Skip to content

Warum das Fundament besonderen Schutz braucht

MFA, WAF, Zero Trust – alles wichtig. Aber was passiert, wenn sich darunter etwas verschiebt?

Jedes Sicherheitskonzept hat Schichten. Ganz oben: Firewalls, WAFs, Rate Limiting. Eine Ebene tiefer: Authentifizierung, MFA, Session Management. Noch tiefer: Verschlüsselung, Zertifikate, Netzwerksegmentierung.

Und ganz unten? DNS und TLS.

Das unsichtbare Fundament

DNS entscheidet, wohin dein Traffic fließt. TLS entscheidet, ob die Verbindung vertrauenswürdig ist. Zusammen bilden sie das Fundament, auf dem alle anderen Sicherheitsmaßnahmen stehen.

Wenn jemand deine DNS-Records ändert, zeigt deine Domain woanders hin. Deine Firewall schützt dann den falschen Server. Dein MFA authentifiziert Nutzer gegen eine Phishing-Seite. Deine WAF filtert Traffic, der nie bei dir ankommt.

Das Fundament kippt – und alles darüber wird wirkungslos.

Warum wir trotzdem nicht hinschauen

Die meisten Teams investieren massiv in die oberen Schichten. MFA wird ausgerollt. Zero Trust wird implementiert. Container werden gehärtet. Alles richtig, alles wichtig.

Aber DNS? Das wurde einmal eingerichtet und läuft. TLS? Let's Encrypt erneuert automatisch. Warum sollte man da hinschauen?

Weil "läuft" nicht "sicher" bedeutet. Weil automatische Erneuerung auch fehlschlagen kann. Weil ein kompromittierter API-Key reicht, um DNS-Records zu ändern – und niemand es merkt, bis Kunden sich beschweren.

Was sich ändern muss

Wir brauchen keine neue Firewall. Wir brauchen Sichtbarkeit auf der untersten Ebene. Systematisch, nicht per Zufall. Kontinuierlich, nicht einmalig.

Die Frage ist nicht: Hat sich etwas geändert? Die Frage ist: Wissen wir es, wenn es passiert?

Genau dafür bauen wir Driftguard. Nicht als Ersatz für MFA oder WAF. Sondern als Überwachung des Fundaments, auf dem alles andere steht.

Ein Gedankenexperiment

Stell dir vor, jemand verschafft sich Zugang zu deinem DNS-Provider. Nicht zu deinem Server, nicht zu deiner Datenbank – nur zum DNS. Was passiert?

Dein MX-Record zeigt auf einen fremden Mailserver. Password-Reset-Mails landen beim Angreifer. Dein A-Record zeigt auf eine Kopie deiner Login-Seite. Nutzer geben ihre Credentials ein – mit gültigem TLS-Zertifikat, weil der Angreifer einfach ein neues ausstellt.

Kein Alarm. Keine Firewall-Regel greift. Kein IDS schlägt an. Weil aus Sicht deiner Infrastruktur alles normal aussieht – der Angriff passiert eine Ebene tiefer.

Fundament first

Deshalb glauben wir: Bevor du die nächste Security-Schicht oben drauf packst, schau nach unten. Weißt du, ob deine DNS-Records noch so aussehen wie gestern? Weißt du, wann dein Zertifikat zuletzt erneuert wurde – und von wem?

Wenn die Antwort "wahrscheinlich schon" ist, dann ist das genau die Lücke, die Driftguard schließt.