Stopp Malware,
bevor sie beginnt.
DNS Security aus der Schweiz – KI-DNS-Filter, OnPrem
DNS Shield ist der unsichtbare Wall Ihrer digitalen Infrastruktur: Jede DNS-Anfrage wird durch unsere proprietäre KI-Scoring-Engine in Millisekunden bewertet, bösartige Domains terminiert. über 95% Erkennungsrate. Schweizer Entwicklung, OnPrem, DSG-konform, kein Cloud-Lock-in, kein CLOUD Act.
DNS Shield in Aktion
Erfahren Sie, wie DNS Shield Malware und Phishing auf DNS-Ebene blockiert.
Mehrstufige KI. Eine Entscheidung. Millisekunden.
DNS Shield ersetzt einfache Blacklisten durch eine proprietäre, mehrstufige KI-Pipeline, die jeden DNS-Query simultan aus mehreren Perspektiven bewertet, und das noch vor dem ersten Netzwerkpaket.
DNS-Anfrage trifft DNS Shield
DNS Shield fungiert als transparenter DNS-Resolver. Jeder Query Ihrer Geräte, Server und Anwendungen läuft durch DNS Shield, ohne Agenten-Installation, ohne Hardware-Änderung.
- checkWhitelist-/Blacklist-Schnellabgleich in Echtzeit
- checkGecachte saubere Domains werden sofort aufgelöst
- checkClient-überwachung auf Netzwerkebene
Proprietäre KI-Scoring-Engine
Unbekannte Domains durchlaufen unsere selbstentwickelte Bewertungspipeline: Threat-Intelligence-Signale werden mit Verhaltensanalyse und einem KI-Modell kombiniert, das auf über 60’000 manuell kuratierten Schweizer und deutschen Domains trainiert wurde.
- checkProprietäre KI, speziell auf CH/DE-Domains optimiert
- checkVerhaltensbasierte Botnet- und Tunnel-Erkennung
- checkNeu registrierte Domains (NRD) automatisch erhöht bewertet
- checkMehrere unabhängige Threat-Intelligence-Quellen
Herkömmliche Blocklisten versagen bei Domains, die erst wenige Stunden alt sind. DNS Shield bewertet strukturelle Merkmale, nicht Listeneinträge.
Verdikt & vollständiger Audit-Trail
Jede Entscheidung wird mit Risikowert und Client-Kontext protokolliert. Bösartige Domains werden terminiert, oder im MONITOR-Mode nur protokolliert für risikofreies Onboarding.
- checkBLOCK / SUSPICIOUS / ALLOW mit Risikowert
- checkSyslog-Forwarding an SIEM (TCP & UDP)
- checkBlock-Portal mit Custom-Branding für Endbenutzer
- checkLückenloser Audit-Trail für Compliance
Trainiert für Schweizer und deutsche Domains.
Generische DNS-Sicherheitsmodelle scheitern regelmässig an Schweizer Compound-Domains, sie erzeugen massenweise Fehlalarme, die Sicherheitsteams lähmen und das Vertrauen in automatischen Schutz untergraben.
Unser Schweizer Entwicklungsteam hat über 60’000 Domains manuell kuratiert und labelliert, um eine KI zu trainieren, die den spezifischen Eigenheiten deutschsprachiger Domains gerecht wird. Das Ergebnis: über 95% Erkennungsrate bei einem Bruchteil der Falsch-Positive im Vergleich zu Standardlösungen, validiert auf über 100’000 Test-Samples.
KI-Erkennungsrate, validiert auf über 100’000 Test-Samples
Manuell kuratierte CH/DE-Domains im Trainingskorpus
Weniger Falsch-Positive auf CH/DE-Domains vs. Standardlösungen
Entwicklung, Training und Betrieb ausschliesslich in der Schweiz
Das Problem mit Standardlösungen
Generische KI-Modelle wurden auf englischsprachigen Domains trainiert. Schweizer Compound-Domains wie kantonalbank.ch, bundesamt.de oder versicherungsbund.ch werden als verdächtig eingestuft, mit massenhaften Fehlalarmen, die Ihr Security-Team überlasten.
Die DNS Shield Lösung
Unser KI-Modell wurde exklusiv mit manuell kuratierten Schweizer und deutschen Domains trainiert. Es versteht die sprachlichen und strukturellen Eigenheiten des DACH-Raums, und unterscheidet zuverlässig zwischen legitimen Unternehmensdomains und Angreiferinfrastruktur.
Empirisch validiert, kontinuierlich verbessert
Die Erkennungsleistung wird laufend auf realen Produktionsdaten evaluiert und das Modell iterativ nachtrainiert. Was Sie kaufen, wird kontinuierlich besser, ohne Mehrkosten für Sie.
Warum DNS Security?
Malware & Phishing
Dynamische Blockierung von bekannten Botnet-C2s, Ransomware-Hosts und Phishing-Domains: ergänzt durch KI-Erkennung für noch unbekannte Varianten.
DNS Tunneling Detection
Verhindert Datenabfluss über DNS-Protokolle durch Analyse anomaler Anfragemuster: ohne Signaturlisten, ohne Konfigurationsaufwand.
DGA & Botnet-Erkennung
Domain-Generation-Algorithmen werden durch mehrstufige Verhaltensanalyse erkannt: auch voöllig neue, nie gesehene Varianten.
NRD-Detektor
Neu registrierte Domains (Newly Registered Domains) sind das Hauptmerkmal von Phishing-Kampagnen. DNS Shield erkennt und bewertet NRDs automatisch. Angreifer wechseln die Domain nach jedem Angriff: eine neue Registrierung kostet Centimes. Blocklisten hinken Stunden bis Tage hinterher.
API-First Integration
Automatisieren Sie Policy-Verwaltung und Reporting über die RESTful API: für SIEM/SOAR-Workflows, Statistiken und Konfigurationsmanagement.
Verhaltensanalyse pro Client
Ungewöhnliche Anfragemuster einzelner Clients werden automatisch erkannt: Portscans, Botnet-Aktivität und kompromittierte Endgeräte werden sichtbar.
Homoglyph-/IDN-Phishing-Erkennung
Unicode-Lookalike-Domains (z.B. kyrillische Substitution in Schweizer Firmen-Domains) werden als Phishing-Versuch blockiert: zum Schutz vor Brand-Impersonation.
raіffeisen.ch (kyrillisch) vs. raiffeisen.ch (legitim)
Fast-Flux-Infrastruktur-Erkennung
Kurzlebige DNS-Infrastruktur (Fast-Flux, Double-Flux) wird erkannt und blockiert: ein typisches Merkmal professioneller Botnet-C2-Infrastruktur.
Erklärbare KI (Verdict-Insights)
Jede Blockierung zeigt die Top-Einflussfaktoren der KI-Entscheidung: transparent, nachvollziehbar, auditierbar. Kein Black-Box-Blocking.
Ein Angriff. 6 Stunden alt.
Kein Eintrag in keiner Liste.
Um 3:47 Uhr registriert ein Angreifer raіffeisen-login-ch.com, mit einem kyrillischen «і» statt dem lateinischen «i». Kein Threat-Feed der Welt hat diese Domain. Alle Blocklisten: leer.
Um 9:12 Uhr klickt ein Mitarbeiter auf den Phishing-Link. DNS Shield bewertet die Anfrage: Domain registriert vor 5 Stunden (NRD-Score kritisch), Homoglyph auf raiffeisen.ch erkannt, Entropie-Anomalie im Label. Risikoscore: 98/100. Die DNS-Auflösung wird terminiert, bevor der Browser ein einziges Paket sendet.
Was DNS Shield erkennt,
sieht kein anderer DNS-Filter.
DNS Shield kombiniert fünf unabhängige Erkennungsschichten zu einem einzigen Risiko-Score. Jede Schicht fängt an, wo die andere aufhört, für maximale Abdeckung bei minimalen Fehlalarmen.
NRD-Frühwarnung
Domains, die in den letzten 30 Tagen registriert wurden, erhalten automatisch ein erhöhtes Risikoprofil. Angreifer registrieren täglich neue Domains, DNS Shield erkennt sie von Stunde eins.
EWMA Client-Baseline
Jeder Client bekommt ein eigenes, dynamisches Verhaltensmodell. Jüngste Anfragen werden stärker gewichtet, Abweichungen werden sofort erkannt, auch wenn der Angriff langsam startet.
Shannon-Entropie-Analyse
Algorithmisch generierte Domains (DGA) und DNS-Tunnel hinterlassen charakteristische Entropie-Signaturen. DNS Shield erkennt diese Muster auch in bisher unbekannten Botnet-Varianten.
RAS: Relativer Anomalie-Score
Jede DNS-Anfrage wird im Kontext der individuellen Client-Historie bewertet. Was für einen anderen Client normal ist, kann hier eine Anomalie sein, DNS Shield erkennt den Unterschied.
TTL-Anomalie & Fast-Flux
Professionelle Botnet-Infrastruktur wechselt IP-Adressen sekundär. Auffällig kurze DNS-TTL-Werte sind ein Früh-Indikator, Fast-Flux-Infrastruktur wird automatisch markiert und blockiert.
Listenbasiert. Cloud-Pflicht. Keine Compliance.
DNS Shield ist die Antwort auf alle drei.
NextDNS filtert mit Listen. Cloudflare und Cisco sind US-Cloud. Nur DNS Shield kombiniert echte KI, DACH-optimiertes Modell und vollständige Datensouveränität, OnPrem, DSG-konform, ohne CLOUD-Act-Risiko.
| Merkmal | DNS Shield | NextDNS | Cloudflare Gateway | Cisco Umbrella |
|---|---|---|---|---|
| Erkennungsrate | >95% (validiert) | Listenbasiert | Nicht publik | Nicht publik |
| DGA- & Botnet-Erkennung (ohne Signaturen) | check_circle | cancel | help | check_circle |
| OnPrem / kein Cloud-Zwang | check_circle | cancel | cancel | cancel |
| DSG / DSGVO / CLOUD-Act-frei | check_circle | cancel | cancel | cancel |
| KI optimiert für CH/DE-Domains | check_circle | cancel | cancel | cancel |
| REST API & SIEM-Integration | check_circle | help | check_circle | check_circle |
| MONITOR-Mode (risikofreies Onboarding) | check_circle | cancel | help | check_circle |
| Per-Client-Verhaltensanalyse | check_circle | cancel | teilw. | check_circle (kostenpflichtig) |
| Erklärbare KI (Verdict-Insights) | check_circle | cancel | cancel | cancel |
| Swiss Made & lokaler Support | check_circle | cancel | cancel | cancel |
| Preismodell | CHF 0.50–4.50 pro Entität / Mt. |
USD 1.99–19/Mt. (US-Cloud) |
USD / User / Mt. (US-Daten) |
Enterprise-Lizenz (komplex) |
help = eingeschränkt oder je nach Konfiguration
Ihr Unternehmen verdient proaktiven Schutz
91% aller Malware nutzt DNS für C2-Kommunikation. DNS Shield schliesst diese Lücke, bevor ein Angriff Schaden anrichtet.
Angriffe verhindern, nicht nur erkennen
Im Gegensatz zu reaktiven Lösungen blockiert DNS Shield Bedrohungen präventiv auf DNS-Ebene. Malware, Ransomware und Phishing werden gestoppt, bevor eine Netzwerkverbindung überhaupt zustande kommt, die effektivste erste Verteidigungslinie.
Deployment in Minuten, ohne Agenten
DNS Shield erfordert keine Agenten oder Hardware-Änderungen. Ändern Sie Ihren DNS-Resolver auf DNS Shield, und Ihr gesamtes Netzwerk ist geschützt. Der MONITOR-Mode erlaubt risikofreies Testen vor dem Live-Betrieb.
Vollständige DNS-Transparenz
Sehen Sie jeden DNS-Query Ihres Unternehmens in Echtzeit. Identifizieren Sie Shadow-IT, unautorisierte Cloud-Dienste und verdächtige Kommunikationsmuster über das Web-Dashboard mit Live-Query-Stream.
Mitarbeiter- und Geräteschutz
Schützen Sie alle Endgeräte, Server und IoT-Geräte zentral, ohne Agenten auf jedem Endpunkt. Kategorie-Filter für Adult-Content, Glücksspiel und Werbung erhöhen zusätzlich die Produktivität.
DNS-Security für regulierte Branchen
Schweizer Finanzinstitute, Spitäler und Industrieunternehmen haben besondere Anforderungen an Datensouveränität und Compliance, DNS Shield ist darauf ausgelegt.
Finanzwesen & Banken
FINMA-konformes Netzwerk-Logging und Incident-Response direkt aus DNS Shield. Blockierung von Phishing gegen E-Banking-Kunden, auch bei neu registrierten Lookalike-Domains, die stundenjung sind.
- checkFINMA-tauglicher Audit-Trail
- checkNRD-Schutz gegen E-Banking-Phishing
- checkKein US-CLOUD-Act-Zugriff auf Kunden-Queries
Gesundheitswesen
Spitäler und Kliniken sind bevorzugte Ransomware-Ziele. DNS Shield blockiert C2-Kommunikation und Ransomware-Infrastruktur, bevor ein einziger Rechner verschlüsselt wird, DSG-konform und ohne Cloud-Abhängigkeit.
- checkRansomware-C2-Blocking in Echtzeit
- checkDSG-konform für Patientendaten
- checkNIS2-Anforderungen erfüllt
Industrie & KMU
Produzierende Betriebe und KMU profitieren von einfachem Deployment ohne IT-Grossaufwand. DNS Shield schützt OT/IT-Netzwerke gleichermassen, zu KMU-freundlichen Preisen ab CHF 0.50/Entität.
- checkOT/IT-Netzwerkschutz auf DNS-Ebene
- checkSkalierbar ab 1 Entität
- checkKein eigenes Security-Team erforderlich
MSSP & Managed Security
Mehrere Kundenumgebungen zentral aus einer Instanz verwalten. Per-Client-Tracking, getrennte Log-Indizes, konfigurierbare Policies pro Mandant und Azure AD/Entra-SSO für Operator-Zugang.
- checkMulti-Mandant-Verwaltung aus einer Admin-Oberfläche
- checkPro-Mandant Policies, Whitelists und Berichts-Dashboards
- checkAzure AD & SAML 2.0 SSO für Operator-Teams
Was DNS Shield blockiert
DNS Shield erkennt und blockiert die wichtigsten DNS-getragenen Bedrohungen sowie unerwünschte Inhaltskategorien, jede Kategorie ist pro Mandant unabhängig konfigurierbar (BLOCK / MONITOR / ALLOW).
Malware
Bekannte Malware-Distribution, Drive-by-Downloads und Malware-Hosts.
Phishing
Credential- und Daten-Diebstahl-Domains, auch neu registrierte Varianten. inkl. Homoglyph-/IDN-Lookalikes und Domains, die kürzer als 24 Stunden online sind.
Command & Control
C2-Infrastruktur für Botnets, RATs und Implants wird terminiert.
DGA & Botnets
Domain-Generation-Algorithmen werden verhaltensbasiert erkannt, ohne Signaturen.
DNS-Tunneling
Datenexfiltration über das DNS-Protokoll wird durch Musteranalyse erkannt. Base64URL/Base32-Payload-Erkennung und QTYPE-Verteilungsanalyse (DNS TXT/NULL-Query-Dominanz) ergänzen die Anfragemuster-Analyse für maximale Tunneling-Abdeckung.
Cryptomining
Unautorisierte Mining-Pools blockieren und Ressourcen schützen.
Adult-Content
Compliance-konforme Inhaltsfilterung per Policy.
Ads & Tracking
Tracker und Werbe-Infrastruktur netzwerkweit filtern.
Glücksspiel (Gambling)
Glücksspiel-Domains werden als konfigurierbare Kategorie blockiert oder überwacht, für Compliance-Anforderungen im Bildungs-, Gesundheits- und Finanzbereich.
MONITOR-Mode für risikofreies Onboarding
Starten Sie im MONITOR-Mode, jeder Block wird nur protokolliert, der Verkehr fliesst weiter. So testen Sie Policies auf Ihrem realen Traffic ohne jedes Produktionsrisiko. Wechseln Sie auf ACTIVE-Mode, sobald Ihre Policies sitzen, Whitelist und Blacklist können Sie ohne Downtime jederzeit anpassen.
Läuft, wo Ihre Daten leben.
DNS Shield integriert sich nahtlos in bestehende Netzwerke, SIEM/SOAR-Workflows und Enterprise-Toolchains, ohne Cloud-Zwang, ohne externe Datenabhängigkeit.
DNS-Resolver-Architektur
DNS Shield fügt sich nahtlos in bestehende Netzwerke ein, als Drop-in DNS-Resolver oder als zusätzliche Schutzschicht vor Ihrem aktuellen Resolver:
- checkStandard-konforme DNS-Resolver-Unterstützung (UDP/TCP)
- checkUpstream-Resolver frei konfigurierbar
- checkHigh-Availability mit Failover-Unterstützung
- checkMulti-Site-Deployment für verteilte Standorte
- checkRegex- und Wildcard-DNS-Regeln
Web-Dashboard & Block-Portal
Modernes Web-UI für Operatoren, und ein anpassbares Block-Portal für Endbenutzer, wenn eine Domain blockiert wurde:
- checkLive-Query-Stream mit Farb-Klassifikation
- checkVollständiges Regelwerk mit ALLOW/BLOCK/REDIRECT, Regex- und Wildcard-Matching sowie subnetz-spezifischen Client-Overrides
- checkMehrbenutzer-Authentifizierung mit Rollen
- checkCustom-Branding für das Block-Portal
- checkAnalytics-Dashboard mit Echtzeit-Statistiken
REST API & SIEM-Forwarding
Integrieren Sie DNS Shield in Ihre bestehende Toolchain, oder nutzen Sie es als zusätzliche Telemetriequelle für Ihr SIEM:
- checkRESTful API für Policy-Verwaltung und Statistiken
- checkSyslog-Forwarding (TCP / UDP) an SIEM
- checkLive-Statistiken via API abfragbar
- checkKompatibel mit FORGE SOAR und 3rd-Party-Tools
- checkOpenSearch-Indexierung für analytische Log-Suche und SIEM-Integration
OnPrem & Container
DNS Shield läuft, wo Sie wollen, auf Ihrer Hardware, in Ihrer Virtualisierung oder als Container in Ihrer bestehenden Plattform:
- checkBare-Metal oder VM (Linux)
- checkDocker / Container-Deployment
- checkHybrid-Modelle für Multi-Site
- checkKeine Cloud-Abhängigkeit, keine Telemetrie nach extern
- checkIPv4 und IPv6 Dual-Stack, volle Dual-Stack-Auflösung und WHOIS-Anreicherung
Schweizer DNS-Security: Ihre Daten, Ihre Hoheit.
DNS-Anfragen sind hochsensibel, sie verraten, welche Dienste Ihre Mitarbeiter nutzen, mit welchen Partnern Sie arbeiten, welche Cloud-Services Sie evaluieren. Diese Telemetrie gehört nicht in fremde Cloud-Backends.
Swiss Made
Entwicklung, Betrieb und Support aus der Schweiz. Ohne CLOUD Act, ohne US-Jurisdiktion über Ihre DNS-Daten.
DSG / revDSG / DSGVO
Konform mit dem revidierten Schweizer Datenschutzgesetz und der EU-DSGVO, durch architekturbedingte Datensparsamkeit.
NIS2 & FINMA-tauglich
Erfüllt Anforderungen an Netzwerk-Logging und Incident-Response für regulierte Branchen, mit lückenlosem Audit-Trail.
Kein Cloud-Lock-in
Volle Kontrolle über Threat-Feeds, Logs und Konfiguration. DNS-Anfragen verlassen niemals Ihre Infrastruktur.
Preisliste DNS Shield
Faire, mengenbasierte Preisgestaltung. Je mehr Entitäten Sie schützen, desto günstiger wird es pro Einheit.
| Anzahl Entitäten | Preis in CHF |
|---|---|
| 1 – 100 | CHF 4.50 |
| 101 – 300 | CHF 4.00 |
| 301 – 500 | CHF 3.00 |
| 501 – 1’000 | CHF 2.00 |
| 1’001 – 2’000 | CHF 1.50 |
| 2’001 – 4’000 | CHF 0.80 |
| 4’001 – 8’000 | CHF 0.60 |
| 8’001 – 12’000 | CHF 0.50 |
Preise pro Entität / Monat, exkl. MwSt. Individuelle Konditionen ab 12’000 Entitäten auf Anfrage.
Was ist DNS Shield?
DNS Shield ist eine Schweizer DNS-Security-Lösung, die als unsichtbarer Schutzwall zwischen Ihrem Netzwerk und dem Internet fungiert. Jede DNS-Anfrage wird durch eine proprietäre, mehrstufige KI-Scoring-Pipeline bewertet, bösartige Domains, Phishing-Seiten und Command-and-Control-Server werden blockiert, bevor eine Verbindung zustande kommt.
DNS ist das Telefonbuch des Internets, und gleichzeitig einer der am meisten unterschätzten Angriffsvektoren. Über 91% aller Malware nutzt DNS für ihre C2-Kommunikation. DNS Shield schliesst diese kritische Sicherheitslücke und bildet das Fundament jeder modernen Zero-Trust-Architektur.
Im Gegensatz zu einfachen DNS-Filtern, die nur mit statischen Listen arbeiten, oder Cloud-basierten Lösungen mit US-Jurisdiktion, kombiniert DNS Shield Threat-Intelligence-Feeds mit einer selbstentwickelten KI-Engine, die auf über 60’000 manuell kuratierten Schweizer und deutschen Domains trainiert wurde, für über 95% Erkennungsrate bei einem Bruchteil der Fehlalarme.
IRONATE DNS Shield läuft ausschliesslich in Ihrer eigenen Infrastruktur (OnPrem oder Container), ist DSG-, DSGVO- und NIS2-konform und erreicht eine Antwortzeit von unter 10 Millisekunden (p99) bei hohem Durchsatz.
Häufig gestellte Fragen zu DNS Shield
Was ist DNS Shield und wie funktioniert es?expand_more
DNS Shield operiert als sicherer DNS-Resolver in Ihrem Netzwerk. Jede DNS-Anfrage wird durch eine proprietäre, mehrstufige KI-Scoring-Pipeline bewertet, kombiniert aus Threat-Intelligence, Verhaltensanalyse und einem auf über 60’000 manuell kuratierten Schweizer und deutschen Domains trainierten KI-Modell. Bösartige Domains werden blockiert, bevor eine Verbindung zustande kommt. Über 95% Erkennungsrate, validiert auf über 100’000 Test-Samples.
Was ist der Unterschied zwischen DNS Shield und Pi-hole?expand_more
Pi-hole ist ein Open-Source-DNS-Filter, der ausschliesslich mit statischen Blacklisten arbeitet. Statische Listen erkennen nur bekannte Bedrohungen und versagen vollständig bei DGA-Botnets, DNS-Tunneling und neu registrierten Phishing-Domains, die stundenfrisch erstellt wurden. DNS Shield kombiniert Threat-Feeds mit einer proprietären KI-Engine (über 95% Erkennungsrate), erkennt unbekannte Bedrohungen ohne Signaturlisten, bietet vollständigen Audit-Trail und SIEM-Integration, und wurde speziell auf Schweizer und deutsche Domains optimiert, um Fehlalarme zu minimieren.
Warum nicht Cloudflare Gateway oder Cisco Umbrella?expand_more
Cloud-basierte DNS-Security sendet jeden DNS-Query Ihres Unternehmens an US-amerikanische Rechenzentren, darunter Informationen darüber, welche Dienste Ihre Mitarbeiter nutzen, mit welchen Partnern Sie arbeiten und welche Technologien Sie evaluieren. Diese Daten unterliegen dem US CLOUD Act und entziehen sich Schweizer und EU-Datenschutzrecht. Für Unternehmen, die dem revDSG, der DSGVO, FINMA-Richtlinien oder NIS2 unterliegen, ist das ein kritisches Compliance-Problem. DNS Shield läuft ausschliesslich in Ihrer eigenen Infrastruktur, kein einziger DNS-Query verlässt Ihr Netzwerk.
Warum ist DNS-Security wichtig für Zero Trust?expand_more
Über 91% aller Malware nutzt DNS für Command-and-Control-Kommunikation. Ohne DNS-Kontrolle kann ein kompromittierter Endpunkt selbst bei Mikrosegmentierung mit externen C2-Servern kommunizieren. DNS Shield schliesst diese kritische Lücke in Zero-Trust-Architekturen und bildet die erste Verteidigungsebene noch vor Firewall und EDR.
Schützt DNS Shield vor DNS-Tunneling und DGA-Botnets?expand_more
Ja. DNS-Tunneling, also das Verstecken von Datenabfluss im DNS-Protokoll, wird durch Analyse anomaler Anfragemuster erkannt und blockiert. DGA-Botnets (Domain-Generation-Algorithmen) werden verhaltensbasiert erkannt, ohne Signaturlisten zu benötigen. Beide Angriffsvektoren werden auch in bisher unbekannten Varianten erkannt.
Wie risikoarm ist die Einführung von DNS Shield?expand_more
DNS Shield bietet einen MONITOR-Mode: In dieser Phase werden Blockings nur protokolliert, der Verkehr fliesst weiter. So testen Sie Ihre Policies auf realem Traffic ohne jedes Produktionsrisiko. Sobald Ihre Policies sitzen, schalten Sie auf ACTIVE-Mode um. Whitelist und Blacklist können Sie jederzeit ohne Downtime anpassen. Das Deployment erfordert keine Agenten oder Hardware-Änderungen, nur eine Änderung des DNS-Resolvers.
Erkennt DNS Shield auch neu registrierte Domains (NRD)?expand_more
Ja. DNS Shield enthält einen integrierten NRD-Detektor (Newly Registered Domains). Frisch registrierte Domains sind ein Hauptmerkmal von Phishing-Kampagnen: Angreifer registrieren kurzlebige Domains, starten einen Angriff und wechseln weiter. DNS Shield erkennt und bewertet NRDs automatisch mit erhöhtem Risikoscore. Der NRD-Check ist im Dashboard aktivierbar.
Wie lässt sich DNS Shield in mein SIEM/SOAR integrieren?expand_more
DNS Shield bietet Syslog-Forwarding (TCP & UDP) für alle Block- und Monitor-Verdikte sowie eine RESTful API für Policy-Verwaltung, Statistiken und Konfigurationsänderungen. Jedes Verdikt enthält Risikowert und Client-Kontext für vollständige Kontextualisierung im SIEM. Die Lösung ist nahtlos kompatibel mit FORGE SOAR und gängigen SIEM/SOAR-Plattformen.
Wo kann DNS Shield betrieben werden?expand_more
DNS Shield ist OnPrem-First: Bare-Metal- oder VM-Deployment auf Linux, alternativ als Container (Docker). Hybrid-Deployments über mehrere Standorte sind möglich. DNS-Anfragen verlassen niemals Ihre Infrastruktur, keine externe Telemetrie, keine Cloud-Abhängigkeit.
Ist DNS Shield DSG-, DSGVO- und NIS2-konform?expand_more
Ja. DNS Shield wird ausschliesslich aus der Schweiz entwickelt und betrieben, ohne CLOUD-Act-Zugriff, ohne US-Jurisdiktion. Durch die OnPrem-Architektur entsteht keine externe Datenverarbeitung. Die Plattform ist konform mit dem revidierten Schweizer Datenschutzgesetz (revDSG), der EU-DSGVO sowie NIS2- und FINMA-Anforderungen an Netzwerk-Logging und Incident-Response.
Für welche Unternehmensglössen ist DNS Shield geeignet?expand_more
DNS Shield ist skalierbar von kleinen KMU (ab 1 Entität, CHF 4.50/Monat) bis zu Enterprise-Umgebungen mit über 12’000 Entitäten. Das System verarbeitet zehntausende DNS-Anfragen pro Sekunde mit einer Antwortzeit unter 10 Millisekunden. Die mengenbasierte Preisgestaltung macht DNS Shield für alle Unternehmensgroessen wirtschaftlich attraktiv.