Verwaiste DNS-Einträge sind eine der am häufigsten unterschätzten Sicherheitslücken in modernen IT-Infrastrukturen – und Angreifer wissen das. Wie Hunderte von Universitäts-Subdomains durch schlichte Nachlässigkeit zu Einfallstoren für dubiose Inhalte wurden, zeigt ein aktueller Fall, der die gesamte Branche aufhorchen lassen sollte.
Subdomain-Hijacking: Wie verwaiste DNS-Einträge Universitätswebsites in Einfallstore verwandeln
Hunderte von Subdomains renommierter Universitäten weltweit wurden von Betrügern gekapert und leiten Besucher auf Pornoseiten um. Der Grund dafür ist kein ausgeklügelter Angriff – sondern schlicht vernachlässigte IT-Verwaltung.
Das Angriffsmuster: Einfach, aber wirkungsvoll
Wie Ars Technica berichtet, haben Angreifer Dutzende von Universitäten ins Visier genommen und deren Subdomains systematisch übernommen. Das Muster dahinter ist bekannt und trägt in der Sicherheitsbranche den Namen Subdomain-Hijacking: Wenn eine Organisation einen DNS-Eintrag – etwa einen CNAME-Record – auf einen externen Dienst verweist und diesen Dienst später abkündigt oder das Abonnement auslaufen lässt, ohne den DNS-Eintrag zu entfernen, entsteht eine Lücke.
Der verwaiste Eintrag zeigt weiterhin auf einen nun freien Ressourcennamen, den jeder neu registrieren kann – ohne eine einzige Zeile Exploit-Code.
Genau das nutzen Angreifer aus: Sie beanspruchen den verlassenen Dienst für sich und betreiben unter der vertrauenswürdigen Domain der Universität eigene Inhalte – in diesem Fall Pornografie.
Warum Universitätsdomains besonders attraktiv sind
Für die Betrüger ist das Kalkül eindeutig: Universitätsdomains genießen hohes Ansehen bei Suchmaschinen und werden von Nutzern als vertrauenswürdig eingestuft. Eine Subdomain unter der Adresse einer bekannten Hochschule passiert viele Content-Filter und wirkt auf den ersten Blick seriös.
Dieser Vertrauensbonus ist das eigentliche Kapital, das hier missbraucht wird – nicht eine technische Schwachstelle in irgendeiner Software.
Ein branchenweites Problem
Das Problem ist dabei keineswegs auf Universitäten beschränkt. Jede Organisation, die über die Jahre Subdomains für folgende Zwecke eingerichtet hat, kann betroffen sein:
- Cloud-Dienste und SaaS-Produkte
- Marketingkampagnen und Landingpages
- Externe Projektseiten und temporäre Auftritte
- Partnerportale und Drittanbieter-Integrationen
Gerade in größeren IT-Umgebungen akkumulieren sich über Jahre hinweg DNS-Einträge, die niemand mehr im Blick hat. Mitarbeiter verlassen das Unternehmen, Projekte enden, Dienstleister wechseln – doch die CNAME-Records bleiben bestehen.
Die Lösung: Prozesse statt Technologie
Die Behebung ist technisch simpel, erfordert aber einen Prozess, den viele Organisationen schlicht nicht etabliert haben: eine regelmäßige Überprüfung aller aktiven DNS-Einträge und ein konsequentes Aufräumen verwaister Records.
Tools zur automatisierten DNS-Inventarisierung existieren, werden aber in der Praxis selten systematisch eingesetzt. Sicherheitsexperten empfehlen:
- DNS-Einträge als Teil des regulären Offboarding-Prozesses behandeln
- Externe Dienste beim Abbestellen sofort aus dem DNS entfernen
- Regelmäßige DNS-Audits als festen Bestandteil des IT-Sicherheitskonzepts einplanen
Besondere Relevanz für Deutschland
Für deutsche Unternehmen und Organisationen ist diese Art von Angriff besonders relevant: Viele mittelständische Betriebe und öffentliche Einrichtungen betreiben über Jahre gewachsene IT-Infrastrukturen, in denen DNS-Einträge selten systematisch dokumentiert werden.
Ein kompromittierter Subdomain kann nicht nur den Ruf schädigen, sondern auch regulatorische Konsequenzen nach sich ziehen – etwa dann, wenn unter einer Unternehmensadresse illegale oder zumindest anstößige Inhalte erreichbar sind.
Ein regelmäßiges DNS-Audit, idealerweise als fester Bestandteil des IT-Sicherheitskonzepts, ist der naheliegendste Schritt, um dieses weitgehend unterschätzte Risiko zu adressieren.
Quelle: Ars Technica – Why are top university websites serving porn?