crawlerbase.de trace
URL tracen

60 Crawler in 7 Kategorien

Wer crawlt das Web, und wen hältst du draußen?

Datenbank aller relevanten Crawler: Suchmaschinen, AI/LLM-Trainer, SEO-Tools, Social-Vorschauen, Archive, Monitoring und Security-Scanner. Pro Bot der offizielle UA-Token, ein UA-Beispiel, die Verifikations-Methode und ein Link zur Anbieter-Doku.

Alle 60 Suchmaschinen 13 AI / LLM 17 SEO-Tools 10 Social / Messenger 11 Archive 1 Monitoring 3 Security-Scanner 5
Schnellauswahl:

  • CensysInspect

    Censys Security-Scanner Bewusst entscheiden

    Internet-Wide Security-Scanning. Indexiert offene Services für Security-Researcher.

    Details
    UA-Token
    CensysInspect
    UA-Beispiel
    Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)
    Verifikation
    IP-Range publiziert
    Doku
    https://about.censys.io/

  • Shodan

    Shodan Security-Scanner Bewusst entscheiden

    Service- und Banner-Indexing für Security-Recherche.

    Details
    UA-Token
    Shodan
    UA-Beispiel
    Mozilla/5.0 (compatible; +http://www.shodan.io)
    Verifikation
    IP-Range publiziert
    Doku
    https://www.shodan.io/

  • Palo Alto Expanse

    Palo Alto Security-Scanner Bewusst entscheiden

    Attack-Surface-Mapping für Enterprise-Kunden.

    Details
    UA-Token
    expanse
    UA-Beispiel
    expanse, a Palo Alto Networks company, searches across the global IPv4 space
    Verifikation
    IP-Range publiziert
    Doku
    https://www.paloaltonetworks.com/cortex/cortex-xpanse

  • l9scan / leakix

    LeakIX Security-Scanner Bewusst entscheiden

    Vulnerability- und Leak-Indexing für offene Datenbanken und Services.

    Details
    UA-Token
    l9scan
    UA-Beispiel
    l9scan/2.0.0 (+https://leakix.net)
    Verifikation
    UA-basiert
    Doku
    https://leakix.net/

  • NetcraftSurveyAgent

    Netcraft Security-Scanner Empfohlen erlauben

    Webserver-Survey, Quelle für Netcraft Security-Reports.

    Details
    UA-Token
    NetcraftSurveyAgent
    UA-Beispiel
    Mozilla/5.0 (compatible; NetcraftSurveyAgent/1.0; +info@netcraft.com)
    Verifikation
    UA-basiert
    Doku
    https://www.netcraft.com/survey/

Standard

Wie robots.txt wirklich funktioniert.

Die robots.txt ist eine Textdatei im Root jeder Domain. Standardisiert ist sie seit September 2022 in RFC 9309, vorher war sie nur ein informelles Protokoll. Heute ist die Auswertung in den Crawlern der großen Suchmaschinen präzise und reproduzierbar.

Die Datei besteht aus Gruppen

Jede Gruppe beginnt mit einer oder mehreren User-agent:-Zeilen und enthält darunter Allow:-, Disallow:- und optional Crawl-delay:-Zeilen. Eine Gruppe endet, sobald die nächste User-agent:-Zeile beginnt.

# Beispiel robots.txt mit drei Gruppen
User-agent: Googlebot
Disallow: /search
Allow: /search/about

User-agent: GPTBot
Disallow: /

User-agent: *
Disallow: /admin
Disallow: /api/private
Crawl-delay: 5

Sitemap: https://example.com/sitemap.xml

Spezifitäts-Regel: längster passender Token gewinnt

Wenn ein Bot mehrere Gruppen findet, die auf seinen User-Agent passen, gilt der längste Token-Match. Beispiel: ein Crawler, der sich als Googlebot-Image identifiziert, sieht eine Gruppe für Googlebot und eine für Googlebot-Image. Er befolgt nur die für Googlebot-Image. Die User-agent: *-Gruppe gilt nur für Bots, die KEINE eigene namentliche Gruppe haben.

Wildcards und Pfad-Matching

  • * in einer Allow- oder Disallow-Regel matcht beliebig viele Zeichen. Disallow: /*.pdf blockt alle PDF-Dateien.
  • $ am Ende einer Regel verankert das Pfad-Ende. Disallow: /tmp$ blockt nur /tmp exakt.
  • Innerhalb der gleichen Gruppe gewinnt die längste passende Regel. Eine Allow: /api/public sticht eine generelle Disallow: /api aus.
  • Bei gleicher Länge gewinnt die weniger restriktive Regel (Allow vor Disallow). Konvention seit RFC 9309.

Crawl-Delay: nicht im RFC, aber respektiert

Crawl-delay: ist nicht Teil von RFC 9309, wird aber von Bing, Yandex, Baidu und vielen kleineren Crawlern befolgt. Der Wert ist die Wartezeit in Sekunden zwischen aufeinanderfolgenden Requests. Google ignoriert das Feld bewusst und stellt die Crawl-Frequenz manuell in der Search Console ein.

Sitemap-Verweise

Sitemap:-Zeilen stehen außerhalb der Gruppen. Sie listen absolute URLs zu XML-Sitemaps der Domain auf. Crawler lesen diese als zusätzlichen Hinweis, wo Inhalte zu finden sind.

Strategie

Welche Bots blocken? Ein Entscheidungsleitfaden.

Es gibt keine pauschale Antwort. Die richtige Auswahl hängt davon ab, welche Geschäftsmodelle deine Site verfolgt und gegen welche Verwendung deiner Inhalte du dich konkret schützen willst.

Content-Site oder Magazin

Suche unbedingt erlauben (Googlebot, Bingbot, OAI-SearchBot, Claude-SearchBot, PerplexityBot), denn das ist der Traffic-Kanal. AI-Training individuell entscheiden: wer pauschal nicht in LLM-Korpora landen will, blockt GPTBot, ClaudeBot, CCBot, Google-Extended, Applebot-Extended.

E-Commerce

Suchmaschinen alle zulassen, dazu Social-Bots für Link-Vorschauen (LinkedInBot, Twitterbot, facebookexternalhit, WhatsApp, Pinterestbot). AdsBot-Google MUSS erlaubt sein, sonst werden Google-Ads-Landing-Pages auf "Slow" markiert. AI-Training defensiv blocken (Produkt-Texte sind teuer in der Erstellung).

SaaS-Marketing-Site

Alles erlauben, was Sichtbarkeit bringt: Suche, Social, AI-Search-Bots (OAI-SearchBot, PerplexityBot, Claude-SearchBot). AI-Training ist Geschmackssache. Wenn die Marketing-Texte sowieso öffentlich repliziert werden dürfen: erlauben.

Dokumentations-Portal

Hier ist die Strategie genau umgekehrt: AI-Training EXPLIZIT erlauben, denn jeder Entwickler, der einen LLM-Assistant nutzt, profitiert davon, wenn deine Doku im Trainings-Korpus ist. Suche selbstverständlich. Crawl-Delay vorsichtig wählen.

Privater Blog oder Portfolio

Default ist "alles offen" und das ist meistens richtig. Eine robots.txt mit nur einem Sitemap-Verweis hilft Suchmaschinen mehr als alle Block-Listen der Welt. Wer trotzdem AI-Training rauslassen will: GPTBot, ClaudeBot, CCBot, Google-Extended, Applebot-Extended sind die Big Five.

News oder journalistische Site

Googlebot-News explizit erlauben. AI-Training ist hier das politische Thema: viele Verlage blocken pauschal, weil sie eigene Lizenzdeals mit AI-Anbietern verhandeln (NYT, Springer, FT). ChatGPT-User und Claude-User trotzdem zulassen, damit Nutzer-Anfragen funktionieren.

Grenzen

Was robots.txt nicht kann.

Sie ist eine Bitte, kein Zaun

Die Datei ist eine freiwillige Empfehlung. Böse Bots, Scraper, Wettbewerbs-Späher und Security-Scanner ignorieren sie regelmäßig. Wer wirklich blocken will, braucht harte Maßnahmen am Webserver: User-Agent-Filter, IP-Blocklisten, Rate-Limiting, fail2ban-Regeln, Web Application Firewalls (CrowdSec, ModSecurity). robots.txt sortiert nur die höflichen Bots aus.

Sie verhindert nicht die Indexierung

Eine per Disallow: blockierte URL kann trotzdem in den Suchergebnissen auftauchen, wenn andere Sites darauf verlinken. Google zeigt dann nur die URL ohne Snippet. Wer Indexierung verhindern will, muss das per <meta name="robots" content="noindex"> oder X-Robots-Tag-Header machen. WICHTIG: damit das Tag gelesen werden kann, darf die URL NICHT per robots.txt blockiert sein.

Sie schützt keine sensiblen Daten

Was in der robots.txt steht, ist öffentlich. Pfade, die du dort als Disallow: aufnimmst, gibst du damit jedem zur Lektüre frei. Wer wissen will, wo deine Admin-Konsole liegt, sucht zuerst dort. Sensible Pfade gehören NICHT in die robots.txt, sondern hinter Authentifizierung.

UA-Spoofing umgeht alles

Jeder Crawler kann seinen User-Agent frei wählen. Ein Scraper, der sich als Googlebot ausgibt, würde durch deine Googlebot-Allow-Regel rutschen. Schutz dagegen ist nur per Reverse-DNS-Lookup auf die offizielle Owner-Domain (googlebot.com, search.msn.com, applebot.apple.com) möglich.

FAQ

Häufige Fragen zu Bots und robots.txt.

Antworten auf die Fragen, die immer wieder kommen.

Halten sich alle Bots an robots.txt?

Nein. Die robots.txt ist eine freiwillige Empfehlung, kein technischer Zwang. Große, etablierte Anbieter (Google, Bing, OpenAI, Anthropic) respektieren die Datei. Aber: Perplexity-User ignoriert sie bewusst (Live-Fetches im Auftrag von Nutzern), Bytespider war 2023 bis 2024 dafür berüchtigt, sie zu übergehen, viele Scraper aus dem grauen und schwarzen Bereich bauen sich eigene UAs oder spoofen Googlebot. Wer wirklich blocken will, braucht Webserver-seitige UA- oder IP-Filter zusätzlich zur robots.txt.

Wenn ich Googlebot komplett blockiere, falle ich aus dem Index?

Ja, schrittweise. Google entfernt URLs, die über längere Zeit per robots.txt geblockt sind, aus dem Live-Index. Bestätigt wird das über den Search Console Bericht "Indexabdeckung". Eine versehentliche Disallow: /-Zeile für den Googlebot ist eine der häufigsten Ursachen für komplette Sichtbarkeitsverluste nach Relaunches. Schau in die Live-Ansicht der Search Console, bevor du etwas blockst.

Was ist der Unterschied zwischen GPTBot und ChatGPT-User?

GPTBot crawlt im Hintergrund Inhalte für das Training neuer Modelle. Wenn du den blockst, fließt deine Site nicht in den Trainings-Korpus ein, taucht aber weiterhin in ChatGPT-Suche und Citations auf, sofern du OAI-SearchBot zulässt. ChatGPT-User holt eine URL nur dann live, wenn ein Nutzer in ChatGPT explizit nach ihr fragt oder einen Link postet. Den zu blocken ist meistens schädlich, weil Nutzer dann keine Zusammenfassung deiner Seite in ChatGPT bekommen.

Macht es Sinn, AhrefsBot oder SemrushBot zu blockieren?

Kommt darauf an. Wenn du selbst Ahrefs- oder Semrush-Kunde bist und deine Konkurrenz mit ihren eigenen Daten füttern willst, lass beide drauf. Wenn du verhindern willst, dass die Konkurrenz dein Backlink-Profil so leicht analysieren kann, blockst du beide. Faustregel: kleine Sites profitieren vom Blocken, große Sites mit aktivem Off-Page-Tracking lassen sie erlaubt.

Welche Bots sind eigentlich gefährlich?

Gefährlich im Sinne von Sicherheit nicht. Sämtliche Bots in dieser Datenbank scrapen Inhalte und Header, sie greifen keinen Dienst an. Lästig sein können aggressiv crawlende Bots wie BLEXBot, MJ12bot, MegaIndex und einige Asia-spezifische Crawler. Security-Scanner (Censys, Shodan, Palo Alto Expanse, LeakIX) machen keinen Schaden, listen aber offene Services öffentlich auf, was Recon erleichtert.

Was bedeutet User-agent: * in der robots.txt?

Eine Catch-All-Gruppe, die für alle Bots gilt, die keine eigene, namentlich passende Gruppe haben. Wichtig zu verstehen: ein Bot, der zum Beispiel über User-agent: GPTBot eine eigene Gruppe hat, IGNORIERT die *-Gruppe komplett. Die Spezifitäts-Regel ist: längster passender User-Agent-Token gewinnt, * ist die schwächste Stufe.

Wie blockiere ich einen Bot, der robots.txt ignoriert?

Auf Webserver-Ebene über den User-Agent-Header. Beispiel für Nginx: if ($http_user_agent ~* (PerplexityBot|Bytespider|CCBot)) { return 444; }. Status 444 schließt die Verbindung ohne Antwort. Apache: per mod_rewrite mit RewriteCond. Wenn der Bot UAs spooft, brauchst du IP-Blocks oder rDNS-Prüfung gegen die offiziellen Owner-Domains.

Soll ich Google-Extended und Applebot-Extended blocken?

Das sind keine echten Crawler, sondern reine Steuer-Tokens. Google-Extended sagt nur Google: "nimm meine Inhalte nicht für Gemini- oder Vertex-AI-Training". Applebot-Extended das Gleiche für Apple Intelligence. Wenn du gegen LLM-Training bist, aber in der Suche bleiben willst, blockst du genau diese beiden und lässt Googlebot bzw. Applebot offen.

Ich will Suche erlauben, aber AI-Training verbieten. Welcher Block-Set ist richtig?

Block: GPTBot, ClaudeBot, CCBot, Bytespider, meta-externalagent, Amazonbot, Google-Extended, Applebot-Extended, cohere-ai. Erlaubt: Googlebot, Bingbot, OAI-SearchBot, Claude-SearchBot, PerplexityBot, ChatGPT-User, Claude-User, Mistral-User, Applebot. Mit dem Generator oben in der Sidebar lässt sich das in zwei Klicks zusammenstellen, "Alle AI-Trainer" deckt das im Wesentlichen ab.

Was passiert, wenn ich keine robots.txt habe?

Dann gilt: alle Bots dürfen alles. Eine fehlende Datei wird als implizites "voller Zugriff erlaubt" interpretiert. Status 404 oder 410 auf /robots.txt wird genauso behandelt. Aus SEO-Sicht ist eine vorhandene robots.txt, selbst wenn sie nur auf die Sitemap verweist, immer besser als keine.