Defaults.Exposed › Berichte
Die Sicherheitsnoten-Verteilung des Internets: Wie eine durchschnittliche Domain 2026 abschneidet
Veröffentlicht 2026-06-28
Kennzahlen per 2026-06-28 · Methodik v7. Dies ist ein wiederkehrender Bericht: Jede Ausgabe misst dieselbe Population neu, sodass die Kurve im Zeitverlauf verfolgt werden kann. Alle Zahlen sind aggregiert — wir veröffentlichen nie die Note eines einzelnen Unternehmens. Siehe Wie wir bewerten für die vollständige Methodik.
Die durchschnittliche Domain im Internet ist nicht sicher. Von den 260 Millionen Domains, die wir bewertet haben, ist F die mit Abstand häufigste Note — die typische Domain liegt bei D oder darunter. Weniger als 1 von 27 Domains erreicht ein C oder besser. Das ist die Notenverteilung des Internets — und sie tendiert fast vollständig zu „exponiert”.
Welche Sicherheitsnote hat die durchschnittliche Domain?
Wenn man alle bewerteten Domains der Erde in einer Reihe aufstellt und zur Mitte geht, landet man bei einer Domain mit Note F — der schlechtesten Bewertung. F ist kein Messfehler und keine Strafe für Inaktivität: Eine Domain erhält F, wenn sie die grundlegenden Schutzmaßnahmen tatsächlich nicht erfüllt — jene, die verhindern, dass ihre E-Mails gefälscht und ihre Besucher in die Irre geführt werden. Der Großteil des Internets hat diese Schutzmaßnahmen schlicht nicht aktiviert.
Hier ist die vollständige Verteilung.
Die Notenverteilung des Internets (260M Domains)
| Note | Domains | Anteil | Bedeutung |
|---|---|---|---|
| A+ | 6.740 | 0,0% | Praktisch kugelsicher — besteht fast alle Prüfungen |
| A | 49.762 | 0,0% | Stark: E-Mail gesichert, modernes TLS, wesentliche DNS-Schutzmaßnahmen aktiv |
| B | 1.145.942 | 0,4% | Gut, mit kleineren Lücken |
| C | 8.582.117 | 3,3% | Gemischt — teils echter Schutz, teils echte Schwachstellen |
| D | 26.088.093 | 10,0% | Schwach — die meisten Schutzmaßnahmen fehlen |
| F | 224.536.050 | 86,2% | Praktisch ungeschützt — kann gefälscht werden |
Wer diese Tabelle von oben nach unten liest, erkennt sofort das Muster: Die Kurve ist keine Glockenkurve mit Zentrum bei B. Sie ist ein Steilabfall. 86,2% des Internets erhalten ein F, weitere 10,0% ein D — alles oberhalb von C ist im Vergleich eine verschwindend kleine Minderheit.
Wie selten ist eine gute Note?
Sehr selten. Im gesamten Zensus:
- Nur 0,46% der Domains erhalten ein B oder besser — etwa 1 von 220.
- Nur 0,02% erhalten ein A oder A+ — etwa 1 von 4.600.
- Ein C oder besser — die Schwelle für „hat überhaupt nennenswerten Schutz” — erreichen weniger als 1 von 27 Domains.
Anders ausgedrückt: Eine wirklich gut konfigurierte Domain ist keine Norm, hinter der man zurückbleibt. Sie ist eine seltene Ausnahme. Die gute Nachricht in dieser Zahl: Wer die Messlatte übersteigt, ist der überwältigenden Mehrheit des Internets voraus — und die meisten Schritte dahin sind kostenlos.
Warum ist die Kurve so stark zu F hin verschoben?
Drei Gründe — und keiner davon lautet „das Internet ist voller Hacker”:
- Die Standardeinstellungen sind deaktiviert. Bei der Registrierung einer Domain sind E-Mail-Authentifizierung (SPF, DKIM, DMARC), DNSSEC, CAA und Sicherheitsheader nicht aktiviert. Jemand muss sie einschalten — und das tut fast niemand.
- Niemand informiert den Eigentümer. Ein Kleinunternehmer, der eine Domain kauft, wird nie darauf hingewiesen, dass Kriminelle standardmäßig E-Mails versenden können, die scheinbar von seiner genauen Adresse stammen. Es gibt keine Fehlermeldung für „Ihre Domain kann imitiert werden”.
- Der Schutz ist unsichtbar — bis er versagt. Ein fehlender SPF-Eintrag verursacht kein sichtbares Problem — bis ein Betrüger Ihre Domain nutzt, um Ihren Kunden gefälschte Rechnungen zu schicken, oder Ihre echten E-Mails im Spam landen.
Das Ergebnis ist eine Notenverteilung, die Vernachlässigung widerspiegelt — keine böse Absicht.
Was ein F für ein Unternehmen konkret bedeutet
Eine ungenügende Note ist kein abstrakter Score. Konkret bedeutet ein F meist, dass eines oder mehrere dieser Szenarien auf die Domain zutreffen:
- Ihre E-Mails können gefälscht werden. Ohne durchgesetztes SPF und DMARC kann jeder E-Mails versenden, die aussehen, als kämen sie von dieser Domain — an Kunden, Mitarbeiter und Lieferanten — und sie landen im Posteingang. Das ist der Mechanismus hinter Fake-Rechnungs- und CEO-Betrug.
- Echte E-Mails landen häufiger im Spam. Große Anbieter vertrauen nicht authentifizierten Domains zunehmend weniger — echte Angebote und Rechnungen verschwinden lautlos im Spam-Ordner.
- Andere Unternehmen scheitern an Sicherheitsprüfungen. Größere Kunden scannen die Domain eines Lieferanten, bevor sie unterschreiben. „Kann gefälscht werden” reicht aus, um einen Auftrag zu verlieren.
- Die Website schreckt Besucher ab. Ein fehlendes oder defektes Zertifikat zeigt Besuchern eine rote „Nicht sicher”-Warnung.
Wie verändert sich die Notenverteilung im Zeitverlauf?
Da die Scan-Flotte die Population kontinuierlich neu misst, ist diese Verteilung live und keine einmalige Momentaufnahme. Wir veröffentlichen sie als wiederkehrenden Bericht, sodass die Kurve Ausgabe für Ausgabe verfolgt werden kann — wenn das Internet sicherer wird, wird diese Seite es zeigen. Vergleichen Sie die aktuellen Ranglisten hier:
Häufig gestellte Fragen
Welche durchschnittliche Domain-Sicherheitsnote gibt es 2026? Die häufigste Note unter den 260 Millionen gemessenen Domains ist F — und die typische (mediane) Domain liegt bei D oder darunter. Nur 0,46% der Domains erhalten ein B oder besser.
Wie viel Prozent der Websites erfüllen grundlegende Sicherheitsanforderungen nicht? Per 2026-06-28 erhalten 86,2% der bewerteten Domains ein F — praktisch ungeschützt und anfällig für Spoofing — weitere 10,0% erhalten ein D.
Wie viele Domains haben eine A-Note? Nur 6.740 Domains erhalten ein A+ und 49.762 ein A — zusammen etwa 0,02% aller bewerteten Domains, oder ungefähr 1 von 4.600.
Liegt eine schlechte Note daran, dass eine Domain geparkt oder inaktiv ist? Nein. Eine Domain schneidet schlecht ab, weil sie echte, extern beobachtbare Prüfungen tatsächlich nicht besteht — zum Beispiel, weil sie kein durchgesetztes SPF und DMARC hat und daher gefälscht werden kann. Prüfungen, die nicht sinnvoll bewertet werden können, werden als N/A markiert und ausgeschlossen; sie zählen nie als Versagen.
Sehen Sie, wo Ihre Domain auf der Kurve steht
Das sind Populationsdurchschnitte. Ihre Domain könnte zu den 0,46% gehören, die ein B oder besser erreichen — oder zu den 86,2%, die das nicht tun. Prüfen Sie es privat und kostenlos — und sehen Sie genau, welche der 34 Prüfungen Sie bestehen und wie Sie die nicht bestandenen beheben.
Domain prüfen → · Wie wir bewerten → · Nur Aggregatdaten; die Note einer einzelnen Domain wird ausschließlich dem verifizierten Eigentümer angezeigt. Daten gespeichert und verarbeitet in der EU.