Von unserem Gastautor Christian Dallmayer, General Manager united-domains GmbH

[datensicherheit.de, 13.05.2025] Hinter jeder Domain steckt mehr als eine Webadresse – sie ist Aushängeschild, strategisches Asset und genießt das höchste Vertrauen der Kunden. Umso schwerwiegender sind Angriffe, die auf die Kontrolle einer Domain abzielen. Beim sogenannten Domain-Hijacking verschaffen sich Angreifer den Zugriff auf die Verwaltungsrechte – mit potenziell weitreichenden Folgen: von Phishing-Kampagnen über Reputationsschäden bis hin zu Angriffen auf interne Systeme.

Die Angriffe erfolgen häufig unbemerkt, sind in ihrer Wirkung aber gravierend: Von der Umleitung des Webverkehrs auf gefälschte Inhalte bis hin zum Verlust geschäftskritischer E-Mail-Kommunikation. Unternehmen sollten deshalb dringend prüfen, ob ihre Domain-Sicherheitsstrategie heutigen Anforderungen noch gerecht wird.

Typologie und Abgrenzung von Domain-Hijacking

Im Gegensatz zu verwandten Bedrohungsszenarien wie DNS-Hijacking oder klassischem Phishing zielt Domain-Hijacking unmittelbar auf die Kontrolle über die Domain selbst. Angreifer versuchen, sich durch Täuschung, Manipulation oder gar juristische Verfahren Zugang zur Verwaltung der Domain zu verschaffen – sei es durch Login-Daten, technische Lücken oder gezielte Missbrauchsversuche bei Registraren.

Typische Angriffsvektoren reichen von Social Engineering bis hin zu operativen Schwachstellen. Häufig setzen Angreifer auf Täuschungstaktiken, um Mitarbeitende zur Preisgabe sensibler Zugangsdaten zu bewegen. Oder es wird versucht, Prozesse in der Domainverwaltung auszunutzen – etwa durch unautorisierte Änderungen oder gezielte Anfragen. Auch sogenannte Reverse Domain Hijacking-Verfahren, bei denen unberechtigte Markenansprüche vorgegaukelt werden, zählen zu den bekannten Methoden. Zwar bleibt der tatsächliche Erfolg solcher Versuche begrenzt, doch bereits der Aufwand zur Abwehr kann für Unternehmen erheblich sein.

Praxisbeispiele mit Signalwirkung

Bereits seit den frühen Jahren des Internets ist Domain-Hijacking ein reales Risiko. So erlangten Angreifer bereits 1999 über Social Engineering kurzzeitig Kontrolle über die Domain microsoft.com, indem sie bei dem Domain-Registrar Network Solutions administrative Änderungen veranlassten. Der Fall gilt bis heute als mahnendes Beispiel für strukturelle Schwächen bei Domainverwaltern.

Auch Google musste in mehreren Ländern erfahren, wie schnell Domains ohne ausreichenden Schutz in falsche Hände geraten können. In Argentinien wurde die Domain google.com.ar 2021 kurzzeitig von einer Privatperson registriert, nachdem Google die Verlängerung versäumt hatte. Ein vergleichbarer Vorfall betraf zuvor bereits die vietnamesische Landesdomain. Die Auswirkungen waren jeweils temporär, aber reputationsschädigend – und unterstreichen die Notwendigkeit konsequenter Erneuerungs- und Überwachungsprozesse.

Ein weiterer Fall, der die Verwundbarkeit selbst etablierter Open-Source-Projekte offenlegte, betraf die Domain perl.com. Nach der Übernahme wurde sie durch Dritte für Wochen auf fragwürdige Inhalte umgeleitet. Ebenfalls aufhorchen ließ im letzten Jahr ein Streit um die Domain fritz.box: Nachdem die neue Top-Level-Domain .box eingeführt wurde, sicherte sich ein Dritter die Adresse – AVM musste die Domain über ein UDRP-Verfahren wieder erkämpfen.

Konsequenzen bei Domain-Verlust

Die Auswirkungen eines erfolgreichen Domain-Hijackings sind vielfältig und reichen weit über den unmittelbaren Kontrollverlust hinaus. Für Unternehmen bedeutet der Verlust ihrer Domain nicht nur eine potenzielle Unterbrechung digitaler Geschäftsprozesse, sondern auch eine massive Gefährdung der Außenwahrnehmung. Kunden, Partner und Dienstleister können im Ernstfall nicht mehr zwischen legitimem und betrügerischem Angebot unterscheiden.

Neben den unmittelbaren finanziellen Schäden drohen langfristige Reputationsverluste. Wird die Domain für Phishing, Malware-Verbreitung oder betrügerische Inhalte verwendet, kann dies das Vertrauen in die betroffene Marke dauerhaft beschädigen. Hinzu kommen juristische Herausforderungen bei der Rückgewinnung – insbesondere wenn internationale Registrierungsstellen involviert sind oder Verfahren wie die UDRP eingeleitet werden müssen.

Sicherheitsvorkehrungen auf technischer Ebene

Ein wirksamer Schutz beginnt mit der Sicherung des Zugangs zu den Domain-Verwaltungskonten. Komplexe, regelmäßig aktualisierte Passwörter und die konsequente Nutzung von Zwei-Faktor-Authentifizierung sollten heute als Standard gelten. Zusätzlich empfiehlt sich die klare Definition interner Zuständigkeiten:

• Wer ist für welche Domains verantwortlich?
• Wo sind die Zugänge dokumentiert?
• Gibt es Notfallroutinen?

Technische Schutzmaßnahmen wie Registrar Locks oder Registry Locks verhindern unautorisierte Domaintransfers und erhöhen die Integrität des Domainbesitzes. Auch die Implementierung von DNSSEC, das die Authentizität von DNS-Antworten verifiziert, stellt eine wichtige Ergänzung der Sicherheitsarchitektur dar. Besonders für Unternehmen mit hoher Markenbekanntheit ist diese Maßnahme essentiell, um gezielte Manipulationen im DNS-System auszuschließen. Wir empfehlen deshalb dringend, die Hauptdomain(s) einem zusätzlichen Schutz zu unterziehen und nur wenigen autorisierten Personen den Zugriff auf die DNS-Einstellungen einzuräumen.

Frühwarnsysteme und Monitoring

Ein weiterer zentraler Baustein der Sicherheitsstrategie ist die kontinuierliche Überwachung von Domain-bezogenen Daten. Dazu gehören regelmäßige WHOIS-Kontrollen ebenso wie die Überwachung von DNS-Einstellungen und Traffic-Strukturen. Auffällige Aktivitäten – etwa unautorisierte Nameserver-Änderungen – lassen sich so frühzeitig erkennen.

Professionelle Domain-Monitoring-Lösungen ermöglichen es darüber hinaus, neu registrierte Domains zu identifizieren, die der eigenen Marke ähneln oder auf gezielte Täuschung ausgelegt sind. Auf dieser Basis können rechtliche Schritte frühzeitig vorbereitet oder – bei Bedarf – automatisiert eingeleitet werden.

Strategischer Schutz beginnt mit Prävention

Neben den technischen Komponenten erfordert eine ganzheitliche Sicherheitsstrategie auch organisatorische Maßnahmen. Hierzu zählt eine strukturierte Domain-Portfoliopflege, die sowohl die fristgerechte Verlängerung bestehender Domains als auch die Registrierung möglicher Tippfehler- oder Typosquatting-Varianten umfasst.

Schulungen für Mitarbeiter – insbesondere in den Bereichen IT, Marketing und Recht – erhöhen das Bewusstsein für die Relevanz von Domain-Sicherheit und reduzieren das Risiko, Opfer von Social-Engineering-Angriffen zu werden. Sensibilisierung und Prozesse müssen Hand in Hand gehen, um Domain-Sicherheit nicht dem Zufall zu überlassen.

Reaktionsfähigkeit im Ernstfall

Kommt es dennoch zu einem Vorfall, ist eine strukturierte Incident-Response-Strategie entscheidend. Der betroffene Registrar sollte umgehend informiert und in die Wiederherstellung der Domain eingebunden werden. Parallel ist eine transparente Kommunikation mit relevanten Stakeholdern empfehlenswert, um Vertrauen zu wahren und Missverständnisse zu vermeiden.

Rechtlich stehen Unternehmen verschiedene Mittel zur Verfügung. Besonders relevant ist das UDRP-Verfahren, das von der Internetverwaltung ICANN für gTLDs etabliert wurde und nicht auf lokale Gerichtsbarkeit, sondern bei akkreditierten Schlichtungsstellen wie der WIPO durchführbar ist. Es ermöglicht eine vergleichsweise schnelle Klärung von Domain-Streitigkeiten – sofern die Voraussetzungen erfüllt sind. In Deutschland bietet zudem der sogenannte Dispute-Eintrag bei der DENIC eine Möglichkeit, .de-Domains bis zur gerichtlichen Klärung zu sichern.

Digitale Identität braucht rechtlichen und technischen Schutz

Domain-Hijacking ist keine hypothetische Gefahr, sondern eine reale Herausforderung für Unternehmen in der vernetzten Wirtschaft. Der Schutz der eigenen Domain ist integraler Bestandteil einer ganzheitlichen Sicherheits- und Markenstrategie. Er erfordert nicht nur technisches Know-how, sondern auch juristische Weitsicht und organisatorische Klarheit.

Unternehmen, die ihre Domain-Assets als strategisches Gut begreifen und entsprechende Schutzmaßnahmen implementieren, stärken ihre digitale Resilienz – und setzen ein klares Zeichen für Verlässlichkeit, Sicherheit und Kundenorientierung im digitalen Raum.

Über den Autor:

Christian Dallmayer, General Manager united-domains GmbH, Bild: united domains

Christian Dallmayer bringt über 15 Jahre Erfahrung in Web-, Technologie- und E-Commerce-Unternehmen mit, darunter gutefrage.net, equinux AG und 1-2-3.tv. Seit 2022 ist er bei united-domains und verantwortet als General Manager die Bereiche B2B und B2C.

Weitere Informationen zum Thema:

datensicherheit.de, 02.09.2020
Cybersquatting: Angreifer imitieren Domains großer Marken

[datensicherheit.de, 12.06.2020] Check Point® Software Technologies Ltd. gibt die Ergebnisse einer neuen Umfrage bekannt, die von Dimensional Research durchgeführt wurde. Es sollte die Haltung der führenden Persönlichkeiten im Bereich der globalen Sicherheit gegenüber der Konsolidierung von IT-Sicherheitslösungen untersucht werden. Die Befragten berichten, dass einzelne, punktuell arbeitende Produkte unterschiedlicher Anbieter die Verteidigung eines Unternehmens erheblich erschweren. Da sich die Bedrohungslandschaft dauernd entwickelt und Cyber-Angriffe stetig raffinierter werden, gaben 99 Prozent der befragten Unternehmen, die Lösungen mehrerer Anbieter einsetzen, zu Protokoll, dass diese Vielfalt für ihr Unternehmen eine Herausforderung sei.

Umfrage: Konsolidierung von IT-Sicherheitslösungen, Bild: Check Point

Die wichtigsten Ergebnisse der Umfrage unter 411 IT- und Sicherheitsexperten weltweit:

• Je mehr Assets geschützt werden müssen, desto stärker sinkt das Vertrauen in die IT-Sicherheit: Von den Befragten Spezialisten sagten 92 Prozent, dass die Sicherung ihrer IT-Assets gegen Bedrohungen eine Herausforderung ist. Nur 34 Prozent der Sicherheitsverantwortlichen glauben, dass ihre Mobil-Geräte ordnungsgemäß gesichert sind und nur 38 Prozent glauben das in Bezug auf IoT.
• Fast die Hälfte der Unternehmen setzt zwischen sechs und vierzig Sicherheitslösungen ein: Beinahe jedes Unternehmen in der Umfrage nutzte Lösungen mehrere Sicherheitsanbieter. 49 Prozent verwenden zwischen sechs und 40 Sicherheitsprodukten und 27 Prozent der größeren Organisationen haben sogar 11 bis 40 verschiedene Anbieter.
• Mehrere Management-Konsolen verringern die Transparenz: 98 Prozent der Unternehmen verwalten ihre Sicherheitsprodukte mit mehreren Konsolen, was die Übersicht verringert. Das macht es sehr schwierig, die Bedrohungslage einer Organisation einzuschätzen und verlangsamt die Reaktion auf Zwischenfälle erheblich.
• Mehrere Sicherheitsanbieter zu verwenden stellt Unternehmen vor große Herausforderungen: 79 Prozent der Teilnehmer sagen, dass die Zusammenarbeit mit mehreren Anbietern erhebliche Herausforderungen mit sich bringt. Wartung, Versions-Upgrades, Vertragsverlängerungen und andere Aktivitäten im Zusammenhang mit der Pflege und Versorgung einer Sicherheitslösung nehmen wertvolle Zeit und Gelder in Anspruch.

Dietmar Schnabel, Bild: Check Point

„Einige Organisationen unterliegen der falschen Annahme, dass mehr IT-Sicherheitsprodukte zu mehr Schutz führen. Tatsächlich aber gilt auch in diesem Bereich der alte Spruch, dass weniger oft mehr ist, denn: Die Mischung und Anhäufung unterschiedlicher Produkte von verschiedenen Anbietern führt zu hoher Komplexität und Problemen bei der Abstimmung. Das wiederum kann der IT-Sicherheit am Ende gefährlich werden, weil so kritische Sicherheitslücken entstehen können. Unternehmen sollten sich kein Sammelsurium an IT-Sicherheitslösung zulegen, sondern eine konsolidierte Sicherheitsarchitektur einführen, die über eine Plattform viele Sicherheitslösungen lenkt und so ein breites Spektrum abdeckt. Das stärkt die Verteidigung aller Systeme und erhöht die Agilität der IT-Infrastruktur gegen alle Arten von virtuellen Angriffen“, erklärt Dietmar Schnabel, Regional Director Central Europe von Check Point Software Technologies GmbH.

COVID-19-Pandemie ein Phänomen für die derzeitige Arbeitskultur

Die COVID-19-Pandemie ist ein Phänomen für die derzeitige Arbeitskultur. Die Verschiebungen der Prozesse in Richtung der Tele-Arbeit waren global und schnell. Jedoch stellen diese gewaltigen Veränderungen in der Infrastruktur eines Unternehmens die einzigartige Gelegenheit dar, die Investitionen im Bereich der Sicherheit erneut zu bewerten. In der Umfrage stimmen 69 Prozent der Befragten darin überein, dass Konsolidierung der Sicherheitsanbieter, also eine sinnvolle Verringerung und Konzentration der Sicherheitslösungen, den Schutz des Unternehmens zuverlässiger werden ließe. Sie brächte eine enorm hohe Sichtbarkeit des Netzwerkverkehrs mit sich, was zur Verhinderung ausgeklügelter Cyber-Angriffe unerlässlich ist. Einheitliche Verwaltung und Schwachstellenbewertung vervollständigen eine konsolidierte IT-Sicherheitsarchitektur.

Die Reduzierung der Anzahl der Anbieter führt zu besserer Integration der verschiedenen Sicherheitslösungen und verkleinert damit die Lücken zwischen den Schutzfunktionen der einzelnen Produkte. Außerdem werden Zeitaufwand und Kosten für die Bearbeitung von Zwischenfällen erheblich reduziert. Mit Check Point Infinity ist bereits die erste konsolidierte Sicherheitsarchitektur aus einer Hand erhältlich. Sie deckt von Netzwerken über Cloud, Mobile und IoT hinweg alle wichtigen Bereiche der modernen IT-Sicherheit ab. Ziel ist ein Höchstmaß an Prävention gegen bekannte und sogar unbekannte Cyber-Bedrohungen. Die einheitliche und zentrale Verwaltung von Infinity korreliert auf einer übersichtlichen Konsole eine breite Palette von Ereignissen aller angeschlossenen Netzwerkumgebungen, Cloud-Dienste und mobilen Infrastrukturen. Die Threat Prevention Technology von Check Point, die im Hintergrund arbeitet, blockiert gleichzeitig die erkannten Angriffe, bevor sie Schaden anrichten können.

Am 25. Juni findet außerdem ein Webinar zum Thema statt: „Warum Sicherheitskonsolidierung wichtig ist: Reduzieren Sie die Komplexität für bessere Ergebnisse“. Dabei wird auch die Infinity-Architektur vorgestellt. Die Teilnahme ist kostenlos: https://www.brighttalk.com/webcast/16731/415236

Die Umfrage wurde von Dimensional Research unter 411 Teilnehmern aus Organisationen mit mehr als 500 Mitarbeitern weltweit durchgeführt.

Weitere Informationen zum Thema:

datensicherheit.de, 12.06.2018
IT-Sicherheitsbranche: Grund für Personalmangel ist häufig die falsche Technologie

[datensicherheit.de, 06.11.2018] Über die Sicherheit und Nutzung von Endgeräten sprach Carsten J. Pinnow, Herausgeber und Chefredakteur von datensicherheit.de (ds), mit Marco Rottigni, CTSO bei Qualys

ds: Wie steht es aus Ihrer Sicht im Jahr 2018 um die Endgerätesicherheit im Unternehmen? Besser oder schlechter als in der Vergangenheit?

Rottigni: Es wird immer schwieriger, die IT-Umgebung genau einzuschätzen. Alles ist vernetzt, die Zahl der Endgeräte hat sich vervielfacht, und diese Geräte werden sowohl für private als auch berufliche Zwecke verwendet. Mehr und mehr Unternehmen haben Projekte zur digitalen Transformation durchlaufen und haben jetzt Mühe, Überblick über alle Dienste zu gewinnen, die dadurch verfügbar werden. Und mit der wachsenden Bedeutung der Cloud ist ein weiterer neuer Bereich hinzugekommen, den die IT-Sicherheitsteams einbeziehen müssen, obwohl noch nicht einmal die traditionellen Endpunkte und Geräte, wie etwa Drucker, als wirklich sicher bezeichnet werden können.

Es ist schwer, sich gegen Angriffe zu verteidigen, wenn man keinen Überblick über die vorhandenen Assets hat.

Bild: Qualys

Marco Rottigni, CTSO bei Qualys

ds: Wie groß ist heute noch die Sicherheitsbedrohung, die von den Endpunkten ausgeht, und was ist der Grund dafür?

Rottigni: Aus meiner Sicht ist die Bedrohung zweifacher Natur. Aus technischer Sicht führt die Vielfalt und Menge der Endpunkte dazu, dass sich die Unternehmensperimeter auflösen. Das macht es schwierig, Probleme und Kompromittierungen zu erkennen.

Von der reinen Sicherheitsperspektive aus betrachtet, sind die Benutzer anfällig für Angriffe, die auf Social Engineering basieren oder auf der Ausnutzung von Schwachstellen durch sehr komplexe Exploits. Die Bedrohung existiert definitiv weiter, auch wenn eine Vielzahl von Sicherheitslösungen für Endgeräte entwickelt wurden, um diese Risiken zu minimieren.

ds: Was muss getan werden (und von wem), um die Endpunktsicherheit im Unternehmen zu verbessern?

Rottigni: Der erste Schritt muss sein festzustellen, was im Unternehmen vorhanden ist – von Endpunkten wie PCs bis hin zu anderen Geräten wie Druckern oder IoT-Devices. Ohne eine solche präzise Liste ist die Vorausplanung schwieriger. Mithilfe dieser Liste können Sie ein Programm für schnelle Abhilfemaßnahmen entwickeln, um potenzielle Kompromittierungen oder Sicherheitsverstöße zu vermeiden.

Auch denke ich, dass jede neu eingeführte technische Lösung mit einem kontinuierlichen Security-Awareness-Programm kombiniert werden muss, um alle Mitarbeiter darüber auf dem Laufenden zu halten, worauf sie achten müssen. Außerdem können Sie mit einem solchen Programm auch überprüfen, ob Ihre Sicherheitsmitarbeiter die Incident Response-Playbooks verstehen und befolgen.

ds: Warum attackieren die Angreifer immer noch Endpunkte, und wie leicht ist es, diese auszunutzen?

Rottigni: Hier kommen mehrere Faktoren zusammen. Das Endgerät ist der einfachste Ansatzpunkt, um schwache Sicherheitsvorkehrungen auszunutzen, sei es durch Social Engineering, durch bösartige Makros in manipulierten Office-Dokumenten oder mithilfe anderer Schwachstellen, wie etwa bei Browserangriffen. Alle diese Vektoren können Verbindung zu Command-and-Control-Servern aufnehmen, über die der Benutzer und das Endpunkt-System ausgespäht und weiter kompromittiert werden können. Die Benutzer verzögern häufig die Installation von Patches, wenn sie nicht im Büro sind oder mobil arbeiten. Diese schlechte Angewohnheit lässt eine anfällige Oberfläche in Umgebungen entstehen, in denen oft nur minimale oder gar keine Sicherheitsmaßnahmen existieren.

Eine weitere Herausforderung ist, dass es heute mehr Geräte gibt, die als Endpunkte angesehen werden sollten. Traditionelle IT-Ressourcen wie Drucker können gekapert werden, und IoT-Geräte, die ins Netzwerk eingebunden sind, können auch im Rahmen von Malware-Angriffen ausgenutzt werden. In der Regel beziehen die IT-Sicherheitsteams diese Geräte aber nicht ins Schwachstellenmanagement und Scannen mit ein, was dazu führen kann, dass Geräte nicht gepatcht werden und unsicher bleiben.

Unsere Sicherheitsforscher haben einen Scan auf Exploits für eine Schwachstelle in gSOAP durchgeführt, einem Code, der vielfach für physische Sicherheitsprodukte verwendet wird und auch für das IoT-Botnetz Mirai. Bei diesem Scan fanden wir insgesamt 7.328 Geräte, doch nur auf 1.206 waren die verfügbaren Updates installiert worden. Hier ging es also um bekannte Schwachstellen, für die Patches existieren, und trotzdem waren diese kritischen Sicherheitslücken bei 83 Prozent der anfälligen IoT-Geräte in der untersuchten Stichprobe immer noch offen.

ds: Warum werden solche Schwachstellen nicht behoben?

Rottigni: Manchmal lassen sich Geräte dieser Art überhaupt nicht aktualisieren; manchmal nur unter großen Schwierigkeiten; und manchmal ist nicht klar, wer im Unternehmen eigentlich für das Einspielen vorhandener Patches und Updates verantwortlich ist. Die präzise Auflistung sämtlicher Endgeräte ist der erste Schritt. Als Nächstes muss dann ein Plan für alle diese Geräte erstellt werden, damit kein vernetztes Gerät verbleibt, das ein Risiko darstellt.

Weitere Informatioinen zum Thema:

datensicherheit.de, 20.08.2018
Mit Automated Endpoint Security Cyber-Attacken in Echtzeit stoppen