Einleitung
Viele Sicherheitsprobleme beginnen nicht mit einem komplizierten Angriff, sondern mit einer einfachen Frage: Was ist eigentlich öffentlich erreichbar?
Genau hier wird die Kombination aus SpiderFoot und Shodan interessant. SpiderFoot sammelt, strukturiert und korreliert öffentlich verfügbare Informationen über Domains, IP-Adressen, Subdomains, E-Mail-Adressen und weitere Zielobjekte. Shodan ergänzt diese Sicht um eine besonders wichtige Perspektive: öffentlich erreichbare Systeme und Dienste im Internet.
Während klassische Suchmaschinen vor allem Webseiten und Inhalte auffindbar machen, sucht Shodan nach internetverbundenen Geräten und Diensten. Dazu gehören Webserver, Mailserver, VPN-Gateways, Firewalls, Kameras, Datenbanken, Remote-Zugänge oder andere Systeme, die über das Internet erreichbar sind.
Die Kombination aus SpiderFoot und Shodan hilft also dabei, die eigene externe Angriffsfläche besser zu verstehen. Für Administratoren, IT-Sicherheitsbeauftragte und Unternehmen ist das enorm wertvoll. Denn was Shodan findet, können grundsätzlich auch Angreifer finden.
Was macht Shodan?
Shodan wird häufig als Suchmaschine für das Internet der Dinge oder für internetverbundene Systeme beschrieben. Der Unterschied zu Google ist wichtig: Google indexiert Webseiten und Inhalte. Shodan interessiert sich stärker für technische Dienste, offene Ports, Banner-Informationen, Protokolle und Metadaten.
Ein Beispiel:
Ein normaler Webseitenbesucher sieht vielleicht nur:
https://www.example.de
Shodan kann dagegen zeigen, welche Dienste auf einer IP-Adresse erreichbar sind:
Port 80 HTTP Port 443 HTTPS Port 22 SSH Port 25 SMTP Port 3389 RDP Port 500 VPN/IKE
Zusätzlich können Informationen sichtbar werden wie:
Server: Apache Version: 2.4.x TLS-Zertifikat Hostname Geolocation Organisation Betriebssystemhinweise Produktbanner
Diese Informationen sind nicht automatisch ein Sicherheitsproblem. Sie zeigen aber, was öffentlich sichtbar ist. Und genau diese Sicht ist für Sicherheitsanalysen entscheidend.
Warum SpiderFoot und Shodan zusammen nutzen?
SpiderFoot ist besonders stark darin, viele Informationen aus unterschiedlichen Quellen zusammenzuführen. Shodan ist besonders stark darin, öffentlich erreichbare technische Dienste zu identifizieren.
Die Kombination beantwortet Fragen wie:
- Welche IP-Adressen gehören zu meiner Domain?
- Welche Hosts sind öffentlich erreichbar?
- Welche Ports sind geöffnet?
- Gibt es erreichbare VPN-Systeme?
- Sind Firewalls oder Remote-Zugänge sichtbar?
- Tauchen alte Testsysteme oder vergessene Subdomains auf?
- Welche Dienste präsentieren Versionsinformationen?
- Gibt es Hinweise auf veraltete oder falsch konfigurierte Systeme?
SpiderFoot übernimmt dabei die Rolle des Sammlers und Korrelierers. Shodan liefert zusätzliche technische Sichtbarkeit.
Typisches Szenario: Eine Domain wird untersucht
Nehmen wir als Beispiel eine Organisation mit folgender Domain:
example.de
SpiderFoot beginnt mit der Domain und findet möglicherweise:
www.example.de mail.example.de vpn.example.de remote.example.de test.example.de portal.example.de
Anschließend werden IP-Adressen, DNS-Einträge, Zertifikate und weitere Verbindungen ermittelt. Wenn das Shodan-Modul aktiviert ist und ein API-Schlüssel hinterlegt wurde, kann SpiderFoot zusätzlich prüfen, welche dieser Systeme bei Shodan bekannt sind.
Das Ergebnis ist eine deutlich vollständigere Sicht auf die externe Infrastruktur.
Analyse offener Ports
Offene Ports gehören zu den wichtigsten Ergebnissen bei einer Shodan-Analyse.
Ein Port ist nicht grundsätzlich gefährlich. Ein Webserver benötigt beispielsweise Port 80 oder 443. Ein Mailserver benötigt bestimmte Mailports. Problematisch wird es aber, wenn unnötige oder riskante Dienste öffentlich erreichbar sind.
Beispiele für kritische oder prüfenswerte Ports:
22 SSH 23 Telnet 25 SMTP 80 HTTP 443 HTTPS 445 SMB 3389 RDP 5900 VNC 9200 Elasticsearch 3306 MySQL/MariaDB 5432 PostgreSQL 6379 Redis
Besonders aufmerksam sollte man bei Diensten sein, die normalerweise nicht frei aus dem Internet erreichbar sein sollten. Dazu gehören Datenbanken, Administrationsoberflächen, Remote-Desktop-Dienste oder Management-Schnittstellen.
SpiderFoot kann solche Funde in einen größeren Zusammenhang setzen. Eine einzelne offene Datenbank ist bereits auffällig. Noch interessanter wird es, wenn diese Datenbank mit einer vergessenen Subdomain, einem alten Zertifikat oder einem Testsystem verbunden ist.
Firewalls erkennen
Auch Firewalls können in Shodan auftauchen. Das ist nicht automatisch ein Fehler, denn Firewalls und Security-Gateways müssen häufig aus dem Internet erreichbar sein. Entscheidend ist jedoch, welche Informationen sie preisgeben.
Mögliche Hinweise sind:
Produktname Firmware-Version Management-Oberfläche VPN-Portal SSL-Zertifikat Hostname Login-Banner
Solche Informationen können Angreifern helfen, gezielt nach bekannten Schwachstellen zu suchen. Wenn ein System beispielsweise eindeutig als bestimmtes Firewall-Modell mit veralteter Firmware erkennbar ist, entsteht ein konkretes Risiko.
Für Sicherheitsverantwortliche ist deshalb wichtig:
- Welche Firewall-Systeme sind öffentlich sichtbar?
- Ist nur das notwendige VPN-Portal erreichbar?
- Ist die Administrationsoberfläche aus dem Internet erreichbar?
- Werden Versionsnummern offengelegt?
- Sind Zertifikate aktuell?
- Gibt es Hinweise auf Standardkonfigurationen?
Die Aufgabe besteht nicht darin, jede Sichtbarkeit zu vermeiden. Die Aufgabe besteht darin, unnötige Sichtbarkeit zu reduzieren.
VPN-Systeme analysieren
VPN-Gateways sind besonders sensible Systeme. Sie sind häufig bewusst öffentlich erreichbar, weil Mitarbeitende, Dienstleister oder Außenstellen darüber auf interne Ressourcen zugreifen.
Gerade deshalb sind sie ein beliebtes Ziel für Angriffe.
SpiderFoot und Shodan können helfen, VPN-Systeme zu identifizieren, etwa über:
vpn.example.de remote.example.de ssl-vpn.example.de gateway.example.de
Shodan kann zusätzlich Hinweise auf Protokolle oder Produkte liefern:
IPsec OpenVPN SSL-VPN WireGuard Fortinet Palo Alto Cisco Sophos SonicWall
Für die Sicherheitsbewertung sind folgende Fragen wichtig:
- Ist das VPN-System bekannt und dokumentiert?
- Ist es noch im produktiven Einsatz?
- Ist die Software aktuell?
- Gibt es unnötige Bannerinformationen?
- Ist Mehrfaktor-Authentifizierung aktiviert?
- Gibt es alte Parallelzugänge?
- Sind Test- oder Übergangssysteme noch erreichbar?
Gerade alte VPN-Zugänge werden in der Praxis gerne vergessen. Ein neues System wird eingeführt, das alte bleibt „zur Sicherheit“ noch online und verschwindet dann aus dem Blickfeld. Shodan findet solche Systeme oft trotzdem.
Öffentlich erreichbare Dienste
Neben klassischen Webservern, Firewalls und VPN-Systemen können viele weitere Dienste öffentlich sichtbar sein.
Dazu gehören beispielsweise:
Mailserver FTP-Server SSH-Zugänge Datenbanken Monitoring-Systeme Backup-Systeme NAS-Systeme Kamera-Systeme IoT-Geräte Entwicklungsserver Staging-Systeme Administrationsoberflächen
Nicht jeder öffentlich erreichbare Dienst ist problematisch. Aber jeder öffentlich erreichbare Dienst vergrößert die Angriffsfläche.
Ein typisches Problem ist nicht der bewusst betriebene Webserver, sondern das vergessene Nebensystem:
dev.example.de test.example.de backup.example.de old-vpn.example.de grafana.example.de monitoring.example.de
Solche Systeme entstehen häufig im Alltag:
- für Tests
- für Migrationen
- für externe Dienstleister
- für kurzfristige Projekte
- für Monitoring
- für Altverfahren
- für Notfallzugänge
Ohne regelmäßige Kontrolle bleiben sie oft jahrelang erreichbar.
Was SpiderFoot aus Shodan-Daten macht
Der eigentliche Vorteil entsteht nicht nur durch die Shodan-Daten selbst, sondern durch deren Einordnung in SpiderFoot.
SpiderFoot kann Funde miteinander verknüpfen:
Domain → Subdomain → IP-Adresse → offener Port → Dienst → Produkt → Risiko
Dadurch entsteht eine Art Landkarte der eigenen externen Infrastruktur.
Ein Beispiel:
example.de
└── vpn.example.de
└── 203.0.113.10
├── Port 443 HTTPS
├── SSL-VPN Portal
├── Produktbanner
└── Zertifikat mit weiterem Hostnamen
Diese Kette ist wertvoller als ein einzelner Portscan. Sie zeigt nicht nur, dass ein Dienst offen ist, sondern auch, wie er mit der restlichen Organisation zusammenhängt.
Passive Sicht statt aktiver Angriff
Ein wichtiger Vorteil von Shodan besteht darin, dass viele Informationen bereits gesammelt wurden. Das bedeutet: Man muss nicht zwangsläufig selbst einen aggressiven Scan gegen die eigene Infrastruktur durchführen, um einen ersten Eindruck zu gewinnen.
Gerade für Unternehmen, Verwaltungen oder Organisationen mit sensiblen Systemen ist das hilfreich. Man erhält eine externe Sicht, ohne sofort selbst viele Prüfungen auszulösen.
Trotzdem gilt: Auch OSINT-Analysen müssen verantwortungsvoll durchgeführt werden. Für fremde Systeme sollte keine Analyse ohne Genehmigung erfolgen. Für eigene Systeme ist SpiderFoot mit Shodan dagegen ein sehr gutes Werkzeug zur Selbsteinschätzung.
Typische Risiken, die sichtbar werden können
Die Kombination aus SpiderFoot und Shodan kann verschiedene Risikotypen sichtbar machen.
1. Unerwartete offene Ports
Beispiel:
PostgreSQL auf Port 5432 öffentlich erreichbar
Das sollte in den meisten Fällen nicht der Fall sein.
2. Veraltete Dienste
Beispiel:
Apache, nginx, OpenSSH oder VPN-Gateway mit alter Versionskennung
Nicht jede sichtbare Versionsnummer bedeutet automatisch eine Schwachstelle. Sie ist aber ein Hinweis für die Prüfung.
3. Vergessene Testsysteme
Beispiel:
test.example.de dev.example.de staging.example.de
Gerade solche Systeme sind häufig schlechter abgesichert als Produktivsysteme.
4. Öffentliche Administrationsoberflächen
Beispiel:
Firewall-Login Router-Login NAS-Login Monitoring-Dashboard
Administrationsoberflächen sollten nur sehr kontrolliert erreichbar sein.
5. Schwache Segmentierung
Wenn interne Dienste direkt aus dem Internet erreichbar sind, deutet das häufig auf fehlende Netztrennung oder falsch konfigurierte Firewall-Regeln hin.
Praxisbeispiel: Exponierte Systeme erkennen
Eine Organisation möchte ihre externe Angriffsfläche prüfen. Sie startet in SpiderFoot einen Scan auf die eigene Hauptdomain.
SpiderFoot findet:
www.example.de mail.example.de vpn.example.de citrix.example.de monitoring.example.de backup.example.de
Über Shodan werden weitere Informationen sichtbar:
vpn.example.de HTTPS / SSL-VPN mail.example.de SMTP, IMAP, HTTPS monitoring.example.de HTTPS Login-Oberfläche backup.example.de SSH und Webinterface
Die Bewertung könnte lauten:
www.example.de Erwartet und unkritisch, sofern aktuell und sauber gehärtet. mail.example.de Erwartet, aber Mailserver-Konfiguration prüfen. vpn.example.de Erwartet, aber besonders kritisch. Patchstand und MFA prüfen. monitoring.example.de Auffällig. Sollte nicht öffentlich erreichbar sein. backup.example.de Kritisch. Backup-Systeme dürfen normalerweise nicht öffentlich exponiert sein.
Damit entsteht eine konkrete Aufgabenliste für die IT.
Priorisierung der Ergebnisse
Nicht jeder Fund hat dieselbe Dringlichkeit. Deshalb sollte man Ergebnisse priorisieren.
Eine mögliche Bewertung:
Hoch kritisch
Öffentliche Datenbanken Öffentliche Backup-Systeme Öffentliche Administrationsoberflächen Veraltete VPN-Systeme Offene Remote-Desktop-Dienste Telnet SMB aus dem Internet
Mittel kritisch
Unbekannte Subdomains Alte Testsysteme Versionsinformationen Unklare Zertifikate Unbekannte Hosts
Niedrig kritisch
Erwartete Webserver Erwartete Mailserver Standardmäßige DNS-Informationen Bekannte CDN-Systeme
Wichtig ist: Die technische Bewertung sollte immer mit dem tatsächlichen Betriebskontext abgeglichen werden.
Maßnahmen nach der Analyse
Eine SpiderFoot-Shodan-Analyse ist nur dann sinnvoll, wenn daraus konkrete Maßnahmen folgen.
Mögliche Schritte:
Unbekannte Systeme identifizieren Verantwortliche Fachbereiche ermitteln Nicht benötigte Dienste abschalten Firewall-Regeln anpassen Administrationszugänge einschränken VPN-Systeme aktualisieren MFA aktivieren Bannerinformationen reduzieren Zertifikate prüfen Dokumentation aktualisieren Regelmäßige Nachprüfung einführen
Besonders wichtig ist die Dokumentation. Viele Risiken entstehen nicht durch böswilliges Verhalten, sondern durch fehlende Übersicht.
Bedeutung für NIS2, ISO 27001 und BSI-Grundschutz
Für Unternehmen und öffentliche Einrichtungen ist die Kenntnis der eigenen Angriffsfläche ein zentraler Bestandteil der Informationssicherheit.
Wer nicht weiß, welche Systeme öffentlich erreichbar sind, kann diese Systeme auch nicht wirksam schützen.
Die Kombination aus SpiderFoot und Shodan unterstützt dabei:
Asset-Übersicht Angriffsflächenmanagement Schwachstellenmanagement Risikobewertung Dokumentation Kontinuierliche Verbesserung
Gerade im Umfeld von NIS2, ISO 27001 oder BSI-Grundschutz kann eine solche Analyse helfen, technische Risiken strukturiert sichtbar zu machen.
SpiderFoot ersetzt dabei kein vollständiges Schwachstellenmanagement. Es ist aber ein sehr guter Einstieg in die Frage: Was sieht ein Angreifer von außen?
Rechtliche und ethische Hinweise
SpiderFoot und Shodan sollten verantwortungsvoll eingesetzt werden.
Für die eigene Infrastruktur ist die Nutzung sinnvoll und legitim. Bei fremden Domains, fremden IP-Adressen oder externen Organisationen sollte man sehr vorsichtig sein.
Grundregel:
Analysiere nur Systeme, für die du zuständig bist oder für die du eine ausdrückliche Genehmigung hast.
Auch wenn viele Informationen öffentlich verfügbar sind, bedeutet das nicht automatisch, dass jede Nutzung unproblematisch ist. Datenschutz, Vertragsrecht und IT-Sicherheitsrecht können eine Rolle spielen.
Best Practices für den Einsatz
Für den produktiven Einsatz haben sich folgende Vorgehensweisen bewährt:
1. Nur eigene Domains und IP-Bereiche analysieren. 2. Shodan-API-Schlüssel sauber in SpiderFoot hinterlegen. 3. Scans regelmäßig wiederholen. 4. Ergebnisse mit der internen Asset-Liste vergleichen. 5. Kritische Dienste priorisiert prüfen. 6. Falsch-positive Ergebnisse dokumentieren. 7. Maßnahmen nachverfolgen. 8. Verantwortlichkeiten festlegen. 9. Ergebnisse nicht ungeschützt speichern. 10. Erkenntnisse in das Sicherheitsmanagement übernehmen.
Damit wird aus einer einmaligen OSINT-Recherche ein wiederholbarer Sicherheitsprozess.
SpiderFoot und Shodan ergänzen sich hervorragend. SpiderFoot sammelt und verknüpft OSINT-Informationen, während Shodan eine technische Außenansicht auf öffentlich erreichbare Systeme liefert.
Gemeinsam helfen beide Werkzeuge dabei, exponierte Systeme zu erkennen: offene Ports, Firewalls, VPN-Gateways, Remote-Zugänge, Administrationsoberflächen und vergessene Dienste. Genau diese Sicht ist für Unternehmen, Verwaltungen und Sicherheitsverantwortliche besonders wertvoll.
Denn Angreifer suchen nicht zuerst nach dem perfekt dokumentierten Produktivsystem. Sie suchen nach dem vergessenen Testserver, dem alten VPN-Gateway, der offen erreichbaren Datenbank oder dem Monitoring-Dashboard, das niemand mehr auf dem Schirm hatte.
Wer SpiderFoot und Shodan regelmäßig einsetzt, sieht die eigene Infrastruktur ein Stück weit mit den Augen eines Angreifers. Und genau das ist einer der wichtigsten Schritte zu besserer IT-Sicherheit.