· Rexoma Team · IT-Sicherheit · 6 min read
DNS-Sicherheit für KMU: Malware-Domains blockieren mit DNS-Filtering
DNS ist die Telefonauskunft des Internets – und einer der am häufigsten übersehenen Angriffsvektoren in KMU-Netzwerken. Mit DNS-Filtering lässt sich Malware stoppen, bevor sie überhaupt eine Verbindung aufbauen kann.
Jeder Aufruf einer Website, jede E-Mail, die verschickt wird, jeder Cloud-Dienst, der sich verbindet – hinter all dem steckt DNS. Das Domain Name System übersetzt Domainnamen in IP-Adressen und funktioniert wie eine Telefonauskunft des Internets. Was viele KMU nicht wissen: Angreifer nutzen genau diesen Mechanismus aus, um Schadsoftware zu verteilen, Daten abzugreifen und Command-and-Control-Server zu kontaktieren. DNS-Filtering ist eine der wirkungsvollsten und günstigsten Schutzmaßnahmen – und bleibt in ostdeutschen KMU trotzdem meist ungenutzt.
Warum DNS ein unterschätzter Angriffsvektor ist
Wenn ein Mitarbeiter versehentlich auf einen Phishing-Link klickt oder eine infizierte Website aufruft, passiert zunächst folgendes: Der Browser fragt den konfigurierten DNS-Server, welche IP-Adresse hinter der Domain steckt. Erst danach baut er eine Verbindung auf. Dieser kurze Moment – zwischen DNS-Anfrage und tatsächlicher Verbindung – ist das Zeitfenster, in dem DNS-Filtering ansetzt.
Malware nutzt DNS auf vielfältige Weise:
- Command-and-Control (C2): Schadsoftware fragt regelmäßig bei Domains an, um neue Befehle zu empfangen.
- DNS-Tunneling: Angreifer schmuggeln Daten in DNS-Pakete, um Firewalls zu umgehen.
- Fast-Flux-Netzwerke: Phishing-Domains wechseln sekundenweise ihre IP-Adresse, um Sperrlisten zu entgehen.
- Malware-Distribution: Drive-by-Downloads werden über frisch registrierte Domains ausgeliefert.
Laut Analysen des SANS Institute nutzen über 90 Prozent aller bekannten Malware-Familien DNS für ihre Kommunikation. Ein funktionierendes DNS-Filtering würde den meisten Angriffen den Kommunikationskanal abschneiden – noch bevor eine Payload lädt oder Daten abfließen.
Wie DNS-Filtering funktioniert
Ein DNS-Filter sitzt zwischen dem Netzwerk und dem Internet. Jede DNS-Anfrage wird in Echtzeit gegen eine oder mehrere Blocklisten geprüft. Ist die angefragte Domain als schädlich, als Phishing-Seite oder als bekannter C2-Server bekannt, antwortet der Filter mit einer Blockpage oder einem NXDOMAIN – die Verbindung kommt nie zustande.
Moderne DNS-Filtering-Systeme verwenden mehrere Erkennungsebenen:
- Blocklisten mit Millionen bekannter Malware-, Phishing- und Spam-Domains
- Kategoriebasierte Filterung (z. B. Glücksspiel, Adult-Content, Social Media)
- Reputations-Scoring auf Basis von Alter, Registrar, DNS-Verhalten der Domain
- Machine-Learning-Modelle zur Erkennung bisher unbekannter C2-Domains
DNS-Filtering vs. traditionelle Firewall
Eine klassische Paket-Firewall filtert nach IP-Adressen und Ports. Das Problem: IP-Adressen ändern sich ständig, und viele Angriffe laufen über Port 443 (HTTPS) – den gleichen Port wie legitimer Traffic. DNS-Filtering arbeitet auf Domainebene und ist damit wesentlich granularer. Beide Methoden ergänzen sich; DNS-Filtering ist kein Ersatz für eine Firewall, aber eine wichtige zusätzliche Schutzschicht.
DNS-Filtering-Lösungen für KMU im Überblick
Für kleine und mittlere Unternehmen in Dresden und Sachsen gibt es drei Wege.
Self-Hosted: Pi-hole und AdGuard Home
Pi-hole und AdGuard Home sind kostenlose Open-Source-Lösungen, die auf einem Raspberry Pi oder einer kleinen VM laufen. Sie eignen sich besonders für KMU, die die Kontrolle über ihre Daten behalten wollen.
Vorteile:
- Keine laufenden Kosten, vollständige Datenkontrolle
- Umfangreiche Community-Blocklisten (z. B. oisd.nl, Hagezi, StevenBlack)
- Detaillierte Logs und Statistiken im Web-Interface
Nachteile:
- Erfordert eigene Hardware und regelmäßige Wartung
- Keine Threat-Intelligence-Feeds in Echtzeit
- Bei Ausfall des DNS-Servers funktioniert kein Name-Resolution mehr
Für ein typisches Dresdner KMU mit bis zu 30 Arbeitsplätzen ist AdGuard Home auf einer günstigen VM eine solide Basisabsicherung.
Cloud-basiert: Cisco Umbrella, Cloudflare Gateway, Quad9
Cloud-DNS-Resolver bieten Threat-Intelligence in Echtzeit ohne eigene Infrastruktur.
Quad9 (quad9.net): Kostenloser, datenschutzfreundlicher DNS-Resolver der gemeinnützigen Quad9 Foundation. Blockt automatisch bekannte Malware-Domains auf Basis von Threat-Intelligence-Feeds von über 20 Partnern. Für KMU ohne IT-Budget ein sofortiger Sicherheitsgewinn – einfach den DNS-Server auf 9.9.9.9 ändern.
Cloudflare Gateway: Teil des Zero-Trust-Produkts von Cloudflare. Erlaubt kategoriebasierte Filterung, Policy-Management pro Benutzergruppe und detaillierte Logs. Kostenlos bis 50 Nutzer, dann staffelweise Preismodell.
Cisco Umbrella: Enterprise-Lösung mit tiefer Integration in bestehende Sicherheitsinfrastrukturen. Geeignet für KMU ab 50 Mitarbeitern mit erhöhtem Schutzbedarf oder NIS2-Verpflichtungen.
DNS over HTTPS (DoH) und DNS over TLS (DoT)
Traditionelles DNS sendet alle Anfragen unverschlüsselt im Klartext. Ein Angreifer im gleichen Netzwerk – oder ein kompromittierter Router – kann DNS-Anfragen mitlesen und manipulieren (DNS-Spoofing).
DNS over HTTPS (DoH) und DNS over TLS (DoT) verschlüsseln die DNS-Kommunikation. Für KMU empfehlenswert: DoH oder DoT auf den Endgeräten aktivieren und auf den unternehmenseigenen DNS-Filter zeigen. So ist die Kommunikation verschlüsselt, aber der Filter bleibt aktiv.
Achtung: Wenn Mitarbeiter auf privaten Browserprofilen eigenständig DoH auf externe Resolver wie 8.8.8.8 umleiten, umgehen sie den Unternehmensfilter. Eine MDM-Richtlinie oder Firewall-Regel, die externes DoH blockiert, ist daher sinnvoll.
DNS-Filtering praktisch einrichten – Schritt für Schritt
Schnelllösung für sofortige Wirkung (30 Minuten)
- Router-DNS ändern: Im FRITZ!Box- oder Router-Webinterface den DNS-Server von der ISP-Adresse auf 9.9.9.9 (Quad9) umstellen. Alle Geräte im Netzwerk profitieren sofort.
- Zweiten DNS-Server als Fallback eintragen: 149.112.112.112 (ebenfalls Quad9).
- Test: Auf einem Gerät im Netzwerk die URL
http://malware.testcategory.comaufrufen – Quad9 blockiert bekannte Test-Domains.
Vollständige Lösung mit AdGuard Home
- AdGuard Home installieren auf einem Linux-Server oder Raspberry Pi:
curl -s -S -L https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh | sh -s -- -v - Einrichtungsassistent im Browser öffnen (Port 3000), DNS-Upstream auf 9.9.9.9 oder 1.1.1.1 setzen.
- Blocklisten hinzufügen unter Einstellungen → Filter → DNS-Blocklisten:
- OISD Full:
https://big.oisd.nl - Hagezi Pro:
https://cdn.jsdelivr.net/gh/hagezi/dns-blocklists@latest/adblock/pro.txt
- OISD Full:
- Router-DNS auf die IP des AdGuard-Home-Servers umstellen.
- DHCP-Option setzen, damit alle Geräte automatisch den neuen DNS verwenden.
- Logging und Alerting konfigurieren – AdGuard Home bietet ein Dashboard mit blockierten Anfragen.
OPNsense-Integration
Wer bereits eine OPNsense-Firewall betreibt, kann DNS-Filtering direkt integrieren. Das Plugin Unbound DNS unterstützt lokale Blocklisten und lässt sich mit DNSBL-Feeds (Domain Name System Blackhole Lists) kombinieren. Rexoma konfiguriert OPNsense-Firewalls standardmäßig mit Unbound und einer aktuellen DNSBL-Integration.
Was DNS-Filtering nicht leistet
DNS-Filtering ist kein Allheilmittel. Es blockiert bekannte schädliche Domains, nicht jede Form von Angriff:
- IP-basierte Verbindungen (Malware, die direkt IPs anspricht, ohne DNS) werden nicht erfasst.
- Kompromittierte legitime Domains (Hacked Websites) landen selten schnell genug auf Blocklisten.
- Insider-Bedrohungen und Angriffe über VPN-Splits werden nicht abgefangen.
- Verschlüsselter Malware-Traffic auf legitimen Ports ist eine separate Problemstellung.
DNS-Filtering gehört deshalb in eine mehrschichtige Sicherheitsstrategie: kombiniert mit Endpoint-Schutz, regelmäßigem Patching, MFA und Mitarbeitersensibilisierung.
Unterstützung für KMU in Dresden
Sie möchten DNS-Filtering in Ihrem Unternehmen einrichten und wissen nicht, wo anfangen? Rexoma IT betreut KMU in Dresden und Sachsen bei der Einrichtung und dem Betrieb von DNS-Sicherheitslösungen – von der schnellen Quad9-Konfiguration bis zur vollständigen OPNsense-Integration mit DNSBL-Feeds. Nehmen Sie Kontakt auf und wir schauen uns Ihre Netzwerkinfrastruktur gemeinsam an.
Häufige Fragen zu DNS-Sicherheit und DNS-Filtering
Verlangsamt DNS-Filtering das Internet? Bei selbst gehosteten Lösungen wie Pi-hole oder AdGuard Home sind die Antwortzeiten in der Regel unter 1 Millisekunde – das ist schneller als die meisten öffentlichen DNS-Resolver. Cloud-Lösungen wie Quad9 haben global verteilte Server und sind kaum langsamer als Google DNS (8.8.8.8).
Kann DNS-Filtering HTTPS-Traffic inspizieren? Nein. DNS-Filtering arbeitet auf Domainebene, nicht auf Inhaltsebene. Es blockiert die Verbindung zur schädlichen Domain vollständig, sieht aber nicht in den verschlüsselten HTTPS-Traffic hinein. Für Content-Inspektion ist eine SSL-Inspection-fähige Firewall notwendig.
Was passiert, wenn eine legitime Domain fälschlicherweise blockiert wird? Das nennt sich “False Positive”. Bei gutem DNS-Filtering ist das selten, kommt aber vor – besonders bei sehr aggressiven Blocklisten. In AdGuard Home oder Pi-hole können einzelne Domains einfach auf eine Whitelist gesetzt werden. Cloud-Lösungen wie Cloudflare Gateway bieten Policy-Ausnahmen per Klick.
Schützt DNS-Filtering vor Ransomware? Teilweise. Viele Ransomware-Varianten kommunizieren über bekannte C2-Domains, die auf Blocklisten stehen – diese Verbindungen würden blockiert. Ransomware, die IP-direkt kommuniziert oder neue, unbekannte Domains nutzt, kann jedoch nicht durch DNS-Filtering allein gestoppt werden. Backups und Endpoint-Schutz bleiben unverzichtbar.
Müssen alle Geräte einzeln konfiguriert werden? Nicht, wenn der DNS auf dem Router oder DHCP-Server geändert wird. Dann erhalten alle Geräte im Netzwerk automatisch den gefilterten DNS-Resolver. Für BYOD-Geräte oder Remote-Mitarbeiter im Homeoffice ist eine separate Konfiguration per MDM-Richtlinie oder VPN-Split-Tunnel sinnvoll.
Rexoma IT