Schutzmaßnahmen gegen Domain-Hijacking
Auf Kaperfahrt
Veröffentlicht in Ausgabe 08/2025 - PRAXIS
Domains sind keine simplen Ressourcen, sondern zentrale Elemente der Unternehmensinfrastruktur. Ihre Kompromittierung trifft das Unternehmen oft an empfindlicher Stelle. IT-Administratoren tragen hier eine Schlüsselrolle: Durch konsequente Schutzmechanismen, strukturiertes Portfoliomanagement, regelmäßige Audits und technisches Monitoring lassen sich die Risiken eines Domain-Hijackings signifikant reduzieren.
Domain-Hijacking ist nicht mit DNS-Hijacking oder Spoofing gleichzusetzen. Während diese Attacken auf die Manipulation der Namensauflösung zielen, steht beim Domain-Hijacking die Übernahme der Inhaberschaft im Fokus. Die Angreifer versuchen, den Eintrag beim Registrar zu ändern, um so administrative Kontrolle über die Domain zu erlangen. Dies geschieht meist durch Phishing, Social Engineering oder die Ausnutzung unzureichender Sicherheitsvorkehrungen beim Registrar.
Lange Historie von Angriffen
Ein klassisches Beispiel für Social Engineering ist der Fall microsoft.com aus dem Jahr 1999: Ein Angreifer konnte durch telefonische Manipulation beim Registrar Network Solutions temporär die Kontrolle über die Domain erlangen. Solche Angriffe sind auch heute noch möglich, insbesondere wenn Authentifizierungsprozesse schwach ausgeprägt oder delegierte Verwaltungsrechte unzureichend gesichert sind.
Domains sind keine simplen Ressourcen, sondern zentrale Elemente der Unternehmensinfrastruktur. Ihre Kompromittierung trifft das Unternehmen oft an empfindlicher Stelle. IT-Administratoren tragen hier eine Schlüsselrolle: Durch konsequente Schutzmechanismen, strukturiertes Portfoliomanagement, regelmäßige Audits und technisches Monitoring lassen sich die Risiken eines Domain-Hijackings signifikant reduzieren.
Domain-Hijacking ist nicht mit DNS-Hijacking oder Spoofing gleichzusetzen. Während diese Attacken auf die Manipulation der Namensauflösung zielen, steht beim Domain-Hijacking die Übernahme der Inhaberschaft im Fokus. Die Angreifer versuchen, den Eintrag beim Registrar zu ändern, um so administrative Kontrolle über die Domain zu erlangen. Dies geschieht meist durch Phishing, Social Engineering oder die Ausnutzung unzureichender Sicherheitsvorkehrungen beim Registrar.
Lange Historie von Angriffen
Ein klassisches Beispiel für Social Engineering ist der Fall microsoft.com aus dem Jahr 1999: Ein Angreifer konnte durch telefonische Manipulation beim Registrar Network Solutions temporär die Kontrolle über die Domain erlangen. Solche Angriffe sind auch heute noch möglich, insbesondere wenn Authentifizierungsprozesse schwach ausgeprägt oder delegierte Verwaltungsrechte unzureichend gesichert sind.
Ein weiteres typisches Szenario ist das Auslaufen von Domains. 2021 verlor Google für einige Stunden die Kontrolle über google.com.ar, weil die Verantwortlichen die Verlängerung der Domain versäumt hatten. Ein lokaler Nutzer konnte die Adresse legal registrieren – mit potenziell gravierenden Auswirkungen auf Suchdienste, Authentifizierungssysteme und Unternehmenskommunikation.
Noch drastischer zeigte sich die Lage bei der Domain perl.com. Die URL, bekannt aus der Open-Source-Community, wurde kompromittiert und für Wochen auf fragwürdige Inhalte umgeleitet. Nutzer und Entwickler, die auf Updates und Dokumentationen zugreifen wollten, liefen Gefahr, Malware herunterzuladen. Besonders heikel: Viele Build-Prozesse oder CI/CD-Pipelines beziehen ihre Informationen aus vertrauenswürdigen Quellen – ein manipuliertes Ziel kann tiefgreifende Sicherheitsfolgen nach sich ziehen.
Der Domain-Sicherheitsbericht 2023 von CSC zeigt zudem, dass grundlegende Schutzmaßnahmen wie Registrar-Locks, DNSSEC oder DMARC in vielen Unternehmen nicht oder nur unvollständig implementiert sind. Besonders auffällig: Rund 20 Prozent der analysierten Unternehmen hatten Subdomains mit verwaisten DNS-Einträgen, die potenziell für Subdomain-Hijacking anfällig waren. Eine massive Angriffswelle dieser Art wurde zwischen 2022 und 2024 durch Guardio Labs aufgedeckt. Tausende verwaiste Subdomains wurden gekapert und für sogenannte SubdoMailing-Angriffe verwendet – Phishing-Kampagnen mit täuschend echten, SPF-konformen Absendern.
E-Mail-Kaperung besonders im Visier
Die Folgen eines erfolgreichen Domain-Hijackings reichen weit über den reinen Webauftritt hinaus. Besonders kritisch ist die Möglichkeit zur Umleitung von E-Mail-Verkehr über geänderte MX-Einträge. So lassen sich vertrauliche Informationen abfangen oder für gezielte griffe verwenden. Ebenso können TLS-Zertifikate manipuliert und damit sichere Verbindungen kompromittiert werden. Auch die Integrität von APIs und Subdomains, etwa für Single Sign-on oder SaaS-Integrationen, steht auf dem Spiel.
Hinzu kommt: In vielen Unternehmen sind Domains nicht nur für externe Dienste relevant, sondern auch intern Bestandteil hybrider Infrastruktur. SAML-Zertifikate, DNS-basiertes Routing, Authentifizierungsdienste – ein kompromittierter Domaineintrag kann zahlreiche interne Systeme aushebeln oder als Einfallstor dienen.
Laut Daten von InternetX aus dem Jahr 2023 wurden Konflikte um Domainnamen auf ein Rekordhoch gemeldet. Besonders betroffen: Domains mit beliebten Endungen wie .ai, .cloud oder .finance – diese TLDs sind einerseits für Branding beliebt, andererseits häufig Ziel von Betrügern, die auf schnelle Registrierung ohne ausreichende Sicherheitsvorkehrungen setzen.
Präventive Schutzmechanismen
IT-Administratoren sollten zum Schutz gegen Domain-Hijacking die Zugangssicherheit beim Registrar mit Zwei-Faktor-Authentifizierung über Apps anstelle von SMS gewährleisten. Separate Admin- Accounts mit klar definierter Rechtevergabe und einer sauberen Trennung operativer Rollen sind ebenso essenziell wie die regelmäßige Dokumentation aller Zugänge in einem IT-Asset-Management-System.
Gerade bei Personalwechseln ist eine Rotation der Zugangsdaten zwingend. Auch der Zugriff auf die Verwaltungsoberflächen sollte über verschlüsselte Protokolle wie SFTP oder VPN-Tunnel erfolgen, nicht über einfache Webinterfaces.
Beim Schutz vor unautorisierten Domaintransfers ist das Aktivieren des sogenannten Registrar Locks inzwischen Pflicht. Wo verfügbar, sollte zusätzlich ein Registry Lock genutzt werden. Damit sind Änderungen an Nameservern oder Kontaktdaten nur nach manueller Bestätigung möglich. Viele Registrare bieten heute auch Logging-Funktionen im Domainpanel an, mit denen sich Änderungen nachvollziehbar versionieren lassen. Diese Logs sollten regelmäßig überprüft und archiviert werden.
Ein häufig übersehener, aber zentraler Aspekt ist die Absicherung der DNS-Zonen durch DNSSEC. Durch die kryptografische Signatur von DNS-Antworten lässt sich verhindern, dass manipulierte Einträge im Cache landen oder weiterverbreitet werden. Wichtig: Die Implementierung muss aktiv überwacht werden – Key-Rollover, korrekte Delegation der DS-Records und die Schulung des zuständigen Teams sind Voraussetzung für den stabilen Betrieb.
Für eine solide Monitoringtrategie empfiehlt sich ein mehrschichtiges Vorgehen. WHOIS-Änderungen sollten automatisiert erfasst werden – viele Anbieter bieten dafür Webhooks oder APIs. Auch die Beobachtung von Neuregistrierungen ähnlicher Domains kann helfen, Typosquatting frühzeitig zu erkennen. Intern empfiehlt sich eine Korrelation von DNS-Änderungen mit Netzwerk- oder SIEM-Daten, um ungewöhnliche Aktivitäten im Kontext auswerten zu können. DNS-Traffic auf plötzliche Änderungen der Zieladressen oder auffällige TTL-Werte zu prüfen, gehört ebenfalls zur täglichen Routine.
Eine weitere, häufig unterschätzte Dimension betrifft das Lebenszyklusmanagement: Domains sollten möglichst im Auto-Renew-Modus betrieben werden. Verantwortlichkeiten für deren Verlängerung müssen klar dokumentiert sein – inklusive Eskalationsketten, wenn Zahlungen oder technische Abläufe nicht funktionieren. Auch Backupprozesse wie Reminder-Kalender oder Second-Level-Verantwortlichkeiten gilt es einzuplanen. Zudem empfiehlt es sich, veraltete oder nicht mehr genutzte Domains gezielt zu inventarisieren und zu konsolidieren, statt sie unkontrolliert weiterlaufen zu lassen.
Organisatorische und juristische Aspekte
Neben der Technik spielen auch Prozesse und Rechtsrahmen eine zentrale Rolle. Unternehmen sollten eine zentrale Stelle für das Domain-Portfolio definieren – inklusive Ansprechpartnern bei Registraren und Hostingdienstleistern. Notfallprotokolle, Ansprechpartner bei Institutionen und technische Wiederherstellungsoptionen sollten schriftlich vorliegen und regelmäßige Tests durchlaufen.
Kommt es zum Ernstfall, können je nach TLD unterschiedliche rechtliche Mittel ergriffen werden. Bei generischen Domains wie .com, .org oder .info greift die von der ICANN etablierte UDRP (Uniform Domain-Name Dispute-Resolution Policy). Diese sieht ein Verfahren über akkreditierte Schlichtungsstellen wie die WIPO vor. Für .de-Domains bietet die DENIC den sogenannten Dispute-Eintrag: Damit lässt sich verhindern, dass eine Domain weiter übertragen wird, bis eine rechtliche Klärung erfolgt ist. Solche Maßnahmen sind jedoch nur effektiv, wenn Unternehmen im Vorfeld ihre Besitzansprüche sauber dokumentiert und die relevanten Antragsverfahren vorbereitet haben.
Viele Firmen ergänzen ihre Strategie durch "defensive Domainregistrierung". Hierbei werden nicht nur die Hauptdomain, sondern auch markenähnliche Schreibweisen, gängige Tippfehler und relevante neue TLDs registriert, um Typosquatting oder Phishing-Kampagnen vorzubeugen. In Kombination mit Monitoring und juristischer Absicherung entsteht so eine deutlich robustere Sicherheitsarchitektur.
Fazit
Domain-Hijacking ist keine hypothetische Bedrohung, sondern eine reale Herausforderung mit wachsenden Fallzahlen. Wer heute nicht in Schutzmaßnahmen investiert, riskiert morgen nicht nur den Verlust seiner Onlinepräsenz, sondern auch das Vertrauen der eigenen Kundschaft. Unternehmen, die ihre Domains als strategische Assets behandeln und deren Schutz in ihre IT-Sicherheitsstrategie integrieren, profitieren langfristig: Sie reduzieren rechtliche Risiken, schützen sensible Kommunikationswege und senden ein starkes Signal an Kunden und Geschäftspartner – nämlich, dass digitale Identität genauso ernst genommen wird wie physische Sicherheit.
(ln)
Christian Dallmayer ist General Manager bei united-domains und verantwortet dort die Bereiche B2B und B2C.