· Rexoma Team · IT-Sicherheit  · 6 min read

DNS-Sicherheit für KMU: Malware-Domains blockieren mit DNS-Filtering

DNS ist die Telefonauskunft des Internets – und einer der am häufigsten übersehenen Angriffsvektoren in KMU-Netzwerken. Mit DNS-Filtering lässt sich Malware stoppen, bevor sie überhaupt eine Verbindung aufbauen kann.

DNS ist die Telefonauskunft des Internets – und einer der am häufigsten übersehenen Angriffsvektoren in KMU-Netzwerken. Mit DNS-Filtering lässt sich Malware stoppen, bevor sie überhaupt eine Verbindung aufbauen kann.

Jeder Aufruf einer Website, jede E-Mail, die verschickt wird, jeder Cloud-Dienst, der sich verbindet – hinter all dem steckt DNS. Das Domain Name System übersetzt Domainnamen in IP-Adressen und funktioniert wie eine Telefonauskunft des Internets. Was viele KMU nicht wissen: Angreifer nutzen genau diesen Mechanismus aus, um Schadsoftware zu verteilen, Daten abzugreifen und Command-and-Control-Server zu kontaktieren. DNS-Filtering ist eine der wirkungsvollsten und günstigsten Schutzmaßnahmen – und bleibt in ostdeutschen KMU trotzdem meist ungenutzt.

Warum DNS ein unterschätzter Angriffsvektor ist

Wenn ein Mitarbeiter versehentlich auf einen Phishing-Link klickt oder eine infizierte Website aufruft, passiert zunächst folgendes: Der Browser fragt den konfigurierten DNS-Server, welche IP-Adresse hinter der Domain steckt. Erst danach baut er eine Verbindung auf. Dieser kurze Moment – zwischen DNS-Anfrage und tatsächlicher Verbindung – ist das Zeitfenster, in dem DNS-Filtering ansetzt.

Malware nutzt DNS auf vielfältige Weise:

  • Command-and-Control (C2): Schadsoftware fragt regelmäßig bei Domains an, um neue Befehle zu empfangen.
  • DNS-Tunneling: Angreifer schmuggeln Daten in DNS-Pakete, um Firewalls zu umgehen.
  • Fast-Flux-Netzwerke: Phishing-Domains wechseln sekundenweise ihre IP-Adresse, um Sperrlisten zu entgehen.
  • Malware-Distribution: Drive-by-Downloads werden über frisch registrierte Domains ausgeliefert.

Laut Analysen des SANS Institute nutzen über 90 Prozent aller bekannten Malware-Familien DNS für ihre Kommunikation. Ein funktionierendes DNS-Filtering würde den meisten Angriffen den Kommunikationskanal abschneiden – noch bevor eine Payload lädt oder Daten abfließen.

Wie DNS-Filtering funktioniert

Ein DNS-Filter sitzt zwischen dem Netzwerk und dem Internet. Jede DNS-Anfrage wird in Echtzeit gegen eine oder mehrere Blocklisten geprüft. Ist die angefragte Domain als schädlich, als Phishing-Seite oder als bekannter C2-Server bekannt, antwortet der Filter mit einer Blockpage oder einem NXDOMAIN – die Verbindung kommt nie zustande.

Moderne DNS-Filtering-Systeme verwenden mehrere Erkennungsebenen:

  • Blocklisten mit Millionen bekannter Malware-, Phishing- und Spam-Domains
  • Kategoriebasierte Filterung (z. B. Glücksspiel, Adult-Content, Social Media)
  • Reputations-Scoring auf Basis von Alter, Registrar, DNS-Verhalten der Domain
  • Machine-Learning-Modelle zur Erkennung bisher unbekannter C2-Domains

DNS-Filtering vs. traditionelle Firewall

Eine klassische Paket-Firewall filtert nach IP-Adressen und Ports. Das Problem: IP-Adressen ändern sich ständig, und viele Angriffe laufen über Port 443 (HTTPS) – den gleichen Port wie legitimer Traffic. DNS-Filtering arbeitet auf Domainebene und ist damit wesentlich granularer. Beide Methoden ergänzen sich; DNS-Filtering ist kein Ersatz für eine Firewall, aber eine wichtige zusätzliche Schutzschicht.

DNS-Filtering-Lösungen für KMU im Überblick

Für kleine und mittlere Unternehmen in Dresden und Sachsen gibt es drei Wege.

Self-Hosted: Pi-hole und AdGuard Home

Pi-hole und AdGuard Home sind kostenlose Open-Source-Lösungen, die auf einem Raspberry Pi oder einer kleinen VM laufen. Sie eignen sich besonders für KMU, die die Kontrolle über ihre Daten behalten wollen.

Vorteile:

  • Keine laufenden Kosten, vollständige Datenkontrolle
  • Umfangreiche Community-Blocklisten (z. B. oisd.nl, Hagezi, StevenBlack)
  • Detaillierte Logs und Statistiken im Web-Interface

Nachteile:

  • Erfordert eigene Hardware und regelmäßige Wartung
  • Keine Threat-Intelligence-Feeds in Echtzeit
  • Bei Ausfall des DNS-Servers funktioniert kein Name-Resolution mehr

Für ein typisches Dresdner KMU mit bis zu 30 Arbeitsplätzen ist AdGuard Home auf einer günstigen VM eine solide Basisabsicherung.

Cloud-basiert: Cisco Umbrella, Cloudflare Gateway, Quad9

Cloud-DNS-Resolver bieten Threat-Intelligence in Echtzeit ohne eigene Infrastruktur.

Quad9 (quad9.net): Kostenloser, datenschutzfreundlicher DNS-Resolver der gemeinnützigen Quad9 Foundation. Blockt automatisch bekannte Malware-Domains auf Basis von Threat-Intelligence-Feeds von über 20 Partnern. Für KMU ohne IT-Budget ein sofortiger Sicherheitsgewinn – einfach den DNS-Server auf 9.9.9.9 ändern.

Cloudflare Gateway: Teil des Zero-Trust-Produkts von Cloudflare. Erlaubt kategoriebasierte Filterung, Policy-Management pro Benutzergruppe und detaillierte Logs. Kostenlos bis 50 Nutzer, dann staffelweise Preismodell.

Cisco Umbrella: Enterprise-Lösung mit tiefer Integration in bestehende Sicherheitsinfrastrukturen. Geeignet für KMU ab 50 Mitarbeitern mit erhöhtem Schutzbedarf oder NIS2-Verpflichtungen.

DNS over HTTPS (DoH) und DNS over TLS (DoT)

Traditionelles DNS sendet alle Anfragen unverschlüsselt im Klartext. Ein Angreifer im gleichen Netzwerk – oder ein kompromittierter Router – kann DNS-Anfragen mitlesen und manipulieren (DNS-Spoofing).

DNS over HTTPS (DoH) und DNS over TLS (DoT) verschlüsseln die DNS-Kommunikation. Für KMU empfehlenswert: DoH oder DoT auf den Endgeräten aktivieren und auf den unternehmenseigenen DNS-Filter zeigen. So ist die Kommunikation verschlüsselt, aber der Filter bleibt aktiv.

Achtung: Wenn Mitarbeiter auf privaten Browserprofilen eigenständig DoH auf externe Resolver wie 8.8.8.8 umleiten, umgehen sie den Unternehmensfilter. Eine MDM-Richtlinie oder Firewall-Regel, die externes DoH blockiert, ist daher sinnvoll.

DNS-Filtering praktisch einrichten – Schritt für Schritt

Schnelllösung für sofortige Wirkung (30 Minuten)

  1. Router-DNS ändern: Im FRITZ!Box- oder Router-Webinterface den DNS-Server von der ISP-Adresse auf 9.9.9.9 (Quad9) umstellen. Alle Geräte im Netzwerk profitieren sofort.
  2. Zweiten DNS-Server als Fallback eintragen: 149.112.112.112 (ebenfalls Quad9).
  3. Test: Auf einem Gerät im Netzwerk die URL http://malware.testcategory.com aufrufen – Quad9 blockiert bekannte Test-Domains.

Vollständige Lösung mit AdGuard Home

  1. AdGuard Home installieren auf einem Linux-Server oder Raspberry Pi:
    curl -s -S -L https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh | sh -s -- -v
  2. Einrichtungsassistent im Browser öffnen (Port 3000), DNS-Upstream auf 9.9.9.9 oder 1.1.1.1 setzen.
  3. Blocklisten hinzufügen unter Einstellungen → Filter → DNS-Blocklisten:
    • OISD Full: https://big.oisd.nl
    • Hagezi Pro: https://cdn.jsdelivr.net/gh/hagezi/dns-blocklists@latest/adblock/pro.txt
  4. Router-DNS auf die IP des AdGuard-Home-Servers umstellen.
  5. DHCP-Option setzen, damit alle Geräte automatisch den neuen DNS verwenden.
  6. Logging und Alerting konfigurieren – AdGuard Home bietet ein Dashboard mit blockierten Anfragen.

OPNsense-Integration

Wer bereits eine OPNsense-Firewall betreibt, kann DNS-Filtering direkt integrieren. Das Plugin Unbound DNS unterstützt lokale Blocklisten und lässt sich mit DNSBL-Feeds (Domain Name System Blackhole Lists) kombinieren. Rexoma konfiguriert OPNsense-Firewalls standardmäßig mit Unbound und einer aktuellen DNSBL-Integration.

Was DNS-Filtering nicht leistet

DNS-Filtering ist kein Allheilmittel. Es blockiert bekannte schädliche Domains, nicht jede Form von Angriff:

  • IP-basierte Verbindungen (Malware, die direkt IPs anspricht, ohne DNS) werden nicht erfasst.
  • Kompromittierte legitime Domains (Hacked Websites) landen selten schnell genug auf Blocklisten.
  • Insider-Bedrohungen und Angriffe über VPN-Splits werden nicht abgefangen.
  • Verschlüsselter Malware-Traffic auf legitimen Ports ist eine separate Problemstellung.

DNS-Filtering gehört deshalb in eine mehrschichtige Sicherheitsstrategie: kombiniert mit Endpoint-Schutz, regelmäßigem Patching, MFA und Mitarbeitersensibilisierung.

Unterstützung für KMU in Dresden

Sie möchten DNS-Filtering in Ihrem Unternehmen einrichten und wissen nicht, wo anfangen? Rexoma IT betreut KMU in Dresden und Sachsen bei der Einrichtung und dem Betrieb von DNS-Sicherheitslösungen – von der schnellen Quad9-Konfiguration bis zur vollständigen OPNsense-Integration mit DNSBL-Feeds. Nehmen Sie Kontakt auf und wir schauen uns Ihre Netzwerkinfrastruktur gemeinsam an.


Häufige Fragen zu DNS-Sicherheit und DNS-Filtering

Verlangsamt DNS-Filtering das Internet? Bei selbst gehosteten Lösungen wie Pi-hole oder AdGuard Home sind die Antwortzeiten in der Regel unter 1 Millisekunde – das ist schneller als die meisten öffentlichen DNS-Resolver. Cloud-Lösungen wie Quad9 haben global verteilte Server und sind kaum langsamer als Google DNS (8.8.8.8).

Kann DNS-Filtering HTTPS-Traffic inspizieren? Nein. DNS-Filtering arbeitet auf Domainebene, nicht auf Inhaltsebene. Es blockiert die Verbindung zur schädlichen Domain vollständig, sieht aber nicht in den verschlüsselten HTTPS-Traffic hinein. Für Content-Inspektion ist eine SSL-Inspection-fähige Firewall notwendig.

Was passiert, wenn eine legitime Domain fälschlicherweise blockiert wird? Das nennt sich “False Positive”. Bei gutem DNS-Filtering ist das selten, kommt aber vor – besonders bei sehr aggressiven Blocklisten. In AdGuard Home oder Pi-hole können einzelne Domains einfach auf eine Whitelist gesetzt werden. Cloud-Lösungen wie Cloudflare Gateway bieten Policy-Ausnahmen per Klick.

Schützt DNS-Filtering vor Ransomware? Teilweise. Viele Ransomware-Varianten kommunizieren über bekannte C2-Domains, die auf Blocklisten stehen – diese Verbindungen würden blockiert. Ransomware, die IP-direkt kommuniziert oder neue, unbekannte Domains nutzt, kann jedoch nicht durch DNS-Filtering allein gestoppt werden. Backups und Endpoint-Schutz bleiben unverzichtbar.

Müssen alle Geräte einzeln konfiguriert werden? Nicht, wenn der DNS auf dem Router oder DHCP-Server geändert wird. Dann erhalten alle Geräte im Netzwerk automatisch den gefilterten DNS-Resolver. Für BYOD-Geräte oder Remote-Mitarbeiter im Homeoffice ist eine separate Konfiguration per MDM-Richtlinie oder VPN-Split-Tunnel sinnvoll.

Back to Blog

Related Posts

View All Posts »