Domain: Handelsplattform, Marke und Schwachstelle
Senkt eine Domain-Strategie das Risiko von Cyberattacken? Ja – wenn sie nach der Domain-Registrierung nicht endet, sagt Maximilian Burianek von United Domains.
Selbst versierte und aufmerksame Nutzer merken den Unterschied häufig nicht: Fake-Shops und Phishing-Attacken zählen zu den Hauptproblemen von Online-Plattformen. Cyber-Kriminelle gestalten die Betrugs-Websites höchst professionell und nutzen Domains, die denen der Original-Plattform stark ähneln. Nicht selten ist bereits immenser Schaden entstanden, bevor die Unternehmen etwas bemerken und handeln können.
Klicks auf Links in Phishing-E-Mails
Für Plattformen und ihre Partner ist das besonders brisant, nutzen Hacker hier doch gezielt die Integrität von Markennamen und den entsprechenden Domainnamen aus. Erst kürzlich war Booking.com betroffen: Hierbei wurde allerdings nicht die Plattform Booking.com direkt angegriffen, sondern die vielen Partnerhotels. Unterkunftspartner hätten auf Links in Phishing-E-Mails geklickt, die wiederum zu einer Malware-Installation führte. Es zeigt, dass nicht nur die eigene Plattform geschützt werden muss, sondern auch alle weiteren Partner in die Abwehrstrategien einbezogen werden müssen.
Viele dieser Phishing-Attacken starten mit der Domain. Bei sogenannten “Vertipper”-Domains erhalten Partner eine Mail von beispielsweise Bo0king.com und werden aufgefordert, auf einen vermeintlich sicheren Link zu klicken. Dabei wird das Vertrauen in die Domain booking.com ausgenutzt und führt, wenn Empfänger die Domain nicht mit einem kritischen Auge prüfen, zu einem Sicherheitsleck. Ein Sicherheitskonzept für Domains kann diese Risiken allerdings signifikant senken. Dies ist allerdings keine einmalige Aufgabe, die sich mit einem Stand-alone-Tool lösen lässt – es gehört mehr dazu.
Der erste Schritt: Die Domain-Inventur
Am Anfang beinahe jeder Strategie stehen die Erfassung des Ist-Zustandes und die Definition grundlegender Regeln. Dafür ist es wichtig, dass alle Stakeholder im Boot sind: Neben den IT-Experten sind dies vor allem die Marketing-Verantwortlichen und Vertreter der Legal-Abteilung, da beide in besonderem Maß mit der Marke und damit mit den Domains arbeiten bzw. diese rechtlich absichern.
Mit einer Domain-Inventur wird nun ein detaillierter Überblick geschaffen: über alle im Namen des Unternehmens registrierten Domains (inklusive Produkt- und Marketing-Domains), deren Inhaber und Registrare sowie weitere Informationen, wie beispielsweise Ablaufdaten und Hosting-Anbieter. Entscheidend insbesondere für Plattformen mit mehr oder weniger zahlreichen Handelspartnern ist es, auch die Domains zu erfassen, die von Distributionspartnern oder anderen Dritten im Namen des Unternehmens registriert wurden. Dabei sollte gleich die Vertrauenswürdigkeit der Registrare geprüft und eine Konsolidierung auf wenige Dienstleister erwogen werden. Dazu gehört auch, dass nicht mehr genutzte Domains gekündigt werden.
Rechtevergabe für Domain-Registrierungen
Nach der Inventur steht die bisherige Domain-Strategie auf dem Prüfstand: Wurden alle relevanten Haupt- und Zusatzdomains registriert, möglichst inklusive typischer „Vertipper“-Domains und spezifische Top-Level-Domains wie etwa .net oder .biz? Unternehmen sollten hier sorgfältig auswählen, denn obwohl solch eine defensive Domain-Strategie sehr sinnvoll ist, hat sie doch ihre Grenzen. Die Anzahl an möglichen Domains ist schlicht zu groß.
Nun sollten sich die Beteiligten noch darüber einigen, wer welche Rechte in Bezug auf Domain-Registrierungen, Zugriffe, Übertragungen, Änderungen und Kündigungen hat. Zwar ist es sinnvoll, gerade für Marketing-Kampagnen der Fachabteilung die Registrierung neuer Domains unkompliziert zu ermöglichen. Jedoch darf kein Dickicht entstehen, indem sich veraltete Domains verstecken und Angriffsfläche bieten, weil niemand mehr weiß, dass sie da sind. Der Domain-Inhaber kann die Rechte für angelegte Nutzer beschränken. Idealerweise sperrt das firmeninterne Identity Access Management System die Domain-Rechte für Mitarbeiter, die das Unternehmen verlassen, automatisch.
Domain-Strategie dauerhaft etablieren
Wenn die Basis steht, beginnt die dauerhafte Integration der Domain-Strategie in das unternehmerische IT-Sicherheitskonzept. Einen wichtigen Eckpfeiler bildet das Domain-Monitoring: Dabei werden neue Registrierungen systematisch beobachtet. Anhand von Schlüsselbegriffen können verdächtige Aktivitäten identifiziert werden, etwa wenn ein Fremder versucht, namensähnliche Domains zu registrieren.
Fällt eine solche mögliche Angriffs-Vorbereitung auf, muss schnell gehandelt werden. Wenn dafür bereits im Vorfeld ein Prozess und Zuständigkeiten definiert wurden, ist das ein bedeutender Vorteil. Der Hoster muss kontaktiert werden, damit die Domain nicht live geschaltet wird. Meist werden zudem rechtliche Schritte notwendig, um eine Markenrechtsverletzung anzuzeigen. Die Legal-Abteilung sollte mit den gängigen Verfahren (Uniform Domain-Name Dispute-Resolution Policy, Uniform Rapid Suspension System) vertraut und in der Lage sein, zeitnah zu handeln.
Fortschrittliche Sicherheitsmaßnahmen und Kommunikation
Das DNS (Domain Name System) lässt sich durch zusätzliche, technische Maßnahmen weiter absichern. Die DNS Security Extension Standards (DNSSEC) etwa helfen dabei, das sogenannte DNS Cache Poisoning zu verhindern. Dabei ersetzt ein Angreifer die echte IP-Adresse einer Domain durch eine gefälschte, auf die die Anfragen dann entsprechend umgeleitet werden. DNSSEC sorgt für eine Integritätsprüfung. Administratoren können zudem mit der richtigen Konfiguration der CAA Records (Certificate Authority Authorization) festlegen, welche Zertifizierungsstellen SSL-Zertifikate ausstellen dürfen. Nichtbestandene Prüfungen oder verdächtige Zertifikatsanfragen fallen im Zuge des Domain Monitoring auf.
Andere, idealerweise unternehmensweit implementierte Sicherheitsmaßnahmen zahlen auf die Domain-Sicherheit und Cyberattacken-Abwehr ein: So erschweren eine Multi-Faktor-Authentifizierung und klar definierte Anforderungen an die Vergabe von ausschließlich starken Passwörtern das Daten-Phishing erheblich. Regelmäßige Schulungen der Mitarbeiter und Partner sorgen für Sensibilisierung. Nicht zuletzt sollten Unternehmen offen mit ihren Partnern und Kunden kommunizieren, besonders dann, wenn sie Opfer einer Attacke geworden sind. Fake-Shops oder im Fall Booking Fake-Hotels und Phishing-E-Mails bleiben erfolglos, wenn niemand darauf hereinfällt.
ist seit 2020 CEO von united-domains.