Shodan: Die Suchmaschine für das Internet der Dinge
Shodan ist eine Suchmaschine, die öffentlich erreichbare Geräte, Server und Dienste im Internet indexiert - nicht Webseiteninhalte, sondern technische Service-Banner mit Softwareversionen, offenen Ports und Konfigurationsdaten. Für Penetrationstester, Sicherheitsforscher und Unternehmen ist Shodan ein zentrales Werkzeug zur Analyse der eigenen Angriffsfläche.
Inhaltsverzeichnis (7 Abschnitte)
Shodan ist eine spezialisierte Suchmaschine, die nicht Webseiteninhalte indexiert, sondern öffentlich erreichbare Dienste, Geräte und Server analysiert. Der Name ist eine Referenz auf SHODAN (Sentient Hyper-Optimized Data Access Network), die omnisciente KI-Antagonistin aus dem Computerspiel System Shock (1994). Gründer John Matherly konzipierte die Idee 2003 und lancierte den Dienst 2009 - ursprünglich mit dem internen Slogan "netcraft for everything", also als Erweiterung des bekannten Web-Server-Fingerprinting-Dienstes auf alle Netzwerkprotokolle. Statt HTML-Seiten zu crawlen, wertet Shodan technische Service-Banner aus - jene Antworten, die Systeme beim Verbindungsaufbau senden und dabei Softwareversionen, offene Ports und Konfigurationsdetails preisgeben. Das Ergebnis ist ein strukturiertes Abbild der globalen Angriffsfläche, das Penetrationstester und Sicherheitsverantwortliche ebenso nutzen wie staatliche Angreifer und kriminelle Akteure.
Funktionsweise: Banner Grabbing im Internet-Massstab
Das Grundprinzip von Shodan ist technisch elegant und erschreckend effektiv zugleich: Der Dienst scannt kontinuierlich alle IPv4-Adressen (und zunehmend IPv6) und baut Verbindungen zu den häufigsten Ports auf. Antwortet ein System, speichert Shodan das sogenannte Service-Banner - den Textblock, mit dem sich ein Dienst beim Verbindungsaufbau vorstellt.
Was ein Banner verrät
Ein typisches SSH-Banner sieht so aus:
SSH-2.0-OpenSSH_7.4
Protocol mismatch.Ein HTTP-Response-Header liefert noch mehr:
HTTP/1.1 200 OK
Server: Apache/2.4.49 (Ubuntu)
X-Powered-By: PHP/7.4.3
Content-Type: text/html; charset=UTF-8In diesen wenigen Zeilen steckt für einen Angreifer alles Wesentliche: Softwarename, Version, Betriebssystem. Apache 2.4.49 ist beispielsweise die Version, die 2021 für die kritische Path-Traversal-Schwachstelle CVE-2021-41773 bekannt wurde. Shodan indexiert solche Banner und macht sie in Sekundenschnelle auffindbar - für alle Nutzer weltweit.
Scanning-Infrastruktur
Shodan betreibt verteilte Scanner in verschiedenen Rechenzentren und scannt jede IP-Adresse in unregelmässigen Abständen. Die Daten werden in einer Datenbank gespeichert und über eine Suchoberfläche sowie eine REST-API zugänglich gemacht. Shodan scannt typischerweise mehrere hundert Ports - von den Standard-Ports 22 (SSH), 80 (HTTP), 443 (HTTPS) und 3389 (RDP) bis zu spezialisierten Industrieprotokoll-Ports wie 502 (Modbus) oder 102 (Siemens S7).
Suchsyntax und Filter
Die Stärke von Shodan liegt nicht in der einfachen Freitextsuche, sondern in der Kombination gezielter Filter. Diese Syntax ist über Jahre stabil geblieben und bildet den Standard für alle vergleichbaren Dienste.
Grundlegende Filter
| Filter | Beispiel | Bedeutung |
|---|---|---|
port: | port:22 | Dienste auf einem bestimmten Port |
country: | country:DE | Geräte in einem Land (ISO-Code) |
city: | city:Frankfurt | Geräte in einer Stadt |
org: | org:"Hetzner Online" | Geräte einer Organisation/eines ASN |
isp: | isp:"Deutsche Telekom" | Geräte eines Internetproviders |
product: | product:"Apache httpd" | Bestimmte Software |
version: | version:"2.4.49" | Bestimmte Softwareversion |
os: | os:"Windows Server 2019" | Betriebssystem |
hostname: | hostname:example.com | Hostname enthält diesen String |
net: | net:85.13.0.0/16 | IP-Bereich (CIDR-Notation) |
asn: | asn:AS24940 | Autonomes System (ASN) |
before: / after: | before:2025-01-01 | Zeitraum des Scans |
vuln: | vuln:CVE-2021-44228 | Bekannte Schwachstelle (Pro-Feature) |
Praxisbeispiele
Offene RDP-Zugänge in Deutschland:
port:3389 country:DE os:"Windows Server"Veraltete Apache-Versionen mit bekannter Schwachstelle:
product:"Apache httpd" version:"2.4.49"Industriesteuerungen (SCADA/ICS) in Europa:
port:502 country:DE OR country:AT OR country:CHMongoDB-Instanzen ohne Authentifizierung:
product:MongoDB port:27017 -authenticationWebcams mit Standard-Banner:
"webcamXP" country:DEEigene Organisation prüfen:
org:"Mein Unternehmen GmbH" -port:443 -port:80Der letzte Suchbefehl ist besonders wertvoll: Er zeigt alle Dienste einer Organisation, die nicht auf den Standard-Webports laufen - also potenzielle Überraschungen in der eigenen Infrastruktur.
Anwendungsbereiche
Penetrationstest und Reconnaissance
Im Rahmen eines Penetrationstests gehört Shodan zur Reconnaissance-Phase - noch bevor ein einziges Paket an das Zielnetzwerk gesendet wird. Wie im Wiki-Artikel zu Pentest-Tools beschrieben, steht Shodan in der Aufklärungsphase neben OSINT-Tools wie Maltego, theHarvester und Amass.
Der typische Ablauf in einem Penetrationstest:
- Scope-Analyse: Alle IP-Ranges und Hostnamen des Auftraggebers in Shodan prüfen
- Expositionsanalyse: Welche Dienste sind öffentlich erreichbar - gewollt und ungewollt?
- Versionserkennung: Veraltete Software mit bekannten CVEs identifizieren
- Prioritisierung: Hochwertige Ziele (RDP, VPN-Endpoints, Industriesteuerungen) für aktives Scanning priorisieren
Shodan hinterlässt dabei keine direkten Spuren beim Zielsystem - die Shodan-Scanner haben die Verbindungen längst aufgebaut und die Daten sind bereits in der Datenbank. Das macht Shodan-Recherchen zur reinen passiven Reconnaissance.
Attack Surface Management
Für Unternehmen ist Shodan ein dauerhaftes Monitoring-Werkzeug. Shodan Monitor erlaubt es, eigene IP-Ranges zu hinterlegen und Alerts zu konfigurieren: Sobald Shodan einen neuen offenen Port oder eine neue Softwareversion in der eigenen Infrastruktur entdeckt, wird eine Benachrichtigung verschickt. Das ist die technische Grundlage für externes Attack Surface Management.
Typische Erkenntnisse aus regelmässigem Shodan-Monitoring:
- Vergessene Test- und Entwicklungssysteme mit direkter Internetexposition
- Cloud-Ressourcen, die durch Fehlkonfiguration public geworden sind
- Neue Dienste nach Infrastrukturänderungen, die das Netzwerkteam nicht kommuniziert hat
- Softwareupdates, die die Versionsinformation nicht korrekt aktualisiert haben
Sicherheitsforschung
Shodan ist ein unverzichtbares Werkzeug für die Sicherheitsforschung. Forscher nutzen Shodan, um die globale Verteilung bestimmter Softwareversionen zu messen, den Patch-Stand nach öffentlichen CVEs zu verfolgen oder die Exposition bestimmter Infrastrukturtypen zu quantifizieren. Berichte über ungesicherte Datenbanken, exponierte Industriesteuerungen oder verbreitete Fehlkonfigurationen basieren häufig auf Shodan-Auswertungen.
Shodan vs. Censys vs. ZoomEye
Shodan ist nicht das einzige Tool seiner Art. Drei Dienste dominieren den Markt, unterscheiden sich aber in Schwerpunkten und Zielgruppe:
| Merkmal | Shodan | Censys | ZoomEye |
|---|---|---|---|
| Gegründet | 2009 | 2015 | 2013 |
| Herkunft | USA | USA (Univ. Michigan) | China (Knownsec) |
| Schwerpunkt | Geräte, IoT, ICS | TLS-Zertifikate, Host-Analyse | Asiatischer Markt, CN-Infrastruktur |
| Stärken | Breite Port-Abdeckung, API-Reife, Shodan Monitor | Zertifikats-Graphen, strukturierte Daten, kostenlos für Forscher | Umfangreiche CN-Daten, IPv6-Abdeckung |
| Kostenlos | Eingeschränkt | Eingeschränkt | Eingeschränkt |
| API | Ja, gut dokumentiert | Ja, GraphQL und REST | Ja |
| CVE-Suche | Ja (Pro) | Ja | Eingeschränkt |
| Rechtliche Basis | US-amerikanisch | US-amerikanisch | Chinesisch |
Für europäische Penetrationstester ist zudem FOFA (ebenfalls China) und das europäische netlas.io relevant, das sich auf strukturierte Netzwerkdaten spezialisiert hat. In der Praxis ergänzen sich Shodan und Censys gut: Shodan hat oft breitere Port-Abdeckung und reifere IoT-Daten, Censys ist bei TLS-Zertifikaten und strukturierten Hostdaten stärker. Censys entstand 2015 als akademisches Forschungsprojekt an der University of Michigan: Zakir Durumeric, David Adrian, Ariana Mirian, Michael Bailey und J. Alex Halderman veröffentlichten den Grundlagenaufsatz "A Search Engine Backed by Internet-Wide Scanning" auf der ACM CCS 2015, der sowohl die technische Architektur als auch ethische Leitlinien für Internet-Wide-Scanning dokumentiert. Bereits 2013 hatte dieselbe Forschergruppe mit ZMap einen Open-Source-Scanner vorgestellt, der das gesamte IPv4-Adressraum in unter 45 Minuten von einem einzelnen Rechner aus scannen kann (USENIX Security 2013).
Rechtliche Einordnung
Die Nutzung von Shodan selbst ist legal. Shodan greift nur auf öffentlich erreichbare Dienste zu und wertet deren Antworten aus - dasselbe tut technisch gesehen jeder Browser beim Aufrufen einer Website. In Deutschland, Österreich und der Schweiz gilt jedoch:
Das Aufrufen gefundener Systeme ohne Erlaubnis ist strafbar. § 202a StGB (Deutschland) - "Ausspähen von Daten" - stellt den unbefugten Zugriff auf gesicherte Daten unter Strafe. Auch wenn ein System kein Passwort hat oder ein Standardpasswort verwendet, fehlt die Zugangsberechtigung des Nutzers. "Das war ja offen" ist keine Rechtfertigung.
Für Penetrationstester bedeutet das: Shodan-Recherchen sind Bestandteil der beauftragten Reconnaissance - der schriftliche Auftrag des Systembesitzers muss vorliegen, bevor über Shodan gefundene Systeme aktiv untersucht werden. Ohne diesen Auftrag ist Shodan ein reines Informationswerkzeug, kein Angriffsvektor.
Für Sicherheitsverantwortliche gilt umgekehrt: Sie dürfen und sollten Shodan nutzen, um die eigene Infrastruktur aus Angreiferperspektive zu betrachten - das ist ausdrücklich erlaubt und empfehlenswert.
Schutzmassnamen: Wie man nicht (oder nur kontrolliert) auf Shodan erscheint
Vollständige Unsichtbarkeit bei Shodan ist für öffentlich erreichbare Dienste nicht möglich - wer einen Port offen hat, wird gefunden. Das Ziel ist stattdessen, das was Shodan findet, so wenig angriffswürdig wie möglich zu machen.
Angriffsfläche reduzieren
Ports konsequent schliessen: Jeder offene Port, der nicht zwingend notwendig ist, sollte geschlossen werden. Firewall-Regeln müssen explizit erlauben, was erreichbar sein soll - alles andere ist standardmässig geblockt. Eine Firewall-Konfiguration nach dem Allowlist-Prinzip reduziert die Shodan-sichtbare Angriffsfläche drastisch.
VPN statt direkter Exposition: Administrations-Zugänge (SSH, RDP, Weboberflächen) sollten nie direkt aus dem Internet erreichbar sein. Ein VPN-Gateway als einziger Eintrittspunkt reduziert die Shodan-sichtbare Angriffsfläche auf einen einzigen, gehärteten Dienst. WireGuard oder OpenVPN eignen sich für diesen Zweck.
Cloud-Konfigurationen prüfen: Security Groups, Network ACLs und Firewall-Regeln in Cloud-Umgebungen (AWS, Azure, GCP) sollten regelmässig geprüft werden. Der häufigste Shodan-Fund bei Unternehmen sind Cloud-Ressourcen, die durch Fehlkonfiguration versehentlich public geworden sind.
Informationsexposition minimieren
Versionsinformationen unterdrücken: Webserver, Applikationsserver und andere Dienste senden oft detaillierte Versionsinformationen im Banner. Diese lassen sich in der Konfiguration unterdrücken:
# nginx: Versionsinformation ausblenden
server_tokens off;# Apache: Versionsinformation einschränken
ServerTokens Prod
ServerSignature OffStandard-Passwörter sofort ändern: Jedes neue Gerät und jeder neue Dienst muss sofort ein starkes, einzigartiges Passwort erhalten. Standard-Passwörter sind das am häufigsten ausgenutzte Einfallstor bei IoT-Geräten.
Firmware aktuell halten: Veraltete Firmware-Versionen sind in Shodan-Bannern direkt ablesbar und korrelieren mit bekannten CVEs. Regelmässige Updates sind nicht nur aus Sicherheitsgründen wichtig, sondern reduzieren auch die Attraktivität als Angriffsziel in automatisierten Scans.
Monitoring einrichten
Shodan Monitor: Shodan bietet einen eigenen Monitoring-Dienst, mit dem eigene IP-Ranges überwacht werden können. Alerts bei neuen Funden oder Änderungen ermöglichen schnelle Reaktion. Dieser Dienst ist für Sicherheitsverantwortliche ein einfacher Einstieg in kontinuierliches externes Asset-Monitoring.
Regelmässige Selbstscans: Sicherheitsteams sollten ihre eigene Infrastruktur regelmässig mit Shodan durchsuchen - aus der Perspektive eines Angreifers. Was ein Angreifer in fünf Minuten über die eigene Organisation herausfinden kann, sollte jedes Sicherheitsteam selbst in fünf Minuten wissen.
Integration in Vulnerability Management: Shodan-Daten lassen sich über die API in Vulnerability-Management-Prozesse integrieren. Die Kombination aus internem Asset-Inventar und externen Shodan-Daten deckt Diskrepanzen auf - Systeme, die intern unbekannt sind, aber extern erreichbar.
Fazit
Shodan ist ein Spiegel - und was er zeigt, ist oft ernüchternd. Vergessene Systeme, veraltete Software, offene Datenbanken und schlecht konfigurierte IoT-Geräte sind keine Ausnahmen, sondern Alltag in Unternehmensinfrastrukturen. Diese Realität existiert unabhängig davon, ob Sicherheitsverantwortliche Shodan kennen oder nicht. Angreifer kennen es.
Der richtige Umgang mit Shodan ist deshalb nicht, den Dienst zu ignorieren oder als "Werkzeug für Hacker" abzutun. Der richtige Umgang ist, ihn regelmässig für die eigene Infrastruktur zu nutzen - als Kontrollinstrument, als Ergänzung zu internen Scans und als Perspektivwechsel. Wer weiss, was ein Angreifer in fünf Minuten über das eigene Unternehmen herausfinden kann, kann gezielte Massnahmen ableiten.
Im Penetrationstest gehört Shodan zur Standardausrüstung der Reconnaissance-Phase. Im Sicherheitsbetrieb gehört es zum Monitoring. In beiden Fällen gilt: Die Information selbst ist neutral - entscheidend ist, wer sie zuerst hat und was damit gemacht wird.
Quellen & Referenzen
- [1] Shodan - Official Website and Help Documentation - Shodan
- [2] Durumeric et al.: A Search Engine Backed by Internet-Wide Scanning (ACM CCS 2015) - Censys - ACM Conference on Computer and Communications Security (CCS)
- [3] Durumeric et al.: ZMap - Fast Internet-wide Scanning and Its Security Applications (USENIX Security 2013) - USENIX Security Symposium
- [4] Tundis et al.: An exploratory analysis on the impact of Shodan scanning tool on network attacks (ARES 2021) - ACM / ARES Conference
- [5] Shodan Enterprise - Official Product Documentation - Shodan
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking - Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
