Ein Port Scanner ist ein Computerprogramm zur Prüfung des Status von Netzwerkports eines über ein IP-Netz erreichbaren Systems. So lassen sich mögliche Zugangspunkte erkennen. Port Scanner werden für Sicherheitsprüfungen, aber auch für bösartige Zwecke eingesetzt.
Ein Port Scanner ist ein Computerprogramm zur Prüfung des Status von TCP- und UDP-Netzwerkports.
(Bild: Vogel IT-Medien GmbH)
So funktioniert ein Port Scanner: Ein Client sendet Anfragen an Ports eines Servers. Je nach Portstatus – offen, geschlossen oder gefiltert – erfolgt eine Antwort, Ablehnung oder keine Reaktion.
Ein Port Scanner ist ein Software-Tool beziehungsweise ein Computerprogramm, das den Status von TCP- oder UDP-Ports eines mit einem IP-Netz verbundenen Rechners oder Systems prüft. Es kann gezielt einzelne Netzwerkports eines Rechners oder automatisiert ganze Portbereiche der aktuell in einem Netzsegment erreichbaren Hosts prüfen. Als Rückmeldung liefert der Scanner für jeden geprüften Port und Host die aktuellen Portzustände wie offen, geschlossen oder gefiltert. Diese Rückmeldungen lassen Rückschlüsse darüber zu, welche Dienste oder Anwendungen auf dem geprüften System installiert sind oder ausgeführt werden.
Im TCP/IP-Umfeld sind Ports eine logische Abstraktionsschicht, die die Schnittstelle zwischen einer Kommunikationsverbindung und einem auf einem System verfügbaren Service oder einer Anwendung darstellt. Einem Service oder einer Anwendung ist ein bestimmter Port zugeordnet, über den das Betriebssystem der entsprechenden Anwendung oder dem entsprechenden Service Datenpakete zustellen kann. Die Ports adressieren quasi die verschiedenen Anwendungen und Services eines über eine IP-Adresse erreichbaren Systems. Ports werden vom verbindungsorientierten TCP (Transmission Control Protocol) und vom verbindungslosen UDP (User Datagram Protocol) genutzt. Beide Protokolle kennen jeweils 65.536 verschiedene Ports. Einige Ports sind fest für bestimmte Anwendungen reserviert:
Portnummer
Dienst/Protokoll
Anwendung
20/21
FTP (File Transfer Protocol)
Dateiübertragung
22
SSH (Secure Shell)
Sichere Fernverbindung
25
SMTP (Simple Mail Transfer Protocol)
E-Mail-Versand
53
DNS (Domain Name System)
Namensauflösung
80
HTTP (HyperText Transfer Protocol)
Webseiten über unverschlüsseltes Web
443
HTTPS (HyperText Transfer Protocol Secure)
Verschlüsselter Webseitenzugriff
Darüber hinaus gibt es Ports, die sich dynamisch beliebigen Anwendungen und Services zuordnen lassen. Grundsätzlich können Ports die drei Zustände offen, geschlossen und gefiltert annehmen. Für die Kommunikation mit einer Anwendung oder einem Service ist es erforderlich, dass ein Port geöffnet wird.
Port Scanner prüfen den Status eines bestimmten Ports auf einem System, indem sie etwas vereinfacht dargestellt ein Datenpaket mit einer Anfrage an diesen Ports senden und die entsprechende Antwort auswerten. Bestätigt das System die Anfrage, wird der Port als offen bewertet. Wird die Anfrage abgelehnt, ist der Port geschlossen. Erhält der Scanner keine Antwort, handelt es sich wahrscheinlich um einen gefilterten beziehungsweise geblockten Port.
Der genaue Ablauf des Port Scannings ist etwas komplexer. Es können verschiedene Scanning-Methoden zum Einsatz kommen. Zu den am häufigsten genutzten Methoden zählen:
TCP-SYN-Scan: Es werden SYN-Pakete für den Verbindungsaufbau per 3-Wege-Handshake an die Ports gesendet. Bei einem empfangenen SYN/ACK-Paket ist der Port offen, bei einem RST-Paket geschlossen. Keine Antwort bedeutet, der Port ist gefiltert.
XMAS-Scan: Der Scanner sendet TCP-Datenpakete mit mehreren gesetzten Flags wie FIN-, PUSH- und URGENT-Flag und wertet die Antworten darauf aus. Keine Antwort deutet auf einen offenen Port hin, eine RST-Antwort auf einen geschlossenen.
UDP-Scans: Der Scanner versendet leere Datenpakete mit UDP-Header an den Zielport. Bestätigte UDP-Pakete deuten auf einen offenen UDP-Port hin und erhaltene Fehlermeldung wie "Port unreachable" (Typ 3, Code 3) auf einen geschlossenen Port. Andere Fehlermeldungen oder ausbleibende Rückmeldungen lassen auf einen gefilterten Port schließen.
Häufig beherrschen Port Scanner auch sogenannte Ping-Scans. Streng genommen handelt es sich dabei nicht um eine Port-Scanning-Methode. Bei Ping-Scans versendet der Scanner ICMP-Requests und erwartet Antworten darauf. So lässt sich herausfinden, welche IP-Hosts im Netz erreichbar sind.
Port Scanner erlauben in der Regel das automatische Scannen sämtlicher Portnummern oder bestimmter Portnummernbereiche eines oder mehrerer IP-Hosts. Ein vollständiger Scan eines kompletten Subnetzes kann längere Zeit dauern und das Netzwerk sowie die angeschlossenen Systeme belasten. Oft sind weitere Zusatzfunktionen wie das Erkennen von Diensten oder Betriebssystemen verfügbar.
Ein häufiger Anwendungsbereich von Port Scannern ist das Aufspüren von Schwachstellen, Sicherheitslücken oder potenziellen Angriffspunkten im Rahmen von Penetrationstests oder Security-Audits. Mit Port Scannern lassen sich aber auch Aufgaben wie das Inventarisieren von IP-Hosts und ihrer angebotenen Dienste und Anwendungen ausführen. Weitere Anwendungsbereiche sind die Fehlersuche, die Netzwerküberwachung oder Verfügbarkeitsmessungen. Cyberkriminelle nutzen Port Scanner für das Aufspüren von Schwachstellen und von schlecht abgesicherten Systemen, um Angriffe vorzubereiten, in Systeme einzudringen, Systeme zu kompromittieren, Malware einzuschleusen oder über Netzwerke weiterzuverbreiten, Denial-of-Service-Attacken auszuführen und für einiges mehr.
Der Port Scanner ist ein wichtiges Tool zur Untersuchung des Antwortverhaltens von Systemen und zur Identifizierung möglicher Zugangspunkte zu diesen Systemen. Port Scanner können sowohl für Netzwerkanalysen, Troubleshootings und Sicherheitsprüfungen als auch für bösartige Zwecke wie die Vorbereitung von Cyberangriffen zum Einsatz kommen. Die Verwendung von Port Scannern in eigenen Netzwerkumgebungen und auf eigenen Systemen ist rechtlich unbedenklich. Beim Einsatz gegenüber fremden Systemen, kann die Nutzung eines Port Scanners rechtlich als erster Schritt oder als Vorbereitung eines Eindringversuches gewertet werden, selbst wenn das Scannen von Ports noch keine Sicherheitsmechanismen aushebelt, Daten abfängt oder Systeme kompromittiert. Zudem könnten Scans auch als Angriff auf die Verfügbarkeit eines Systems betrachtet werden, da die Scan-Anfragen unter Umständen das Verhalten und den Betrieb eines Rechners beeinträchtigen. Dementsprechend hat ein Einsatz gegenüber fremden Systemen unter Umständen juristische Folgen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Das SANS Institute hat sich in einem White Paper mit der Rechtslage des Port Scannings beschäftigt und eine ethische Bewertung vorgenommen. Zwar würden keine expliziten Gesetze existieren, die das Scannen der Ports verbieten – Gerichte haben solche Scans wie im Fall „Moulton v. VC3“ als legal bewertet, solange sie kein System beschädigen. Außerdem sei ein Port Scan nicht destruktiv, da er keinen Schaden verursache. Dennoch kann er den Autoren des White Papers zufolge sehr invasiv sein, da er Informationen preisgebe, die zur Kompromittierung des Systems führen würden. Deshalb sei die Absicht des Scans ab. Ein Scan nach bekannten Trojaner-Ports sei zum Beispiel eindeutig bösartig. Der Appell des Instituts an Unternehmen: Regeln Sie in Ihren Richtlinien präzise, wer unter welchen Bedingungen Port Scans durchführen darf. Solche klaren, unternehmensspezifischen Regelungen seien in der Praxis oft wirkungsvoller als allgemeine gesetzliche Bestimmungen.
Es existieren zahlreiche Open-Source-basierte oder kostenpflichtige Port Scanner für verschiedene Betriebssysteme mit teils recht unterschiedlichem Funktionsumfang. Auch direkt in Betriebssysteme integrierte Port-Scanning-Funktionen sind verfügbar. Einige Tools werden über die Kommandozeile bedient, andere bieten grafische Benutzeroberflächen. Häufig verwendete freie Port Scanner sind beispielsweise Nmap, netcat, iNet Network Scanner, Scanmetender, Angry IP Scanner und viele mehr. Port Scanner werden zudem als online über das Internet nutzbarer Service angeboten. Da bei solchen Online-Scannern die Prüfung aber aus einem externen Netzwerk erfolgt und NAT- oder Firewall-Grenzen überwunden werden müssen, sind sie in ihrer Funktionalität und Aussagekraft der Ergebnisse eingeschränkt. Sie liefern den Status eines bestimmten Systems und seiner Ports aus Sicht der Erreichbarkeit aus dem Internet.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/dd/05/dd05ac1bc6485caf3d9cbb41c40177a3/0111514107.jpeg "Offene Ports können schnell zu einem Sicherheitsrisiko werden. Geeignete Tools helfen, Problemstellen zu identifizieren und Sicherheitslücken zu schließen. (Bild: © xiaoliangge - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/80/eb8034744e569f00a30df7dab3a3601d/0106126490.jpeg "Mit Bordmitteln und der PowerShell können Administratoren die Sicherheit in Windows recht einfach erhöhen. (Bild: Yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/a9/dda9ad34fe9be0ea4c66cbf7cbbb5840/0101683214.jpeg "Es müssen nicht immer kommerzielle Tools sein, wenn es um die Netzwerk-Überwachung geht. (Bild: © bofotolux - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/7d/ec7d81e2ef46ad23a6f65daf91d9e61f/0121772742v1.jpeg "Zur Absicherung von Netzwerken gehört auch der regelmäßige Check auf offene Ports. Das Tool Masscan kann hier helfen. (Bild: bitano - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cb/e4/cbe421cbd432ba87e366e7e3bcaab186/0121535625v2.jpeg "In diesem Tool-Tipp zeigen wir die ersten Schritte und Möglichkeiten mit dem Vulnerability Scanner Nessus. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/a1/6ea13f4f40098a55e237f83c0c4dfd0c/0108615885.jpeg "Die Sicherheit aller Netzwerk-Ports basiert auf einem umfassenden und durchdachten Verteidigungskonzept. (Bild: xiaoliangge - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1269400/1269454/original.jpg "Wie man mit Nmap Netzwerke scannt und so für mehr Sicherheit sorgt, zeigen wir in diesem Tool-Tipp und in 90 Sekunden im Video. (Maksim-Pasko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/7d/ec7d81e2ef46ad23a6f65daf91d9e61f/0121772742v1.jpeg "Zur Absicherung von Netzwerken gehört auch der regelmäßige Check auf offene Ports. Das Tool Masscan kann hier helfen. (Bild: bitano - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/49/15/491526396c84a7c0a953767b933eaeb5/0125189237v1.jpeg "Laut Sicherheitsforschern nutzen Meta (Facebook) und Yandex eine Lücke in Androids Sicherheitsarchitektur aus, um Web- und App-Identitäten heimlich zusammenzuführen und so detaillierte Surf-Profile zu erstellen. (Bild: © Art_spiral - stock.adobe.com)")