Domain-Hijacking-Prävention: So schützen Sie Ihre Domain vor Diebstahl

Jedes Jahr werden Tausende von Domainnamen durch eine Praxis gestohlen, die als Domain-Hijacking bekannt ist. Laut dem Security and Stability Advisory Committee von ICANN gehören unautorisierte Domain-Transfers nach wie vor zu den am häufigsten gemeldeten Missbrauchskategorien, wobei Vorfälle Unternehmen jeder Größe betreffen. Die Folgen gehen weit über den Verlust einer Webadresse hinaus. Eine gekaperte Domain kann Ihre Kunden auf Phishing-Seiten umleiten, jahrelang aufgebaute SEO-Rankings zerstören und die Glaubwürdigkeit Ihrer Marke über Nacht untergraben. Die gute Nachricht ist, dass Domain-Hijacking weitgehend vermeidbar ist. Mit der richtigen Kombination aus Registrar-Einstellungen, Authentifizierungsverfahren und kontinuierlicher Überwachung können Sie es Angreifern extrem schwer machen, Ihre Domains zu stehlen. Dieser Leitfaden führt Sie durch die konkreten Schritte zur Absicherung Ihres Domain-Portfolios.

Was ist Domain-Hijacking?

Domain-Hijacking ist die unautorisierte Übertragung eines Domainnamens weg von seinem rechtmäßigen Eigentümer. Angreifer erlangen die Kontrolle, indem sie schwache Sicherheitseinstellungen des Registrar-Kontos ausnutzen, den Support-Mitarbeitern des Registrars durch Social Engineering manipulieren oder abgelaufene Domains ausnutzen. Sobald eine Domain unter der Kontrolle des Angreifers zu einem neuen Registrar übertragen wurde, kann die Wiederherstellung Wochen oder Monate dauern und erfordert manchmal rechtliche Schritte. Die Transfer Dispute Resolution Policy von ICANN existiert für diesen Zweck, aber das Verfahren ist langsam und bietet keine Erfolgsgarantie.

Die Auswirkungen eines erfolgreichen Hijackings sind gravierend. Unternehmen verlieren ihre E-Mail-Funktionalität, der Website-Traffic sinkt auf null, und Kunden können schädlichen Inhalten ausgesetzt werden, die über die gestohlene Domain bereitgestellt werden. Im Jahr 2023 dokumentierten Sicherheitsforscher von Palo Alto Networks mehrere Fälle, in denen gekaperte Domains innerhalb weniger Stunden nach Abschluss der Übertragung für Phishing-Kampagnen umfunktioniert wurden. Für Organisationen, die ihre Domain zur E-Mail-Authentifizierung über SPF- und DKIM-Einträge nutzen, kann ein Hijacking-Vorfall auch die Sicherheit jeder zuvor von dieser Domain gesendeten E-Mail gefährden.

Gängige Methoden des Domain-Hijackings

Zu verstehen, wie Angreifer Domains stehlen, ist der erste Schritt zur Prävention. Die meisten Domain-Hijacking-Vorfälle beinhalten kein ausgeklügeltes Hacking. Stattdessen nutzen sie menschliche Fehler, schwache Authentifizierung oder Verfahrenslücken bei Registraren aus. Social Engineering ist der häufigste Angriffsvektor, bei dem Angreifer sich beim Kontakt mit dem Registrar-Support als Domain-Eigentümer ausgeben. Es gibt jedoch mehrere andere Methoden, die ebenso gefährlich sind und im Detail verstanden werden sollten.

• Social Engineering – Angreifer rufen beim Registrar-Support an oder schreiben E-Mails, in denen sie sich als Domain-Eigentümer ausgeben und öffentlich verfügbare WHOIS-Daten nutzen, um Sicherheitsfragen zu beantworten
• Zugangsdaten-Diebstahl – Phishing-E-Mails, die Registrar-Anmeldeseiten imitieren, verleiten Domain-Eigentümer dazu, ihren Benutzernamen und ihr Passwort preiszugeben
• Erfassung abgelaufener Domains – Wenn eine Domain aufgrund einer versäumten Verlängerung ausläuft, registrieren Angreifer sie sofort während der Drop-Phase
• Kompromittierung des E-Mail-Kontos – Wenn die im Registrar-Konto hinterlegte E-Mail-Adresse kompromittiert wird, können Angreifer das Registrar-Passwort zurücksetzen und die volle Kontrolle übernehmen
• Schwachstellen beim Registrar – Gelegentlich weisen Registrare selbst Sicherheitslücken auf, die unbefugten Zugriff auf Domain-Verwaltungspanels ermöglichen
• DNS-Hijacking – Anstatt die Domain zu übertragen, ändern Angreifer die DNS-Einträge, um den Datenverkehr umzuleiten, während der Eigentümer die Domain technisch noch besitzt

Die Rolle von Transfer-Sperren

Transfer-Sperren sind Ihre erste Verteidigungslinie gegen unautorisierte Domain-Übertragungen. Wenn bei einer Domain der Statuscode clientTransferProhibited aktiviert ist, lehnt die Registry jede Transferanfrage ab, bis die Sperre vom aktuellen Registrar ausdrücklich aufgehoben wird. Das bedeutet: Selbst wenn ein Angreifer Zugriff auf Ihr Registrar-Konto erlangt, muss er den zusätzlichen Schritt unternehmen, die Domain zu entsperren, bevor er einen Transfer einleiten kann. Dieser zusätzliche Schritt schafft ein Zeitfenster, in dem Überwachungstools die Änderung erkennen und Sie benachrichtigen können. Obwohl sie kostenlos und bei praktisch jedem Registrar verfügbar sind, bleibt eine überraschend große Anzahl von Domains ungesperrt.

Registry-Sperren, auch serverTransferProhibited genannt, bieten eine noch stärkere Schutzebene. Im Gegensatz zu clientseitigen Sperren, die über das Kontrollpanel des Registrars entfernt werden können, erfordern Registry-Sperren eine direkte Verifizierung beim Registry-Betreiber, typischerweise über einen mehrstufigen manuellen Prozess. Der Registry-Lock-Service von Verisign für .com- und .net-Domains erfordert beispielsweise eine telefonische Verifizierung durch einen vorab autorisierten Kontakt, bevor Änderungen vorgenommen werden können. Dies macht unautorisierte Transfers nahezu unmöglich. Der Nachteil sind die Kosten, da Registry-Sperren je nach TLD typischerweise 25 bis 300 US-Dollar pro Jahr zusätzlich kosten, sowie die Unannehmlichkeit, dass beabsichtigte Transfers länger dauern.

Sicherheits-Checkliste für den Domain-Schutz

Der Schutz Ihrer Domains erfordert einen mehrschichtigen Ansatz. Keine einzelne Maßnahme reicht für sich allein aus, aber die Kombination mehrerer Sicherheitsvorkehrungen macht Hijacking äußerst unwahrscheinlich. Die folgende Checkliste umfasst die wesentlichen Schritte, die jeder Domain-Eigentümer unternehmen sollte, grob sortiert von kritisch bis ergänzend. Wenn Sie nur drei Dinge tun, aktivieren Sie Transfer-Sperren, nutzen Sie Zwei-Faktor-Authentifizierung und richten Sie WHOIS-Datenschutz ein. Diese drei Schritte allein vereiteln die Mehrheit der Hijacking-Versuche.

• Aktivieren Sie clientTransferProhibited für jede Domain über das Kontrollpanel Ihres Registrars
• Aktivieren Sie die Zwei-Faktor-Authentifizierung für Ihr Registrar-Konto, vorzugsweise mit einer Authenticator-App statt SMS
• Aktivieren Sie den WHOIS-Datenschutz, um Ihre Kontaktdaten aus den öffentlichen WHOIS-Einträgen fernzuhalten
• Verwenden Sie eine dedizierte, sichere E-Mail-Adresse für Ihr Registrar-Konto, die nirgendwo anders verwendet wird
• Ziehen Sie Registry-Lock-Dienste für Ihre wertvollsten Domains in Betracht
• Aktivieren Sie Benachrichtigungen über Änderungen am Registrar-Konto, damit Sie bei jeder Modifikation informiert werden
• Überprüfen Sie vierteljährlich die autorisierten Kontakte Ihres Registrar-Kontos und entfernen Sie alle Personen, die keinen Zugriff mehr benötigen
• Erneuern Sie Ihre Domain-Registrierung rechtzeitig im Voraus, mindestens 60 Tage vor Ablauf
• Dokumentieren Sie Ihr Domain-Portfolio und speichern Sie die Registrar-Zugangsdaten in einem Passwort-Manager

Überwachung auf unautorisierte Änderungen

Selbst mit starken Präventivmaßnahmen fügt Monitoring eine entscheidende Erkennungsebene hinzu. Wenn ein Angreifer Ihre Sperren und Authentifizierung irgendwie umgeht, können Überwachungstools Sie auf unbefugte Änderungen aufmerksam machen, bevor der Schaden dauerhaft wird. Der Transfer-Prozess von ICANN beinhaltet eine obligatorische 5-tägige Wartezeit für die meisten gTLD-Transfers, was Ihnen ein enges Zeitfenster zum Einspruch gibt. Aber Sie können dieses Fenster nur nutzen, wenn Sie wissen, dass der Transfer stattfindet. Dienste wie DomainExpiryCheck.com erkennen, wenn sich der Transfer-Lock-Status einer Domain ändert, und geben Ihnen ein Frühwarnsignal. Sie sollten außerdem die DNS-Einträge Ihrer Domain, die WHOIS-Registrierungsdaten und die Nameserver-Einstellungen auf unerwartete Änderungen überwachen. Automatisierte Benachrichtigungen für diese Datenpunkte einzurichten bedeutet, dass Sie nicht jeden Tag jede Domain manuell überprüfen müssen. Für größere Portfolios ist diese Art der Überwachung nicht optional, sondern unverzichtbar. Kombinieren Sie externe Überwachung mit dem integrierten Benachrichtigungssystem Ihres Registrars, und Sie haben ein Sicherheitsnetz geschaffen, das die meisten Hijacking-Versuche in ihren frühen Stadien abfängt.