan zusammenzustellen. Die genaue Bezeichnung kann je nach Version etwas variieren, das Grundprinzip bleibt aber gleich.

Im Kern gibt es drei Denkweisen:

1. Scan nach Anwendungsfall
2. Scan nach gewünschten Daten
3. Scan nach konkreten Modulen

Scan nach Anwendungsfall

Bei dieser Variante wählt man nicht jedes Modul einzeln aus, sondern entscheidet sich für ein Ziel des Scans.

Beispiele:

• allgemeine Informationssammlung
• Angriffsfäche erkennen
• Datenlecks finden
• Infrastruktur kartieren
• Bedrohungsinformationen sammeln

Das ist besonders für Einsteiger angenehm. SpiderFoot wählt passende Module aus und startet eine sinnvolle Analyse.

Vorteil:

Einfacher Einstieg, wenig Konfigurationsaufwand.

Nachteil:

Man hat weniger Kontrolle darüber, welche Module exakt laufen.

Scan nach gewünschten Daten

Bei dieser Variante legt man fest, welche Ergebnistypen man finden möchte.

Beispielsweise:

• IP-Adressen
• Subdomains
• E-Mail-Adressen
• offene Ports
• Zertifikate
• Datenlecks
• Dokumente

SpiderFoot entscheidet dann, welche Module geeignet sind, um diese Informationen zu finden.

Diese Methode ist hilfreich, wenn man bereits weiß, was man sucht, aber nicht jedes einzelne Modul kennen möchte.

Beispiel:

Ich möchte zu meiner Domain alle Subdomains und E-Mail-Adressen finden.

Dann wählt man entsprechende Datentypen aus und lässt SpiderFoot die passenden Quellen nutzen.

Scan nach Modulen

Die dritte Variante ist die direkteste: Man wählt konkrete Module aus.

Das ist besonders interessant für Fortgeschrittene. Wer genau weiß, welche Quellen genutzt werden sollen, kann einen Scan sehr gezielt konfigurieren.

Beispiele für Modulbereiche:

• DNS
• Whois
• Zertifikate
• Suchmaschinen
• Shodan
• Have I Been Pwned
• GitHub
• Social Media
• Darknet-Quellen
• Leak-Datenbanken

Vorteil:

Maximale Kontrolle über den Scan.

Nachteil:

Man muss wissen, was die Module tun.

Für den Anfang ist diese Variante nicht zwingend nötig. Später ist sie aber sehr wertvoll, weil man Scans dadurch präziser, schneller und ressourcenschonender gestalten kann.

Passiv oder aktiv scannen?

Ein wichtiger Unterschied bei OSINT-Scans ist die Frage, ob ein Scan passiv oder aktiv durchgeführt wird.

Passive Scans

Ein passiver Scan fragt vor allem öffentliche Quellen und externe Datenbanken ab. Das Zielsystem selbst wird dabei nicht oder kaum direkt berührt.

Beispiele:

• Zertifikatstransparenzdatenbanken
• Whois-Daten
• DNS-Historie
• Suchmaschinen
• Leak-Datenbanken
• öffentliche APIs

Passive Scans eignen sich sehr gut für den Einstieg. Sie sind unauffälliger und zeigen, welche Informationen bereits im Internet verfügbar sind.

Aktive Scans

Bei aktiven Scans werden Informationen direkt vom Zielsystem abgefragt.

Beispiele:

• direkte DNS-Abfragen
• Verbindungsversuche
• Prüfung von Diensten
• HTTP-Abfragen
• Portinformationen über aktive Quellen

Aktive Scans können aussagekräftiger sein, sind aber auch sensibler. Sie können in Logs auftauchen oder von Sicherheitssystemen erkannt werden.

Für produktive Umgebungen sollte man bewusst entscheiden, welche aktiven Module aktiviert werden.

Der erste sinnvolle Einstiegsscan

Für den ersten eigenen Scan empfiehlt sich ein vorsichtiger Ansatz.

Ein guter Start wäre:

Ziel: eigene-domain.de
Scan-Typ: passive oder grundlegende Informationssammlung
Module: DNS, Whois, Zertifikate, Suchmaschinen

Damit erhält man bereits viele nützliche Informationen, ohne direkt einen besonders aggressiven Scan zu starten.

Interessante erste Fragen sind:

• Welche Nameserver sind sichtbar?
• Welche Mailserver werden verwendet?
• Welche Subdomains tauchen auf?
• Welche Zertifikate existieren?
• Sind alte oder unerwartete Hosts sichtbar?
• Gibt es veröffentlichte E-Mail-Adressen?
• Gibt es Hinweise auf externe Dienstleister?

Schon ein einfacher Scan kann überraschende Ergebnisse liefern.

Den Scan starten

Nach Auswahl von Ziel, Scan-Typ und Modulen wird der Scan gestartet.

SpiderFoot arbeitet anschließend automatisch. Je nach Umfang kann ein Scan wenige Minuten oder mehrere Stunden dauern.

Die Dauer hängt ab von:

• Anzahl der aktivierten Module
• Geschwindigkeit externer APIs
• Größe des Zielobjekts
• Anzahl gefundener Beziehungen
• API-Limits
• Netzwerkverbindung
• Systemleistung des Servers

Während des Scans entstehen laufend neue Ergebnisse. Ein Fund kann weitere Module auslösen. Genau das macht SpiderFoot mächtig: Das Tool arbeitet nicht nur eine Liste ab, sondern folgt Beziehungen.

Beispiel:

Domain → Subdomain → IP-Adresse → offener Dienst → Zertifikat → weitere Domain

Aus einem einzigen Ziel können dadurch viele weitere Informationen entstehen.

Ergebnisse verstehen

Nach oder während des Scans können die Ergebnisse betrachtet werden.

SpiderFoot arbeitet stark ereignisorientiert. Die gefundenen Informationen werden als sogenannte Events dargestellt.

Ein Event ist ein gefundenes Informationsobjekt.

Beispiele:

DOMAIN_NAME
IP_ADDRESS
EMAILADDR
PHONE_NUMBER
INTERNET_NAME
DNS_TEXT
WEBSERVER_HTTPHEADERS
SSL_CERTIFICATE_RAW
OPEN_TCP_PORT

Diese Event-Typen zeigen, welche Art von Information gefunden wurde.

Ein einzelner Event könnte zum Beispiel sein:

EMAILADDR: info@example.com

oder:

IP_ADDRESS: 192.0.2.10

Wichtig ist: Nicht jeder Fund ist automatisch kritisch. Eine öffentlich sichtbare IP-Adresse ist normal. Eine vergessene Test-Subdomain mit Loginoberfläche kann dagegen ein Risiko sein.

Events: Die Bausteine der SpiderFoot-Ergebnisse

Events sind das Herzstück von SpiderFoot.

Jedes Ergebnis wird als Event gespeichert. Dazu gehören meist:

• Event-Typ
• konkreter Wert
• Quelle
• Modul
• Zeitpunkt
• Beziehung zu vorherigen Events

Dadurch kann man nachvollziehen, woher eine Information stammt.

Beispiel:

Die Subdomain test.example.com wurde über ein Zertifikat gefunden.

Das ist viel wertvoller als nur die Aussage:

test.example.com existiert.

Denn die Quelle hilft bei der Bewertung. Wurde die Subdomain über DNS gefunden? Über ein Zertifikat? Über eine Suchmaschine? Über einen Leak?

Die Herkunft eines Events ist ein wichtiger Hinweis auf die Qualität und Bedeutung des Ergebnisses.

Entities: Was sind Zielobjekte und Informationsobjekte?

Neben Events begegnet man in SpiderFoot auch dem Begriff Entity.

Eine Entity ist vereinfacht gesagt ein Objekt, das SpiderFoot kennt, verarbeitet oder miteinander verknüpft.

Beispiele für Entities:

• Domain
• Hostname
• IP-Adresse
• E-Mail-Adresse
• Person
• Benutzername
• Telefonnummer
• Zertifikat
• Netzwerk
• Organisation

Während Events einzelne Funde beschreiben, helfen Entities dabei, größere Zusammenhänge zu erkennen.

Beispiel:

Domain: example.com
  → Hostname: mail.example.com
  → IP-Adresse: 192.0.2.10
  → E-Mail-Adresse: admin@example.com

So entsteht Schritt für Schritt ein Bild der digitalen Angriffsfläche.

Die Ergebnisansicht nutzen

Die Ergebnisansicht kann am Anfang überwältigend wirken. Deshalb sollte man strukturiert vorgehen.

Eine sinnvolle Reihenfolge ist:

1. Zuerst die Zusammenfassung ansehen
2. Danach nach kritischen Ergebnissen filtern
3. Anschließend einzelne Event-Typen prüfen
4. Quellen und Module vergleichen
5. Auffällige Funde dokumentieren

Besonders interessant sind häufig:

• unerwartete Subdomains
• unbekannte IP-Adressen
• alte Systeme
• Loginseiten
• E-Mail-Adressen
• Leak-Hinweise
• offene Ports
• veraltete Zertifikate
• ungewöhnliche DNS-Einträge

Nicht jede Information muss sofort ein Sicherheitsproblem sein. Aber jede unerwartete Information ist ein Anlass zur Prüfung.

Die Graph-Ansicht verstehen

Eine der nützlichsten Funktionen von SpiderFoot ist die grafische Darstellung von Beziehungen.

In der Graph-Ansicht werden Objekte als Knoten dargestellt. Beziehungen erscheinen als Verbindungen.

Beispiel:

Domain → Nameserver → IP-Adresse → ASN → Organisation

Diese Darstellung hilft besonders dann, wenn viele Informationen zusammenkommen.

Man erkennt schneller:

• welche Systeme zusammengehören
• welche externen Anbieter beteiligt sind
• welche IP-Bereiche genutzt werden
• welche Subdomains miteinander verbunden sind
• ob es unerwartete Abhängigkeiten gibt

Für größere Organisationen ist diese Ansicht oft sehr aufschlussreich.

Ergebnisse filtern

Je größer ein Scan, desto wichtiger werden Filter.

Man kann Ergebnisse beispielsweise nach Event-Typ filtern.

Nützliche Filter sind:

EMAILADDR
IP_ADDRESS
INTERNET_NAME
OPEN_TCP_PORT
VULNERABILITY
LEAKSITE
SSL_CERTIFICATE

So kann man sich gezielt auf bestimmte Fragen konzentrieren.

Beispiele:

Welche E-Mail-Adressen wurden gefunden?
Welche Subdomains existieren?
Welche IP-Adressen gehören zur Domain?
Gibt es Hinweise auf Datenlecks?
Gibt es offene Dienste?

Gerade bei umfangreichen Scans sollte man nicht versuchen, alles gleichzeitig zu lesen.

Falsch-positive Ergebnisse erkennen

SpiderFoot sammelt Informationen automatisiert aus vielen Quellen. Dadurch können auch ungenaue oder veraltete Informationen auftauchen.

Typische Ursachen für Falschmeldungen:

• alte DNS-Daten
• veraltete Suchmaschinentreffer
• falsch zugeordnete IP-Adressen
• geteilte Hosting-Infrastruktur
• historische Zertifikate
• ungenaue Leak-Daten
• Namensgleichheiten

Deshalb gilt:

SpiderFoot-Ergebnisse sind Hinweise, keine abschließenden Beweise.

Wichtige Funde sollten immer manuell geprüft werden.

Was sollte man nach dem ersten Scan dokumentieren?

Nach dem ersten Scan sollte man die Ergebnisse nicht einfach schließen. Sinnvoll ist eine kurze Dokumentation.

Eine einfache Tabelle reicht oft aus:

Fund | Bewertung | Maßnahme
Subdomain test.example.de | unbekannt | prüfen
E-Mail admin@example.de | erwartet | keine Maßnahme
Altes Zertifikat | auffällig | Zertifikatsverwaltung prüfen
Externe IP | unklar | Dienstleister klären

So wird aus einer technischen Analyse ein verwertbares Ergebnis.

Typische Anfängerfehler

Beim Einstieg mit SpiderFoot passieren häufig ähnliche Fehler.

Zu viele Module auf einmal aktivieren

Das führt schnell zu sehr langen Scans und unübersichtlichen Ergebnissen.

Besser:

Mit wenigen Modulen starten und später erweitern.

Ergebnisse ungeprüft übernehmen

Automatisierte OSINT-Ergebnisse müssen bewertet werden. Nicht jeder Treffer ist korrekt oder relevant.

Fremde Ziele scannen

Auch wenn SpiderFoot einfach zu bedienen ist, sollte man nicht wahllos fremde Domains analysieren.

API-Keys nicht konfigurieren

Viele leistungsstarke Module benötigen API-Schlüssel. Ohne diese Schlüssel bleiben manche Ergebnisse aus.

Keine Dokumentation führen

Ein Scan ohne Auswertung bringt wenig. Wichtig ist die Ableitung konkreter Maßnahmen.

Praktischer Ablauf für Einsteiger

Ein sinnvoller Ablauf für den Einstieg sieht so aus:

1. Eigene Domain auswählen
2. Passiven Scan starten
3. DNS- und Zertifikatsdaten prüfen
4. Subdomains ansehen
5. E-Mail-Adressen prüfen
6. Auffällige Ergebnisse dokumentieren
7. Zweiten Scan mit zusätzlichen Modulen starten
8. Ergebnisse vergleichen

So lernt man SpiderFoot Schritt für Schritt kennen.

Beispiel: Erste Analyse einer Domain

Angenommen, wir analysieren eine eigene Domain:

example.de

SpiderFoot könnte dabei folgende Informationen finden:

example.de
www.example.de
mail.example.de
vpn.example.de
MX-Server
Nameserver
IP-Adressen
Zertifikate
E-Mail-Adressen

Nun stellt man sich zu jedem Fund einfache Fragen:

Kenne ich diese Subdomain?
Ist dieser Dienst noch aktiv?
Gehört diese IP-Adresse zu uns?
Ist diese E-Mail-Adresse noch aktuell?
Soll diese Information öffentlich sichtbar sein?

Genau darin liegt der Wert von SpiderFoot: Es zeigt nicht nur technische Daten, sondern hilft dabei, die eigene Sichtbarkeit im Internet zu verstehen.

Der Einstieg in SpiderFoot ist technisch nicht besonders kompliziert. Die eigentliche Herausforderung liegt darin, die Ergebnisse richtig zu verstehen.

Das Webinterface bietet einen guten Zugang zu Scans, Modulen, Events und Entities. Wer mit kleinen, klar abgegrenzten Scans beginnt, lernt die Oberfläche schnell kennen und vermeidet eine Informationsflut.

Für den Anfang empfiehlt sich ein passiver Scan einer eigenen Domain. Danach können Schritt für Schritt weitere Module, API-Quellen und Scan-Typen ergänzt werden.

SpiderFoot ist kein Werkzeug, das man einmal startet und danach blind vertraut. Es ist ein Analysewerkzeug. Es liefert Hinweise, Beziehungen und Spuren. Die Bewertung bleibt Aufgabe des Menschen.

Wer die Oberfläche sicher bedienen kann, hat bereits den wichtigsten Schritt geschafft: Aus vielen einzelnen OSINT-Funden wird ein verständliches Bild der eigenen digitalen Angriffsfläche.