Bundesregierung: Behördendomains als Geheimsache und Schadcodeverteiler

39C3

Was passiert, wenn Ministerien und Behörden ihren Namen ändern und frühere Domains verwaisen? Ein Sicherheitsforscher stieß auf unerwartete Ergebnisse.

29. Dezember 2025 um 14:00 Uhr / Ein Bericht von Friedhelm Greis

26 Kommentare News folgen (öffnet im neuen Fenster)

Auf Bafl.de liefen noch viele DNS-Anfragen aus Bundesbehörden ein. (Bild: Media.ccc.de) — Auf Bafl.de liefen noch viele DNS-Anfragen aus Bundesbehörden ein. Bild: Media.ccc.de / CC-BY 4.0

Selbst als Journalist ist es gar nicht so einfach, sich die aktuellen Internetadressen der Bundesministerien zu merken. Kaum hat man sich eine URL eingeprägt, gibt es eine neue Regierung, die die Ressortverteilung und damit die Namen ändert. Aus dem Bundesjustizministerium (BMJ) wird plötzlich das BMJV, wobei das V für Verbraucherschutz nach der nächsten Wahl wiederum aus dem Umweltressort (BMU) das BMUV macht. Dass solche Wechsel aus der Perspektive der IT-Sicherheit nicht trivial sind, zeigte der Sicherheitsforscher Tim Philipp Schäfers auf dem 39. Chaos Communication Congress (39C3) in Hamburg(öffnet im neuen Fenster).

Solche Namensänderungen betreffen nicht nur Ministerien, sondern auch die unzähligen staatlichen Behörden. Ausgangspunkt für Schäfers Recherche war die Tatsache, dass das Bundesamt für Migration und Flüchtlinge (BAMF) bis 2005 noch Bundesamt für Anerkennung ausländischer Flüchtlinge (BAFL) hieß. Aus diesem Grund änderte das BAMF natürlich seine Internetadresse und leitete einige Jahre von Bafl.de auf Bamf.de um.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: TechRiders Summit – Europas Plattform für digitale Souveränität, IT Strategy & Execution

zum Ratgeber

Seminar: ITIL Foundation (Version 5): virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: SEO-Grundlagen: Besseres Website-Ranking durch gezielte Optimierung (E-Learning)

zum Kurs

Tägliche Anfragen von Bundesbehörden

Doch irgendwann verlängerte die Behörde die alte Domain nicht mehr, so dass sie zwischenzeitlich laut Schäfers sogar in die Hände von Betrügern fiel. Im August 2025 gelang es dem Sicherheitsforscher jedoch, die Domain für sich selbst zu registrieren. Nach dem Aufbau eines DNS-Servers konnte er mitloggen, welche Anfragen weiterhin an die Adresse eingingen.

Dabei stellte sich heraus, dass die Domain noch täglich DNS-Anfragen von Bundesbehörden erhielt – so etwa regelmäßig zur Software-Verteilung."Wenn ein System sagt, wo finde ich denn meine neueste Software und ich als außenstehender DNS-Server kann das dann beantworten, das wäre etwas problematisch", sagte Schäfers. Experten warnen inzwischen vor systematischen, automatisierten Kampagnen von DNS-Betrug mit einem durchschnittlichen Schaden von 942.000 US-Dollar pro Vorfall.

Domain wieder zurückgegeben

Daher wandte sich Schäfers Ende September 2025 an das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie an das BAMF selbst. Obwohl beide Behörden reagierten und Abhilfe versprachen, liefen bis in den Dezember weiterhin DNS-Anfragen aus Bundesnetzen auf Bafl.de ein. Schließlich veröffentlichte Schäfers seine Recherche(öffnet im neuen Fenster) und übertrug die Domain kurz vor Weihnachten an das BAMF.

Doch sogar ohne das Kapern früherer Domains ist es möglich, an DNS-Anfragen aus Bundesnetzen zu kommen. Dazu machte sich Schäfers das sogenannte Typosquatting und Bitsquatting (g+) zunutze.

Wer schreibt an Bund.ee?

Unter Typosquatting(öffnet im neuen Fenster) versteht man das "Besetzen" beziehungsweise Registrieren einer Domain, die sich durch einen Tippfehler von einer Original-Domain unterscheidet. Beispielsweise Golme.de statt Golem.de. Bitsquatting(öffnet im neuen Fenster) nutzt hingegen technische Übertragungsfehler aus, was als Bitflip bezeichnet wird. Durch einen solchen Fehler kann ein anderes Zeichen übertragen werden, als eigentlich auf der Tastatur eingegeben wurde. Gründe dafür können schlechte Hardware oder kosmische Strahlung sein.

Um auszuprobieren, wie sich Typosquatting bei Bund-Domains auswirkt, sicherte sich Schäfers die Domain Bund.ee, wobei .ee die Top-Level-Domain von Estland ist. Neben dem Typosquatting kann dieser Name auch ein Bitsquatting ausnutzen, da sich d und e im Binärcode nur durch das letzte Bit unterscheiden.

Typosquatting lässt sich vermeiden

Ebenso wie bei Bafl.de erhielt Schäfers auch bei bund.ee zahlreiche DNS-Anfragen aus Netzen des Bundes. Sogar eine Anfrage an bnd.bund.ee war dabei, die eigentlich an die Webseite des Bundesnachrichtendienstes gerichtet werden sollte. Laut Schäfers besteht das Risiko, dass durch das Bekanntwerden bestimmter Subdomains, die beispielsweise für Online-Meetings genutzt werden, entsprechende Seiten von Angreifern geklont werden, um Login-Daten abzugreifen.

Es gibt verschiedene Möglichkeiten, sich vor Typo- und Bitsquatting zu schützen. So bietet Microsoft für seinen Edge-Browser einen Tippfehlerschutz an(öffnet im neuen Fenster). Laut Schäfers lassen sich darüber hinaus noch Fehlerkorrekturen (Error Correction Code/ECC) in Hardware und Speichern einsetzen. Außerdem ließen sich solche Domains im DNS-Resolver blocken oder im Mailgateway prüfen. Zu guter Letzt könnten die Behörden selbst solche Typosquatting-Domains registrieren lassen.

Doch das würde einen ziemlichen Aufwand darstellen. Schließlich gibt es alleine 19 Domains, die durch Bitflips von bund.de entstehen – wobei manche davon bereits genutzt werden.

Registrierte Domains als Geheimsache

In diesem Zusammenhang dürfte es interessant sein, welche Domains überhaupt von Bundesbehörden benutzt werden. Doch diese Frage lässt sich gar nicht so einfach beantworten. Entsprechende Anfragen nach dem Informationsfreiheitsgesetz (IFG) liefen bislang ins Leere. So entschied das Oberverwaltungsgericht Nordrhein-Westfalen im Jahr 2020(öffnet im neuen Fenster) (PDF), dass das Bundesgesundheitsministerium die registrierten Domains nicht freigeben müsse (Az: 15 A 4036/19).

Im Verfahren argumentierte ein BSI-Mitarbeiter, dass durch das Bekanntwerden der Domains die Gefahr durch Angriffe steige. "Hinzu komme, dass nicht für die Öffentlichkeit bestimmte Domains – beispielsweise solche, die dem Datenaustausch zwischen Behörden dienten – nicht mit Schutzmechanismen etwa gegen denial-of-service-Attacken ausgestattet seien", schrieb das Gericht unter Berufung auf das BSI.

Frühere Domains inzwischen gekapert

Ähnlich erfolglos verlief eine Anfrage der Linken-Fraktion im Bundestag. In ihrer Antwort(öffnet im neuen Fenster) (PDF) vom 28. November 2025 stufte die Bundesregierung die Liste als "Verschlusssache – Nur für den Dienstgebrauch" (VS-NfD) ein, was der niedrigsten Geheimhaltungsstufe entspricht. Mit der Begründung: "Eine Veröffentlichung dieser konzentrierten Liste würde somit zur Gefährdung der Sicherheit der Bundesrepublik Deutschland führen und könnte im Angriffsfall erhebliche Schäden verursachen sowie die Funktionsfähigkeit der Bundesregierung und nachgeordneten Behörden stören."

Darüber hinaus räumte die Regierung ein, dass frühere Behördendomains übernommen worden seien. So finden sich auf der Seite Energiepflanzen.info, die früher von der Fachagentur Nachwachsende Rohstoffe (FNR) betrieben wurde, inzwischen Links zu Sportwettenanbietern. Kurioserweise haben die neuen Betreiber die alte Webseite offenbar kopiert und lediglich um die eingefügten Links ergänzt.

Doch es gibt noch gravierendere Fälle.

Webseiten verbreiten sogar Schadcode

So nutzte das Bundesinstitut für Öffentliche Gesundheit (BIÖG) die Domain Kinderliedertour.de für eine Veranstaltungstournee. Diese Domain wird nun durch die Netze des Bundes blockiert, weil sie "offenbar auf eine Seite weiterleitet, die Schadcode verbreitet". Weitere Domains, wie dasimpfbuch.de, "führen auf optisch und inhaltlich gleichartige Seiten, die möglicherweise illegale Inhalte zu Online-Glücksspiel enthalten".

Trotz der beschworenen Gefahren veröffentlichte Schäfers nun eine Liste mit 2.453 ihm bekannten Bundesdomains(öffnet im neuen Fenster). Diese reicht von _dmarc.auswaertiges-amt.de bis zu zweijahresbericht-2021-2022.pei.de. Die Liste wurde über Scraping und Suchmaschinen zusammengestellt.

Digitale Dachmarke mit gov.de-Domains

Die Veröffentlichung ist mit dem Appell verbunden, das "Domain-Kuddelmuddel" abzuschaffen und stattdessen eine einheitliche Struktur zu nutzen. Schäfers verweist darauf, dass der IT-Planungsrat der Regierung bereits im März 2024 das Konzept der digitalen Dachmarke für Deutschland beschlossen habe(öffnet im neuen Fenster).

Erste Angebote nutzen nicht nur die Designelemente, sondern auch eine Subdomain, die auf gov.de endet, beispielsweise wohnsitzanmeldung.gov.de(öffnet im neuen Fenster) oder widerspruch-einlegen.gov.de(öffnet im neuen Fenster).

Laut Schäfers bietet eine geheime Domain keinen Schutz vor gezielten Angriffen. "Moderne IT-Sicherheit folgt deshalb dem Grundsatz, dass Systeme auch dann sicher sein müssen, wenn ihre Architektur und ihre Adressen bekannt sind. Starke Authentifizierungsverfahren, rollenbasierte Zugriffskontrollen, Verschlüsselung, Netzsegmentierung sowie kontinuierliches Monitoring und Logging sind deutlich wirksamer als bloße Geheimhaltung", schreibt der Sicherheitsexperte.

Diese Empfehlungen dürften unabhängig davon gelten, wie eine Behörde gerade heißt und welche Domain sie nutzt.

Zur Startseite 26 Kommentare

Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.