Self-Hosted Cybersecurity

SpiderFoot und Shodan: Exponierte Systeme erkennen, bevor es andere tun (8)

Welche Systeme Ihrer Organisation sind tatsächlich aus dem Internet erreichbar? Die Kombination aus SpiderFoot und Shodan ermöglicht eine umfassende Analyse der externen Angriffsfläche. Erfahren Sie, wie offene Ports, VPN-Gateways, Firewalls und vergessene Dienste sichtbar werden und warum diese Informationen für moderne IT-Sicherheit unverzichtbar sind.

9 min Lesezeit
Grafik: SpiderFoot & Shodan: Die externe Angriffsfläche analysieren

Einleitung

Viele Sicherheitsprobleme beginnen nicht mit einem komplizierten Angriff, sondern mit einer einfachen Frage: Was ist eigentlich öffentlich erreichbar?

Genau hier wird die Kombination aus SpiderFoot und Shodan interessant. SpiderFoot sammelt, strukturiert und korreliert öffentlich verfügbare Informationen über Domains, IP-Adressen, Subdomains, E-Mail-Adressen und weitere Zielobjekte. Shodan ergänzt diese Sicht um eine besonders wichtige Perspektive: öffentlich erreichbare Systeme und Dienste im Internet.

Während klassische Suchmaschinen vor allem Webseiten und Inhalte auffindbar machen, sucht Shodan nach internetverbundenen Geräten und Diensten. Dazu gehören Webserver, Mailserver, VPN-Gateways, Firewalls, Kameras, Datenbanken, Remote-Zugänge oder andere Systeme, die über das Internet erreichbar sind.

Die Kombination aus SpiderFoot und Shodan hilft also dabei, die eigene externe Angriffsfläche besser zu verstehen. Für Administratoren, IT-Sicherheitsbeauftragte und Unternehmen ist das enorm wertvoll. Denn was Shodan findet, können grundsätzlich auch Angreifer finden.


Was macht Shodan?

Shodan wird häufig als Suchmaschine für das Internet der Dinge oder für internetverbundene Systeme beschrieben. Der Unterschied zu Google ist wichtig: Google indexiert Webseiten und Inhalte. Shodan interessiert sich stärker für technische Dienste, offene Ports, Banner-Informationen, Protokolle und Metadaten.

Ein Beispiel:

Ein normaler Webseitenbesucher sieht vielleicht nur:

https://www.example.de

Shodan kann dagegen zeigen, welche Dienste auf einer IP-Adresse erreichbar sind:

Port 80   HTTP
Port 443  HTTPS
Port 22   SSH
Port 25   SMTP
Port 3389 RDP
Port 500  VPN/IKE

Zusätzlich können Informationen sichtbar werden wie:

Server: Apache
Version: 2.4.x
TLS-Zertifikat
Hostname
Geolocation
Organisation
Betriebssystemhinweise
Produktbanner

Diese Informationen sind nicht automatisch ein Sicherheitsproblem. Sie zeigen aber, was öffentlich sichtbar ist. Und genau diese Sicht ist für Sicherheitsanalysen entscheidend.


Warum SpiderFoot und Shodan zusammen nutzen?

SpiderFoot ist besonders stark darin, viele Informationen aus unterschiedlichen Quellen zusammenzuführen. Shodan ist besonders stark darin, öffentlich erreichbare technische Dienste zu identifizieren.

Die Kombination beantwortet Fragen wie:

  • Welche IP-Adressen gehören zu meiner Domain?
  • Welche Hosts sind öffentlich erreichbar?
  • Welche Ports sind geöffnet?
  • Gibt es erreichbare VPN-Systeme?
  • Sind Firewalls oder Remote-Zugänge sichtbar?
  • Tauchen alte Testsysteme oder vergessene Subdomains auf?
  • Welche Dienste präsentieren Versionsinformationen?
  • Gibt es Hinweise auf veraltete oder falsch konfigurierte Systeme?

SpiderFoot übernimmt dabei die Rolle des Sammlers und Korrelierers. Shodan liefert zusätzliche technische Sichtbarkeit.


Typisches Szenario: Eine Domain wird untersucht

Nehmen wir als Beispiel eine Organisation mit folgender Domain:

example.de

SpiderFoot beginnt mit der Domain und findet möglicherweise:

www.example.de
mail.example.de
vpn.example.de
remote.example.de
test.example.de
portal.example.de

Anschließend werden IP-Adressen, DNS-Einträge, Zertifikate und weitere Verbindungen ermittelt. Wenn das Shodan-Modul aktiviert ist und ein API-Schlüssel hinterlegt wurde, kann SpiderFoot zusätzlich prüfen, welche dieser Systeme bei Shodan bekannt sind.

Das Ergebnis ist eine deutlich vollständigere Sicht auf die externe Infrastruktur.


Analyse offener Ports

Offene Ports gehören zu den wichtigsten Ergebnissen bei einer Shodan-Analyse.

Ein Port ist nicht grundsätzlich gefährlich. Ein Webserver benötigt beispielsweise Port 80 oder 443. Ein Mailserver benötigt bestimmte Mailports. Problematisch wird es aber, wenn unnötige oder riskante Dienste öffentlich erreichbar sind.

Beispiele für kritische oder prüfenswerte Ports:

22    SSH
23    Telnet
25    SMTP
80    HTTP
443   HTTPS
445   SMB
3389  RDP
5900  VNC
9200  Elasticsearch
3306  MySQL/MariaDB
5432  PostgreSQL
6379  Redis

Besonders aufmerksam sollte man bei Diensten sein, die normalerweise nicht frei aus dem Internet erreichbar sein sollten. Dazu gehören Datenbanken, Administrationsoberflächen, Remote-Desktop-Dienste oder Management-Schnittstellen.

SpiderFoot kann solche Funde in einen größeren Zusammenhang setzen. Eine einzelne offene Datenbank ist bereits auffällig. Noch interessanter wird es, wenn diese Datenbank mit einer vergessenen Subdomain, einem alten Zertifikat oder einem Testsystem verbunden ist.


Firewalls erkennen

Auch Firewalls können in Shodan auftauchen. Das ist nicht automatisch ein Fehler, denn Firewalls und Security-Gateways müssen häufig aus dem Internet erreichbar sein. Entscheidend ist jedoch, welche Informationen sie preisgeben.

Mögliche Hinweise sind:

Produktname
Firmware-Version
Management-Oberfläche
VPN-Portal
SSL-Zertifikat
Hostname
Login-Banner

Solche Informationen können Angreifern helfen, gezielt nach bekannten Schwachstellen zu suchen. Wenn ein System beispielsweise eindeutig als bestimmtes Firewall-Modell mit veralteter Firmware erkennbar ist, entsteht ein konkretes Risiko.

Für Sicherheitsverantwortliche ist deshalb wichtig:

  • Welche Firewall-Systeme sind öffentlich sichtbar?
  • Ist nur das notwendige VPN-Portal erreichbar?
  • Ist die Administrationsoberfläche aus dem Internet erreichbar?
  • Werden Versionsnummern offengelegt?
  • Sind Zertifikate aktuell?
  • Gibt es Hinweise auf Standardkonfigurationen?

Die Aufgabe besteht nicht darin, jede Sichtbarkeit zu vermeiden. Die Aufgabe besteht darin, unnötige Sichtbarkeit zu reduzieren.


VPN-Systeme analysieren

VPN-Gateways sind besonders sensible Systeme. Sie sind häufig bewusst öffentlich erreichbar, weil Mitarbeitende, Dienstleister oder Außenstellen darüber auf interne Ressourcen zugreifen.

Gerade deshalb sind sie ein beliebtes Ziel für Angriffe.

SpiderFoot und Shodan können helfen, VPN-Systeme zu identifizieren, etwa über:

vpn.example.de
remote.example.de
ssl-vpn.example.de
gateway.example.de

Shodan kann zusätzlich Hinweise auf Protokolle oder Produkte liefern:

IPsec
OpenVPN
SSL-VPN
WireGuard
Fortinet
Palo Alto
Cisco
Sophos
SonicWall

Für die Sicherheitsbewertung sind folgende Fragen wichtig:

  • Ist das VPN-System bekannt und dokumentiert?
  • Ist es noch im produktiven Einsatz?
  • Ist die Software aktuell?
  • Gibt es unnötige Bannerinformationen?
  • Ist Mehrfaktor-Authentifizierung aktiviert?
  • Gibt es alte Parallelzugänge?
  • Sind Test- oder Übergangssysteme noch erreichbar?

Gerade alte VPN-Zugänge werden in der Praxis gerne vergessen. Ein neues System wird eingeführt, das alte bleibt „zur Sicherheit“ noch online und verschwindet dann aus dem Blickfeld. Shodan findet solche Systeme oft trotzdem.


Öffentlich erreichbare Dienste

Neben klassischen Webservern, Firewalls und VPN-Systemen können viele weitere Dienste öffentlich sichtbar sein.

Dazu gehören beispielsweise:

Mailserver
FTP-Server
SSH-Zugänge
Datenbanken
Monitoring-Systeme
Backup-Systeme
NAS-Systeme
Kamera-Systeme
IoT-Geräte
Entwicklungsserver
Staging-Systeme
Administrationsoberflächen

Nicht jeder öffentlich erreichbare Dienst ist problematisch. Aber jeder öffentlich erreichbare Dienst vergrößert die Angriffsfläche.

Ein typisches Problem ist nicht der bewusst betriebene Webserver, sondern das vergessene Nebensystem:

dev.example.de
test.example.de
backup.example.de
old-vpn.example.de
grafana.example.de
monitoring.example.de

Solche Systeme entstehen häufig im Alltag:

  • für Tests
  • für Migrationen
  • für externe Dienstleister
  • für kurzfristige Projekte
  • für Monitoring
  • für Altverfahren
  • für Notfallzugänge

Ohne regelmäßige Kontrolle bleiben sie oft jahrelang erreichbar.


Was SpiderFoot aus Shodan-Daten macht

Der eigentliche Vorteil entsteht nicht nur durch die Shodan-Daten selbst, sondern durch deren Einordnung in SpiderFoot.

SpiderFoot kann Funde miteinander verknüpfen:

Domain → Subdomain → IP-Adresse → offener Port → Dienst → Produkt → Risiko

Dadurch entsteht eine Art Landkarte der eigenen externen Infrastruktur.

Ein Beispiel:

example.de
└── vpn.example.de
    └── 203.0.113.10
        ├── Port 443 HTTPS
        ├── SSL-VPN Portal
        ├── Produktbanner
        └── Zertifikat mit weiterem Hostnamen

Diese Kette ist wertvoller als ein einzelner Portscan. Sie zeigt nicht nur, dass ein Dienst offen ist, sondern auch, wie er mit der restlichen Organisation zusammenhängt.


Passive Sicht statt aktiver Angriff

Ein wichtiger Vorteil von Shodan besteht darin, dass viele Informationen bereits gesammelt wurden. Das bedeutet: Man muss nicht zwangsläufig selbst einen aggressiven Scan gegen die eigene Infrastruktur durchführen, um einen ersten Eindruck zu gewinnen.

Gerade für Unternehmen, Verwaltungen oder Organisationen mit sensiblen Systemen ist das hilfreich. Man erhält eine externe Sicht, ohne sofort selbst viele Prüfungen auszulösen.

Trotzdem gilt: Auch OSINT-Analysen müssen verantwortungsvoll durchgeführt werden. Für fremde Systeme sollte keine Analyse ohne Genehmigung erfolgen. Für eigene Systeme ist SpiderFoot mit Shodan dagegen ein sehr gutes Werkzeug zur Selbsteinschätzung.


Typische Risiken, die sichtbar werden können

Die Kombination aus SpiderFoot und Shodan kann verschiedene Risikotypen sichtbar machen.

1. Unerwartete offene Ports

Beispiel:

PostgreSQL auf Port 5432 öffentlich erreichbar

Das sollte in den meisten Fällen nicht der Fall sein.

2. Veraltete Dienste

Beispiel:

Apache, nginx, OpenSSH oder VPN-Gateway mit alter Versionskennung

Nicht jede sichtbare Versionsnummer bedeutet automatisch eine Schwachstelle. Sie ist aber ein Hinweis für die Prüfung.

3. Vergessene Testsysteme

Beispiel:

test.example.de
dev.example.de
staging.example.de

Gerade solche Systeme sind häufig schlechter abgesichert als Produktivsysteme.

4. Öffentliche Administrationsoberflächen

Beispiel:

Firewall-Login
Router-Login
NAS-Login
Monitoring-Dashboard

Administrationsoberflächen sollten nur sehr kontrolliert erreichbar sein.

5. Schwache Segmentierung

Wenn interne Dienste direkt aus dem Internet erreichbar sind, deutet das häufig auf fehlende Netztrennung oder falsch konfigurierte Firewall-Regeln hin.


Praxisbeispiel: Exponierte Systeme erkennen

Eine Organisation möchte ihre externe Angriffsfläche prüfen. Sie startet in SpiderFoot einen Scan auf die eigene Hauptdomain.

SpiderFoot findet:

www.example.de
mail.example.de
vpn.example.de
citrix.example.de
monitoring.example.de
backup.example.de

Über Shodan werden weitere Informationen sichtbar:

vpn.example.de      HTTPS / SSL-VPN
mail.example.de     SMTP, IMAP, HTTPS
monitoring.example.de HTTPS Login-Oberfläche
backup.example.de   SSH und Webinterface

Die Bewertung könnte lauten:

www.example.de
Erwartet und unkritisch, sofern aktuell und sauber gehärtet.

mail.example.de
Erwartet, aber Mailserver-Konfiguration prüfen.

vpn.example.de
Erwartet, aber besonders kritisch. Patchstand und MFA prüfen.

monitoring.example.de
Auffällig. Sollte nicht öffentlich erreichbar sein.

backup.example.de
Kritisch. Backup-Systeme dürfen normalerweise nicht öffentlich exponiert sein.

Damit entsteht eine konkrete Aufgabenliste für die IT.


Priorisierung der Ergebnisse

Nicht jeder Fund hat dieselbe Dringlichkeit. Deshalb sollte man Ergebnisse priorisieren.

Eine mögliche Bewertung:

Hoch kritisch

Öffentliche Datenbanken
Öffentliche Backup-Systeme
Öffentliche Administrationsoberflächen
Veraltete VPN-Systeme
Offene Remote-Desktop-Dienste
Telnet
SMB aus dem Internet

Mittel kritisch

Unbekannte Subdomains
Alte Testsysteme
Versionsinformationen
Unklare Zertifikate
Unbekannte Hosts

Niedrig kritisch

Erwartete Webserver
Erwartete Mailserver
Standardmäßige DNS-Informationen
Bekannte CDN-Systeme

Wichtig ist: Die technische Bewertung sollte immer mit dem tatsächlichen Betriebskontext abgeglichen werden.


Maßnahmen nach der Analyse

Eine SpiderFoot-Shodan-Analyse ist nur dann sinnvoll, wenn daraus konkrete Maßnahmen folgen.

Mögliche Schritte:

Unbekannte Systeme identifizieren
Verantwortliche Fachbereiche ermitteln
Nicht benötigte Dienste abschalten
Firewall-Regeln anpassen
Administrationszugänge einschränken
VPN-Systeme aktualisieren
MFA aktivieren
Bannerinformationen reduzieren
Zertifikate prüfen
Dokumentation aktualisieren
Regelmäßige Nachprüfung einführen

Besonders wichtig ist die Dokumentation. Viele Risiken entstehen nicht durch böswilliges Verhalten, sondern durch fehlende Übersicht.


Bedeutung für NIS2, ISO 27001 und BSI-Grundschutz

Für Unternehmen und öffentliche Einrichtungen ist die Kenntnis der eigenen Angriffsfläche ein zentraler Bestandteil der Informationssicherheit.

Wer nicht weiß, welche Systeme öffentlich erreichbar sind, kann diese Systeme auch nicht wirksam schützen.

Die Kombination aus SpiderFoot und Shodan unterstützt dabei:

Asset-Übersicht
Angriffsflächenmanagement
Schwachstellenmanagement
Risikobewertung
Dokumentation
Kontinuierliche Verbesserung

Gerade im Umfeld von NIS2, ISO 27001 oder BSI-Grundschutz kann eine solche Analyse helfen, technische Risiken strukturiert sichtbar zu machen.

SpiderFoot ersetzt dabei kein vollständiges Schwachstellenmanagement. Es ist aber ein sehr guter Einstieg in die Frage: Was sieht ein Angreifer von außen?


Rechtliche und ethische Hinweise

SpiderFoot und Shodan sollten verantwortungsvoll eingesetzt werden.

Für die eigene Infrastruktur ist die Nutzung sinnvoll und legitim. Bei fremden Domains, fremden IP-Adressen oder externen Organisationen sollte man sehr vorsichtig sein.

Grundregel:

Analysiere nur Systeme, für die du zuständig bist oder für die du eine ausdrückliche Genehmigung hast.

Auch wenn viele Informationen öffentlich verfügbar sind, bedeutet das nicht automatisch, dass jede Nutzung unproblematisch ist. Datenschutz, Vertragsrecht und IT-Sicherheitsrecht können eine Rolle spielen.


Best Practices für den Einsatz

Für den produktiven Einsatz haben sich folgende Vorgehensweisen bewährt:

1. Nur eigene Domains und IP-Bereiche analysieren.
2. Shodan-API-Schlüssel sauber in SpiderFoot hinterlegen.
3. Scans regelmäßig wiederholen.
4. Ergebnisse mit der internen Asset-Liste vergleichen.
5. Kritische Dienste priorisiert prüfen.
6. Falsch-positive Ergebnisse dokumentieren.
7. Maßnahmen nachverfolgen.
8. Verantwortlichkeiten festlegen.
9. Ergebnisse nicht ungeschützt speichern.
10. Erkenntnisse in das Sicherheitsmanagement übernehmen.

Damit wird aus einer einmaligen OSINT-Recherche ein wiederholbarer Sicherheitsprozess.


SpiderFoot und Shodan ergänzen sich hervorragend. SpiderFoot sammelt und verknüpft OSINT-Informationen, während Shodan eine technische Außenansicht auf öffentlich erreichbare Systeme liefert.

Gemeinsam helfen beide Werkzeuge dabei, exponierte Systeme zu erkennen: offene Ports, Firewalls, VPN-Gateways, Remote-Zugänge, Administrationsoberflächen und vergessene Dienste. Genau diese Sicht ist für Unternehmen, Verwaltungen und Sicherheitsverantwortliche besonders wertvoll.

Denn Angreifer suchen nicht zuerst nach dem perfekt dokumentierten Produktivsystem. Sie suchen nach dem vergessenen Testserver, dem alten VPN-Gateway, der offen erreichbaren Datenbank oder dem Monitoring-Dashboard, das niemand mehr auf dem Schirm hatte.

Wer SpiderFoot und Shodan regelmäßig einsetzt, sieht die eigene Infrastruktur ein Stück weit mit den Augen eines Angreifers. Und genau das ist einer der wichtigsten Schritte zu besserer IT-Sicherheit.