24. Juni 2026 | Artikel drucken |

Protective DNS: der Layer, den viele übersehen

7 Min. Lesezeit

Bevor eine Schadsoftware ihren Steuerserver erreicht, stellt sie eine DNS-Anfrage. Bevor ein Mitarbeiter auf einer gefälschten Login-Seite landet, löst sein Rechner deren Domain auf. Fast jeder Angriff macht an einer Stelle halt, die viele Unternehmen nie filtern: beim DNS. Protective DNS schließt genau diese Lücke, und es ist einer der billigsten Sicherheits-Layer.

Das Wichtigste in Kürze

  • DNS ist der gemeinsame Nenner: Malware-Steuerung, Phishing und Datenabfluss beginnen fast immer mit einer Namensauflösung. Wer DNS nicht filtert, lässt die früheste Erkennungsstufe ungenutzt liegen.
  • Protective DNS blockt an der Wurzel: Ein gehärteter Resolver gleicht jede Anfrage gegen Bedrohungsdaten ab und stoppt bekannte Steuerserver, frisch registrierte Domains und Phishing-Seiten, bevor die Verbindung überhaupt steht.
  • Verschlüsseltes DNS ist die Achillesferse: DNS over HTTPS umgeht den Unternehmens-Resolver und damit den Filter. Wer diesen Kanal nicht kontrolliert, hebelt die eigene Schutzschicht aus.

Verwandt:ITDR neben SIEM und EDR: Detection-Architektur 2026  /  Edge-Gerät als Ransomware-Tor: Warum MFA am VPN nicht reicht

Warum Angreifer über DNS gehen

DNS ist das Adressbuch des Internets. Jede Verbindung beginnt damit, dass ein Name in eine Adresse übersetzt wird. Das gilt für den Aufruf einer Website genauso wie für eine Schadsoftware, die nach der Infektion ihren Steuerserver kontaktiert. Genau deshalb ist DNS der eine Punkt, an dem fast jede Angriffskette vorbeikommt, ob beim Phishing, beim Nachladen von Schadcode oder beim heimlichen Abfluss von Daten.

Die meisten Schutzmaßnahmen setzen später an. Der Virenscanner prüft die Datei, die Firewall den Datenverkehr, das EDR das Verhalten auf dem Endpunkt. Die DNS-Anfrage davor läuft in vielen Netzen ungefiltert durch, oft direkt an einen öffentlichen Resolver. Damit verschenkt man die Chance, einen Angriff zu stoppen, bevor er überhaupt eine Verbindung aufbaut.

Diese Erkennungsstufe ist nicht nur früh, sie ist auch billig. Wer DNS ohnehin betreibt, und das tut jedes Unternehmen, kann den Schutz oft mit der vorhandenen Infrastruktur nachrüsten. Das macht Protective DNS zu einem der wenigen Sicherheits-Layer mit gutem Verhältnis von Aufwand zu Wirkung.

Was ist Protective DNS? Protective DNS ist ein DNS-Resolver, der jede Namensauflösung gegen Bedrohungsdaten abgleicht und Anfragen zu bekannten bösartigen Domains blockiert oder umleitet. Statt eine gefährliche Adresse zurückzugeben, antwortet er mit einer Sperrseite. Behörden wie das BSI und Sicherheitsdienste in mehreren Ländern empfehlen den Ansatz ausdrücklich.

Was ein gehärteter Resolver blockt

Ein Protective-DNS-Dienst arbeitet mit Sperrlisten, die aus laufend aktualisierten Bedrohungsdaten gespeist werden. Technisch setzt er das oft über Response Policy Zones um, also Regeln, die definierte Domains gar nicht erst auflösen. Der praktische Nutzen liegt in den Kategorien, die er abdeckt, und in den blinden Flecken, die er bewusst offen lässt.

Was Protective DNS leistet

  • Blockt bekannte Steuerserver von Schadsoftware
  • Stoppt Phishing- und Typosquatting-Domains
  • Greift bei frisch registrierten Domains früh ein
  • Liefert wertvolle Logs für die Erkennung kompromittierter Hosts

Wo die Grenzen liegen

  • Unbekannte, brandneue Domains rutschen durch
  • Direkte Verbindungen per IP-Adresse umgehen das DNS
  • Verschlüsseltes DNS hebelt den Filter aus
  • Kein Ersatz für EDR, Patchen und Segmentierung

Protective DNS ist also kein Allheilmittel, sondern eine Schicht im Stapel. Sie nimmt früh und günstig viel Last von den späteren Stufen, ersetzt sie aber nicht. Genau diese Einordnung entscheidet darüber, ob die Einführung als Sicherheitsgewinn oder als trügerische Beruhigung endet.

Die Lücke, die verschlüsseltes DNS reißt

Der größte praktische Stolperstein hat einen unscheinbaren Namen: DNS over HTTPS. Moderne Browser und viele Anwendungen können ihre DNS-Anfragen verschlüsselt und direkt an einen externen Anbieter schicken, vorbei am Unternehmens-Resolver. Aus Sicht des Datenschutzes ist das gewollt. Aus Sicht der Verteidigung ist es ein Loch, denn der eigene Protective-DNS-Filter sieht diese Anfragen nie.

Auch Schadsoftware nutzt diesen Weg zunehmend, gerade um Filter zu umgehen. Wer Protective DNS einführt, ohne verschlüsseltes DNS zu kontrollieren, sperrt die Vordertür und lässt das Fenster offen. Das ist die Stelle, an der ich schon Setups gesehen habe, die auf dem Papier sauber aussahen und in der Praxis nichts hielten.

Die Gegenmaßnahmen sind bekannt, brauchen aber Disziplin: Den eigenen Resolver als einzig erlaubten DNS-Pfad erzwingen, externes verschlüsseltes DNS auf der Firewall sperren und Ausnahmen bewusst und dokumentiert vergeben. Ohne diesen Schritt bleibt der schönste Filter wirkungslos.

So führen Sie Protective DNS ein

Die Einführung ist überschaubar, wenn man die Reihenfolge einhält. Wer mit dem Blockieren beginnt, bevor er weiß, was im eigenen Netz normal ist, produziert vor allem Störungen und verbrannte Akzeptanz.

Einführung in vier Schritten
Schritt 1
Im Beobachten starten. Den gehärteten Resolver zunächst nur protokollieren lassen, nicht blockieren. So sehen Sie, welche Domains das Netz wirklich anfragt, und vermeiden böse Überraschungen.
Schritt 2
Schrittweise blocken. Erst klar bösartige Kategorien sperren, dann nachschärfen. Eine kurze Ausnahmeliste für legitime Sonderfälle gehört von Anfang an dazu.
Schritt 3
Verschlüsseltes DNS schließen. Externes DNS over HTTPS auf der Firewall sperren und den eigenen Resolver als einzigen Pfad erzwingen. Ohne diesen Schritt ist der Filter umgehbar.
Schritt 4
Logs in die Erkennung holen. Die Anfrageprotokolle ins SIEM einspeisen. Ein Host, der wiederholt nach gesperrten Domains fragt, ist ein verlässliches Frühsignal für eine Kompromittierung.

Häufige Fragen

Ersetzt Protective DNS meine Firewall oder mein EDR?

Nein. Protective DNS ist eine frühe, günstige Schicht, die viele Angriffe vor dem Verbindungsaufbau stoppt. Firewall, EDR, Patchen und Segmentierung bleiben nötig. Protective DNS nimmt diesen Stufen früh Last ab, bevor die Verbindung überhaupt steht.

Was unterscheidet Protective DNS von einem normalen DNS-Resolver?

Ein normaler Resolver löst jede Anfrage auf, auch zu bösartigen Domains. Ein Protective-DNS-Resolver gleicht jede Anfrage gegen Bedrohungsdaten ab und verweigert die Auflösung gefährlicher Adressen, oft über Response Policy Zones.

Warum ist verschlüsseltes DNS ein Problem?

DNS over HTTPS schickt Anfragen direkt an externe Anbieter, vorbei am Unternehmens-Resolver. Damit sieht der eigene Filter diese Anfragen nicht mehr. Ohne Kontrolle über diesen Kanal lässt sich Protective DNS umgehen, von Nutzern wie von Schadsoftware.

Ist Protective DNS auch für kleinere Unternehmen geeignet?

Gerade dort. Der Aufwand ist niedrig, oft genügt vorhandene Infrastruktur oder ein gehosteter Dienst. Für Teams ohne großes SOC ist es eine der wenigen Maßnahmen mit sofort spürbarer Wirkung bei geringem Pflegeaufwand.

Wie vermeide ich, dass legitime Dienste blockiert werden?

Indem die Einführung im reinen Beobachtungsmodus beginnt und das Blockieren schrittweise nachzieht. Eine gepflegte Ausnahmeliste und ein klarer Meldeweg für Fehlalarme halten die Akzeptanz im Betrieb hoch.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

cloudmagazin

Ingress-NGINX ist abgekündigt: Der Weg zur Gateway API

mybusinessfuture

13,3 Millionen gehen in Rente: Die Boomer-Lücke kommt

digital-chiefs

VMware unter Broadcom: Der Exit-Plan als Hebel

Bildquelle: KI-generiert (Juni 2026)

Artikel drucken
Alec Chizhik

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor

Auch verfügbar in

Ein Magazin der Evernine Media GmbH