Geheimsache Domains: Ohne Transparenz keine Sicherheit

Wenn Bürger*innen online nach Informationen staatlicher Stellen suchen, erwarten sie vor allem eines: Verlässlichkeit. Offizielle Webseiten sollen klar erkennbar, vertrauenswürdig und leicht auffindbar sein. Doch in Deutschland herrscht in diesem Bereich seit Jahren ein technisches Problem, das kaum öffentlich diskutiert wird: Intransparenz und mangelhaftes Management von Bundes-Domains. Welche Domainnamen tatsächlich vom Bund oder Behörden betrieben werden, ist oft schwer ersichtlich. Das führt zu Verwirrung, Missverständnissen und potenziellen Sicherheitsrisiken.

Während viele andere Staaten eindeutige Regeln und zentrale, öffentliche Verzeichnisse für Regierungsdomains führen (z. B. .gov in den USA, gov.uk in Großbritannien oder gv.at in Österreich), verfolgt Deutschland einen historisch gewachsenen, weitgehend dezentralisierten Ansatz.

Domain-Kuddelmuddel

Behörden nutzen ganz unterschiedliche Endungen und Strukturen:

• .de-Domains, teils mit widersprüchlichen Namensmustern
• .bund.de, das selten übergreifend genutzt wird
• Sonderdomains für Projekte, Initiativen oder zeitlich begrenzte Programme
• Domains einzelner nachgeordneter Behörden, die oft schwer einer übergeordneten Bundesstelle zuzuordnen sind.

Auf Landesebene gibt es ebenfalls eine heterogene Struktur. Ein Großteil der Bundesministerien nutzt keine bund.de oder gov.de-Adressen für Webauftritte. Dabei könnten insbesondere gov.de-Domains mehr Klarheit erzeugen. Viele Websites sind für Außenstehende nicht klar als staatlich erkennbar oder staatliche Websites können leicht nachgeahmt werden. Im Rahmen der Corona-Pandemie wurden staatliche Websites gezielt nachgeahmt und Gelder abgegriffen. Außerdem sind ausgelaufene Domains des Bundes bereits öfter in die Hände von unbefugten Dritten gelangt. Damit gehen erhebliche Risiken einher.

Für Bürger*innen ist es bis heute praktisch unmöglich zu beurteilen, ob eine URL offiziell ist oder nicht. Erschwert wird dies durch Umbenennungen nach Regierungsbildungen. Seit Ende der 1990er Jahre hatte das Bundesverkehrsministerium beispielsweise 5 verschiedene Namen:

• Bundesministerium für Verkehr, Bau- und Wohnungswesen
• Bundesministerium für Verkehr, Bau und Stadtentwicklung
• Bundesministerium für Verkehr und digitale Infrastruktur
• Bundesministerium für Digitales und Verkehr
• Bundesministerium für Verkehr

Die Domains dazu gibt es zu großen Teilen noch bis heute. Als direkte Ministeriums-Domains gibt es: bmvbs.de, bmvi.de, bmvi.eu, bmvi.info, bmvi.net, bmvi.org, bundesbauministerium.com, bundesbauministerium.de, bundesbauministerium.net, bundesbauministerium.org, bundesinfrastrukturministerium.de, bundesverkehrsministerium.com, bundesverkehrsministerium.de, bundesverkehrsministerium.net, bundesverkehrsministerium.org, verkehrsministerium.de. Hinzu kommen „Minister“-Domains, wie: bundesbauminister.de, bundesbauminister.net, bundesbauminister.org, bundesverkehrsminister.com, bundesverkehrsminister.de, bundesverkehrsminister.net, bundesverkehrsminister.org, verkehrsminister.de

Das Beispiel zeigt: Die angestrebte „Digitale Dachmarke für Deutschland“ mit einer Endung gov.de, welche auf einer Sitzung des IT-Planungsrates im März 2024 beschlossen wurde, wartet auch knapp zwei Jahre später noch auf vollständige Umsetzung. Bislang sind nur wenige gov.de-Domains vergeben (vgl. S. 5 von BT-Drucksache 21/2439). Das Verkehrsministerium ist kein Einzelfall, auch andere Ministerien registrieren Domains, halten diese vor oder verlieren sie wieder.

Security by Obscurity

Unsere Versuche, Licht ins Dunkel zu bringen, waren in den vergangenen Jahren nicht immer erfolgreich. Zwar konnten wir mit verschiedenen Anfragen für Transparenz sorgen. In einem Verfahren gegen das Bundesgesundheitsministerium urteilte das Verwaltungsgericht Köln jedoch, dass die Domains der Behörde nicht herausgegeben werden müssen.

Diese Linie verfolgt die Bundesregierung auch heute noch weiter. Sie stuft Listen von Domains als Verschlusssache ein. Das entspricht dem Prinzip Security by Obscurity. Danach sollen Systeme oder Dienste allein dadurch verschützt werden, dass ihre Existenz oder ihr genauer Zugangspunkt – etwa eine Domain – geheim gehalten wird. In der heutigen, hochvernetzten IT-Landschaft gilt dieses Prinzip jedoch weitgehend als überholt.

Gerade bei Domains von Behörden zeigt sich deutlich, dass Geheimhaltung allein keinen verlässlichen Schutz mehr bieten kann. Zum einen sind „geheime“ Domains in der Praxis selten wirklich verborgen. Suchmaschinen, automatisierte DNS-Scans, Zertifikatstransparenz-Logs, Fehlkonfigurationen oder einfache Leaks führen häufig dazu, dass solche Domains früher oder später entdeckt werden. Ein Angreifer muss heute nicht gezielt nach einer einzelnen Behörde suchen, sondern kann mit standardisierten Werkzeugen große Teile des Adressraums systematisch erfassen. Die Annahme, eine unbekannte Domain bleibe dauerhaft unsichtbar, ist daher realitätsfern.

Zum anderen bietet eine geheime Domain keinen Schutz vor gezielten Angriffen. Sobald ein Zugangspunkt bekannt ist – etwa durch einen kompromittierten Account oder interne Informationen – fehlt jede weitere Verteidigungsebene, wenn keine zusätzlichen Sicherheitsmaßnahmen existieren. Moderne IT-Sicherheit folgt deshalb dem Grundsatz, dass Systeme auch dann sicher sein müssen, wenn ihre Architektur und ihre Adressen bekannt sind. Starke Authentifizierungsverfahren, rollenbasierte Zugriffskontrollen, Verschlüsselung, Netzsegmentierung sowie kontinuierliches Monitoring und Logging sind deutlich wirksamer als bloße Geheimhaltung. Für Behörden ist dieser Aspekt besonders kritisch. Sie verarbeiten sensible personenbezogene Daten und stehen zugleich im Fokus von gezielten Angriffen.

Wir veröffentlichen Domain-Liste

Wenn Domains von Behörden offen veröffentlicht und dokumentiert werden, können alle Menschen und auch staatliche Stellen zuverlässig prüfen, ob es sich um eine authentische Seite von Behörden handelt. Das erschwert Betrugsversuche und Desinformationskampagnen erheblich, weil sich gefälschte Angebote leichter entlarven lassen. Gleichzeitig zwingt Offenheit die Betreiber dazu, Sicherheitsmaßnahmen konsequent umzusetzen, anstatt sich auf Geheimhaltung zu verlassen. Veröffentlichte Domains schaffen damit Vertrauen, fördern digitale Souveränität und sind ein notwendiger Bestandteil moderner IT-Sicherheitsarchitekturen: Sicherheit entsteht nicht durch Verbergen – sondern durch Transparenz. Aus diesem Grund veröffentlichen wir hier gebündelt mehr als 2.000 Domains des Bundes, die wir u.a. über Scraping und Suchmaschinen zusammengestellt haben.

→ Zum Talk von Tim Philipp Schäfers beim 39c3