Geheime Domänen: Ohne Transparenz keine Sicherheit

Wenn Bürger online nach Informationen von Behörden suchen, erwarten sie vor allem eines: Zuverlässigkeit. Offizielle Websites sollten klar, vertrauenswürdig und leicht zu finden sein. Doch in Deutschland gibt es in diesem Bereich seit Jahren ein technisches Problem, das kaum öffentlich diskutiert wird: mangelnde Transparenz und eine unzureichende Verwaltung der Bundesdomänen. Es ist oft schwer zu erkennen, welche Domainnamen tatsächlich vom Bund oder von Behörden betrieben werden. Dies führt zu Verwirrung, Missverständnissen und potenziellen Sicherheitsrisiken.

Während viele andere Länder klare Regeln und zentrale, öffentliche Verzeichnisse für Regierungsdomains pflegen (z. B. .gov in den USA, gov.uk in Großbritannien oder gv.at in Österreich), verfolgt Deutschland einen historisch gewachsenen, weitgehend dezentralen Ansatz.

Domain-Kuschelmodell

Behörden verwenden sehr unterschiedliche Endungen und Strukturen:

• .de-Domains, teilweise mit widersprüchlichen Namensmustern
• .bund.de, das selten flächendeckend genutzt wird
• Spezielle Domains für Projekte, Initiativen oder zeitlich begrenzte Programme
• Domänen einzelner nachgeordneter Behörden, die oft nur schwer einer übergeordneten Bundesbehörde zugeordnet werden können.

Auch auf Landesebene herrscht eine heterogene Struktur. Die Mehrzahl der Bundesministerien verwendet weder bund.de- noch gov.de-Adressen für Websites. Insbesondere gov.de-Domains könnten für mehr Klarheit sorgen. Viele Websites sind für Außenstehende nicht eindeutig als staatliche Websites erkennbar oder können leicht nachgeahmt werden. Im Rahmen der Corona-Pandemie wurden Regierungswebsites gezielt nachgeahmt und Gelder beschlagnahmt. Darüber hinaus sind abgelaufene Bundesdomains häufig in die Hände unbefugter Dritter geraten. Dies birgt erhebliche Risiken.

Bisher ist es für Bürger praktisch unmöglich zu beurteilen, ob eine URL offiziell ist oder nicht. Erschwert wird dies durch die Umbenennung nach der Regierungsbildung. Beispielsweise trägt das Bundesverkehrsministerium seit Ende der 1990er Jahre 5 verschiedene Namen:

• Bundesministerium für Verkehr, Bau- und Wohnungswesen
• Bundesministerium für Verkehr, Bau und Stadtentwicklung
• Bundesministerium für Verkehr und digitale Infrastruktur
• Bundesministerium für Digitalisierung und Verkehr
• Bundesverkehrsministerium

Die meisten Domains existieren noch heute. Die direkten Ministeriumsdomains sind: bmvbs.de, bmvi.de, bmvi.eu, bmvi.info, bmvi.net, bmvi.org, bundesbauministerium.com, bundesbauministerium.de, bundesbauministerium.net, bundesbauministerium.org, bundesarchitekturministerium.de, bundesverkehrsministerium.com, bundesverkehrsministerium.de, bundesverkehrsministerium.net, bundesverkehrsministerium.org, verkehrsministerium.de. Es gibt auch „Minister“-Domains wie: bundesbauminister.de, bundesbauminister.net, bundesbauminister.org, bundesverkehrsminister.com, bundesverkehrsminister.de, bundesverkehrsminister.net, bundesverkehrsminister.org, verkehrsminister.de

Das Beispiel zeigt: Die angestrebte „Digitale Dachmarke für Deutschland“ mit der Endung gov.de, die auf einer Sitzung des IT-Planungsrates im März 2024 beschlossen wurde, wartet fast zwei Jahre später immer noch auf ihre vollständige Umsetzung. Bisher wurden nur wenige gov.de-Domains vergeben (siehe S. 5 der BT-Drucksache 21/2439). Das Verkehrsministerium ist kein Einzelfall; Auch andere Ministerien registrieren Domains, behalten sie oder verlieren sie wieder.

Sicherheit durch Dunkelheit

Unsere Versuche, Licht ins Dunkel zu bringen, waren in den letzten Jahren nicht immer erfolgreich. Mit diversen Anfragen konnten wir für Transparenz sorgen. Allerdings entschied das Verwaltungsgericht Köln in einem Verfahren gegen das Bundesgesundheitsministerium, dass die Domains der Behörde nicht herausgegeben werden müssten.

Die Bundesregierung verfolgt diese Linie bis heute. Es klassifiziert Domänenlisten als Verschlusssachen. Dies entspricht dem Prinzip der Sicherheit durch Unklarheit. Demnach sollen Systeme oder Dienste allein dadurch geschützt werden, dass ihre Existenz oder ihr genauer Zugangspunkt – etwa eine Domain – geheim gehalten wird. In der heutigen hochvernetzten IT-Landschaft gilt dieses Prinzip jedoch weitgehend als veraltet.

Gerade wenn es um Regierungsdomänen geht, wird deutlich, dass Geheimhaltung allein keinen zuverlässigen Schutz mehr bieten kann. Einerseits werden „geheime“ Domänen in der Praxis selten wirklich verborgen. Suchmaschinen, automatisierte DNS-Scans, Protokolle zur Zertifikatstransparenz, Fehlkonfigurationen oder einfache Leaks führen häufig dazu, dass solche Domains früher oder später entdeckt werden. Ein Angreifer muss heute nicht mehr gezielt nach einer einzelnen Instanz suchen, sondern kann mit standardisierten Tools große Teile des Adressraums systematisch erobern. Die Annahme, dass eine unbekannte Domäne dauerhaft unsichtbar bleibt, ist daher unrealistisch.

Andererseits bietet eine Secret Domain keinen Schutz vor gezielten Angriffen. Sobald ein Zugangspunkt bekannt ist – beispielsweise durch ein kompromittiertes Konto oder interne Informationen – gibt es keine weitere Verteidigungsebene, wenn keine zusätzlichen Sicherheitsmaßnahmen vorhanden sind. Moderne IT-Sicherheit folgt daher dem Grundsatz, dass Systeme auch dann sicher sein müssen, wenn ihre Architektur und Adressen bekannt sind. Starke Authentifizierungsverfahren, rollenbasierte Zugriffskontrollen, Verschlüsselung, Netzwerksegmentierung sowie kontinuierliche Überwachung und Protokollierung sind deutlich effektiver als bloße Geheimhaltung. Dieser Aspekt ist für Behörden besonders kritisch. Sie verarbeiten sensible personenbezogene Daten und stehen gleichzeitig im Fokus gezielter Angriffe.

Wir veröffentlichen Domainliste

Wenn Domains offen veröffentlicht und von Behörden dokumentiert werden, können jeder und staatliche Stellen zuverlässig überprüfen, ob es sich um eine authentische Autoritätsseite handelt. Dadurch werden Betrugsversuche und Desinformationskampagnen deutlich erschwert, da gefälschte Angebote leichter aufgedeckt werden können. Gleichzeitig zwingt Offenheit die Betreiber dazu, Sicherheitsmaßnahmen konsequent umzusetzen, anstatt auf Geheimhaltung zu setzen. Veröffentlichte Domains schaffen Vertrauen, fördern digitale Souveränität und sind ein notwendiger Bestandteil moderner IT-Sicherheitsarchitekturen: Sicherheit entsteht nicht durch Verstecken – sondern durch Transparenz. Aus diesem Grund veröffentlichen wir hier über 2.000 Bundesdomains, die wir unter anderem mittels Scraping und Suchmaschinen zusammengestellt haben.

→ Zum Vortrag von Tim Philipp Schäfers bei 39c3