Wenn staatliche Organisationen umziehen, Aufgaben neu verteilt oder Ministerien reformiert werden, bleiben oft digitale Altlasten zurück – etwa verwaiste Behörden-Domains. Was banal klingt, birgt hochgradige IT-Risiken: Verwaiste Domains werden zunehmend zur Einfallstür für Cyberangriffe. Ein Blick hinter die DNS-Kulissen zeigt ein vernachlässigtes, aber hochbrisantes Sicherheitsthema.
Die unbeachtete Gefahrenquelle im DNS-Management
Die Digitalisierung der öffentlichen Verwaltung schreitet weltweit voran – doch mit ihr wächst auch die Angriffsfläche. Insbesondere der Domain Name System (DNS)-Bereich staatlicher Institutionen wird dabei häufig übersehen. Wenn Behörden umstrukturiert oder aufgelöst werden, bleiben alte Domains oft registriert, aber inaktiv oder falsch delegiert. In vielen Fällen werden sie überhaupt nicht mehr kontrolliert.
Diese verwaisten Domains können von Angreifern übernommen oder ausgenutzt werden, etwa durch das Nachahmen offizieller Kommunikationskanäle, den Versand von Phishing-E-Mails oder das Einschleusen schädlicher Inhalte. Besonders kritisch: Die eingesetzten DNS-Einträge – etwa für SPF, DKIM oder MX – existieren oft weiterhin oder verweisen ins Leere.
Ein im August 2023 veröffentlichtes Forschungspapier von Forschern der Ruhr-Universität Bochum und der Hochschule Mannheim identifizierte über 5.600 inaktive oder fehlerhaft konfigurierte Domains, die einst deutschen Verwaltungseinheiten gehörten. In über 200 Fällen konnten die Forscher durch einfache technische Maßnahmen Nachweise für eine potenzielle Übernahme erbringen.
Wie es zu verwaisten Domains kommt – und warum das gefährlich ist
Der Lebenszyklus von Domains in der öffentlichen Verwaltung ist komplex: Mit dem Wandel von Aufgaben, Zusammenführung von Behörden oder Rebranding von Projekten entstehen stetig neue Webpräsenzen, während alte Webseiten und Domains oft aus dem Fokus fallen. Domains werden möglicherweise nicht verlängert oder – was gefährlicher ist – sie bleiben registriert, aber technische Verknüpfungen wie DNS-Zonen oder Nameserver-Zuweisungen verwaisen.
Diese toten Verbindungen sind ein beliebtes Ziel für Cyberkriminelle, die sie unter anderem für domain takeover attacks ausnutzen. Bei diesen Angriffen wird eine verwaiste Domain wieder registriert oder technische Kontrolle darüber übernommen, um sie für legitime Aktionen aussehen zu lassen. Besonders gefährdet sind:
- MX-Einträge zu nicht mehr existenten Mailservern (ermöglicht das Abfangen von Behörden-Mails)
- Fehlende SPF und DKIM-Einträge (erlaubt E-Mail-Spoofing)
- Nicht aktualisierte SSL-Zertifikate (erhöht Phishing-Risiken durch HTTPS-Fälschungen)
Der Stellenwert dieser Sicherheitslücke wird auch durch globale Beispiele unterstrichen. So zeigte eine 2022 veröffentlichte Studie der Cybersecurity-Firma Kaspersky, dass weltweit über 12 % aller staatlichen Domains Fehler im DNS aufwiesen – darunter veraltete Einträge, verwaiste Subdomains oder frei registrierbare Third-Level-Domains.
In Deutschland kommt erschwerend hinzu, dass keine zentrale Aufsicht über das Domainportfolio aller staatlichen Behörden existiert. Jedes Ressort, jede Kommune, zum Teil auch einzelne Projektgruppen, verwalten ihre Domains unabhängig.
Konkrete Angriffsbeispiele: Was passiert, wenn Behörden ihre Domains vergessen?
Ein bekannt gewordenes Beispiel betrifft die Domain umweltministerium-bw.de, die ursprünglich vom Umweltministerium Baden-Württemberg betrieben wurde. Nach einer Umstrukturierung ging die Kontrolle über diese Adresse verloren. Sicherheitsforscher konnten zeigen, dass Angreifer über typisierte Varianten der dazugehörigen E-Mail-Adressen Zugang zu Behördenkommunikation hätten erlangen können.
Auch international sind Fälle dokumentiert: Im Jahr 2020 entdeckten Forscher in Australien, dass über 200 ehemalige Pages von Regierungsprojekten noch aktiv gehostet wurden – jedoch von Dritten. Einige dieser Seiten enthielten mittlerweile Werbung, Malware oder wurden für politische Desinformation missbraucht.
Zusätzlich besteht das Risiko, dass veraltete Domains weiterhin in internen Regierungsnetzwerken oder bei Drittpartnern (z. B. IT-Dienstleister oder Universitäten) als vertrauenswürdig gelistet sind und damit ein Einfallstor für Phishing oder Supply-Chain-Angriffe darstellen.
DNS als staatliche Infrastruktur: Ein Fall für den Modernisierungsauftrag
Die Verantwortung für sicheres Domainmanagement liegt bei den betreibenden Stellen – doch in der dezentralen Behördenlandschaft wird dieser Aspekt oft vernachlässigt. Eine Studie der Allianz für Cyber-Sicherheit (BSI) von 2021 legte offen, dass lediglich 38 % der befragten öffentlichen Stellen in Deutschland regelmäßige DNS-Audits durchführen. Gleichzeitig nannten 72 % veraltete Dokumentation als zentrales Hindernis für saubere DNS-Pflege.
Diese Zahlen unterstreichen: DNS-Sicherheit ist kein Nebenschauplatz, sondern ein wesentlicher Teil digitaler Resilienz. Besonders angesichts wachsender Hybridbedrohungen (etwa durch staatlich unterstützte Desinformationskampagnen oder gezielte Angriffe auf kritische Infrastrukturen) ist eine systematische Aufarbeitung überholter IT-Ressourcen zentral.
Im Rahmen des IT-Sicherheitsgesetzes 2.0 läuft derzeit eine Neustrukturierung von Zuständigkeiten für IT-Sicherheit bei Bundesbehörden. Doch das DNS-Thema bleibt dabei bislang unterbelichtet. Experten fordern deshalb: DNS-Management muss als Teil der öffentlichen digitalen Grundversorgung behandelt werden – ähnlich wie Netzwerkhärtung oder Identity Management.
Handlungsempfehlungen: So sichern Behörden ihre DNS-Infrastruktur effektiv ab
Um den Risiken verwaister Domains und veralteter DNS-Einträge nachhaltig zu begegnen, sollten Behörden und deren IT-Dienstleister folgende Schritte umsetzen:
- Zentraler Domain-Lifecycle-Plan: Jede öffentliche Stelle sollte einen Plan etablieren, der Domain-Registrierung, -Nutzung, -Abschaltung und -Archivierung dokumentiert. Inklusive Verantwortlichkeiten und Prüfzyklen.
- Regelmäßige DNS-Audits: Automatisierte Tools wie Zonemaster oder DNSTwist können helfen, Altlasten in DNS-Zonen aufzuspüren. Besonders MX-, CNAME- und SPF-Einträge müssen systematisch getestet werden.
- Monitoring und Retention-Strategien: Auch inaktive Domains sollten unter eigener Kontrolle behalten werden, um eine spätere missbräuchliche Übernahme zu verhindern. DNS-Changes sollten versioniert und rückverfolgbar sein.
Zu beachten ist: DNS-Sicherheit ist kein einmaliges Projekt – es erfordert kontinuierliche Pflege, insbesondere da neue Protokolle (z. B. DANE oder DNSSEC) zusätzliche Angriffs- wie auch Abwehrpotenziale eröffnen.
Lösungsansätze und Best Practices: Was jetzt nötig wäre
Ein richtungsweisendes Beispiel kommt aus Skandinavien: Die Regierung Finnlands veröffentlicht jährlich ein Audit-Verzeichnis aller staatlichen Domains und prüft diese verpflichtend auf sicherheitsrelevante DNS-Konfigurationen. Fehlkonfigurationen werden sanktioniert.
Auch in Deutschland existieren zaghafte Ansätze: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) plant für 2026 eine umfassende Checklistenbasiertisierung von IT-Grundschutz-Modulen im Bereich DNS. Dies könnte helfen, Mindeststandards für DNS-Konfigurationen zu etablieren – und Verantwortung wieder stärker zu zentralisieren.
Technisch stehen dazu verschiedene Plattformen zur Verfügung, etwa Public Recursive DNS Resolver mit Security-Erweiterungen oder staatliche Nameserver-Plattformen mit Zertifikatsüberwachung. Pilotinitiativen hierzu laufen derzeit im Rahmen des „Cloud in der Bundesverwaltung“-Programms.
Fazit: Digitale Hygiene beginnt beim Basisprotokoll
Alte Domains mögen auf den ersten Blick harmlos wirken – doch sie sind ein Einfallstor, das Cyberangreifer längst für sich entdeckt haben. Im Zeitalter wachsender digitaler Bedrohungen brauchen staatliche Stellen nicht nur Firewalls und Verschlüsselung, sondern auch ein modernes, auditierbares DNS-Management.
Die gute Nachricht: Viele Maßnahmen lassen sich mit überschaubarem Aufwand umsetzen – wenn Verantwortlichkeiten geklärt und Prozesse etabliert sind. Es liegt an den Behörden selbst, diesen blinden Fleck zu schließen – bevor andere ihn für sich nutzen.
Welche Erfahrungen haben Sie mit DNS-Sicherheit, verwaisten Domains oder Legacy-Infrastruktur in Ihrer Institution gesammelt? Diskutieren Sie mit unserer Community und helfen Sie, digitale Verwaltung sicherer zu machen.
