Defaults.Exposed › Berichte
Wie wir das gesamte Internet bewertet haben: Die A–F-Methodik für Domain-Sicherheit (2026)
Veröffentlicht 2026-06-28
Referenzseite · Methodik v7 · Datenstand 2026-06-28. Diese Seite erklärt, wie jede Kennzahl auf dieser Website ermittelt wird. Alle veröffentlichten Statistiken sind aggregiert; die Note einer einzelnen Domain wird ausschließlich dem verifizierten Eigentümer angezeigt.
Defaults.Exposed bewertet Domains von A+ bis F anhand von 34 extern beobachtbaren Sicherheitsprüfungen — vollständig aus dem öffentlichen Internet, ohne je ein fremdes System zu berühren. Diese Seite erklärt das Verfahren vollständig und in verständlicher Sprache: was wir messen, wie eine Note zustande kommt, was die Daten aussagen können und was nicht, sowie die ethischen Grundsätze, an die wir uns halten. Transparenz ist hier Pflicht, denn eine Sicherheitsnote ist nur so vertrauenswürdig wie die Methode dahinter.
Was wir messen
Jede Domain wird gegen 34 Prüfungen bewertet, gegliedert in fünf Kategorien. Jede Prüfung ist von außen beobachtbar — es gibt kein Scannen privater Systeme, kein Einloggen, keinen Eingriff.
- E-Mail-Authentifizierung — kann diese Domain in E-Mails gefälscht werden? Umfasst SPF, DKIM, DMARC (inklusive ob DMARC tatsächlich im Durchsetzungsmodus aktiv ist) sowie die Mail-Konfiguration (MX).
- TLS & Zertifikate — ist die Seite korrekt verschlüsselt? Umfasst Zertifikatsgültigkeit und Hostname-Übereinstimmung, moderne TLS-Versionen und HSTS.
- Web-Sicherheitsheader — schützt die Seite den Browser? Umfasst Content-Security-Policy, Clickjacking-Schutz (X-Frame-Options), MIME-Sniffing-Schutz, Referrer-Policy und Cross-Origin-Header.
- DNS — ist die Namensauflösungsschicht abgesichert? Umfasst DNSSEC, CAA und die Nameserver-Konfiguration.
- Infrastruktur — unterstützende Signale wie Reverse-DNS und IPv6-Unterstützung.
Von den 34 Prüfungen sind einige benotet (sie wirken sich auf die Note aus), die übrigen sind informativ (werden zur Orientierung ausgewiesen, führen aber zu keinem Abzug).
Wie eine Prüfung bewertet wird: Bestanden, Nicht bestanden oder N/A
Jede Prüfung führt zu einem von drei Ergebnissen:
- Bestanden — der Schutz ist vorhanden und korrekt konfiguriert.
- Nicht bestanden — der Schutz fehlt oder ist fehlerhaft. Ein echtes Versagen ist ein echtes Versagen: Eine Domain ohne durchgesetztes SPF und DMARC erhält eine schlechte Note, weil sie tatsächlich gefälscht werden kann — nicht aufgrund einer Zählweise.
- N/A — die Prüfung kann für diese Domain nicht sinnvoll bewertet werden. N/A-Ergebnisse werden von der Note ausgeschlossen und zählen nie zu Lasten einer Domain.
Dieser letzte Punkt ist entscheidend: Wir bestrafen keine Domain für etwas, das wir nicht fair beurteilen konnten.
Wie die Buchstabennote berechnet wird
Die Noten lauten A+, A, B, C, D, F. Die Note spiegelt wider, wie vollständig eine Domain die wesentlichen Lücken schließt — gewichtet nach realer Auswirkung (E-Mail-Spoofing und Transportverschlüsselung zählen mehr als kosmetische Header). Eine Domain, die die wichtigen Grundlagen erfüllt und nur kleinere Lücken aufweist, landet oben; eine Domain, die die Basics scheitern lässt und damit gefälscht werden kann, landet bei F.
Da dieselbe Methode auf jede Domain identisch angewendet wird, sind die Noten populationsübergreifend vergleichbar — das ist es, was die Ranglisten nach TLD, Land und Branche aussagekräftig macht.
Wie groß ist der Datensatz?
Wir verfolgen einen Bestand von 333 Millionen Domains und bewerten die aktive Population von rund 260 Millionen, die derzeit auflösbar sind. Veröffentlichte Statistiken werden aus dieser Population zum Erstellungszeitpunkt berechnet und tragen das Datums-Stempel des Datensatzes, damit immer klar ist, wie aktuell eine Kennzahl ist.
Wie aktuell sind die Daten?
Die Scan-Flotte läuft kontinuierlich. Die Gesamtpopulation wird in regelmäßigen Abständen erneuert, manche TLDs häufiger als andere — die Zahlen auf dieser Website sind daher eine lebendige Messung und keine einmalige Momentaufnahme. Jeder Bericht zeigt sein Datumsstempel, und die Hauptstudien erscheinen als wiederkehrende Ausgaben, sodass Trends im Zeitverlauf verfolgt werden können.
Was die Daten aussagen — und was nicht
Wir sind überzeugt, dass die Grenzen genauso wichtig sind wie die Ergebnisse:
- Geografie und Branche werden aus der Domain-Endung abgeleitet, nicht aus der Unternehmensregistrierung. Die Kennzahlen eines Landes basieren auf seiner nationalen Domain-Endung (ccTLD); die einer Branche auf branchenspezifischen Endungen. Ein Unternehmen, das eine generische Endung wie
.comverwendet, kann in dieser Größenordnung weder einem Land noch einem Sektor zugeordnet werden. Diese Segmente sind „genau genug” für Bevölkerungsvergleiche — mit diesem Vorbehalt. - Wir messen Domains, keine Organisationen. Ein Unternehmen kann viele Domains besitzen; wir bewerten jede Domain nach ihrer eigenen Konfiguration.
- Ausschließlich Außensicht. Wir beurteilen, was vom öffentlichen Internet aus sichtbar ist. Wir sehen nichts hinter einem Login — und versuchen es auch nicht.
Unsere Regeln: Nur Aggregatdaten, Eigentümer-privat, EU-Datenhaltung
Drei Grundsätze bestimmen alles, was wir veröffentlichen:
- Nur Aggregatdaten. Wir veröffentlichen Populationsmuster — Ranglisten nach TLD, Land und Branche. Wir veröffentlichen niemals eine indexierte Seite, die ein einzelnes Unternehmen mit seiner Note benennt.
- Eigentümer-privat. Die Note einer einzelnen Domain sowie deren detailliertes Prüfergebnis werden ausschließlich dem verifizierten Eigentümer angezeigt, der die Abfrage durchführt.
- EU-Datenhaltung. Alle Daten werden innerhalb der EU gespeichert und verarbeitet — als Compliance-Haltung und als bewusstes Vertrauensbekenntnis.
Häufig gestellte Fragen
Wie berechnet Defaults.Exposed den Sicherheitsscore einer Domain? Durch 34 extern beobachtbare Prüfungen (E-Mail-Authentifizierung, TLS, Web-Header, DNS und Infrastruktur), die jeweils als Bestanden / Nicht bestanden / N/A bewertet und nach realer Auswirkung gewichtet werden — das Ergebnis ist eine Note von A+ bis F.
Werden die bewerteten Domains gescannt oder gehackt? Nein. Jede Prüfung ist vom öffentlichen Internet aus einsehbar — dieselben Informationen, die ein empfangender Mailserver oder der Browser eines Besuchers sehen würde. Es gibt kein Einloggen, keinen Eingriff und keinen Zugriff auf private Systeme.
Warum kann eine Domain ein F erhalten? Meistens, weil sie kein durchgesetztes SPF und DMARC hat und daher in E-Mails imitiert werden kann — eine echte, extern nachprüfbare Schwachstelle.
Kann ich die Note einer bestimmten Unternehmens-Domain einsehen? Nur wenn es Ihre eigene Domain ist und Sie die Eigentümerschaft verifizieren. Wir veröffentlichen niemals die Noten einzelner Unternehmen.
Wie oft werden die Daten aktualisiert? Kontinuierlich. Die Gesamtpopulation wird in regelmäßigen Abständen erneuert, und jede Kennzahl trägt einen Datumsstempel, damit Sie wissen, wie aktuell sie ist.
Domain selbst prüfen
Der schnellste Weg, die Methode zu verstehen, ist sie anzuwenden. Prüfen Sie Ihre eigene Domain privat und kostenlos — und sehen Sie alle 34 Prüfungen mit verständlichen Erklärungen und konkreten Lösungshinweisen.
Domain prüfen → · Die Sicherheitsnoten-Verteilung des Internets → · Nur Aggregatdaten. Daten gespeichert und verarbeitet in der EU.