Dernium Watch
Ein ruhiger Wächter für Ihre digitale Präsenz: Websites, Domains, Mail-Server, Zertifikate, Netzwerkpfade - und Ihre Marke. Sie werden alarmiert, bevor ein Kunde etwas merkt.
- Sicherheits-Bewertung Ihrer Verschlüsselung im Web - in verständlicher Sprache und mit konkreten Konfigurations-Schnipseln zum Beheben jeder gefundenen Schwäche
- Zertifikats-Ablauf mit gestaffelten Vorlauf-Alarmen
- Prüfung, ob Ihre Domain-Einträge kryptographisch gesichert und unverfälscht sind (DNSSEC)
- E-Mail-Konfiguration von außen: SPF-, DMARC-, DKIM-Records vorhanden und syntaktisch sauber, MX und STARTTLS sicher konfiguriert (statischer Audit; den laufenden Realitäts-Abgleich macht Dernium Mailcheck)
- Netzwerk-Erreichbarkeit und Antwortzeiten aus mehreren Standorten in Deutschland
- Erkennung, wenn Internet-Datenverkehr zu Ihrer Adresse heimlich umgeleitet wird
- Alarm, wenn jemand ein neues Sicherheitszertifikat für Ihre Domain ausstellt - ein mögliches Zeichen für einen Abhör-Angriff
- Frühwarnung vor Tippfehler-Domains und täuschend ähnlichen Zeichen (z. B. kyrillisches "а" statt lateinischem "a"), die Ihre Marke nachahmen könnten
- Web-Sicherheits-Audit: aktive und passive Mixed-Content-Erkennung, Subresource-Integrity-Prüfung, kritische Cookie-Flags
- security.txt-Audit nach RFC 9116: ist Ihre Sicherheits-Kontaktstelle korrekt veröffentlicht, signiert, mit gültigem Ablaufdatum
- Trend-Erkennung auf Antwortzeiten und Cert-Eigenschaften: anomale Verschlechterung wird erkannt, bevor sie als Vorfall auffällt
- Alarme werden automatisch gruppiert und bei Bedarf eskaliert - kein Alarm-Rauschen bei zusammenhängenden Problemen
- Wartungsfenster: Alarme während geplanter Migrationen unterdrücken, ohne die Prüfungen abzuschalten
- Whitelist-basiertes DNS-Drift-Monitoring: erwartete Records pro Typ hinterlegen, Watch alarmiert einmalig pro Abweichung
- Öffentliche Status-Seite optional, mit Verlaufs-Anzeige der letzten 90 Tage: zeigt Ihren Kunden den aktuellen Zustand Ihrer Dienste, ohne dass diese ein Konto bei uns brauchen
- Read-only-Public-API mit Bearer-Token: Sie können alle Watch-Daten in Ihre eigenen Monitoring-, SIEM- oder ITSM-Werkzeuge einspeisen (Grafana, Splunk, Elastic, ServiceNow, eigene Dashboards)
- Alarm-Channel-Wahl: E-Mail oder HMAC-signierter Webhook (kompatibel mit Slack-/Teams-Incoming-Webhooks und PagerDuty-Events-API) sowie Audit-only-Logging
- Optional täglicher oder wöchentlicher E-Mail-Digest pro Kanal, damit ruhige Tage nicht in Alarmen untergehen und kritische Vorfälle weiterhin sofort raus
- Operator-Audit-Log: jede Konfigurationsänderung (Tier, Whitelist, Wartungsfenster) wird mit Zeitstempel, Akteur und Diff protokolliert - ohne extra Tooling auditfähig
- Monatliche Berichte als PDF, HTML, Markdown und CSV - direkt einreichbar bei Compliance-Audits oder in Ihre eigene Kunden-Berichts-Pipeline einbindbar
Was Watch prüft
Wir schauen von außen auf Ihre digitale Präsenz - so, wie ein Besucher oder ein Angreifer sie sähe: läuft die Webseite, sind die Sicherheitszertifikate gültig, sind die Domain-Einstellungen unverändert, ist die E-Mail-Konfiguration intakt, kommen Anfragen aus mehreren Probe-Standorten zuverlässig durch, und gibt es Anzeichen für eine heimliche Umleitung des Datenverkehrs. Sie müssen nichts auf Ihren Servern installieren und keinen Agenten warten.
Verschlüsselungs-Qualität, mit konkreter Anleitung zum Beheben
Watch prüft Ihre Web-Verschlüsselung gründlich - und gibt das Ergebnis in ganzen Sätzen aus statt als Buchstaben-Note. Pro Befund liefern wir einen fertigen Konfigurations-Schnipsel für die gängigen Webserver (nginx, Apache, Caddy, HAProxy), den Sie unverändert übernehmen können. Geprüft werden unter anderem die zugelassenen Protokoll-Versionen (TLS 1.3 ist heute Standard, TLS 1.0 und 1.1 gelten als überholt), die Cipher-Suiten gegen die Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-02102-2), die Vollständigkeit der Zertifikatskette, OCSP-Stapling, HSTS mit Preload-Eintrag, der Schutz gegen bekannte Schwachstellen wie Heartbleed, ROBOT, BEAST oder POODLE, sowie - optional - die Bereitschaft für quantenresistente Hybrid-Verfahren für Organisationen, die heute schon vorsorgen wollen.
Markenschutz im Netz
Jeden Tag werden tausende neuer Domains registriert. Watch meldet Ihnen, wenn jemand eine verwechselbare Variante Ihrer Marke anmeldet - Tippfehler, täuschend ähnliche Zeichen aus anderen Schriftsystemen, angehängte Begriffe wie "login-" oder "rechnung-", oder neu aufgetauchte Unter-Domains in Ihrem eigenen Namensraum. Bericht und Export als Ausgangspunkt für Takedown-Anforderungen.
Nicht nur Ablauf-Alarme
Viele vergleichbare Dienste prüfen nur das Ablaufdatum von Zertifikaten. Watch geht weiter und erkennt auch heimlich umgeleiteten Datenverkehr (BGP-Hijack), unerwartet neu ausgestellte Zertifikate für Ihre Domain (CT-Log-Watch) und gebrochene Domain-Signaturen (DNSSEC-Fehler). Solche Anzeichen tauchen oft Monate vor einem sichtbaren Vorfall auf.
In Ihre eigenen Werkzeuge integrieren
Watch ist offen anschließbar. Sie können sich Read-only-API-Tokens selbst erzeugen und damit alle überwachten Targets, Events, Vorfälle und Roh-Probe-Ergebnisse in Ihre eigenen Werkzeuge einspeisen - etwa in ein Grafana-Dashboard für die NOC-Wand, in ein bestehendes SIEM (Splunk, Elastic, Wazuh) zur Korrelation mit anderen Sicherheitsereignissen, oder in ein ITSM-System (ServiceNow, Jira Service Management) für automatisches Ticket-Routing. Alarme können wahlweise über E-Mail oder HMAC-signierten Webhook (kompatibel mit Slack-/Teams-Incoming-Webhooks und PagerDuty-Events-API) sowie ein internes Audit-Log laufen - pro Org und pro Regel separat konfigurierbar. Die API-Doku liegt in Ihrem Watch-Konto unter Einstellungen, das Format ist klassisches REST mit Bearer-Token-Auth, Webhooks werden HMAC-signiert.
Öffentliche Status-Seite für Ihre Kunden
Wenn Sie möchten, stellt Watch eine öffentlich zugängliche Status-Seite für Ihre überwachten Targets bereit (zum Beispiel watch.dernium.de/status/ihrkurzname). Ihre Kunden sehen darauf die aktuelle Erreichbarkeit und etwaige offene Vorfälle Ihrer Domains, ohne dass sie sich bei uns anmelden müssen. Die Status-Seite ist auf das nötige Minimum reduziert: ob alles läuft, was warnt, was kritisch ist - keine internen Details Ihrer Org. Sie können den Slug jederzeit setzen oder wieder leeren; ohne Slug ist die Seite nicht erreichbar.
Watch und Mailcheck - zwei Blickwinkel auf dieselbe Domain
Watch schaut von außen und prüft, was Sie veröffentlicht haben: Existiert ein DMARC-Record, ist die Policy stark genug, sind SPF und DKIM syntaktisch korrekt? Das ist die statische Konfigurations-Prüfung. Dernium Mailcheck schaut von innen und sammelt die täglichen Berichte, die Google, Microsoft, Yahoo und Apple an Ihre Domain zurückschicken: Welche Server haben tatsächlich in Ihrem Namen Mails versendet, wie viele wurden zugestellt, wie viele in Spam einsortiert, wie viele abgelehnt. Erst beide Blickwinkel zusammen zeigen, ob Ihre Mail-Konfiguration in der Wirklichkeit hält, was sie auf dem Papier verspricht. Watch sagt Ihnen, dass die Konfiguration formell stimmt; Mailcheck sagt Ihnen, ob sie funktioniert. Wer nur Watch betreibt, sieht nicht, dass ein neuer Newsletter-Anbieter ohne SPF-Eintrag versendet und 30 % der Kampagnen-Mails im Spam landen. Wer nur Mailcheck betreibt, weiß im Detail was passiert, aber nicht, dass das DMARC-Tag heimlich verschwunden ist. Beide Werkzeuge sind eigenständig nutzbar; in Kombination geben sie ein vollständiges Bild.
Ausführlicher Funktionsumfang
Die vollständige Liste der Prüfungen, Probe-Standorte und Alarm-Kanäle finden Sie im Feature-Katalog. Watch ist unser am umfangreichsten ausgebautes Monitoring-Produkt.
Compliance-Hooks
Kontinuierliche Überwachung Ihrer Domains und Endpoints unterstützt die Nachweisführung nach DSGVO Art. 32 Abs. 1 lit. b (Verfügbarkeit). Für Organisationen mit NIS-2-Pflichten liefert Watch belegbare Risiko-Bewertungs-Spuren im Sinne von Art. 21 der NIS-2-Richtlinie - kontinuierliche Überprüfung, nicht jährliche Stichprobe. Alle Prüfungen werden mit Zeitstempel und Ergebnis archiviert; Audit-Export im JSON- oder CSV-Format auf Anfrage.