Webseiten verbreiten sogar Schadcode
So nutzte das Bundesinstitut für Öffentliche Gesundheit (BIÖG) die Domain Kinderliedertour.de für eine Veranstaltungstournee. Diese Domain wird nun durch die Netze des Bundes blockiert, weil sie "offenbar auf eine Seite weiterleitet, die Schadcode verbreitet" . Weitere Domains, wie dasimpfbuch.de, "führen auf optisch und inhaltlich gleichartige Seiten, die möglicherweise illegale Inhalte zu Online-Glücksspiel enthalten" .
Trotz der beschworenen Gefahren veröffentlichte Schäfers nun eine Liste mit 2.453 ihm bekannten Bundesdomains(öffnet im neuen Fenster) . Diese reicht von _dmarc.auswaertiges-amt.de bis zu zweijahresbericht-2021-2022.pei.de. Die Liste wurde über Scraping und Suchmaschinen zusammengestellt.
Digitale Dachmarke mit gov.de-Domains
Die Veröffentlichung ist mit dem Appell verbunden, das "Domain-Kuddelmuddel" abzuschaffen und stattdessen eine einheitliche Struktur zu nutzen. Schäfers verweist darauf, dass der IT-Planungsrat der Regierung bereits im März 2024 das Konzept der digitalen Dachmarke für Deutschland beschlossen habe(öffnet im neuen Fenster) .
Erste Angebote nutzen nicht nur die Designelemente, sondern auch eine Subdomain, die auf gov.de endet, beispielsweise wohnsitzanmeldung.gov.de(öffnet im neuen Fenster) oder widerspruch-einlegen.gov.de(öffnet im neuen Fenster) .
Laut Schäfers bietet eine geheime Domain keinen Schutz vor gezielten Angriffen. "Moderne IT-Sicherheit folgt deshalb dem Grundsatz, dass Systeme auch dann sicher sein müssen, wenn ihre Architektur und ihre Adressen bekannt sind. Starke Authentifizierungsverfahren, rollenbasierte Zugriffskontrollen, Verschlüsselung, Netzsegmentierung sowie kontinuierliches Monitoring und Logging sind deutlich wirksamer als bloße Geheimhaltung" , schreibt der Sicherheitsexperte.
Diese Empfehlungen dürften unabhängig davon gelten, wie eine Behörde gerade heißt und welche Domain sie nutzt.