Direkt zum Inhalt wechseln
Blogpost in
domains

Domain Hijacking | Was tun, wenn’s passiert?

Cyberkrimineller beim Domain Hijacking auf weißem Kreis und einem Weltkugelicon
time to read icon 13 Min

Haben Sie schon von Domain-Hijacking gehört? Was, wenn wir es einfach Domain-Diebstahl nennen? Läuft Ihnen bei dem Gedanken ein kalter Schauer über den Rücken? Wir zeigen, wie Hacker Zugriff auf eine Domain erhalten und was Sie tun können, um Ihren gestohlenen Domain-Namen wiederzubekommen.

Published by

Author

Simone Catania

Date

12.04.2023

Nehmen wir Sarah als Beispiel: eine Modedesignerin aus Berlin macht ihre Erfahrungen mit Domain-Hijacking. Als sie ihren kleinen Online-Shop mit Vintage- und Pin-up-Kleidung eröffnete, hatte sie das große Glück, eine wertvolle Domain zu ergattern, die perfekt zum Namen ihres Geschäftes passte. Innerhalb weniger Jahre verdoppelte sich der Umsatz und verdreifachte sich schließlich. Was als Hobby begann, wurde so schnell zu ihrem Traumberuf in Vollzeit.

Eines Tages schrieb ihr eine ihrer besten Kundinnen, dass es anscheinend ein Problem mit ihrer Website gäbe. Sarah tippte ihre Shop-Adresse in die Browserleiste ein und fand heraus, dass ihre Domain auf eine ähnliche Website mit Vintage-Produkten umgeleitet wurde. Trotz der großen Ähnlichkeit handelt es sich dabei jedoch nicht um ihren Online-Shop! Sie rief sofort ihre IT-Beratung an, war jedoch zunächst verwirrt als ihr mitgeteilt wurde, sie sei Opfer eines Domain-Hijacking geworden. Sarah hatte noch nie von diesem Begriff gehört und musste ihn leider auf die denkbar schlechteste Art und Weise kennenlernen.

Das Worst-Case-Szenario war eingetreten: Einer Person war es gelungen, das Eigentum an ihrem Domain-Namen zu erlangen, ihn zu transferieren und vielleicht sogar zu verkaufen! Nun gehört die Domain womöglich gar einem Konkurrenten in einem anderen Land. Über Nacht verlor sie zusammen mit ihrer Webpräsenz die Kontrolle über ihre Online-Business-Identität.

Domain-Hijacking hat kritische Folgen für Unternehmen

Sind Sie Domain-Inhaber oder verwalten Sie gleich mehrere Domains für Ihre Kunden? Erfolgreiches Domain-Hijacking kommt fast dem Verlust Ihres (Online-)Geschäftes, Ihrer Profite und Einnahmen gleich und hat ernsthafte Auswirkungen auf Ihre Zukunft, was zum Verlust von Kunden und negativen Auswirkungen auf Ihre Online-Reputation führt.

Unter den möglichen Worst-Case-Szenarien kann sich insbesondere Domain-Hijacking als wahrer Albtraum entpuppen. Es passiert aus heiterem Himmel, ohne Vorwarnung und kann stunden- oder sogar wochenlang unbemerkt bleiben.

In diesem Artikel erfahren Sie, wie Domains gekapert werden und was Sie tun können, um dies zu verhindern.

Was ist Hijacking?

In der Informatik zielen Hijacking-Angriffe darauf ab, sich unbefugt Zugriff auf Informationen oder Dienste in der IT-Infrastruktur zu verschaffen.
Je nachdem, wo der Angriff ausgeführt wird, können wir verschiedene Arten von Hijacking-Techniken unterscheiden:

  • DNS-Hijacking, auch DNS-Poisoning genannt, manipuliert die Auflösung der DNS-Abfragen.
  • IP-Hijacking, auch bekannt als BGP oder Route-Hijacking, stört das normale Routing des Netzwerks unter Verwendung des Border Gateway Protocol (BGP), um so die Kontrolle über Gruppen von IP-Adressen zu erlangen.
  • URL-Hijacking, auch Typosquatting genannt, beruht auf Vertippern oder sonstigen Fehlern der Benutzer bei Eingabe der Website-Adressen. Auf diese Weise werden User auf schädliche Websites geleitet.
  • Vom Domain-Hijacking oder Domain-Diebstahl ist die Rede, wenn Hacker die Registrierungsdaten eines Domain-Namens manipulieren.

Domain-Hijacking: Sie verlieren das Eigentum an Ihren Domains

Normalerweise zielt Domain-Hijacking darauf ab, ahnungslose Benutzer auf eine bösartige Webseite zu locken, die vortäuscht, die tatsächlich gewünschte Seite zu sein. Im Allgemeinen wird Domain-Hijacking jedoch als eine Form des Diebstahls verstanden, da sich Angreifer ohne Zustimmung der ursprünglichen Registranten Zugang zu deren Domain verschaffen.

Wie funktioniert Domain-Hijacking?

Wenn Sie eine Web-Adresse in den Browser eingeben, wird der zugehörige DNS-Eintrag abgerufen. Wird diese Abfrage zum ersten Mal durchgeführt oder ist der Datensatz nicht mehr im Cache vorhanden, muss der Browser mit einem Nameserver kommunizieren. Diese Kommunikation zwischen Browser/Gerät und Server kann tückisch sein: Gerade diese Interaktion von Request und Response bietet eine gute Angriffsfläche.

Darüber hinaus eröffnet nicht verschlüsselte Kommunikation Hackern mehrere Möglichkeiten, Benutzer abzufangen und umzuleiten. Insbesondere tritt Domain-Hijacking auf, wenn Hacker versuchen, auf die mit einer Domain verknüpften Kontodaten zuzugreifen, um nicht autorisierte Änderungen vorzunehmen. Das kann Änderungen an den DNS-Nameservern, das Setzen eines neuen Domain-Status oder die Übertragung der Domain umfassen.

Wie können Sie sich vor Domain-Hijacking schützen?

Es gibt mehrere Möglichkeiten, wie Hacker eine Domain kapern können. Dabei spielen nicht nur technische Schwachstellen eine Rolle. Als Domain-Inhaber:in obliegt es Ihnen, sicherzustellen, dass Ihre digitalen Assets optimal geschützt sind. Manchmal liegt die Schuld jedoch nicht bei den Registranten. Die Angreifer könnten auch über die Infrastruktur Ihres Domain-Providers an Ihre Domain gelangen. Sehen wir uns also an, wie Sie als Registrant:in, der Domain-Provider und andere technische Aspekte dazu beitragen, einen Domain-Namen gegen Hijacking zu schützen.

Die verwundbare Seite des Registranten

Die Vernachlässigung angemessener Sicherheitsmaßnahmen durch den Registranten ist einer der Hauptgründe für Domain-Hijacking. Sobald Sie eine neue Domain registriert haben, erhalten Sie Zugriff auf deren Einstellungen. Social Engineering einschließlich Phishing-Techniken, Malware wie Trojaner, Keylogger oder Spyware können Ihre Systeme infizieren und machen es Hackern leicht, Ihre Anmeldeinformationen für den Zugriff auf die Domain-Verwaltung zu erhalten.

Darüber hinaus finden sich in den WHOIS-Daten eine Vielzahl von personenbezogenen Daten wie Name, E-Mail-Adressen und weitere Informationen im Zusammenhang mit der Domain-Registrierung. Wenn es Hackern gelingt, Ihre Konten zu hacken, können die Domain-Inhaberschaft und die entsprechenden Benachrichtigungen geändert werden.

Verbergen oder verwenden Sie nach Möglichkeit unterschiedliche Anmeldeinformationen für das Domain-Inhaber-Profil und das Domain-Management-System.

Mögliche Schwachstellen auf Seiten des Domain-Provider

Der andere am Domain-Management beteiligte Akteur ist der Provider. Registrare sind sich normalerweise möglicher Sicherheitsprobleme bewusst, aber Schwachstellen können sogar große und globale Unternehmen betreffen. Gelingt es Hackern, auf die vom Registrar bereitgestellten Backend-Dienste zuzugreifen, besteht ein hohes Risikopotenzial für Ihre Domains.

Achten Sie daher immer darauf, einen vertrauenswürdigen Domain-Anbieter zu wählen. InterNetX bietet beispielsweise vier Ebenen der Domain-Security und setzt in den Bereichen Verwaltung, Domains, Nameserver und Hosting auf modernste Sicherheitslösungen. Zu den weiteren Sicherheitsmaßnahmen gehören 2FA, DNSSEC, Anycast, IP-Beschränkung, WHOIS-Privacy, Domain Monitoring und Zugriffssteuerungslisten (ACL) in der All-in-One Domain-Plattform AutoDNS.

Technische Gründe, warum Domains gekapert werden

Es kann auch ein drittes Problem auftreten, das häufig zu Fällen von Domain-Hijacking führt: Die Domain-Registrierung ist schlichtweg abgelaufen und wurde nicht verlängert. Wird diese Frist nicht eingehalten, kann es sein, dass jemand Ihre Domain registriert und Sie nicht nur den Domain-Namen, sondern auch alle damit verbundenen Dienste wie E-Mail und Webspace verlieren. Diese Vorgehensweise ist völlig legal und Sie haben keine Grundlage, die Domain zurückzufordern.

Um ein solches Szenario zu verhindern, stellen Sie sicher, dass Sie die Option zur automatischen Verlängerung aktivieren und die Domains für längere Zeiträume registrieren.

Wofür werden gekaperte Domains verwendet?

Warum werden Domain-Namen gekapert? Was kann ein Hijacker mit einer gestohlenen Domain anfangen? Hacker möchten Ihre Domain möglicherweise aus mehreren Gründen stehlen. Ein häufiger Grund ist sicher schlicht die Profitgier. Normalerweise werden die gekaperten Domains unzugänglich gemacht und Ihre Online-Identität unter dieser Domain, d.h. Ihre Web-Präsenz, ist nicht länger erreichbar. Ein potenziell ruinöses Ergebnis, da viele Unternehmen mittlerweile auf ihre Website als Einnahmequelle angewiesen sind. Aus diesem Grund können Hacker Lösegeld verlangen, um die Domain an Sie zurück zu übertragen.

In anderen Fällen könnten Hijacker Ihre Website durch eine andere ähnliche Website ersetzen und sie für Phishing oder andere böswillige Aktivitäten missbrauchen. Eine echte Bedrohung für Besucher, die auf dieser neuen gefälschten Website möglicherweise irrtümlicherweise ihre sensiblen Informationen wie Bankdaten eingeben. Hacker könnten sich auch als Markeninhaber ausgeben und Ihren Ruf mit Fake News oder negativen Aussagen schädigen. Der Angreifer kann die gestohlenen Domain auch weiterverkaufen, sobald sie erfolgreich übertragen wurde.

Bemerkenswerte Fälle von Domain-Hijacking

In den letzten Jahren gab es bemerkenswerte Fälle von erfolgreichen Domain-Diebstählen, die auch auf bekannte Marken abzielten.

Der wahrscheinlich erste Fall, der jemals die Aufmerksamkeit der Medien auf sich zog, betraf die sex.com-Domain während der Dotcom-Blase Ende der 90er Jahre. Zum ersten Mal erklärte ein US-Gericht, dass Internet-Domains wie Immobilien zu behandeln seien, was in der Folge Domain-Hijacking zu einer Form des Diebstahls machte.

Am 25. Februar 2015 leitete die Lenovo-Website die Besucher auf eine von Angreifern kontrollierte Seite um, die als „die neue und verbesserte Lenovo-Website“ bezeichnet wurde. Dieselben Hacker haben es geschafft, die Hauptseite der Suche von Google Vietnam zu kapern und die Benutzer umzuleiten.

In den letzten Jahren wurde Domain-Hijacking auch bei einigen ernsthaften und ausgeklügelten mehrjährigen Spionageangriffen eingesetzt. Beispiele sind die staatlich geförderten DNSpionage-Kampagne gegen den Libanon und die Vereinigten Arabischen Emirate (VAE) und Sea Turtle, die hauptsächlich nationale Sicherheitsorganisationen im Mittleren Osten und Afrika zum Ziel hatte. Aber das ist nur die Spitze des Eisbergs, denn die größeren und schwerwiegendsten Domain-Diebstähle zielen auf KMU ab, die meist nicht über ausreichend Kenntnisse oder Fähigkeiten verfügen, um das Problem anzugehen und schließlich zu lösen.

Drei Wege, um eine gestohlene Domain wiederzuerlangen

Auch wenn der Albtraum tatsächlich wahr wurde – noch ist nicht alles verloren! Glücklicherweise besteht immer noch die Möglichkeit, eine gekaperte Domain wiederzuerlangen. Hier stellen wir Ihnen drei Methoden mit unterschiedlichem Wirkungsgrad, Kosten und Timing vor.

1. Kontaktieren Sie Ihren Registrar

Ihr Domain-Provider ist immer der erste Ansprechpartner, wenn es um Ihre Domains geht. In dem Moment, in dem Sie feststellen, dass Ihre Domain gestohlen wurde, bitten Sie sofort darum, den Transfer zu canceln. Üblicherweise unterliegt der Transfer einer 60-tägigen Sperre, dem so genannten Transfer-Lock. Die Chance auf Wiederherstellung ist höher, wenn die Domain auf ein internes Konto beim gleichen Registrar übertragen wurde. Bei einer bereits erfolgten Übertragung auf einen anderen Anbieter kommt es auf die Kooperationsbereitschaft des entsprechenden Registrars an. Es ist jedoch immer ratsam, diese erste Methode sofort zu versuchen, in der Hoffnung, das Problem schnell zu beheben und Schäden zu begrenzen.

2. UDRP-Beschwerde oder vergleichbare Verfahren anstreben

Die Uniform Domain-Name Dispute-Resolution Policy (UDRP) ist eine Vereinbarung, an die sich alle ICANN-akkreditierten Registrare halten müssen, um Streitigkeiten über den Besitz von Domains unter den generischen Erweiterungen wie .com, .net, .info usw. beizulegen. Sie wurde hauptsächlich entwickelt, um Cybersquatting oder Markenrechtsverletzungen zu bekämpfen, daher führt es möglicherweise nicht zum gewünschten Ergebnis, wenn Ihr Domain-Name nicht mit einer Marke verbunden ist. Unter anderem kann die Richtlinie aber auch zur Bekämpfung von missbräuchlichem und böswilligem Hoarding, also Domain-Hortung, herangezogen werden. Daher kann sich die Policy in verschiedenen Fällen durchaus als nützlich erweisen.

Insbesondere wenn Sie eine eingetragene Marke besitzen, ist die UDRP das richtige Verfahren. In diesem Fall hat es den Vorteil, dass eine sofortige Sperrung der Domain ermöglicht wird. So kann verhindert werden, dass ihre Daten geändert werden oder die Domain an einen anderen Registrar übertragen wird. UDRP sollte auch interne Transfers zwischen Konten desselben Registrars blockieren. Auch hier hängt alles davon ab, wie stark der Anbieter kooperiert.

Leider hat UDRP in den letzten Jahren die Türen für Missbrauch in Form von Reverse Domain Name Hijacking (RDNH) geöffnet. Diese Praxis tritt auf, wenn Hacker versuchen, Inhabern eine Domain zu entziehen, indem in böser Absicht Anspruch auf die mit der Domain verbundenen Markenrechte erhoben wird.
Wenn Ihr Domain-Name allerdings unter einer ccTLD wie .de oder .it liegt, gilt es die nationalen Registrys mit ihren jeweils eigenen Regelungen ähnlich der UDRP zu beachten, die es Ihnen ermöglichen, bei missbräuchlichen Übertragungen zu widersprechen.

3. Rechtliche Schritte einleiten

UDRP hat sich mehrfach als wirksames Instrument erwiesen, ist aber im Falle einer gestohlenen Domain möglicherweise nicht die richtige Wahl. In diesem Fall ist die anwaltliche Beratung oder eine Expertenkonsultation innerhalb der Domain-Branche dringend empfohlen. Klage kann sowohl wegen des Domain-Diebstahls als auch wegen der vermutlich dahinter stehenden Hacker-Operation eingereicht werden. Sie können auch dann vor Gericht ziehen, wenn keine Verletzungen eingetragener Marken vorliegen. Der Nachteil ist, dass dieses Verfahren oft langwierig und entsprechend teuer ist.

Darüber hinaus ist zu beachten, dass das Verfahren vor dem Gericht der jeweiligen Registry stattfindet. Ein Rechtsstreit im Zusammenhang mit einer .com-Domain wird beispielsweise in Nord-Virginia in den Vereinigten Staaten stattfinden, wo die zuständige Registry Verisign ansässig ist.

Sofern das Gericht Ihre Ansprüche unterstützt, können Sie jedoch sicher sein, dass Sie Ihre Domain zurückerhalten. Es liegt in der Verantwortung der Registry, das Eigentum an der Domain an Sie zu übertragen und den möglicherweise unkooperativen Registrar zu umgehen.

Wie können Sie Ihre Domains schützen?

Angriff ist bekanntlich die beste Verteidigung – hier sind einige Tipps, mit denen Sie in die Offensive gehen können, um Domain-Hijacking zu verhindern und Ihre Domain-Namen zu schützen.

1. Wählen Sie einen zuverlässigen Domain-Anbieter

Sie sind sich nicht sicher, welche Kriterien Ihnen bei der Auswahl des besten Partners helfen? Stellen Sie zunächst sicher, dass Sie sich auf einen von der ICANN akkreditierten Registrar verlassen. Der Preis ist ein wichtiger Faktor, aber vergessen Sie nicht den Sicherheitsaspekt: Wählen Sie einen Registrar, der einen professionellen technischen Support und eine hervorragende DNS-Verwaltung bietet.

2. Verwenden Sie das DNSSEC-Protokoll

Das DNSSEC-Protokoll (Domain Name System Security Extensions) ermöglicht es dem Browser, die Quelle zu verifizieren, wodurch die Authentizität und Integrität Ihrer Domain gestärkt wird.

3. Legen Sie starke Passwörter fest und ändern Sie diese regelmäßig

Ein sicheres Passwort ist in der heutigen digitalen Welt eine unerlässliche Praxis. Nachdem Sie Ihren Domain-Management-Account erstellt haben, legen Sie ein starkes und eindeutiges Passwort fest und sichern Sie ebenfalls die zugehörigen E-Mail-Konten.

4. Verwenden Sie die Zwei-Faktor-Authentifizierung (2FA)

Die 2FA fügt eine zusätzliche Sicherheitsebene hinzu. Sie können sich damit beispielsweise in Ihrem AutoDNS-Konto anmelden und sie schützt Sie davor, die Kontrolle über Ihre Domains zu verlieren, wenn jemand versucht, auf Ihren Benutzernamen und Ihr Passwort zuzugreifen

5. Schützen Sie Ihr Unternehmen vor Phishing und Betrug

Phishing- und Betrugs-E-Mails werden oft unter dem Deckmantel vertrauenswürdiger Absender oder Domains verschickt. Überprüfen Sie immer genau, wer die E-Mail gesendet hat und unter welcher URL Sie Benutzername und Passwort eingeben.

6. Aktivieren Sie WHOIS Privacy

Die von InterNetX angebotenen Services WHOIS Privacy und WHOIS Privacy Plus verbergen WHOIS-Daten vor dem direkten Zugriff durch Dritte. Die Plus-Option ermöglicht die anonyme Kommunikation zwischen Domain-Inhaber und Anfragenden.

Domain-Sicherheit? InterNetX lässt Sie nicht im Stich!

Sarah, die Inhaberin eines Vintage-Bekleidungsgeschäfts aus Berlin aus unserem Beispiel, konnte ihre Domain nicht zurückgewinnen. Sie kontaktierte ihren Domain-Provider, aber dieser konnte keine Maßnahmen ergreifen, da aus dessen Sicht alles in Ordnung zu sein schien. Sie hatte erste Erfolge mit ihrem Geschäft gefeiert, doch war ihre Domain nicht mit einer eingetragenen Marke verbunden. Sie bat um eine Rechtsberatung, aber die Kosten waren höher, als sie erwartet hatte. Schließlich entschied sie sich, einen brandneuen Domain-Namen zu verwenden und ihr digitales Schaufenster von Grund auf neu zu starten. Dies bedeutete, alle Marketingmaterialien zu ändern und den Traffic auf diese neue Domain umzuleiten.

Sichern Sie Ihre Online-Präsenz: Steigern Sie das Sicherheitsbewusstsein in Bezug auf Cyber-Security-Bedrohungen und schützen Sie Ihre digitalen Assets gegen Domain-Hijacking.

Benötigen Sie Unterstützung bei der Sicherung Ihrer Domains?

Kontaktieren Sie unseren Domain-Support icon-arrow--right