Defaults.Exposed › Articles
Der Zustand der Domain-Sicherheit 2026
Published 2026-06-27
Stand der Zahlen: 2026-06-27 · Methodik v7. Dies ist ein wiederkehrender Bericht; jede Ausgabe misst dieselbe Grundgesamtheit erneut, sodass sich die Entwicklung der Zahlen über die Zeit verfolgen lässt. Alle Werte sind aggregiert – die Note eines einzelnen Unternehmens veröffentlichen wir niemals.
.comist vollständig bewertet (129 Mio. Domains) und in den untenstehenden Gesamtwerten enthalten.
Die Kernaussage: Der Großteil des Internets scheitert an grundlegender Domain-Sicherheit
Wir haben 261.752.302 aktive Domains anhand von 34 Sicherheitsprüfungen untersucht – E-Mail-Authentifizierung (SPF, DKIM, DMARC), TLS und Zertifikate, Web-Sicherheits-Header sowie DNS (einschließlich DNSSEC). Das Ergebnis ist ernüchternd:
- 86,3 % erhalten ein F – die schlechteste Note.
- Weniger als 0,02 % erreichen ein A oder A+ – das ist etwa 1 von 4.700 Domains.
- Nur rund 1 von 27 schafft ein C oder besser.
Das ist keine Geschichte über ein paar vernachlässigte Websites. Es ist der Normalzustand des Internets: Die Schutzmaßnahmen, die verhindern, dass Ihre E-Mails gefälscht und Ihre Besucher getäuscht werden, sind für die überwältigende Mehrheit der Domains schlicht nicht aktiviert.
Notenverteilung (262 Mio. Domains)
| Note | Domains | Anteil |
|---|---|---|
| A+ | 6.708 | 0,0 % |
| A | 49.443 | 0,0 % |
| B | 1.142.198 | 0,4 % |
| C | 8.566.735 | 3,3 % |
| D | 26.225.422 | 10,0 % |
| F | 225.761.796 | 86,3 % |
Die Unterschiede zwischen Ländern und TLDs sind groß
Die Domain-Sicherheit unterscheidet sich stark je nach Land und Domain-Endung. Etablierte nationale Registrierungsstellen – vor allem in Europa – schützen die Unternehmen ihres Landes meist am besten, während billige, in großen Mengen registrierte generische Endungen am schlechtesten abschneiden. Doch „am besten“ ist relativ: Selbst bei den stärksten Endungen bleibt die Mehrheit der Domains bei einem F.
Diese Ranglisten verschieben sich, während die Erhebung wächst – deshalb halten wir sie laufend aktuell, statt sie hier festzuschreiben:
- Die sichersten und unsichersten TLDs →
- Domain-Sicherheit nach Land →
- Domain-Sicherheit nach Branche →
Was das für Ihr Unternehmen bedeutet
Eine schlechte Note ist kein abstrakter Wert. Im Klartext bedeutet sie meist, dass eines oder mehrere der folgenden Dinge auf Ihre Domain zutreffen:
- Ihre E-Mails können gefälscht werden. Ohne durchgesetztes SPF und DMARC kann ein Krimineller E-Mails versenden, die exakt so aussehen, als kämen sie von Ihnen – an Ihre Kunden, Mitarbeiter und Lieferanten – und sie landen im Posteingang. Genau so funktionieren Betrug mit gefälschten Rechnungen und CEO-Betrug.
- Ihre echten E-Mails landen eher im Müll. Google und Yahoo misstrauen nicht authentifizierten Domains zunehmend, sodass Ihre echten Angebote und Rechnungen unbemerkt im Spam-Ordner landen.
- Sie scheitern an den Sicherheitsprüfungen anderer. Größere Kunden führen vor einem Vertragsabschluss einen schnellen Scan durch. „Domain nicht geschützt – kann gefälscht werden“ genügt, um das Geschäft zu verlieren.
- Ihre Website kann Besucher abschrecken. Ein fehlendes oder defektes Zertifikat zeigt Kunden eine rote „Nicht sicher“-Warnseite.
Das Ermutigende daran: Die meisten dieser Probleme lassen sich kostenlos und schnell beheben – meist mit wenigen Zeilen in den Einstellungen Ihrer Domain. Die Hürde sind fast nie die Kosten, sondern dass dem Inhaber nie jemand gesagt hat, dass es darauf ankommt.
Wie wir gemessen haben
- 34 Prüfungen, von außen beobachtbar – kein Zugriff auf fremde Systeme erforderlich. (Vollständige Methodik.)
- Bestanden / nicht bestanden / N/A. Wo sich eine Prüfung tatsächlich nicht eindeutig bestimmen lässt, wird sie als N/A markiert und ausgeschlossen – sie zählt nie als Fehlschlag.
- Ein echter Fehlschlag ist ein echter Fehlschlag. Eine Domain ohne SPF/DMARC schneidet schlecht ab, weil sie sich tatsächlich fälschen lässt – nicht wegen unserer Zählweise.
- Nur aggregiert. Dies sind Muster der Grundgesamtheit; die Note einer einzelnen Domain wird ausschließlich ihrem verifizierten Inhaber angezeigt.
- Die Daten werden innerhalb der EU gespeichert und verarbeitet.
(Eine künftige Ausgabe wird den Anteil der Domains ergänzen, die überhaupt keinen Schutz gegen E-Mail-Spoofing veröffentlichen, sobald diese Auswertung pro Prüfung über die gesamte Grundgesamtheit abgeschlossen ist.)
Sehen Sie, wo Ihre eigene Domain steht
Dies sind Durchschnittswerte. Ihre Domain könnte zu den 0,02 % gehören, die ein A erhalten – oder zu den 86,3 %, die es nicht schaffen. Sie können sie vertraulich und kostenlos prüfen und genau sehen, welche der 34 Prüfungen Sie bestehen und wie Sie die übrigen beheben.