FragDenStaat.at

Staatliche Domains

Anfrage an: Bundeskanzleramt
Verwendetes Gesetz: Informationsfreiheitsgesetz

Der Vortrag "Verlorene Domains, offene Türen - Was alte Behördendomains verraten", gehalten von Tim Philipp Schäfers auf dem 39C3 (vom Chaos Computer Club (CCC) organisierte Konferenz zu IT-Sicherheit, Technik und Gesellschaft), thematisiert ein ernstes Sicherheitsproblem staatlicher IT-Infrastruktur in Deutschland.

https://media.ccc.de/v/39c3-verlorene-d…

Im Talk wird gezeigt, was passiert, wenn staatliche Domains auslaufen, nie registriert wurden oder falsch konfiguriert sind. Solche Domains konnten von Dritten übernommen werden, wodurch über längere Zeit DNS-Anfragen aus Netzen deutscher Bundesbehörden sichtbar wurden. Das eröffnet gefährliche Angriffsmöglichkeiten, etwa das Umleiten von Anfragen, das Manipulieren von E-Mail-Validierungen oder die Übernahme von Accounts.

Außerdem problematisch sind dabei Typo- und Bitsquatting, etwa am Beispiel der Domain bund.ee (statt bund.de), über die zahlreiche Anfragen von Bundesbehörden eingingen. Das macht deutlich, dass neben technischen Fehlern auch organisatorische Schwächen und fehlende einheitliche Domainstrategien des Bundes zu diesen Risiken beitragen.

Die im Vortrag beschriebenen Vorfälle zeigen des Weiteren, dass fehlende oder uneinheitliche Gov-Domains dazu führen, dass Systeme weiterhin auf nicht (mehr) kontrollierte Domains zugreifen - mit potenziell gravierenden Sicherheitsfolgen. Auch in Österreich werden nicht ausschließlich Gov-Domains (.gv.at) für den Betrieb staatlicher Websites verwendet.

1) Welche Maßnahmen treffen Sie, um mit den angesprochenen Themen umzugehen? Ich bitte um Zusendung etwaiger Leitfäden oder sonstiger Unterlagen zum Umgang mit den angesprochenen Themen. Konkret also insbesondere:
1a) ausgelaufene Domains
1b) Typo- und Bitsquatting

2) Warum werden derzeit für staatliche Websites nicht ausschließlich Gov-Domains verwendet und gibt es dementsprechende Bemühungen, jeweils sowohl im Bezug auf bestehende, als auch neue Domains? Auch hier bitte ich um Zusendung etwaiger Leitfäden oder sonstiger Unterlagen zum Umgang mit den angesprochenen Themen.

Warte auf Antwort

  • Datum
    10. Februar 2026
  • Frist
    10. März 2026
  • 3 Follower:innen
  • Anfrage teilen
    Bluesky Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
Anfragesteller/in
am 10. Feb.
Sehr geehrteAntragsteller/in hiermit beantrage ich gemäß § 7ff Informationsfreiheitsgesetz (IFG) die Erteilung fo…
An Bundeskanzleramt Details
Von
Anfragesteller/in
Betreff
Staatliche Domains [#4437]
Datum
10. Februar 2026 23:18
An
Bundeskanzleramt
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Sehr geehrteAntragsteller/in hiermit beantrage ich gemäß § 7ff Informationsfreiheitsgesetz (IFG) die Erteilung folgender Information:
Der Vortrag "Verlorene Domains, offene Türen - Was alte Behördendomains verraten", gehalten von Tim Philipp Schäfers auf dem 39C3 (vom Chaos Computer Club (CCC) organisierte Konferenz zu IT-Sicherheit, Technik und Gesellschaft), thematisiert ein ernstes Sicherheitsproblem staatlicher IT-Infrastruktur in Deutschland. https://media.ccc.de/v/39c3-verlorene-d… Im Talk wird gezeigt, was passiert, wenn staatliche Domains auslaufen, nie registriert wurden oder falsch konfiguriert sind. Solche Domains konnten von Dritten übernommen werden, wodurch über längere Zeit DNS-Anfragen aus Netzen deutscher Bundesbehörden sichtbar wurden. Das eröffnet gefährliche Angriffsmöglichkeiten, etwa das Umleiten von Anfragen, das Manipulieren von E-Mail-Validierungen oder die Übernahme von Accounts. Außerdem problematisch sind dabei Typo- und Bitsquatting, etwa am Beispiel der Domain bund.ee (statt bund.de), über die zahlreiche Anfragen von Bundesbehörden eingingen. Das macht deutlich, dass neben technischen Fehlern auch organisatorische Schwächen und fehlende einheitliche Domainstrategien des Bundes zu diesen Risiken beitragen. Die im Vortrag beschriebenen Vorfälle zeigen des Weiteren, dass fehlende oder uneinheitliche Gov-Domains dazu führen, dass Systeme weiterhin auf nicht (mehr) kontrollierte Domains zugreifen - mit potenziell gravierenden Sicherheitsfolgen. Auch in Österreich werden nicht ausschließlich Gov-Domains (.gv.at) für den Betrieb staatlicher Websites verwendet. 1) Welche Maßnahmen treffen Sie, um mit den angesprochenen Themen umzugehen? Ich bitte um Zusendung etwaiger Leitfäden oder sonstiger Unterlagen zum Umgang mit den angesprochenen Themen. Konkret also insbesondere: 1a) ausgelaufene Domains 1b) Typo- und Bitsquatting 2) Warum werden derzeit für staatliche Websites nicht ausschließlich Gov-Domains verwendet und gibt es dementsprechende Bemühungen, jeweils sowohl im Bezug auf bestehende, als auch neue Domains? Auch hier bitte ich um Zusendung etwaiger Leitfäden oder sonstiger Unterlagen zum Umgang mit den angesprochenen Themen.
Für den Fall einer Informationsverweigerung beantrage ich hiermit einen Bescheid gemäß § 11 IFG. Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 4437 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.at/a/4437/
Mit freundlichen Grüßen Anfragesteller/in
Nur eingeloggt sichtbar 11. Februar 2026 08:55
Das BMF ist für die Verwaltung von .gv.at zuständig.
Bitte melden Sie sich an, um Kommentare zu lesen oder zu schreiben.