Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Bundesregierung: Behördendomains als Geheimsache und Schadcodeverteiler

39C3
Was passiert, wenn Ministerien und Behörden ihren Namen ändern und frühere Domains verwaisen? Ein Sicherheitsforscher stieß auf unerwartete Ergebnisse.
/ Ein Bericht von Friedhelm Greis
26 Kommentare News folgen (öffnet im neuen Fenster)
Auf Bafl.de liefen noch viele DNS-Anfragen aus Bundesbehörden ein. (Bild: Media.ccc.de)
Auf Bafl.de liefen noch viele DNS-Anfragen aus Bundesbehörden ein. Bild: Media.ccc.de / CC-BY 4.0
Inhalt
  1. Bundesregierung: Behördendomains als Geheimsache und Schadcodeverteiler
  2. Wer schreibt an Bund.ee?
  3. Webseiten verbreiten sogar Schadcode

Selbst als Journalist ist es gar nicht so einfach, sich die aktuellen Internetadressen der Bundesministerien zu merken. Kaum hat man sich eine URL eingeprägt, gibt es eine neue Regierung, die die Ressortverteilung und damit die Namen ändert. Aus dem Bundesjustizministerium (BMJ) wird plötzlich das BMJV, wobei das V für Verbraucherschutz nach der nächsten Wahl wiederum aus dem Umweltressort (BMU) das BMUV macht. Dass solche Wechsel aus der Perspektive der IT-Sicherheit nicht trivial sind, zeigte der Sicherheitsforscher Tim Philipp Schäfers auf dem 39. Chaos Communication Congress (39C3) in Hamburg(öffnet im neuen Fenster) .

Solche Namensänderungen betreffen nicht nur Ministerien, sondern auch die unzähligen staatlichen Behörden. Ausgangspunkt für Schäfers Recherche war die Tatsache, dass das Bundesamt für Migration und Flüchtlinge (BAMF) bis 2005 noch Bundesamt für Anerkennung ausländischer Flüchtlinge (BAFL) hieß. Aus diesem Grund änderte das BAMF natürlich seine Internetadresse und leitete einige Jahre von Bafl.de auf Bamf.de um.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Tägliche Anfragen von Bundesbehörden

Doch irgendwann verlängerte die Behörde die alte Domain nicht mehr, so dass sie zwischenzeitlich laut Schäfers sogar in die Hände von Betrügern fiel. Im August 2025 gelang es dem Sicherheitsforscher jedoch, die Domain für sich selbst zu registrieren. Nach dem Aufbau eines DNS-Servers konnte er mitloggen, welche Anfragen weiterhin an die Adresse eingingen.

Dabei stellte sich heraus, dass die Domain noch täglich DNS-Anfragen von Bundesbehörden erhielt – so etwa regelmäßig zur Software-Verteilung. "Wenn ein System sagt, wo finde ich denn meine neueste Software und ich als außenstehender DNS-Server kann das dann beantworten, das wäre etwas problematisch" , sagte Schäfers. Experten warnen inzwischen vor systematischen, automatisierten Kampagnen von DNS-Betrug mit einem durchschnittlichen Schaden von 942.000 US-Dollar pro Vorfall.

Domain wieder zurückgegeben

Daher wandte sich Schäfers Ende September 2025 an das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie an das BAMF selbst. Obwohl beide Behörden reagierten und Abhilfe versprachen, liefen bis in den Dezember weiterhin DNS-Anfragen aus Bundesnetzen auf Bafl.de ein. Schließlich veröffentlichte Schäfers seine Recherche(öffnet im neuen Fenster) und übertrug die Domain kurz vor Weihnachten an das BAMF.

Doch sogar ohne das Kapern früherer Domains ist es möglich, an DNS-Anfragen aus Bundesnetzen zu kommen. Dazu machte sich Schäfers das sogenannte Typosquatting und Bitsquatting (g+) zunutze.

Zur Startseite 26 Kommentare

Relevante Themen

39C3KISoftwarePolitikSecurityDatensicherheitServerBundesregierung