Defaults.Exposed

Defaults.Exposed › Berichte

Das DNSSEC-Paradox: Mehr Domains konfigurieren es falsch als richtig (2026)

Veröffentlicht 2026-06-29

Stand der Zahlen: 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Siehe wie wir benoten.

DNSSEC soll Ihre Domain schwerer zu kapern machen — doch es ist so heikel, dass mehr Domains es kaputt als funktionierend haben. Über 261 Millionen Domains hinweg haben 3,02% signiertes, aber defektes DNSSEC, gegenüber nur 1,99%, bei denen es gültig ist. Die übrigen 94,99% versuchen es gar nicht erst. DNS ist die Schicht, die die Sicherheitsdiskussion vergisst — und die Zahlen belegen es.

Was die Daten sagen

DNSSEC-StatusAnteil der Domains
Gültig (signiert, funktionierend)1,99%
Defekt (signiert, falsch konfiguriert)3,02%
Überhaupt nicht signiert94,99%

Mehr Domains liegen in der Defekt-Zeile als in der Gültig-Zeile. Das ist das Paradox: Unter der kleinen Minderheit, die DNSSEC einschaltet, machen es die meisten falsch.

Warum ist defektes DNSSEC schlimmer als kein DNSSEC?

Unsigniertes DNSSEC ist schlicht ungeschützt. Defektes DNSSEC ist aktiv gefährlich: Ein validierender Resolver weigert sich, eine Domain aufzulösen, deren Signaturen nicht stimmen, sodass eine Fehlkonfiguration Ihre Domain für einen Teil des Internets komplett offline nehmen kann — keine Website, keine E-Mail — bis sie behoben ist. Genau das Feature, das Sie schützen soll, wird zum selbstverschuldeten Ausfall. Dieses Risiko plus wirklich kniffliger Schlüsselwechsel und Registrar-Übergabe ist der Grund, warum die Verbreitung nahe am Boden bleibt.

Die weitere Lücke in der DNS-Sicherheit

DNSSEC ist nicht die einzige vernachlässigte DNS-Kontrolle. CAA-Einträge — die einschränken, wer TLS-Zertifikate für Ihre Domain ausstellen darf, und stillschweigend eine Klasse von Fehlausstellungsangriffen blockieren — sind nur auf 1,56% der Domains vorhanden. DNS ist grundlegend: Wird es gekapert, lässt sich jede andere nachgelagerte Kontrolle umgehen. Dennoch ist es die Schicht, die die wenigsten Inhaber je anfassen.

Sollte ich DNSSEC aktivieren?

Für die meisten Kleinunternehmen lautet die Prioritätenreihenfolge zuerst E-Mail-Authentifizierung und HTTPS — diese stoppen die Angriffe, denen Sie täglich tatsächlich ausgesetzt sind. DNSSEC ist wichtig, aber nur korrekt umgesetzt: Eine defekte Signatur ist schlimmer als keine. Wenn Sie es aktivieren, nutzen Sie einen Anbieter, der Signierung und Schlüsselwechsel für Sie verwaltet, und prüfen Sie danach, dass es durchgängig validiert. Siehe DNSSEC reparieren und CAA reparieren.

Häufig gestellte Fragen

Ist defektes DNSSEC wirklich schlimmer als kein DNSSEC? Ja. Kein DNSSEC bedeutet nur keinen zusätzlichen Schutz. Defektes DNSSEC kann dazu führen, dass Ihre Domain in validierenden Netzwerken nicht aufgelöst wird — wodurch Ihre Website und E-Mail offline gehen, bis es behoben ist.

Welcher Anteil der Domains nutzt DNSSEC korrekt? Nur 1,99% mit Stand 2026-06-29 — weniger als die 3,02%, die es signiert, aber defekt haben.

Was ist ein CAA-Eintrag und brauche ich einen? CAA beschränkt, welche Zertifizierungsstellen Zertifikate für Ihre Domain ausstellen dürfen, und blockiert eine Klasse von Fehlausstellungen. Nur 1,56% der Domains setzen einen. Es ist eine günstige, risikoarme Ergänzung.

Sollte ein Kleinunternehmen DNSSEC priorisieren? Üblicherweise nach E-Mail-Authentifizierung und HTTPS. Erledigen Sie diese zuerst; fügen Sie DNSSEC nur hinzu, wenn Sie es korrekt verwalten können.

Prüfen Sie die DNS-Sicherheit Ihrer Domain kostenlos

Sehen Sie Ihren DNSSEC- und CAA-Status — und die Kontrollen, die wichtiger sind — privat und nur für Inhaber.

Prüfen Sie Ihre Domain → · DNSSEC reparieren → · CAA reparieren → · Wie wir benoten → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.