Shodan, Censys, Coalition Control: IT-Scanner im Vergleich

Shodan

Shodan wird oft als die erste Suchmaschine für das Internet der Dinge (IoT) bezeichnet. Sie basiert auf dem Konzept des Banner Grabbings. Dabei stellt ein Crawler eine Verbindung zu einer IP-Adresse her und erfasst die Antwort des Dienstes – das Banner –, das Informationen über die verwendete Software und deren Versionen preisgibt. Um geografische Verzerrungen zu vermeiden, betreibt Shodan ein global verteiltes Crawling-Netzwerk.

Die Abfolge der Crawler-Logik umfasst dabei folgende Schritte zur Datenerhebung:

• Generierung einer vollständig zufälligen IPv4-Adresse zur Vermeidung von Scan-Mustern.
• Auswahl eines zufälligen Zielports aus der Liste der unterstützten Protokolle.
• Verbindungsversuch und Erfassung der Antwort sowie der zugehörigen Metadaten.
• Automatisches Umschalten des Protokoll-Handlers bei Erkennung unüblicher Ports.
• Durchführung von Kaskadenscans bei Informationen über weitere Peers (zum Beispiel BitTorrent-DHT).

Über die reine Suche hinaus bietet die Plattform Werkzeuge wie den Shodan Monitor, der Organisationen bei der Überwachung eigener IP-Bereiche unterstützt.

Preise

Die Preismodelle von Shodan richten sich dabei sowohl an Einzelnutzer als auch an Unternehmen. Einzelnutzer können einen kostenlosen Account nutzen oder eine lebenslange Mitgliedschaft für einmalig 49 US-Dollar erwerben. Professionelle Anwender nutzen monatliche Abonnements, die beim Freelancer-Plan für 69 US-Dollar beginnen und über den SmallBusiness-Plan (359 US-Dollar) bis hin zur Corporate-Lösung für 1.099 US-Dollar pro Monat reichen. Letztere bietet unbegrenzte Ergebnisse und Premium-Support.

Für Organisationen nennt Shodan außerdem Enterprise-Lizenzen mit individueller Preisgestaltung und ohne klassisches Pro-User-Modell. Der Preis richtet sich dort eher nach Datenvolumen, API-Nutzung und Anzahl überwachter IPs als nach der Zahl der Endnutzer.

Censys

Bei Censys stehen die Präzision und Tiefe von Infrastrukturdaten im Mittelpunkt, wobei die Analyse von SSL/TLS-Zertifikaten eine zentrale Rolle spielt. Mit einem Repository von über 15 Milliarden X.509-Dokumenten verfügt Censys über eine umfassende Sammlung digitaler Zertifikate. Ein Alleinstellungsmerkmal ist die Integration von Certificate Transparency (CT), durch die neue Server oft schon bei der Zertifikatsausstellung entdeckt werden.

Im Rahmen der technischen Analyse setzt Censys mit folgenden Leistungsmerkmalen Maßstäbe:

• Systematischer Scan aller 65.535 Ports für eine lückenlose Sichtbarkeit.
• Hohe Datengüte mit einer Genauigkeit von etwa 92 Prozent bei aktiven Diensten.
• Schnelle Indizierung neuer Services, oft in weniger als 24 Stunden.
• Validierungsinformationen, die den Vertrauensstatus in gängigen Browsern widerspiegeln.

Preise

Censys bietet vier Preisstufen: Free, Starter, Search und Enterprise. Free und Starter lassen sich über Censys Credits beziehungsweise einen Kauf nach oben erweitern. Für Search- und Enterprise-Daten und -Funktionen soll man den Vertrieb kontaktieren.

Öffentlich sichtbare Preisangaben variieren je nach Quelle und Stand, aber als grobe Orientierung nennt die F6S-Produktseite ein Free-Tier mit 0 US-Dollar, einen Starter-Plan mit 100 US-Dollar und höhere kommerzielle Tiers; AWS Marketplace zeigt Censys Search Teams mit 5.390 US-Dollar pro Jahr für 5 Nutzer und 3.750 monatliche Queries.

Coalition Control (BinaryEdge)

Nach der Übernahme durch Coalition im Jahr 2020 wurde die eigenständige Plattform BinaryEdge am 31. März 2025 eingestellt. Deren Technologie bildet nun das Rückgrat von Coalition Control. Der Fokus hat sich damit von einer reinen Recherche-Engine zu einer Active Insurance verschoben. Hierbei werden Scanning-Daten genutzt, um Unternehmen proaktiv vor neuen Schwachstellen zu warnen und Risiken zu quantifizieren.

Die Integration der ehemaligen BinaryEdge-Engine bietet heute folgende Kernfunktionen:

• Kontinuierliche Überwachung von Unternehmenseinheiten und Risiko-Scoring.
• Erkennung von über 100 Port-Typen mit Fokus auf risikoreiche Dienste wie RDP oder SMB.
• Bereitstellung von Echtzeit-Alerts bei kritischen Änderungen in der Angriffsfläche.
• Integration von Daten aus Leaks zur Bewertung der Identitätssicherheit.

Der Zugang zu diesen Sicherheitsressourcen ist eng mit der Absicherung von Unternehmenswerten verknüpft.

Preise

Für Coalition Control gibt es keine öffentlich sauber ausgewiesene Preisliste wie bei den alten BinaryEdge-Tarifen.

Coalition ist in erster Linie ein Cyberversicherer mit integrierter Risikomanagement-Plattform. Die Nutzung der Scanning- und Risk-Insights-Funktionen ist typischerweise an den Versicherungs- oder Broker-Kontext gebunden und die Preisfindung erfolgt risikobasiert unter Einbezug der Sicherheitslage, des Technik-Stacks und der Versicherungsdaten.

Rechtliche Bewertung

Der Einsatz dieser Werkzeuge im DACH-Raum ist rechtlich sensibel. Zwar wird die Nutzung für Verteidigungszwecke empfohlen, doch die DSGVO setzt klare Grenzen, da IP-Adressen als personenbezogene Daten gelten. Unternehmen stützen sich in der Regel auf das berechtigte Interesse.

IT-Verantwortliche müssen bei der Nutzung von Scanning-Plattformen folgende Grundsätze beachten:

• Dokumentation der Datennutzung zur Erfüllung der Rechenschaftspflicht.
• Wahrung der Transparenzpflichten gegenüber Mitarbeitern bei Infrastrukturscans.
• Verbot der Überprüfung privater Arbeitsgeräte im Home-Office ohne ausdrückliche Zustimmung.

Cybersecurity-Trends

Die technologische Entwicklung im Jahr 2026 transformiert Scanning-Plattformen von passiven Datenbanken zu aktiven Komponenten in autonomen Security Operations Centern (SOC). Durch die Integration von KI können massive Datenmengen in Echtzeit korreliert werden, um komplexe Angriffsvektoren frühzeitig zu neutralisieren.

Folgende Entwicklungen prägen derzeit die technologische Ausrichtung des Scanning-Marktes:

• Agentic AI: Autonome KI-Agenten identifizieren Schwachstellen und leiten selbstständig Gegenmaßnahmen, wie das Sperren von Cloud-Ports, ein.
• Machine Identity Management: Die Überwachung nicht-menschlicher Identitäten und deren Zertifikate wird durch DevOps-Automatisierung zur zentralen Aufgabe.
• Identifikation von Schatten-KI: Scanner lokalisieren unautorisierte LLM-Instanzen oder API-Endpunkte, um Datenabfluss durch Schatten-KI zu verhindern.
• Zero-Trust-Validierung: Externe Sichtbarkeitsdaten dienen als kontinuierliche Prüfinstanz für das Zero-Trust-Prinzip.

Das Aufspüren von Schatten-KI-Schnittstellen fungiert heute besonders als kritisches Frühwarnsystem, um ungeschützte Modell-Endpunkte im eigenen Netz zu lokalisieren, bevor diese für Exfiltrationen missbraucht werden können.

Fazit

Die Analyse zeigt, dass die Wahl des passenden Scanners im aktuellen Bedrohungsumfeld vom spezifischen Einsatzszenario abhängt. Shodan ist nach wie vor ungeschlagen bei der Recherche von IoT- und Industrieanlagen, während Censys durch seine Zertifikatsanalyse die präzisesten Daten für das Management von Enterprise-Infrastrukturen liefert. Coalition Control steht hingegen für den Trend zur Konsolidierung von Scanning-Daten und Risikomanagement. Für IT-Profis im deutschsprachigen Raum ist es essenziell, diese Werkzeuge nicht nur technisch zu beherrschen, sondern sie auch in einen sauberen rechtlichen Rahmen einzubetten.