Was ist ein Subdomain Scanner?

Ein Subdomain Scanner ist ein Tool, das automatisch alle Subdomains einer Domain aufspürt – zum Beispiel shop.example.com, api.example.com oder dev.example.com. Es kombiniert mehrere Quellen wie Certificate Transparency Logs (crt.sh), DNS-Brute-Force und Shodan, um ein vollständiges Bild der digitalen Infrastruktur einer Domain zu erstellen.

Wozu werden Subdomains bei einem Datenschutz-Audit benötigt?

Subdomains können Dienste und Systeme enthalten, die Personendaten verarbeiten – etwa Staging-Umgebungen, API-Endpunkte, Login-Portale oder alte Applikationen. Im Rahmen eines DSGVO-Audits müssen alle datenschutzrelevanten Verarbeitungsstellen bekannt sein. Ein Subdomain Scan deckt vergessene oder nicht dokumentierte Systeme auf, die ein rechtliches Risiko darstellen können.

Ist der Subdomain Scan legal?

Ja, sofern er auf der eigenen Domain oder im ausdrücklichen Auftrag des Domain-Inhabers durchgeführt wird. Die verwendeten Datenquellen – Certificate Transparency Logs, öffentliche DNS-Einträge und RDAP/WHOIS – sind öffentlich zugängliche Informationen. Der Scan greift keine Systeme an und sendet keine schädlichen Anfragen.

Was sind Certificate Transparency Logs (crt.sh)?

Certificate Transparency (CT) ist ein öffentliches Protokoll, das jede Ausstellung eines SSL/TLS-Zertifikats festhält. Über crt.sh sind diese Logs öffentlich durchsuchbar. Da für jede Subdomain mit HTTPS ein Zertifikat ausgestellt werden muss, lassen sich so auch Subdomains finden, die nirgends verlinkt oder dokumentiert sind.

Was bedeutet DNS Brute-Force beim Subdomain Scan?

Beim DNS-Brute-Force wird eine Liste gängiger Subdomain-Präfixe (z. B. www, mail, api, dev, staging) systematisch per DNS-Auflösung geprüft. Subdomains, die einen gültigen DNS-Eintrag besitzen, aber nie ein Zertifikat erhalten haben, werden so gefunden – also Hosts, die crt.sh nicht erfassen kann.

Was ist der Unterschied zwischen einer aktiven (live) und einer inaktiven Subdomain?

Eine aktive (live) Subdomain besitzt einen gültigen DNS-A-Eintrag und ist damit erreichbar. Eine inaktive Subdomain taucht zwar in Certificate Transparency Logs auf, lässt sich aber nicht mehr per DNS auflösen – sie existierte früher, ist jedoch inzwischen abgeschaltet. Inaktive Subdomains sind dennoch relevant, da sie auf frühere Infrastruktur hinweisen und unter Umständen für Subdomain-Takeover-Angriffe anfällig sein können.

Was sind Wildcard-Subdomains?

Ein Wildcard-Eintrag wie *.example.com in einem Zertifikat bedeutet, dass das Zertifikat für beliebige Subdomains der Domain gilt. Das ist technisch praktisch, erschwert aber die vollständige Inventarisierung, da nicht alle abgedeckten Subdomains explizit aufgeführt werden. Der Scanner kennzeichnet solche Einträge gesondert.

Wofür wird Shodan beim Subdomain Scan verwendet?

Shodan ist eine Suchmaschine für mit dem Internet verbundene Geräte und Dienste. Im Subdomain Scanner liefert Shodan ergänzende Informationen zu offenen Ports pro Host – zum Beispiel ob auf einer Subdomain neben Port 443 auch Port 8080 oder 3306 (MySQL) offen ist. Das hilft, exponierte Dienste schnell zu identifizieren.

Was liefert die RDAP/WHOIS-Abfrage?

RDAP (Registration Data Access Protocol) und WHOIS liefern Registrierungsdaten zur Domain: Registrar, Nameserver, Registrierungsdatum, Ablaufdatum und Status. Diese Informationen sind im Datenschutz-Audit relevant, um den Verantwortlichen einer Domain zu identifizieren und sicherzustellen, dass Registrar und Nameserver DSGVO-konform betrieben werden.

Wie lange werden Scan-Ergebnisse gespeichert?

Scan-Ergebnisse werden serverseitig für 7 Tage im Cache gespeichert. Bei einer erneuten Abfrage derselben Domain innerhalb dieses Zeitraums wird das gecachte Ergebnis sofort zurückgeliefert. Nach Ablauf der 7 Tage wird automatisch ein neuer Scan durchgeführt. Eine manuelle Cache-Invalidierung ist über die API möglich.

Findet der Scanner wirklich alle Subdomains?

Nein – kein Tool kann eine vollständige Garantie geben. Subdomains ohne öffentliches TLS-Zertifikat und ohne DNS-Eintrag in der Wordlist bleiben unsichtbar. Ebenso sind rein interne Subdomains mit privaten CAs nicht über Certificate Transparency auffindbar. Der Scanner kombiniert daher mehrere Quellen (crt.sh, DNS-Brute-Force, Shodan, RDAP), um eine möglichst vollständige Übersicht zu liefern.

Was sollte ich nach dem Subdomain Scan als nächstes tun?

Nach der Subdomain-Inventarisierung empfiehlt sich ein vollständiger DSGVO Website-Check für die gefundenen Domains und Subdomains. Dabei werden Cookie-Einwilligungen, Drittanbieter-Einbindungen, fehlende Datenschutzerklärungen und weitere datenschutzrechtliche Risiken geprüft. Ziel ist eine umfassende Rechtssicherheit für die gesamte digitale Infrastruktur.

Secure AI, Digital Privacy & Website Compliance

⬡

SubdomainScan

SECURITY AUDIT TOOL

// How it works

▲

🔏

crt.shCT Logs

→

🌐

DNS Brute80+ Wordlist

→

📡

[Shodan] Open Ports full version only

→

📋

RDAPWHOIS / Registrar

⟶

⬡

Merge & Deduplicateall sources

Live Hosts

Wildcards

Registrar Info

// Target Domain

⬡

DNS Brute

RDAP/WHOIS

API Key:

Registrar–

Nameserver–

Registered–

Expires –

Status –

Subdomain Scanner

Find privacy issues on