Vorsicht: Deutschland hat seine Regierungs-Domains nicht im Griff
Die IT-Sicherheit deutscher Behörden steht auf dem Prüfstand. Ein Wildwuchs an unterschiedlichen Webadressen und Strukturen macht es Nutzern schwer, offizielle Seiten zu erkennen. Das birgt massive Risiken für Phishing und Malware, wie neue Analysen zeigen.
Ein Risiko ist das sogenannte Bitsquatting. Dabei können minimale Übertragungsfehler dazu führen, dass Nutzer auf ähnlich lautende Domains weitergeleitet werden. Sicherheitsforscher zeigen, dass auf solchen Adressen versehentlich interne E-Mails oder Systemanfragen von Behörden landen können. Auch klassisches Vertippen von Internetadressen birgt diese Gefahr.
Ziel sei es, durch Transparenz die IT-Sicherheit zu verbessern. Die Autoren kritisieren den Ansatz der "Security by Obscurity", da Angreifer relevante Informationen ohnehin über technische Analysen erlangen könnten. Der Bundesregierung ist das Problem bekannt. Der IT-Planungsrat beschloss im März 2024 die Einführung der Domain-Endung gov.de als zentrale Dachmarke.
Die Umsetzung kommt jedoch nur langsam voran. Föderale Zuständigkeiten und bestehende Alt-Domains aus früheren Jahren erschweren die Konsolidierung. In einigen Fällen bestehen diese Adressen weiterhin oder könnten nach Ablauf von Dritten übernommen werden. Infografik Wirtschaft: Die finanziellen Schäden durch Cyberkriminalität
Wir sind gespannt auf eure Perspektive: Ist dieser drastische Schritt zur Transparenz überfällig oder öffnet er Angreifern Tür und Tor? Diskutiert mit uns in den Kommentaren.
Siehe auch:
Risiken im behördlichen Domain-Netz
Online-Angebote staatlicher Stellen in Deutschland sind unter zahlreichen unterschiedlichen Internetadressen erreichbar. Anders als in den USA oder Großbritannien fehlt eine einheitliche Domain-Struktur. Bundesbehörden nutzen neben .bund.de auch reguläre .de-Adressen oder projektspezifische URLs. Für Nutzer ist oft schwer erkennbar, ob es sich um eine offizielle Seite handelt. Das erhöht die Gefahr von Phishing und anderen Cyberangriffen.Ein Risiko ist das sogenannte Bitsquatting. Dabei können minimale Übertragungsfehler dazu führen, dass Nutzer auf ähnlich lautende Domains weitergeleitet werden. Sicherheitsforscher zeigen, dass auf solchen Adressen versehentlich interne E-Mails oder Systemanfragen von Behörden landen können. Auch klassisches Vertippen von Internetadressen birgt diese Gefahr.
Bericht deckt Sicherheitslücken auf
Wie die Plattform Frag den Staat berichtet, stellt die unübersichtliche Domain-Landschaft ein Sicherheitsrisiko dar. Gemeinsam mit dem Sicherheitsforscher Tim Philipp Schäfers veröffentlichte das Portal eine Liste mit mehr als 2000 Domains der Bundesregierung.Ziel sei es, durch Transparenz die IT-Sicherheit zu verbessern. Die Autoren kritisieren den Ansatz der "Security by Obscurity", da Angreifer relevante Informationen ohnehin über technische Analysen erlangen könnten. Der Bundesregierung ist das Problem bekannt. Der IT-Planungsrat beschloss im März 2024 die Einführung der Domain-Endung gov.de als zentrale Dachmarke.
Die Umsetzung kommt jedoch nur langsam voran. Föderale Zuständigkeiten und bestehende Alt-Domains aus früheren Jahren erschweren die Konsolidierung. In einigen Fällen bestehen diese Adressen weiterhin oder könnten nach Ablauf von Dritten übernommen werden. Infografik Wirtschaft: Die finanziellen Schäden durch Cyberkriminalität
Handlungsempfehlungen
Die aktuellen Recherchen zeigen, dass ein professionelles Domain-Management essenziell ist. Aus den analysierten Schwachstellen lassen sich konkrete Maßnahmen ableiten, die nicht nur für Behörden, sondern auch für Unternehmen jeder Größe relevant sind:- Keine Test-Domains im Live-Betrieb: Für Tests sollten ausschließlich reservierte Top-Level-Domains (TLDs) wie .test oder example.com verwendet werden. Dies verhindert die feindliche Übernahme vergessener Projekt-Domains, die im Code verbleiben.
- Lebenszyklus-Management: Wird eine Domain aufgegeben, muss sichergestellt sein, dass keine internen Systeme mehr darauf zugreifen. Kritische Domains sollten defensiv registriert bleiben oder dauerhaft blockiert werden.
- Zentralisierung: Die Nutzung von Subdomains unter einer vertrauenswürdigen Hauptdomain (wie künftig gov.de) reduziert die Angriffsfläche massiv und schafft das nötige Vertrauen beim Bürger.
Wir sind gespannt auf eure Perspektive: Ist dieser drastische Schritt zur Transparenz überfällig oder öffnet er Angreifern Tür und Tor? Diskutiert mit uns in den Kommentaren.
Warum sind Behörden-Domains ein Risiko?
Das Hauptproblem liegt in der historisch gewachsenen, dezentralen Struktur. Anstatt einer einheitlichen Endung wie .gov nutzen deutsche Behörden einen Mix aus .de, .bund.de und diversen Projektdomains. Dieses "Domain-Kuddelmuddel" macht es für IT-Profis und Bürger schwer, die Authentizität einer Webseite zweifelsfrei zu verifizieren.
Ein weiteres Risiko entsteht durch das sogenannte "Security by Obscurity". Behörden halten Domain-Listen geheim, was laut Experten jedoch keinen Schutz vor automatisierten Scans bietet. Zudem werden alte Domains oft nicht gesichert, wodurch Dritte diese registrieren und für Malware oder Betrug missbrauchen können.
Ein weiteres Risiko entsteht durch das sogenannte "Security by Obscurity". Behörden halten Domain-Listen geheim, was laut Experten jedoch keinen Schutz vor automatisierten Scans bietet. Zudem werden alte Domains oft nicht gesichert, wodurch Dritte diese registrieren und für Malware oder Betrug missbrauchen können.
Wie erkenne ich offizielle Webseiten?
Aktuell ist dies aufgrund fehlender Standards schwierig. Zwar existiert die Endung .bund.de, sie wird jedoch nicht konsequent genutzt. Viele Ministerien verwenden eigene .de-Domains, die sich nach Regierungswechseln oft ändern (z. B. von bmvi.de zu bmdv.bund.de).
Um Transparenz zu schaffen, haben Sicherheitsforscher auf FragDenStaat eine inoffizielle Liste mit über 2000 identifizierten Bundes-Domains veröffentlicht. IT-Anwender sollten URLs kritisch prüfen und im Zweifel Zertifikate sowie die Zugehörigkeit zu bekannten Hauptdomains kontrollieren.
Um Transparenz zu schaffen, haben Sicherheitsforscher auf FragDenStaat eine inoffizielle Liste mit über 2000 identifizierten Bundes-Domains veröffentlicht. IT-Anwender sollten URLs kritisch prüfen und im Zweifel Zertifikate sowie die Zugehörigkeit zu bekannten Hauptdomains kontrollieren.
Was hat es mit "bund.ee" auf sich?
Der Sicherheitsforscher Tim Philipp Schäfers registrierte die Domain bund.ee (Estland), um Sicherheitsrisiken zu demonstrieren. Da das "d" und das "e" auf der Tastatur nebeneinander liegen, landen viele E-Mails durch Tippfehler versehentlich dort statt bei bund.de.
Das Experiment zeigte, dass sensible interne Informationen, darunter Hostnamen und E-Mails von Bundesbehörden, auf dieser Domain landeten. Dies verdeutlicht, wie leicht Kommunikation durch fehlende Schutzmaßnahmen abgefangen werden kann.
Das Experiment zeigte, dass sensible interne Informationen, darunter Hostnamen und E-Mails von Bundesbehörden, auf dieser Domain landeten. Dies verdeutlicht, wie leicht Kommunikation durch fehlende Schutzmaßnahmen abgefangen werden kann.
Was sind Typosquatting und Bitsquatting?
Typosquatting nutzt menschliche Tippfehler aus (z. B. bund.ee statt bund.de). Bitsquatting hingegen ist technischer Natur: Durch Hardwarefehler, etwa durch Hitze oder kosmische Strahlung, kann ein einzelnes Bit im Speicher "kippen" (Bitflip).
Im ASCII-Code unterscheiden sich "d" (00110100) und "e" (00110101) nur durch das letzte Bit. Ein solcher Bitflip kann dazu führen, dass Computer automatisch die falsche Domain ansteuern, ohne dass ein Nutzer einen Tippfehler gemacht hat.
Im ASCII-Code unterscheiden sich "d" (00110100) und "e" (00110101) nur durch das letzte Bit. Ein solcher Bitflip kann dazu führen, dass Computer automatisch die falsche Domain ansteuern, ohne dass ein Nutzer einen Tippfehler gemacht hat.
Wann kommt die Endung .gov.de?
Der IT-Planungsrat hat zwar im März 2024 eine "digitale Dachmarke" mit der Endung .gov.de beschlossen, die Umsetzung verläuft jedoch schleppend. Bislang sind laut Berichten nur sehr wenige dieser Domains tatsächlich vergeben oder aktiv.
Experten fordern eine schnelle Einführung, um nach dem Vorbild der USA (.gov) oder Großbritanniens (.gov.uk) eine klare, vertrauenswürdige Kennzeichnung staatlicher Angebote zu gewährleisten.
Experten fordern eine schnelle Einführung, um nach dem Vorbild der USA (.gov) oder Großbritanniens (.gov.uk) eine klare, vertrauenswürdige Kennzeichnung staatlicher Angebote zu gewährleisten.
Zusammenfassung
- Uneinheitliche Domains deutscher Behörden erschweren Erkennung offizieller Seiten
- Wildwuchs an Webadressen erhöht Risiken für Phishing-Angriffe erheblich
- Plattform Frag den Staat veröffentlichte Liste mit über 2000 Regierungsdomains
- IT-Planungsrat beschloss im März 2024 Einführung der Endung gov.de
- Langsame Umsetzung durch föderale Strukturen und bestehende Alt-Domains
- Professionelles Domain-Management mit einheitlichen Strukturen ist essenziell
- Nutzung von Subdomains unter einer Hauptdomain reduziert Angriffsfläche
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen