FragDenStaat.at

Umgang mit staatlichen Domains

Anfrage an: Bundesministerium für Inneres
Verwendetes Gesetz: Informationsfreiheitsgesetz

Guten Tag,

hiermit beantrage ich gemäß § 7ff Informationsfreiheitsgesetz (IFG) die Erteilung folgender Information:

Der Vortrag "Verlorene Domains, offene Türen - Was alte Behördendomains verraten", gehalten von Tim Philipp Schäfers auf dem 39C3 (vom Chaos Computer Club (CCC) organisierte Konferenz zu IT-Sicherheit, Technik und Gesellschaft), thematisiert ein ernstes Sicherheitsproblem staatlicher IT-Infrastruktur in Deutschland.

https://media.ccc.de/v/39c3-verlorene-d…

Im Talk wird gezeigt, was passiert, wenn staatliche Domains auslaufen, nie registriert wurden oder falsch konfiguriert sind. Solche Domains konnten von Dritten übernommen werden, wodurch über längere Zeit DNS-Anfragen aus Netzen deutscher Bundesbehörden sichtbar wurden. Das eröffnet gefährliche Angriffsmöglichkeiten, etwa das Umleiten von Anfragen, das Manipulieren von E-Mail-Validierungen oder die Übernahme von Accounts.

Außerdem problematisch sind dabei Typo- und Bitsquatting, etwa am Beispiel der Domain bund.ee (statt bund.de), über die zahlreiche Anfragen von Bundesbehörden eingingen. Das macht deutlich, dass neben technischen Fehlern auch organisatorische Schwächen und fehlende einheitliche Domainstrategien des Bundes zu diesen Risiken beitragen.

Die im Vortrag beschriebenen Vorfälle zeigen des Weiteren, dass fehlende oder uneinheitliche Gov-Domains dazu führen, dass Systeme weiterhin auf nicht (mehr) kontrollierte Domains zugreifen - mit potenziell gravierenden Sicherheitsfolgen. Auch in Österreich werden nicht ausschließlich Gov-Domains (.gv.at) für den Betrieb staatlicher Websites verwendet.

1) Welche Maßnahmen treffen Sie, um mit den angesprochenen Themen umzugehen? Konkret also insbesondere:
1a) ausgelaufene Domains
1b) Typo- und Bitsquatting
2) Ich bitte um Zusendung etwaiger Leitfäden oder sonstiger Unterlagen zum Umgang mit den angesprochenen Themen.
3) Warum werden derzeit für staatliche Websites nicht ausschließlich Gov-Domains verwendet und gibt es dementsprechende Bemühungen, jeweils sowohl im Bezug auf bestehende, als auch neue Domains?
4) Ich bitte um eine Auflistung aller Domains und Webseiten unter der Top-Level Domain .gv.at sowie aller anderen Domains und Webseiten die von der österreichischen Bundesregierung, den Landesregierungen, bzw. sonstigen Ämtern oder Behörden betrieben werden inklusive Anführung der zuständigen Stelle. Eine Auflistung in maschinenlesbarer Form wird hierbei bevorzugt.

Für den Fall einer Informationsverweigerung beantrage ich hiermit einen Bescheid gemäß § 11 IFG.

Mit freundlichen Grüßen

Warte auf Antwort

  • Datum
    25. Januar 2026
  • Frist
    22. Februar 2026
  • 0 Follower:innen
  • Anfrage teilen
    Bluesky Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
Anfragesteller/in
am 25. Jan.
Guten Tag, hiermit beantrage ich gemäß § 7ff Informationsfreiheitsgesetz (IFG) die Erteilung folgender Informatio…
An Bundesministerium für Inneres Details
Von
Anfragesteller/in
Betreff
Umgang mit staatlichen Domains [#4357]
Datum
25. Januar 2026 20:53
An
Bundesministerium für Inneres
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Guten Tag, hiermit beantrage ich gemäß § 7ff Informationsfreiheitsgesetz (IFG) die Erteilung folgender Information: Der Vortrag "Verlorene Domains, offene Türen - Was alte Behördendomains verraten", gehalten von Tim Philipp Schäfers auf dem 39C3 (vom Chaos Computer Club (CCC) organisierte Konferenz zu IT-Sicherheit, Technik und Gesellschaft), thematisiert ein ernstes Sicherheitsproblem staatlicher IT-Infrastruktur in Deutschland. https://media.ccc.de/v/39c3-verlorene-d… Im Talk wird gezeigt, was passiert, wenn staatliche Domains auslaufen, nie registriert wurden oder falsch konfiguriert sind. Solche Domains konnten von Dritten übernommen werden, wodurch über längere Zeit DNS-Anfragen aus Netzen deutscher Bundesbehörden sichtbar wurden. Das eröffnet gefährliche Angriffsmöglichkeiten, etwa das Umleiten von Anfragen, das Manipulieren von E-Mail-Validierungen oder die Übernahme von Accounts. Außerdem problematisch sind dabei Typo- und Bitsquatting, etwa am Beispiel der Domain bund.ee (statt bund.de), über die zahlreiche Anfragen von Bundesbehörden eingingen. Das macht deutlich, dass neben technischen Fehlern auch organisatorische Schwächen und fehlende einheitliche Domainstrategien des Bundes zu diesen Risiken beitragen. Die im Vortrag beschriebenen Vorfälle zeigen des Weiteren, dass fehlende oder uneinheitliche Gov-Domains dazu führen, dass Systeme weiterhin auf nicht (mehr) kontrollierte Domains zugreifen - mit potenziell gravierenden Sicherheitsfolgen. Auch in Österreich werden nicht ausschließlich Gov-Domains (.gv.at) für den Betrieb staatlicher Websites verwendet. 1) Welche Maßnahmen treffen Sie, um mit den angesprochenen Themen umzugehen? Konkret also insbesondere: 1a) ausgelaufene Domains 1b) Typo- und Bitsquatting 2) Ich bitte um Zusendung etwaiger Leitfäden oder sonstiger Unterlagen zum Umgang mit den angesprochenen Themen. 3) Warum werden derzeit für staatliche Websites nicht ausschließlich Gov-Domains verwendet und gibt es dementsprechende Bemühungen, jeweils sowohl im Bezug auf bestehende, als auch neue Domains? 4) Ich bitte um eine Auflistung aller Domains und Webseiten unter der Top-Level Domain .gv.at sowie aller anderen Domains und Webseiten die von der österreichischen Bundesregierung, den Landesregierungen, bzw. sonstigen Ämtern oder Behörden betrieben werden inklusive Anführung der zuständigen Stelle. Eine Auflistung in maschinenlesbarer Form wird hierbei bevorzugt. Für den Fall einer Informationsverweigerung beantrage ich hiermit einen Bescheid gemäß § 11 IFG. Mit freundlichen Grüßen
Antragsteller/in Antragsteller/in Anfragenr: 4357 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.at/a/4357/
Noch keine Kommentare. Bitte melden Sie sich an, um Kommentare zu lesen oder zu schreiben.