bund.eeVertippt und umgekippt

Beim Umgang mit Domains kann einiges schiefgehen. Einige Probleme ließen sich leicht verhindern, das würde die IT-Sicherheit verbessern und es Betrüger:innen schwerer machen. Doch bei Bundesbehörden deckt ein Sicherheitsforscher immer wieder Probleme auf.

- - in Technologie - keine Ergänzungen
Buchstaben E,D, E und eine Tastatur
.de, .ee – ziemlich nah beieinander. – Gemeinfrei-ähnlich freigegeben durch unsplash.com D: Girl with red hat, E: Greg Rosenke, Tastatur: Stefen Tan, Bearbeitung: netzpolitik.org

Mehrmals hat Tim Philipp Schäfers in den vergangenen Monaten gezeigt, welche Folgen ein leichtfertiger Umgang mit Domains haben kann: Anfang des Jahres entdeckte der Sicherheitsforscher von Mint Secure, dass sich das Bundesamt für Migration und Flüchtlinge (BAMF) ein Sicherheitsproblem schuf, weil es Test-Accounts für seine Systeme mit fiktiven E-Mail-Adressen auf einer Domain anlegte, die das Bundesamt nicht kontrollierte: testtraeger.de. Schäfers holte sich die bis dahin unregistrierte Domain und erhielt so Zugriff auf einen Administrator-Account eines Test-Systems.

Im Dezember folgte eine weitere Recherche: Frühere Behörden-Domains wurden leichtfertig abgestoßen, auch hier im Fall des BAMF. Das hieß früher BAFl und ließ die Domain bafl.de offenbar einfach auslaufen. Als Schäfers die Domain einige Jahre später für sich registrierte, stellte er fest, dass weiterhin regelmäßig automatisierte sowie manuelle Anfragen aus dem IP-Adress-Bereich von Bundesbehörden bei der Domain ankamen. Mittlerweile hat Schäfers die Domain zum BAMF zurückübertragen, berichtete er in einem Vortrag zum Thema auf dem 39. Chaos Communication Congress.

Eine Kleine Anfrage zeigte außerdem, dass Dritte abgelegte Behörden-Domains für sich registrieren und offenbar deren vormalige Vertrauenswürdigkeit ausnutzen, um dort Werbung für illegales Glücksspiel zu platzieren oder gar Schadsoftware zu verteilen. Eine Liste aller Bundesdomains zu veröffentlichen, verweigerte die Bundesregierung jedoch.

All das zeigt: Ein achtloser Umgang mit Domains ist sowohl ein Risiko für IT-Sicherheit als auch ein Einfallstor für Manipulation und Desinformation.

Deutschland und Estland sind Nachbarn auf der Tastatur

Auf dem 39. Chaos Communication Congress fasst Schäfers seine Erkenntnisse zusammen und präsentiert ein neues Problem: die Gefahr durch sogenannte Typosquatting- und Bitsquatting-Domains. Also Domains, die echten Web-Adressen ähnlich sind und die schnell durch Tippfehler und Fehler in der Datenverarbeitung entstehen.

Schäfers registrierte eine solche Domain. Sie heißt: bund.ee. Nur ein Buchstabe unterscheidet sie von bund.de, einer wichtigen Domain, die die deutsche Bundesregierung verwaltet und mindestens seit 1998 nutzt. Statt der Länder-Domain von Deutschland steht also dort diejenige von Estlands.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Jetzt abonnieren

Bei einem Besuch von bund.de leitet die Seite auf das Bundesportal weiter. Darüber sollen Bürger:innen auf Verwaltungsleistungen von Bund, Ländern und Kommunen zugreifen können. Auf den zahlreichen Subdomains von bund.de finden sich beispielsweise Websites von Ministerien wie die des Innenministeriums unter bmi.bund.de. Auf anderen Unterseiten wie id.bund.de können sich Bürger:innen mit der BundID anmelden. Das ist ein zentrales Konto, über das sie etwa Bescheide von Behörden empfangen oder sich online ausweisen können. Unter gesund.bund.de befindet sich eine Service-Seite des Gesundheitsministeriums mit Informationen zur Arztsuche oder zu Diagnosen.

Schäfers war also gespannt, welche Anfragen bei bund.ee ankommen würden.

Menschen und Maschinen „vertippen“ sich

Dass Menschen aus Versehen versuchen würden, eine bund.ee-Adresse aufzurufen, war absehbar: Die Buchstaben D und E liegen auf den meisten Tastaturen direkt nebeneinander, schnell hat man sich vertippt und eine Mail nicht an beispielsweise „bewerbung@bmg.bund.de“, sondern „bewerbung@bmg.bund.de“ verschickt. Das sind menschliche Fehler. Treten die nicht nur bei einmaligen Vertippern auf, sondern haben sie sich in eine Konfigurationsdatei geschlichen, besteht der Fehler permanent, solange er nicht entdeckt wird.

Aber auch Maschinen versuchen teils, die falsche Domain bund.ee zu erreichen, etwa wenn es durch eine Fehlfunktion in der Übertragung zu einem falschen Bit kommt. In ASCII-Kodierung entspricht die „00110100“ einem „d“, die „00110101“ einem „e“. Also nur das letzte Bit ist anders, ein „Bitflip“. Damit liegen „d“ und „e“ auf Bitebene ähnlich nah aneinander wie auf vielen Tastaturen.

Tim Philipp Schäfers bei seinem Vortrag auf dem 39C3.
Alte Domains sind interessant.

Dass es zu einem Datenverarbeitungsfehler kommt, ein Bit „umkippt“ und dann ein Gerät die falsche Adresse ansteuert, kann unterschiedliche Ursachen haben. Große Hitze beeinträchtigt mitunter die Funktion von Computern und Bauteilen, sodass es zu Fehlern kommt. Intensive kosmische Strahlung, etwa nach Sonnenstürmen, ebenfalls. IT-Sicherheitsforscher von Cisco zeigten auf einer Konferenz im Jahr 2021, dass Bitsquatting-Domains ein Problem werden können.

Welche genauen Ursachen die Anfragen hatten, die Schäfers an bund.ee erfasste, lässt sich nicht feststellen. Sie zeigen aber: Würde ein böswilliger Angreifer Tipp- und Verarbeitungsfehler ausnutzen, sich eine entsprechende Domain registrieren und eine Weile mitlauschen, was auf der Adresse passiert, könnte er eine Menge Informationen erfahren, die nicht für ihn bestimmt sind.

Uns fehlen dieses Jahr noch 50.848 Euro.
Bist Du auch Feuer und Flamme für Grundrechte?
Dann unterstütze jetzt unsere Arbeit mit einer Spende.
Jetzt spenden
Bist Du auch Feuer und Flamme für Grundrechte?
Dann unterstütze jetzt unsere Arbeit mit einer Spende.

So zeigte Schäfers in seinem Vortrag, dass er Anfragen von einem Webmail-System des Bundesamtes für Risikoermittlung erhielt und Hostnamen interner Systeme mitgeteilt bekam. Außer wurden offenbar Mails versucht zuzustellen – unter anderem zu bnd.bund.ee.

Probleme lassen sich vermeiden

Schäfers Sicherheitsforschung zeigt: Behörden – und andere – sollten sorgfältig mit Domains umgehen. Aus den Problemen, die er in diesem Jahr fand, lassen sich einige hilfreiche Lehren ziehen.

  • Man sollte niemals Domains für Test-Accounts nutzen, die man nicht selbst kontrolliert. Die Ausnahme: explizit dafür vorgesehene Domain-Endungen oder Adressen. Dazu gehören etwa die Top-Level-Domains „.test“ oder „.example“. Auch „example.com“ kann sicher genutzt werden, da sie dauerhaft reserviert ist und nicht frei registriert werden darf. Test-Domains sollten auch sorgfältig dokumentiert, Test-Accounts regelmäßig auf notwendige Berechtigungen geprüft werden.
  • Domains, die nicht mehr benötigt werden, sollten nicht einfach achtlos wieder freigegeben werden. Schon bei der Registrierung einer neuen Domain sollten öffentliche Stellen überlegen, wie sie im späteren Verlauf damit umgehen. Verweise auf die Domain müssen aus anderen Systemen entfernt werden. Ist das Risiko zu hoch, dass Dritte die Domain missbräuchlich nutzen, sollte sie dauerhaft unter Kontrolle der Behörde bleiben. Um den Umgang mit Domains zu regeln, sollte es mindestens einheitliche Handlungsempfehlungen geben. Diese fehlen Bundesbehörden-übergreifend bislang.
  • Um zu vermeiden, zahllose extra registrierte Domains zu verwalten, sollten öffentliche Stellen auf Subdomains vertrauenswürdiger Adressen zurückgreifen, die eindeutig als Web-Auftritt staatlicher Institutionen zu erkennen sind. Für Bundesbelange steht dafür bund.de zur Verfügung. Die Domain gov.de ist Bestandteil einer „digitalen Dachmarke“, die auch Institutionen auf Länder- und kommunaler Ebene nutzen können. Sie ist aber noch sehr wenig verbreitet.
  • Behörden sollten klassische Vertipper- oder Bitsquatting-Domains im Blick haben, Methoden zur Vermeidung entsprechender Fehler implementieren und sie gegebenenfalls auch registrieren.
  • Geheimhaltung, welche Domains öffentliche Stellen nutzen, hilft nicht weiter. Sie verhindert Sicherheitsforschung und erschwert es Nutzenden zu prüfen, welche Domains zu staatlichen Stellen gehören.

Geheimhaltung löst keine Probleme

Um etwas Licht ins Dunkle zu bringen, veröffentlicht Tim Philipp Schäfers gemeinsam mit FragDenStaat nun eine Liste mit 2.000 derzeit bekannten Behörden-Domains und Subdomains: von 60-jahre-sozialstaat.de über brexit-training.it.bund.de bis punktereform.de.

Die Liste ergänzt bereits bestehende Domain-Listen, die Menschen teils mit Informationsfreiheitsanfragen erhalten hatten. Strukturiert Domains mithilfe des Informationsfreiheitsgesetzes herauszufinden, ist jedoch nicht erfolgversprechend. Das Verwaltungsgericht Köln urteilte in einem Verfahren gegen das Bundesgesundheitsministerium, dass Behörden ihre Domain-Listen nicht offenbaren müssen.

Doch auch alternative Methoden geben Informationen über die Web-Adressen des Staates: „Suchmaschinen, automatisierte DNS-Scans, Zertifikatstransparenz-Logs, Fehlkonfigurationen oder einfache Leaks führen häufig dazu, dass solche Domains früher oder später entdeckt werden“, schreibt Schäfers auf FragDenStaat. „Die Annahme, eine unbekannte Domain bleibe dauerhaft unsichtbar, ist daher realitätsfern.“

Generell lehnt er den Ansatz der Geheimhaltung ab. Die bringe keine Sicherheit vor gezielten Angriffen. „Moderne IT-Sicherheit folgt deshalb dem Grundsatz, dass Systeme auch dann sicher sein müssen, wenn ihre Architektur und ihre Adressen bekannt sind“, so Schäfers. Denn: „Sicherheit entsteht nicht durch Verbergen – sondern durch Transparenz.“

Noch 50.848 Euro für digitale Freiheitsrechte.

Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.

Über die Autor:in

Anna ist Co-Chefredakteurin bei netzpolitik.org. Sie interessiert sich vor allem für staatliche Überwachung und Dinge rund um digitalisierte Migrationskontrolle.

Kontakt: E-Mail (OpenPGP), Mastodon, Telefon: +49-30-5771482-42 (Montag bis Freitag jeweils 8 bis 18 Uhr).

Veröffentlicht 28.12.2025 um 22:14
Kategorie
Schlagworte
Weitere Artikel
Ein Pflaster klebt auf einem Riss im Asphalt
In eigener Sache

DegitalisierungStatusstress

Wenn ein IT-System veraltet oder kaputt ist und jemand darauf hinweist, verursacht das erstmal Stress. Aber den Status um jeden Preis aufrechtzuerhalten ist nicht der beste Umgang, findet unsere Kolumnistin. Sie schlägt einen anderen Weg für ein stressfreies digitales Zusammenleben vor.

Lesen Sie diesen Artikel: Statusstress
Das Unternehmenslogo von Microsoft am Sitz in Redmond, asu Stein, Schrift in Gold.
Technologie

Von Windows 10 auf LinuxWas tun, wenn der Computer nicht für Windows 11 geeignet ist?

Microsoft beendet den Support für sein Betriebssystem Windows 10. Das ist die Gelegenheit, sich dabei helfen zu lassen, Linux auszuprobieren. Wie läuft so ein Workshop ab? Und wie kriegt man seine Daten auf den neuen Linux-Rechner? Wir fragen Harald Reingruber, der sich bei der Initiative „End of 10“ engagiert und solche Workshops anbietet.

Lesen Sie diesen Artikel: Was tun, wenn der Computer nicht für Windows 11 geeignet ist?

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.