Ressourcen

Domain-Vertrauen, erklärt

Verständliche Leitfäden zu den Vertrauenssignalen, nach denen Browser, Postfächer und Prüfer Ihre Domains beurteilen — was jedes bedeutet, wie Sie Ihr Ergebnis lesen und wie Sie es beheben. Ohne Anmeldung.

E-Mail-Authentifizierung

SPF, DKIM & DMARC

SPF, DKIM und DMARC teilen empfangenden Mailservern mit, dass eine Nachricht wirklich von Ihnen stammt. Ohne sie kann jeder E-Mails im Namen Ihrer Domain versenden — und Postfachanbieter weisen Domains, die sie nicht setzen, zunehmend ab oder stellen sie in Quarantäne.

Warum es wichtig ist

Schwache E-Mail-Authentifizierung ist der häufigste Weg, über den Marken beim Phishing gefälscht werden, und eine DMARC-Richtlinie mit p=none verschafft Ihnen Sichtbarkeit ohne jeden Schutz. Postfachanbieter erwarten inzwischen eine Durchsetzung.

So lesen Sie Ihr SkyQon-Ergebnis

SkyQon zeigt Vorhandensein und Richtlinie jedes Eintrags, meldet SPF-Abfragen, die das Limit von 10 DNS-Anfragen überschreiten, und warnt, wenn DMARC bei p=none feststeckt oder die Ausrichtung fehlschlägt.

So beheben Sie es

Veröffentlichen Sie SPF und DKIM, und stellen Sie DMARC dann von p=none auf quarantine und schließlich reject um, sobald Ihre legitimen Absender bestehen. SkyQon liefert die exakten Einträge und prüft nach der Anwendung erneut.

Häufige Fehler

Ein zweiter SPF-Eintrag (nur einer ist erlaubt), eine p=reject-Richtlinie ohne Berichtsadresse und ungeschützte Subdomains — Angreifer fälschen bereitwillig die vergessene.

In der Plattform ansehen →
DNS & DNSSEC

Signiertes, manipulationssicheres DNS

DNS ist das Adressbuch für alles, was Ihre Domain tut. DNSSEC signiert Ihre DNS-Antworten kryptografisch, sodass Resolver Manipulationen oder Cache-Poisoning erkennen können.

Warum es wichtig ist

Unsigniertes DNS erlaubt es Angreifern, Antworten zu fälschen und Ihre E-Mails oder Website unbemerkt umzuleiten. CAA-, MTA-STS- und TLS-RPT-Einträge bieten weitere Schutzmechanismen, die viele Domains nie setzen.

So lesen Sie Ihr SkyQon-Ergebnis

SkyQon meldet, ob DNSSEC aktiviert und gültig ist, ob ein CAA-Eintrag einschränkt, wer Zertifikate für Sie ausstellen darf, und ob MTA-STS und TLS-RPT vorhanden und konsistent sind.

So beheben Sie es

Aktivieren Sie DNSSEC bei Ihrem DNS-Anbieter und veröffentlichen Sie den DS-Eintrag bei Ihrem Registrar; fügen Sie einen CAA-Eintrag mit Ihrer Zertifizierungsstelle hinzu; veröffentlichen Sie MTA-STS- und TLS-RPT-Richtlinien. SkyQon liefert jeden Eintrag und kann unterstützte Korrekturen für Sie anwenden.

Häufige Fehler

DNS signieren, aber den DS-Eintrag beim Registrar nie hinzufügen (sodass nichts tatsächlich validiert wird), und ein CAA-Eintrag, der versehentlich Ihre eigene Zertifizierungsstelle aussperrt.

In der Plattform ansehen →
Zertifikate & TLS

Zertifikate, die nie ablaufen

Ihre TLS-Zertifikate und die Cipher-Konfiguration sind das, was ein Browser prüft, bevor er das Schloss anzeigt. Ein abgelaufenes oder falsch ausgestelltes Zertifikat ist ein sofortiger, sichtbarer Ausfall.

Warum es wichtig ist

Der Ablauf von Zertifikaten zählt nach wie vor zu den häufigsten selbstverschuldeten Ausfällen, und schwache TLS-Versionen oder Cipher lassen Audits still scheitern und untergraben das Vertrauen, lange bevor etwas ausfällt.

So lesen Sie Ihr SkyQon-Ergebnis

SkyQon verfolgt Ablauf, Kette und Schlüsselstärke jedes Zertifikats über Ihre Domains hinweg, bewertet die TLS-Konfiguration und markiert alles, was innerhalb Ihres Warnfensters abläuft.

So beheben Sie es

Erneuern Sie vor Ablauf (oder automatisieren Sie es), entfernen Sie veraltetes TLS 1.0/1.1 und schwache Cipher, und liefern Sie die vollständige Kette aus. SkyQon warnt bis zu 30 Tage im Voraus und kann Erneuerungen für Sie überwachen.

Häufige Fehler

Das Leaf-Zertifikat erneuern, aber ein Zwischenzertifikat vergessen, nur die Hauptdomain überwachen, während eine Subdomain abläuft, und interne Zertifikate, für die sich niemand zuständig fühlt.

In der Plattform ansehen →
NIS2-Nachweise

Nachweise statt Versprechen

NIS2, DORA und eIDAS verlangen zunehmend, dass Sie nachweisen, dass Ihre Domain-Vertrauenskontrollen tatsächlich funktionieren — nicht nur behaupten. Das erfordert datierte, überprüfbare Nachweise.

Warum es wichtig ist

Prüfer und Aufsichtsbehörden wollen Nachweise statt Versprechen. Screenshots altern schlecht und lassen sich leicht anzweifeln; ein signierter, mit Zeitstempel versehener Nachweis Ihrer Lage nicht.

So lesen Sie Ihr SkyQon-Ergebnis

SkyQon verwandelt die kontinuierliche Überwachung in einen signierten Nachweisbericht, der auf die relevanten Kontrollerwartungen abgebildet ist, mit einem Inhalts-Hash, den jeder unabhängig überprüfen kann.

So beheben Sie es

Erstellen Sie den Nachweisbericht für den geprüften Zeitraum und übergeben Sie ihn Ihrem Prüfer; der öffentliche Prüfer bestätigt, dass er nicht verändert wurde. SkyQon liefert den Nachweis — ehrlich als „ausgerichtet auf“ dargestellt, nie als „zertifiziert“.

Häufige Fehler

Einen Scan-Screenshot als Nachweis zu behandeln und „ausgerichtet auf NIS2“ mit „NIS2-zertifiziert“ zu verwechseln — SkyQon macht hier bewusst einen Unterschied.

In der Plattform ansehen →
Markenimitation

Nachahmungen früh erkennen

Angreifer registrieren ähnlich aussehende Domains — vertauschte Buchstaben, zusätzliche Bindestriche, andere Endungen — um Ihre Kunden und Mitarbeitenden zu phishen. Meist erfahren Sie es erst nach dem Schaden.

Warum es wichtig ist

Eine überzeugende Nachahmung mit gültigem Zertifikat ist alles, was eine Phishing-Kampagne braucht. Certificate-Transparency-Protokolle machen solche Registrierungen früh sichtbar — wenn Sie hinsehen.

So lesen Sie Ihr SkyQon-Ergebnis

SkyQon überwacht Certificate Transparency auf Zertifikate, die für Namen ähnlich Ihren ausgestellt werden, und bringt neu gesichtete Nachahmungen zutage, damit Sie handeln können, bevor eine Kampagne startet.

So beheben Sie es

Priorisieren Sie jede Nachahmung, fordern Sie Takedowns für die bösartigen an und registrieren Sie die risikoreichsten Varianten vorab. Das Brand-Protection-Add-on von SkyQon verfolgt Fälle und Missbrauchskontakte durchgängig.

Häufige Fehler

Nur Ihre exakte Domain zu überwachen, andere Endungen (.io / .co / .app) zu ignorieren und anzunehmen, eine Nachahmung sei harmlos, bis sie zur Waffe wird.

In der Plattform ansehen →
Post-Quanten-Bereitschaft

Starten Sie den Migrations-Countdown

Ein künftiger Quantencomputer könnte die RSA- und ECC-Verschlüsselung brechen, die den heutigen Datenverkehr schützt. „Harvest-now, decrypt-later“ bedeutet, dass heute abgefangene Daten später entschlüsselt werden können — der Countdown läuft also bereits.

Warum es wichtig ist

Aufsichtsbehörden und Normungsgremien veröffentlichen bereits Post-Quantum-Zeitpläne. Zu wissen, wo klassische Kryptografie in Ihrer Umgebung steckt, ist der erste Schritt — und das braucht Zeit.

So lesen Sie Ihr SkyQon-Ergebnis

SkyQon bewertet die Post-Quantum-Bereitschaft Ihres TLS- und Zertifikatsbestands und inventarisiert, wo quantenanfällige Algorithmen noch im Einsatz sind.

So beheben Sie es

Erstellen Sie ein Krypto-Inventar, priorisieren Sie langlebige Geheimnisse und nach außen gerichtete Dienste und planen Sie die Einführung von Hybrid/PQC, sobald Ihre Anbieter sie bereitstellen. Das PQC-Roadmap-Tooling von SkyQon strukturiert den Übergang.

Häufige Fehler

Post-Quantum als Problem für später zu behandeln und langlebige Daten zu übersehen, die ein „Harvest-now“-Angreifer zuerst ins Visier nimmt.

In der Plattform ansehen →
Kostenloser Download

Die EU-Checkliste für Domain-Vertrauen

Eine einseitige Checkliste der Zertifikats-, DNS-, E-Mail- und Nachweiskontrollen, die wir prüfen — mit der Lösung für jede. Nutzen Sie sie zur Selbsteinschätzung, bevor Sie einen Scan starten.

Glossar

Die Akronyme hinter den Befunden, je in einer Zeile.

SPF
Sender Policy Framework — listet, welche Server E-Mails für Ihre Domain senden dürfen.
DKIM
DomainKeys Identified Mail — eine kryptografische Signatur, die belegt, dass eine Nachricht unterwegs nicht verändert wurde.
DMARC
Sagt Postfächern, was mit E-Mails geschehen soll, die SPF oder DKIM nicht bestehen, und wohin Berichte gehen.
DNSSEC
Signiert Ihre DNS-Einträge, sodass Resolver gefälschte oder manipulierte Antworten erkennen können.
CAA
Ein DNS-Eintrag, der die Zertifizierungsstellen benennt, die Zertifikate für Ihre Domain ausstellen dürfen.
MTA-STS
Erzwingt eingehende Mail an Ihre Domain über authentifiziertes, verschlüsseltes TLS.
TLS-RPT
Liefert Berichte, wenn die TLS-Zustellung an Ihre Mailserver fehlschlägt.
CT
Certificate Transparency — öffentliche Protokolle jedes ausgestellten Zertifikats, um Nachahmungen und Fehlausstellungen zu erkennen.
OV / EV
Organisations- und Extended-Validation-Zertifikate, die eine geprüfte Rechtsidentität mit einer Domain verbinden.
QWAC
Qualified Website Authentication Certificate — ein eIDAS-qualifiziertes Zertifikat, das die Website-Identität in der EU nachweist.
PQC
Post-Quantum-Kryptografie — Algorithmen, die Angriffen durch Quantencomputer standhalten sollen.
OCSP
Online Certificate Status Protocol — eine Live-Prüfung, ob ein Zertifikat widerrufen wurde.

Häufig gestellte Fragen

Wie oft sollte ich die Vertrauenslage meiner Domains prüfen?
Kontinuierlich. Zertifikate laufen an einem festen Datum ab, DNS- und E-Mail-Einträge verändern sich, wenn Teams sie anpassen, und Nachahmer-Domains tauchen ohne Vorwarnung auf — ein einmaliger Scan veraltet binnen Wochen. SkyQon überwacht und alarmiert Sie, sodass Sie nur handeln, wenn sich etwas ändert.
Ist „ausgerichtet auf NIS2, DORA oder eIDAS“ dasselbe wie zertifiziert?
Nein, und das ist uns wichtig. SkyQon erstellt Nachweise, die auf das abgebildet sind, was diese Rahmenwerke von Ihrer Domain-Vertrauensschicht erwarten. Die Zertifizierungsentscheidung bleibt bei Ihrem Prüfer; wir liefern ihm überprüfbare Nachweise, kein Siegel.
Kann SkyQon Probleme für mich beheben oder sie nur melden?
Beides. Jeder Befund enthält den exakten Eintrag oder die Konfiguration zum Anwenden, und bei unterstützten Anbietern kann SkyQon DNS-Korrekturen ab Pro für Sie anwenden und erneut prüfen. Zertifikate und Registrar-Einstellungen laufen weiterhin über Ihr eigenes Änderungsmanagement.
Benötigt SkyQon Zugriff auf meine Systeme?
Nein. SkyQon inspiziert dieselben öffentlichen Signale, die ein Browser, ein Postfachanbieter oder ein Prüfer sieht — von außen, ohne Installation und ohne Zugangsdaten. Interne Abdeckung ist ein optionales Add-on für Teams, die es wünschen.
Was unterscheidet SkyQon von einem kostenlosen Einmal-Scanner?
Ein Einmal-Scanner prüft ein einzelnes Signal einmal. SkyQon überwacht Zertifikate, DNS, E-Mail, Angriffsfläche und Post-Quantum-Bereitschaft gemeinsam, bewertet sie ehrlich (Abdeckung gegenüber Lage) und macht — in Plänen mit Nachweisberichten — aus dem Ergebnis einen signierten Nachweis, kontinuierlich.
Wo liegen meine Daten?
In der Europäischen Union. Wir lesen ausschließlich Informationen, die über Ihre Domains bereits öffentlich beobachtbar sind, und sind nach europäischen Datenschutzanforderungen aufgebaut und betrieben.

Bereit, Ihre eigene Posture zu sehen?