A-Records enthalten IPv4-Adressen, AAAA-Records enthalten IPv6-Adressen. Wenn eine Domain einen A- oder AAAA-Record hat, kann sie direkt zu einer technischen Zieladresse aufgelöst werden.

Auch gesucht als: A Record, AAAA Record, IPv4, IPv6

Im Monitoring beschreibt die Antwortzeit, wie viele Millisekunden zwischen Anfrage und verwertbarer Antwort liegen. Hohe Werte können auf Überlastung, Netzwerkprobleme oder langsame Anwendungen hindeuten.

Auch gesucht als: Response, Response Time, Latency

Eine Autonomous System Number beschreibt einen Netzverbund, der unter gemeinsamer Routing-Verantwortung steht. ASN-Daten helfen, Domains und IP-Adressen grob Betreibern, Providern oder Netzbereichen zuzuordnen.

Auch gesucht als: Autonomous System Number

Die Beobachtungsliste zeigt wichtige öffentliche Dienste separat, damit deren aktueller Status und Verlauf schneller sichtbar sind als in der längeren Monitoring-Tabelle.

Im Lagebild meint Berechtigungen vor allem die Permissions-Policy. Sie steuert, ob Funktionen wie Kamera, Mikrofon, Standort, Vollbild oder Sensoren für eine Website und eingebettete Inhalte verfügbar sind.

Stark/Gut: Stark ist eine enge Permissions-Policy, die nicht benötigte Browser-Funktionen deaktiviert und Drittinhalten keine unnötigen Rechte gibt.

Schwach: Schwach ist eine fehlende oder sehr breite Policy, weil dann mehr Browser-Funktionen als nötig nutzbar bleiben.

Auch gesucht als: Permissions-Policy, Feature-Policy

Beim Clickjacking wird eine legitime Seite in einen fremden Kontext eingebettet und visuell überlagert. Schutzmechanismen wie frame-ancestors oder X-Frame-Options verhindern, dass Seiten unerwünscht in Frames geladen werden.

Auch gesucht als: UI Redressing

Eine Content Security Policy legt fest, aus welchen Quellen Skripte, Styles, Bilder, Frames und andere Ressourcen geladen werden dürfen. Sie reduziert vor allem XSS- und Einbettungsrisiken.

Stark/Gut: Stark ist eine CSP, die zentrale Direktiven wie default-src, script-src und frame-ancestors sinnvoll einschränkt und riskante Freigaben vermeidet.

Schwach: Schwach ist eine CSP, die wichtige Direktiven auslässt oder sehr breite Quellen wie * und unsichere Inline-Ausführung erlaubt.

Auch gesucht als: Content Security Policy, Security Header

DMARC baut auf SPF und DKIM auf und sagt empfangenden Mailservern, wie sie mit Nachrichten umgehen sollen, die diese Prüfungen nicht bestehen. Das hilft gegen Spoofing und Phishing mit fremden Absenderdomains.

Stark/Gut: Stark ist DMARC im Lagebild bei p=reject oder p=quarantine, weil verdächtige Nachrichten dann abgewiesen oder isoliert werden sollen.

Schwach: Schwach ist DMARC bei p=none, weil die Domain dann zwar beobachtet, aber keine Durchsetzung verlangt.

Auch gesucht als: Domain-based Message Authentication, Reporting and Conformance, p=none, p=reject, p=quarantine

Das Domain Name System macht aus lesbaren Namen wie beispiel.at technische Informationen, etwa IP-Adressen, Nameserver oder Mailserver. Ohne DNS können die meisten Dienste unter ihrem Namen nicht gefunden werden.

Auch gesucht als: Domain Name System

DNS-Records speichern konkrete Informationen zu einer Domain. Im Lagebild sind unter anderem A/AAAA, NS, SOA, MX und TXT relevant, weil sie Web-, Mail- und Sicherheitsfunktionen sichtbar machen.

Auch gesucht als: Record, DNS-Eintrag

DNSSEC erschwert manipulierte DNS-Antworten, indem DNS-Daten signiert und über eine Vertrauenskette prüfbar werden. Im Lagebild werden dafür DS- und DNSKEY-Signale betrachtet.

Stark/Gut: Stark ist DNSSEC, wenn sowohl DS als auch DNSKEY gefunden werden und die Domain damit eine erkennbare Vertrauenskette hat.

Schwach: Unvollständig ist DNSSEC, wenn nur DS oder nur DNSKEY gefunden wird. Dann gibt es zwar ein Signal, aber keine vollständige sichtbare Kette.

Auch gesucht als: DS, DNSKEY

Eine Domain wie beispiel.at ist die Grundlage für Web-, Mail- und DNS-Messungen. Das Lagebild zählt Domains als beobachtete Einheiten und ordnet ihre technischen Signale aggregiert aus.

Auch gesucht als: .at-Domain, Hostname

Ein Downgrade ist kritisch, wenn ein Dienst von HTTPS auf HTTP zurückleitet oder Nutzer dadurch unverschlüsselt weiterarbeiten. Dadurch können Vertraulichkeit und Integrität verloren gehen.

Auch gesucht als: Downgrade-Angriff

Framing-Schutz wird meist über die CSP-Direktive frame-ancestors oder über X-Frame-Options umgesetzt. Er reduziert das Risiko von Clickjacking.

Stark/Gut: Stark ist Framing-Schutz, wenn frame-ancestors oder X-Frame-Options fremde Einbettung klar begrenzen, etwa auf none, self oder bewusst erlaubte Quellen.

Schwach: Schwach ist Framing-Schutz, wenn entsprechende Header fehlen oder die Einbettung zu breit erlauben.

Auch gesucht als: X-Frame-Options, frame-ancestors

HTTP Strict Transport Security merkt sich im Browser, dass eine Domain künftig verschlüsselt angesprochen werden soll. Das schützt vor vielen Downgrade- und Man-in-the-Middle-Szenarien.

Stark/Gut: Stark ist HSTS, wenn max-age lang genug gesetzt ist und Subdomains sinnvoll einbezogen werden.

Schwach: Schwach ist HSTS, wenn max-age sehr kurz ist, Subdomains fehlen oder der Header gar nicht gesetzt ist.

Auch gesucht als: Strict-Transport-Security

HTTP transportiert Webseiten und API-Antworten, schützt Inhalte aber nicht selbst vor Mitlesen oder Veränderung. Öffentliche Dienste sollten Nutzer deshalb nach HTTPS führen.

Auch gesucht als: Hypertext Transfer Protocol

HTTPS schützt die Verbindung zwischen Browser und Server vor Mitlesen und Veränderung. Im Lagebild wird geprüft, ob HTTPS funktioniert und ob HTTP sauber zu HTTPS führt.

Stark/Gut: Stark ist HTTPS-Durchsetzung, wenn HTTPS erreichbar ist und HTTP entweder nicht offen ist oder verlässlich zu HTTPS weiterleitet.

Schwach: Schwach ist es, wenn HTTPS zwar funktioniert, HTTP aber weiterhin Inhalte ohne klare Weiterleitung ausliefert.

Auch gesucht als: HTTPS-Durchsetzung

IP-Adressen sind die Ziele, zu denen Domains per DNS aufgelöst werden. Sie können Hinweise auf Hosting, Netzbetreiber und Reputation liefern.

Auch gesucht als: IPv4-Adresse, IPv6-Adresse

Mail-Schutzmechanismen wie SPF und DMARC helfen empfangenden Mailservern einzuschätzen, ob eine E-Mail plausibel von der angegebenen Domain stammen kann. Sie reduzieren Spoofing- und Phishing-Risiken, ersetzen aber keine vollständige Mail-Sicherheitsstrategie.

Stark/Gut: Stark ist die Kombination aus eingeschränktem SPF und durchsetzendem DMARC, also DMARC mit p=reject oder p=quarantine.

Schwach: Schwach ist es, wenn SPF zu offen ist, DMARC nur p=none verwendet oder einer der Mechanismen fehlt.

Auch gesucht als: Mail, E-Mail, Mail-Daten, Mail Security

Eine Malicious IP kann mit Schadsoftware, Phishing, Scans, Spam oder anderer missbräuchlicher Aktivität in Verbindung stehen. Im Lagebild wird die Anzahl solcher gefundenen IPs als Risikosignal aggregiert.

Auch gesucht als: Malicious IPs, IP-Reputation

Bei HSTS gibt max-age an, wie lange ein Browser die Domain automatisch nur über HTTPS ansprechen soll. Lange Werte machen den Schutz stabiler, kurze Werte lassen ihn schnell auslaufen.

Auch gesucht als: HSTS max-age

MIME-Sniffing kann riskant sein, wenn Inhalte anders interpretiert werden als vorgesehen. Der Header X-Content-Type-Options: nosniff begrenzt dieses Verhalten.

Stark/Gut: Stark ist der Schutz, wenn X-Content-Type-Options mit nosniff gesetzt ist.

Schwach: Schwach ist der Schutz, wenn der Header fehlt oder keinen wirksamen nosniff-Wert enthält.

Auch gesucht als: X-Content-Type-Options, nosniff

Monitoring misst wiederholt den Zustand wichtiger Domains und Dienste. Dadurch werden Ausfälle, Störungen, Antwortzeiten und Verfügbarkeit über Zeit sichtbar.

Der MX-Provider wird aus gefundenen MX-Records abgeleitet. Die Rangliste zeigt, welche Provider-Domains in der beobachteten Menge am häufigsten vorkommen.

MX steht für Mail Exchanger. Ohne MX-Record kann eine Domain je nach Konfiguration keine E-Mails direkt empfangen oder nutzt nur Fallback-Verhalten.

Auch gesucht als: Mail-Exchanger, Mail Exchanger

Nameserver veröffentlichen die DNS-Zone einer Domain. Wenn keine Nameserver gefunden werden, fehlen zentrale Voraussetzungen für stabile DNS-Auflösung.

Auch gesucht als: NS, NS-Record

Die Top-Liste der Nameserver-Provider zeigt, welche Provider-Domains in den NS-Daten am häufigsten auftreten. Sie ist ein Konzentrations- und Abhängigkeitssignal.

Redundanz bedeutet, dass eine Domain über mehrere Nameserver erreichbar bleibt, falls einzelne Server oder Netze ausfallen. Sehr wenige Nameserver können die Robustheit einer Domain schwächen.

Stark/Gut: Stark ist eine Domain mit mehreren, idealerweise unabhängig betriebenen Nameservern. Im Lagebild ist 4+ NS die beste Zählklasse.

Schwach: Schwach ist keine oder nur eine Nameserver-Angabe, weil dann weniger Ausweichmöglichkeiten bestehen.

Die Referrer-Policy begrenzt, ob und wie viel einer URL an andere Websites übermittelt wird. Das schützt sensible Pfade, Suchparameter oder interne Strukturen.

Stark/Gut: Stark ist eine Policy, die unnötige Details vermeidet, etwa strict-origin-when-cross-origin, same-origin oder no-referrer.

Schwach: Schwach ist eine fehlende oder zu offene Policy, weil fremde Ziele mehr Herkunftsdaten erhalten können.

Service Monitoring zeigt pro Domain den letzten Status, die Antwortzeit und den Verlauf der letzten Messungen. Es hilft, konkrete Störungen neben aggregierten Kennzahlen zu erkennen.

SOA steht für Start of Authority. Der Record zeigt, dass es Verwaltungsdaten für eine Zone gibt, auch wenn im Lagebild kein stärkeres Signal wie A/AAAA oder NS gefunden wurde.

Auch gesucht als: SOA, Start of Authority

Sender Policy Framework wird als TXT-Record veröffentlicht. Empfangende Mailserver können damit prüfen, ob ein sendender Server für die Absenderdomain vorgesehen ist.

Stark/Gut: Stark ist SPF, wenn erlaubte Sender eingeschränkt sind und kein +all verwendet wird.

Schwach: Schwach ist SPF bei +all, weil damit praktisch jeder Server als erlaubt gelten kann.

Auch gesucht als: Sender Policy Framework, +all

Status fasst die letzte Messung in eine einfache Klasse zusammen, etwa online, offline, stabil, extern oder keine Antwort. Er ist eine Momentaufnahme und ersetzt nicht den Verlauf.

Transport Layer Security schützt Verbindungen vor Mitlesen und Veränderung. Aktuelle TLS-Versionen und gültige Zertifikate sind zentrale Signale für sichere Webkommunikation.

Stark/Gut: Stark sind aktuelle Versionen wie TLS 1.3 und weiterhin solide Konfigurationen mit TLS 1.2.

Schwach: Schwach oder veraltet sind TLS 1.1 und TLS 1.0, weil sie heutige Sicherheitsanforderungen nicht mehr gut erfüllen.

Auch gesucht als: TLS-Version, TLS 1.3, TLS 1.2, TLS 1.1, TLS 1.0

Ein TLS-Zertifikat verbindet einen Domainnamen mit einem kryptografischen Schlüssel und wird von einem Zertifikatsaussteller bestätigt. Abgelaufene oder bald ablaufende Zertifikate können Dienste stören.

Stark/Gut: Stark ist ein Zertifikat, wenn es gültig ist, zur Domain passt und noch ausreichend lange nicht abläuft. Im Lagebild ist >= 90 Tage die beste Restlaufzeitklasse.

Schwach: Schwach ist ein Zertifikat, wenn es abgelaufen ist oder bald abläuft, weil Nutzer dann Warnungen oder Verbindungsfehler sehen können.

Auch gesucht als: Zertifikat, Certificate

TXT-Records werden unter anderem für Mail-Sicherheitsmechanismen wie SPF und DMARC genutzt. Im Lagebild sind sie wichtig, weil sie Schutzregeln sichtbar machen.

Uptime beschreibt, wie oft ein Dienst erreichbar war. Eine hohe Uptime bedeutet nicht automatisch perfekte Sicherheit, zeigt aber stabile Verfügbarkeit.

Auch gesucht als: Verfügbarkeit, Erreichbarkeit

Ein Web-Endpunkt ist die konkrete Stelle, an der ein Webdienst auf Anfragen reagiert. Wenn kein Endpunkt antwortet, kann das auf Ausfall, Fehlkonfiguration oder bewusst nicht betriebene Webdienste hindeuten.

Auch gesucht als: HTTP-Endpunkt, HTTPS-Endpunkt

Zertifikatsaussteller, auch Certificate Authorities, prüfen Zertifikatsanfragen und signieren Zertifikate. Die Top-Liste zeigt, welche Aussteller in der beobachteten Menge am häufigsten vorkommen.

Auch gesucht als: Issuer, Certificate Authority, CA