Dernium Watch
Ein Wächter für Ihre digitale Präsenz: Websites, Domains, Mail-Server, Zertifikate, Netzwerkpfade - und Ihre Marke. So werden Sie frühzeitig alarmiert, oft bevor ein Kunde etwas merkt.
So einfach erklärt
Das Problem
Wenn Ihre Website ausfällt, ein Zertifikat abläuft, jemand Ihre Marke nachbaut oder Ihre E-Mail-Einstellungen kippen, merken es oft zuerst Ihre Kunden - und dann ist der Schaden schon da.
Ihre Lösung
Watch überwacht Ihre Websites, Domains, Zertifikate und E-Mail-Einstellungen rund um die Uhr von außen und schlägt sofort Alarm, wenn etwas nicht stimmt - ohne Installation und ohne Wartung auf Ihrer Seite.
So sieht das im Alltag aus
- Ein Zertifikat läuft in zwei Wochen ab: Sie werden rechtzeitig gewarnt, bevor die Seite im Browser als "unsicher" erscheint.
- Jemand registriert eine täuschend ähnliche Domain und richtet sie zum Mailversand ein: Watch meldet es, oft bevor die erste Betrugsmail rausgeht.
- Ihre Website ist aus dem Ausland plötzlich nicht erreichbar: Sie sehen es sofort im Dashboard, nicht erst durch einen verärgerten Anruf.
- Websites und Zertifikate rund um die Uhr überwachen - Sie werden alarmiert, oft bevor Kunden etwas merken
- Markenschutz: automatische Erkennung täuschend ähnlicher Domains, mit Früherkennung, wenn eine Nachahmer-Domain zum Mailversand eingerichtet wird (CEO-Fraud-Signal)
- E-Mail-Konfiguration von außen prüfen: SPF, DMARC, DKIM, MX und STARTTLS laufend im Blick
- Offen anschließbar: Read-only-API für Ihre eigenen Werkzeuge (Grafana, Splunk, ServiceNow), plus optionale öffentliche Status-Seite
Häufige Fragen und Details
Was Watch prüft
Wir schauen von außen auf Ihre digitale Präsenz - so, wie ein Besucher oder ein Angreifer sie sähe: läuft die Webseite, sind die Sicherheitszertifikate gültig, sind die Domain-Einstellungen unverändert, ist die E-Mail-Konfiguration intakt, kommen Anfragen aus mehreren Probe-Standorten zuverlässig durch, und gibt es Anzeichen für eine heimliche Umleitung des Datenverkehrs. Sie müssen nichts auf Ihren Servern installieren und keinen Agenten warten.
Verschlüsselungs-Qualität, mit konkreter Anleitung zum Beheben
Watch prüft Ihre Web-Verschlüsselung gründlich und gibt das Ergebnis in ganzen Sätzen aus statt als Buchstaben-Note. Pro Befund liefern wir einen fertigen Konfigurations-Schnipsel für die gängigen Webserver (nginx, Apache, Caddy, HAProxy), den Sie unverändert übernehmen können. Geprüft wird unter anderem, ob nur zeitgemäße Protokoll-Versionen zugelassen sind (TLS 1.3 als Standard, TLS 1.0 und 1.1 gelten als überholt), ob die Cipher-Suiten der Empfehlung des Bundesamts für Sicherheit in der Informationstechnik folgen (BSI TR-02102-2), ob das ausgelieferte Zertifikat den aufgerufenen Hostnamen abdeckt (eine häufige Fehlkonfiguration, wenn mehrere Domains auf einem Server liegen) und ob Schutz gegen bekannte Angriffe auf veraltete Verschlüsselung besteht (Heartbleed, ROBOT, BEAST, POODLE). Den vollständigen Prüfkatalog finden Sie weiter unten.
Markenschutz im Netz
Jeden Tag werden tausende neuer Domains registriert. Watch meldet Ihnen, wenn jemand eine verwechselbare Variante Ihrer Marke anmeldet - Tippfehler, täuschend ähnliche Zeichen aus anderen Schriftsystemen oder angehängte Begriffe wie "login-" oder "rechnung-". Den entscheidenden Schritt weiter gehen wir bei der Risiko-Einordnung: zu jeder Nachahmer-Domain prüft Watch, ob sie bereits MX-Records gesetzt hat. Eine Look-alike-Domain, die zum Mailempfang eingerichtet ist, dient fast immer der Vorbereitung von CEO-Fraud oder gefälschten Rechnungen - dieses Signal erscheint oft, bevor die erste betrügerische Mail rausgeht. Parallel führt Watch ein Subdomain-Inventar aus Certificate-Transparency-Logs: jeder Hostname, der je in einem öffentlichen Zertifikat auftauchte, wird als überwacht, bekannt oder unbeaufsichtigt markiert - so finden Sie vergessene Staging- und Schatten-IT-Hosts. Bericht und Export dienen als Ausgangspunkt für Takedown-Anforderungen.
Mehr als Ablauf-Alarme: die leisen Frühindikatoren
Watch beobachtet nicht nur Ablaufdaten, sondern die Anzeichen, die einem sichtbaren Vorfall oft Monate vorausgehen: ob Ihr Adressbereich noch vom erwarteten Netz (Origin-AS) angekündigt wird und seine Routen-Signatur (RPKI) gültig ist - ein Frühindikator für heimliche Umleitung des Datenverkehrs (BGP), unerwartet neu ausgestellte Zertifikate für Ihre Domain (CT-Log-Watch), gebrochene Domain-Signaturen (DNSSEC-Fehler), übernehmbare Subdomains (hängende CNAME-Verweise auf nicht mehr beanspruchte Fremd-Dienste), offene DNS-Zonentransfers (AXFR), die Ihre gesamte Namensstruktur preisgeben, und ob Ihre Domain auf Malware-/Phishing-Reputationslisten oder in den Schutzdatenbanken der Browser geführt wird. Das alles läuft ohne Agent auf Ihren Servern und ohne Installation; alle Daten holen Sie sich jederzeit per Read-only-API in Ihre eigenen Werkzeuge zurück, ohne Vendor-Lock-in.
In Ihre eigenen Werkzeuge integrieren
Watch ist offen anschließbar. Sie erzeugen sich selbst Read-only-API-Tokens und speisen damit alle überwachten Targets, Befunde und Roh-Probe-Ergebnisse in Ihre eigenen Werkzeuge ein - etwa ein Grafana-Dashboard, ein bestehendes SIEM (Splunk, Elastic, Wazuh) zur Korrelation mit anderen Sicherheitsereignissen oder ein ITSM-System (ServiceNow, Jira Service Management) für automatisches Ticket-Routing. Alarme laufen wahlweise per E-Mail oder als Webhook an Ihre eigene URL, pro Org und Schweregrad (Info, Warnung, Kritisch) separat konfigurierbar. Ausgehende Webhooks sind mit HMAC-SHA256 signiert (Header x-dernium-watch-signature), sodass Sie jeden empfangenden Endpunkt gegen Fälschung absichern können. Das Format ist klassisches REST mit Bearer-Token; die API-Doku liegt in Ihrem Watch-Konto unter Einstellungen.
Öffentliche Status-Seite für Ihre Kunden
Wenn Sie möchten, stellt Watch eine öffentliche Status-Seite für Ihre überwachten Targets bereit (zum Beispiel watch.dernium.de/status/ihrkurzname). Ihre Kunden sehen die aktuelle Erreichbarkeit und etwaige offene Befunde, ohne sich bei uns anzumelden - reduziert auf das Nötige (läuft alles, was warnt, was ist kritisch), ohne interne Details Ihrer Org und mit Verlaufs-Anzeige der letzten 90 Tage. Den Slug können Sie jederzeit setzen oder wieder leeren; ohne Slug ist die Seite nicht erreichbar.
Watch und Mailcheck - zwei Blickwinkel auf dieselbe Domain
Watch schaut von außen und prüft, was Sie veröffentlicht haben: Existiert ein DMARC-Record, ist die Policy stark genug, ist SPF syntaktisch korrekt und steht überhaupt ein DKIM-Schlüssel mit ausreichender Länge bereit - die statische Konfigurations-Prüfung. Dernium Mailcheck schaut von innen und wertet die täglichen Berichte aus, die Google, Microsoft, Yahoo und Apple an Ihre Domain zurückschicken: Welche Server haben tatsächlich in Ihrem Namen gemailt, wie viel wurde zugestellt, in Spam einsortiert oder abgelehnt. Watch sagt Ihnen, dass die Konfiguration formell stimmt; Mailcheck sagt Ihnen, ob sie in der Wirklichkeit hält - etwa wenn ein neuer Newsletter-Anbieter ohne SPF-Eintrag versendet und ein Teil der Mails im Spam landet. Beide Werkzeuge sind eigenständig nutzbar; in Kombination geben sie ein vollständiges Bild.
Der vollständige Prüfumfang - offen gezeigt
Unseren vollen Funktionsumfang legen wir offen - hier ist er. Watch ist unser am umfangreichsten ausgebautes Monitoring-Produkt mit über 80 eigenständigen Prüfungen, fortlaufend erweitert, die alle gleichzeitig und kontinuierlich aus mehreren Standorten laufen. Im Überblick:
Compliance-Hooks und Nachweis-Report
Kontinuierliche Überwachung Ihrer Domains und Endpoints unterstützt die Nachweisführung nach DSGVO Art. 32 Abs. 1 lit. b (Verfügbarkeit). Der Compliance-Nachweis-Report fasst die laufenden Prüfungen je Bereich (Transportverschlüsselung, DNS/DNSSEC, Mail-Authentifizierung, Web-Sicherheit, Zertifikats-Transparenz, Routing, Markenschutz, Verfügbarkeit) zusammen und ordnet sie indikativ den Rahmenwerken NIS-2 (Art. 21), DORA und ISO/IEC 27001:2022 zu - kontinuierliche Überprüfung mit Beleg-Spur statt jährlicher Stichprobe. Alle Prüfungen werden mit Zeitstempel und Ergebnis archiviert; Audit-Export im JSON- oder CSV-Format. Wichtig und bewusst klar gesagt: Wir liefern technische Reporte und Belege, keine Konformitäts- oder Zertifizierungs-Bescheinigung und keine Rechtsberatung. Die Zuordnung zu Artikeln und Controls ist eine Lesehilfe; Bewertung und Herstellung der Konformität verbleiben bei Ihnen bzw. Ihrem Auditor oder Rechtsberater.
Voller Funktionsumfang im Detail
Prüfumfang - TLS & Zertifikate
Restlaufzeit mit gestaffelten Vorlauf-Alarmen, Vollständigkeit der Zertifikatskette, zugelassene Protokoll-Versionen, Cipher-Suiten gegen die BSI-Empfehlung TR-02102-2, ein Härtungs-Score, OCSP-Stapling und Must-Staple inkl. CAA-Issuer-Abgleich, CAA-Record, HSTS mit Preload-Eintrag, aktive Probes gegen bekannte Verschlüsselungs-Angriffe (Heartbleed, ROBOT, BEAST, POODLE und weitere), ein TLS-Tiefenaudit gegen die bekannten CVEs und rund 370 Cipher-Suiten, strukturelle Zertifikats-Konformität nach CA/Browser-Forum (Gültigkeitsspanne, SAN-Pflicht, Verwendungszweck), Schlüssel- und Signatur-Stärke (RSA/ECDSA-Länge, SHA-2 statt SHA-1), Abdeckung des aufgerufenen Hostnamens durch das Zertifikat, Sperrstatus (Revocation), Handshake-Härtung mit Extended Master Secret (RFC 7627) und der Stärke der Schlüsseltausch-Gruppe gegen BSI TR-02102-2, sowie STARTTLS- und Zertifikats-Prüfung für Ihre Mailserver - optional ergänzt um die Bereitschaft für quantenresistente Hybrid-Verfahren.
Prüfumfang - DNS & DNSSEC
NS-Erreichbarkeit und SOA-Konsistenz zwischen allen Nameservern, Erreichbarkeit von Primary-NS und Admin-Mailbox, vollständige Glue-Records, die komplette DNSSEC-Vertrauenskette samt Signatur-Restlaufzeit, Algorithmen und NSEC/NSEC3-Iterations, CDS/CDNSKEY-Konsistenz und der DS-Record an der Eltern-Zone, Erkennung offener Zonentransfers (AXFR) und nicht-autoritativer (lame) Nameserver, offene-Resolver-Erkennung, Wildcard-Erkennung, CNAME-Schleifen, HTTPS-Resource-Records, SRV-Service-Discovery, SSHFP, Reverse-DNS/PTR, TXT-Record-Größe, Drift-Überwachung gegen Ihre Record-Whitelist, Ablauf der Domain-Registrierung und der Registrar-Transfer-Lock, DNSSEC-Absicherung auch der Mailserver-Hostnamen (Voraussetzung für belastbares DANE), RPKI-Gültigkeit der Nameserver-Prefixe als Frühindikator für BGP-Hijacking der Namensauflösung, ein Hinweis, wenn alle Nameserver im selben Netz liegen (Single-Provider-Ausfallrisiko, rein informativ), und ob ein Nameserver seine Software-Version preisgibt (version.bind).
Prüfumfang - Web & HTTP-Härtung
Statuscode und Antwortzeit, Redirect-Ketten samt erzwungenem HTTP-auf-HTTPS-Upgrade, klassische und moderne Security-Header (CSP, Permissions-Policy, COOP/COEP) mit eigenem CSP-Qualitätsaudit, Cookie-Sicherheits-Flags, aktive und passive Mixed-Content-Erkennung, Subresource-Integrity für fremde CDN-Assets, ein JavaScript-Library-CVE-Audit, HTTP-Methods-Audit (TRACE/PUT/DELETE), Server-Banner- und Outdated-Version-Audit, HTTP/2- und HTTP/3-Verfügbarkeit, IPv6-Erreichbarkeit, Pfad-Leak-Audit für versehentlich exponierte Dateien, Erkennung offener Verzeichnis-Listings (Auto-Index), CORS-Freigaben für fremde Origins (reflektierte Herkunft zusammen mit erlaubten Anmeldedaten), Informationslecks auf Fehlerseiten (Stacktraces, absolute Pfade, Framework-Debug), Cache-Control-Hinweise, security.txt nach RFC 9116, Defacement-Erkennung über Body-Hash, Pflicht-Inhalts- und Health-Endpoint-Prüfung, Performance-Trend gegen eine rollende Baseline und - auf ausdrückliche, bestätigte Freigabe - ein Port-Scan auf exponierte Dienste.
Prüfumfang - E-Mail-Sicherheit (von außen)
SPF inklusive der oft übersehenen 10-Lookup-Grenze, DMARC mit Policy-Stärke, Subdomain-Policy und externer Reporting-Autorisierung, DKIM mit Selektoren-Prüfung und Auto-Discovery, MX-Konsistenz, SMTP-Erreichbarkeit, STARTTLS mit Zertifikats-Validierung, MTA-STS, TLS-RPT, DANE/TLSA samt Cert-Hash-Abgleich, BIMI, Open-Relay-Test, MX-IP-Reputation und der Abgleich von Mail-Subdomain gegen die MX-Ziele, Restlaufzeit des STARTTLS-Zertifikats je MX, mehrfach veröffentlichte SPF-Records (RFC-Verstoß), DANE-Rollover-Bereitschaft (genug TLSA-Records für einen bruchfreien Schlüsselwechsel), veraltete Transport-Verschlüsselung (TLS 1.0/1.1) oder Anmeldung vor STARTTLS an den Mailservern, sowie RPKI-Gültigkeit der Mailserver-Prefixe als Hijack-Frühindikator. Den laufenden Realitäts-Abgleich (wer versendet tatsächlich in Ihrem Namen) liefert ergänzend Dernium Mailcheck.
Prüfumfang - Reputation, Routing & Marke
IP-Reputation gegen mehrere Cybercrime-Listen, Domain-Reputation gegen Malware-/Phishing-Listen und die Schutzdatenbanken der Browser (datensparsam - Ihre Domain verlässt unsere Infrastruktur nicht), Subdomain-Takeover-Erkennung über hängende CNAME-Verweise, BGP-Prefix-Origin-Überwachung und RPKI-Validierung Ihres eigenen Adressbereichs als Frühindikator für unerwartete Routen-Umleitung (die RPKI-Prüfung der Name- und Mailserver-Prefixe läuft hiervon unabhängig im DNS- bzw. E-Mail-Prüfumfang), Tippfehler- und Look-alike-Domain-Beobachtung mit BEC-Risiko-Einordnung, Certificate-Transparency-Watch mit Subdomain-Inventar, sowie Netzwerkpfad-Analyse per Traceroute aus mehreren Standorten im In- und Ausland.
Ergänzt sich mit
Werkzeuge aus dem Dernium-Baukasten, die hier nahtlos ineinandergreifen - aus einer Hand, mit einer Anmeldung.
So sieht eine Watch-Status-Seite live aus
Wir überwachen unsere eigenen Domains mit Dernium Watch - die öffentliche Status-Seite dazu können Sie sich jetzt ansehen. Genau so eine Seite bekommt Ihre Organisation, unter Ihrem eigenen Kurznamen und auf Wunsch mit Ihrem Branding.
Unsere Status-Seite ansehen