Defaults.Exposed › Methodik
Methodik — wie wir bewerten
Jede Domain wird anhand von 34 Prüfungen bewertet (25 fließen in die Note ein + 9 informative) in fünf Kategorien: E-Mail-Sicherheit, TLS & Zertifikate, Web-Sicherheit, DNS-Sicherheit und Infrastruktur. Hier erfahren Sie genau, wie es funktioniert – keine Blackbox.
So funktioniert die Bewertung
Jede Prüfung ergibt bestanden, nicht bestanden oder nicht zutreffend. Die Bewertung einer Domain ist der Anteil der Punkte, die sie über die für sie relevanten Prüfungen erreicht, übersetzt in eine Note:
| Note | Punktzahl |
|---|---|
| A+ | 95% + |
| A | 90% + |
| B | 80% + |
| C | 70% + |
| D | 60% + |
| F | unter 60% |
Die Noten sind außerdem relativ – ein Perzentil zeigt, wo eine Domain im Vergleich zur Gesamtheit ihrer TLD steht, nicht nur gegenüber einer festen Checkliste.
Die No-Data-Regel (nicht zutreffend zählt nie als Fehlschlag)
Lässt sich eine Prüfung tatsächlich nicht auswerten (eine Zeitüberschreitung, ein geschwärzter Eintrag), wird sie als nicht zutreffend markiert und aus der Bewertung ausgeschlossen – sie wird Ihnen nie angelastet. Das unterscheidet sich von einem echten Fehlschlag (kein DMARC, kein HTTPS), der ein tatsächliches Nichtbestehen ist. Eine Domain ohne SPF/DMARC schneidet zu Recht schlecht ab: Sie kann gefälscht werden.
Grundsätze
- Unabhängig & extern. Wir messen, was jeder im Internet beobachten kann – kein Zugriff auf Ihre Systeme erforderlich.
- Öffentlich nur aggregiert. Wir veröffentlichen Muster (nach TLD, Land, Branche). Die Bewertung einer einzelnen Domain wird nur ihrem verifizierten Inhaber gezeigt – nie öffentlich.
- Transparent. Die vollständige Prüfliste finden Sie unten; die Behebungen sind kostenlos.
- In der EU verarbeitet. Die Daten werden in der EU verarbeitet.
Die 34 Prüfungen
Jede Prüfung, was sie für Ihr Unternehmen bedeutet und ob sie in Ihre Note einfließt. Folgen Sie einem Link für den vollständigen Leitfaden „Was es Sie kostet + wie Sie es beheben“.
E-Mail-Sicherheit
Ob Ihre Domain in E-Mails missbraucht werden kann und ob Ihre eigenen Nachrichten den Posteingang erreichen.
| Prüfung | Was es für Ihr Unternehmen bedeutet | In Ihrer Note? |
|---|---|---|
| SPF-Eintrag | Verhindert, dass Kriminelle E-Mails senden, die scheinbar von Ihnen stammen, und hilft, dass Ihre Nachrichten den Posteingang erreichen. | Bewertet |
| Stärke der SPF-Richtlinie | Ein schwaches SPF warnt nur; ein striktes blockiert Fälschungen tatsächlich. | Bewertet |
| DMARC-Richtlinie | Die Anweisung, die E-Mail-Anbieter auffordert, gefälschte Nachrichten abzulehnen – die zentrale Schutzmaßnahme gegen Fälschungen. | Bewertet |
| DMARC-Berichte | Berichten, wer in Ihrem Namen Mails versendet, damit Sie Missbrauch und Fehlkonfigurationen erkennen. | Bewertet |
| DKIM | Eine kryptografische Signatur, die belegt, dass eine Nachricht wirklich von Ihnen stammt; verbessert die Zustellbarkeit. | Bewertet |
| MX-Einträge | Ob Ihre Domain überhaupt korrekt für den E-Mail-Empfang eingerichtet ist. | Bewertet |
| Reverse DNS (PTR) | Hilft Ihrem Mailserver, legitim zu wirken, damit Nachrichten nicht als Müll eingestuft werden. | Bewertet |
TLS & Zertifikate
Das Schloss-Symbol – ob der Datenverkehr zu Ihrer Website mit einem gültigen, modernen Zertifikat verschlüsselt ist.
| Prüfung | Was es für Ihr Unternehmen bedeutet | In Ihrer Note? |
|---|---|---|
| HTTPS verfügbar | Ohne HTTPS warnen Browser Besucher mit „Nicht sicher“ und sie verlassen die Seite. | Bewertet |
| Zertifikat gültig | Ein vertrauenswürdiges, korrekt ausgestelltes Zertifikat; ein ungültiges löst abschreckende Browser-Warnungen aus. | Bewertet |
| Zertifikatsablauf | Ein bald ablaufendes Zertifikat nimmt Ihre Website mit einer ganzseitigen Warnung offline. | Bewertet |
| Signaturalgorithmus | Verwendet einen modernen, ungebrochenen Signaturalgorithmus (nicht das veraltete SHA-1). | Bewertet |
| Schlüsselstärke | Ausreichende Schlüssellänge, damit die Verschlüsselung nicht per Brute Force geknackt werden kann. | Bewertet |
| TLS-Version | Modernes TLS (1.2/1.3); alte Versionen sind unsicher und fallen bei Sicherheitsprüfungen durch. | Bewertet |
| Stärke der Verschlüsselung | Starke Verschlüsselung, die Daten während der Übertragung schützt. | Bewertet |
| TLS-Komprimierung | Komprimierung deaktiviert, um eine bekannte Angriffsklasse zu vermeiden. | Informativ |
| OCSP-Stapling | Schnellere, datenschutzfreundlichere Prüfung des Zertifikatswiderrufs. | Informativ |
| Sichere Neuverhandlung | Schützt vor einem TLS-Neuverhandlungsangriff. | Informativ |
Web-Sicherheit
Die HTTP-Header, die die Browser Ihrer Besucher vor verbreiteten Angriffen schützen.
| Prüfung | Was es für Ihr Unternehmen bedeutet | In Ihrer Note? |
|---|---|---|
| HSTS | Erzwingt bei jedem Besuch die sichere Verbindung, damit Kunden nicht auf eine unsichere Verbindung herabgestuft werden können. | Bewertet |
| HTTP→HTTPS-Weiterleitung | Leitet Besucher, die über http ankommen, direkt zur sicheren Version weiter. | Bewertet |
| Content-Security-Policy | Verringert die Gefahr, dass ein gehacktes oder eingeschleustes Skript Kundendaten von Ihrer Website stiehlt. | Bewertet |
| Clickjacking-Schutz | Verhindert, dass Angreifer Ihre Website einbetten, um Ihre Kunden zu unbeabsichtigten Klicks zu verleiten. | Bewertet |
| Schutz vor MIME-Sniffing | Verhindert, dass Browser Dateien falsch interpretieren, was Angreifer ausnutzen könnten. | Bewertet |
| Referrer-Policy | Steuert, welche Adressinformationen an andere Seiten gelangen, wenn Besucher wegklicken. | Bewertet |
| Cross-Origin-Header (COOP/CORP/COEP) | Fortgeschrittene Isolierung, die gegen seitenübergreifende Datenlecks härtet. | Informativ |
DNS-Sicherheit
Ob die Grundlagen Ihrer Domain gekapert oder offline genommen werden können.
| Prüfung | Was es für Ihr Unternehmen bedeutet | In Ihrer Note? |
|---|---|---|
| CAA-Einträge | Verhindert, dass jemand außer Ihrem gewählten Anbieter SSL-Zertifikate für Ihre Domain ausstellt. | Bewertet |
| DNSSEC (DS) | Verhindert, dass Angreifer Ihre Domain kapern und Besucher auf eine gefälschte Kopie Ihrer Website leiten. | Bewertet |
| DNSSEC (DNSKEY) | Der Signaturschlüssel, der den DNSSEC-Schutz erst wirksam macht. | Bewertet |
| Nameserver-Diversität | Mehrere unabhängige Nameserver, damit ein einzelner Ausfall Sie nicht offline nimmt. | Bewertet |
| SOA-Konfiguration | Ein korrekt konfigurierter DNS-„Start of Authority“-Eintrag. | Bewertet |
| IPv6-Unterstützung | Erreichbar über das moderne Internetprotokoll. | Informativ |
Infrastruktur
Kontext dazu, wo und wie Ihre Website gehostet wird (informativ – dies ändert nie Ihre Note).
| Prüfung | Was es für Ihr Unternehmen bedeutet | In Ihrer Note? |
|---|---|---|
| CDN-/WAF-Erkennung | Ob ein Content-Delivery-Netzwerk / eine Web Application Firewall Ihre Website schützt. | Informativ |
| Hosting-Anbieter | Gibt an, wo Ihre Website gehostet wird. | Informativ |
Möchten Sie sehen, wo Ihre eigene Domain bei allen 34 Prüfungen steht? Kostenlose Prüfung starten → (vertraulich; die Bewertung einer Domain zeigen wir ausschließlich ihrem verifizierten Inhaber).