Domain-Hijacking: Angriff auf verwaiste Assets
Die unberechtigte Übernahme von Domains durch Dritte kann ernstzunehmende Folgen für Markenführung, Cybersecurity und Business Continuity haben.
Die Methoden sind oft subtil: gestohlene Zugangsdaten, gezielte Täuschung gegenüber Domain-Providern oder der Missbrauch rechtlicher Schlupflöcher gehören zum Arsenal der Angreifer. Dabei kann die Bedrohung lange unbemerkt bleiben. Denn Domains sind in vielen Unternehmen organisatorisch verwaiste Assets – registriert in der Aufbauphase, technisch gewartet, aber selten strategisch gemanagt. Erst wenn Geschäftsvorgänge ins Leere laufen, Kunden sich beschweren oder plötzlich die eigene Domain auf eine andere Website zeigt, wird das Problem sichtbar. Doch dann ist es häufig schon eskaliert.
Vertrauen zerstört und Sicherheitslücken offengelegt
Ein besonders prominentes Beispiel für Domain-Hijacking in Deutschland ist der Fall ebay.de im Jahr 2004. Damals gelang es einem 19-jährigen Schüler aus Niedersachsen, sich als neuer Inhaber der Domain eintragen zu lassen – ohne Wissen oder Zustimmung des Unternehmens. Die Folge: Die Domain des weltweit tätigen Online-Marktplatzes war stundenlang nicht erreichbar.
Für eBay bedeutete das damals nicht nur Umsatzverluste und massives Kundenmisstrauen, sondern auch eine empfindliche Störung der Geschäftsprozesse. Der Vorfall machte öffentlich sichtbar, wie anfällig selbst große Plattformen sein können, wenn grundlegende Sicherheitsmechanismen im Domain-Management missachtet werden – und war damit einer der ersten Weckrufe für eine systematische Absicherung digitaler Identitäten in Deutschland.
Typische Einfallstore für Domain-Angreifer
Oft beginnt alles mit einem simplen Fehlverhalten: schwache oder wiederverwendete Passwörter, die aus Datenlecks abgegriffen werden. Hinzu kommt Social Engineering, bei dem Angreifer gezielt Mitarbeitende täuschen, etwa durch fingierte Anrufe oder Mails angeblicher Provider, um Zugangsdaten zu erschleichen. Auch technische Angriffsflächen bei Domain-Providern oder mangelhafte Registrar-Sicherungen können ausgenutzt werden. Besonders perfide sind sogenannte Reverse-Hijacking-Versuche, bei denen unter dem Deckmantel angeblicher Markenrechte versucht wird, Domains über Schlichtungsverfahren wie das UDRP-Verfahren zu übernehmen.
In vielen Fällen genügt bereits ein Ablauf der Domainverlängerung – etwa durch organisatorisches Versäumnis –, um Angreifern Tür und Tor zu öffnen. Selbst der Tech-Gigant Google war schon davon betroffen: Als die Verlängerung der Domain “google.com.ar” verpasst wurde, konnte ein Privatnutzer sie kurzerhand registrieren. Ein teurer Fehler, der nur mit Glück glimpflich ausging. In ähnlicher Weise wurde auch die traditionsreiche Open-Source-Domain “perl.com” entführt und wochenlang auf fragwürdige Inhalte umgeleitet.
Der Ablauf einer Domain führt nicht sofort zur Freigabe – meist folgt eine 30-tägige Grace Period, in der sie noch teuer zurückgeholt werden kann. Ob Domains automatisch verlängert werden, hängt allerdings vom Registrar ab – und ist nicht immer automatisch aktiviert. Auch die Freigaberegeln variieren je nach Registry. Wer hier nicht aktiv überwacht, riskiert, dass Dritte zuschlagen.
Domain-Schutz beginnt bei Sichtbarkeit
Unternehmen, die ihre Domains effektiv schützen wollen, müssen strategisch denken – und Domains nicht als technische Ressource, sondern als geschäftskritisches Asset betrachten. Dazu gehört ein klares Rollenverständnis: Wer ist verantwortlich für das Domain-Portfolio? Wo sind Zugangsdaten dokumentiert und regelmäßig geprüft? Welche Domains gelten als unternehmenskritisch – und sind diese besonders geschützt?
Technisch betrachtet sind mehrere Ebenen der Absicherung wichtig: Eine Zwei-Faktor-Authentifizierung für Domain-Accounts sollte heute ebenso selbstverständlich sein wie die Nutzung sogenannter Registrar oder Registry Locks, die unautorisierte Transfers verhindern. united-domains bietet hierfür beispielsweise den Domain-Tresor, der 2FA für alle sicherheitsrelevanten Aktionen aktiviert – also nicht nur für Domain-Transfers, sondern auch für Änderungen an DNS-Einträgen oder Kontaktdaten. Ergänzend schützt DNSSEC vor DNS-Hijacking, also der Manipulation von DNS-Antworten – ein angrenzendes, aber anderes Risiko als Domain-Hijacking. Darüber hinaus stärken regelmäßige WHOIS-Überprüfungen und ein automatisiertes Domain-Monitoring die Sicherheit, etwa durch das Erkennen auffälliger Nameserver-Änderungen oder Domain-Neuregistrierungen mit ähnlichen Markennamen.
Strategische Resilienz: Vorbeugen statt zurückkämpfen
Im Ernstfall ist der Weg zurück zur kompromittierten Domain nicht nur technisch, sondern vor allem juristisch herausfordernd. Internationale Schlichtungsverfahren wie das UDRP-Verfahren können Monate dauern und erfordern gut dokumentierte Markenrechte sowie finanzielle und personelle Ressourcen. Noch schwieriger wird es, wenn Domains von Dritten über Ländergrenzen hinweg transferiert wurden oder sich in anonymisierten Besitzverhältnissen befinden.
Deshalb ist ein Domain-Monitoring eine notwendige Schutz-Maßnahme. Wer regelmäßig prüft, welche Domains dem Unternehmen gehören, welche bald verlängert werden müssen und welche möglicherweise von Dritten als Typosquatting-Ziele registriert wurden, erhöht seine digitale Resilienz spürbar. Unternehmen sollten zudem über eine Backup-Domain-Strategie verfügen, um im Notfall schnell auf alternative Adressen umschalten zu können, z. B. bei geschäftskritischen Prozessen oder Cloud-Diensten.
WebAuch rechtliche Vorbereitungen gehören zur Sicherheitsstrategie: Dispute-Mechanismen wie der DENIC-Eintrag für .de-Domains oder vorbereitete UDRP-Dossiers sollten im Ernstfall schnell aktiviert werden.
Vergessene Domains: Wenn das Risiko zurückkommt
Ein oft unterschätztes Sicherheitsrisiko entsteht, wenn Unternehmen nicht mehr benötigte Domains nach einer Geschäftsaufgabe, Insolvenz oder einem Rebranding kündigen. Was zunächst nach einer sauberen Aufräumaktion im Portfolio klingt, kann fatale Folgen haben: Wird die Domain später von Dritten registriert, genügt eine einfache Catch-All-E-Mail-Adresse, um potenziell alle eingehenden Nachrichten zu empfangen – darunter auch Passwort-Reset-Mails oder Login-Links.
Besonders kritisch wird es, wenn alte E-Mail-Adressen wie “info@firma-alt.de” oder “admin@marke-alt.com” noch mit externen Plattformen verknüpft sind – etwa bei Cloud-Diensten, SaaS-Tools oder Social-Media-Accounts. Unternehmen sollten solche Domains lieber behalten und weiterführen, statt sie unkontrolliert freizugeben. Alternativ muss sichergestellt sein, dass keine aktiven Konten mehr mit der Domain verknüpft sind – inklusive aller Schatten-Logins, die oft übersehen werden.
Domain-Hijacking ist ein Sicherheitsvorfall – kein Adminproblem
Domain-Hijacking gehört in dieselbe Risikoklasse wie Business E-Mail Compromise oder Credential Theft – nur mit direktem Zugriff auf die digitale Identität eines Unternehmens. Wer den Schutz seiner Domains nicht mit denselben Sicherheitsstandards versieht wie bei Netzwerken und Benutzerkonten, schafft unnötige Angriffsflächen. Unternehmen sollten daher Registrar-Locks konsequent aktivieren, 2FA für alle Domain-Zugänge durchsetzen – allerdings mit Bedacht: Häufig verwendete Backup-Optionen wie private Mobilnummern oder Freemail-Adressen bergen eigene Risiken und sollten vermieden werden. Auch WHOIS- und DNS-Monitoring sollten aktiv genutzt und klare Zuständigkeiten im Domain-Management verbindlich festgelegt werden. Domain-Sicherheit gehört daher in jedes Incident-Prevention-Konzept von Unternehmen.
verantwortet bei united-domains als General Manager die Bereiche B2B und B2C.
