IT-Sicherheit
Wenn Domains in der Urlaubszeit zum Einfallstor werden
Zusammenfassung
Urlaubszeit bedeutet für viele IT-Teams: Vertretungsregelungen, fehlende Übergaben, unterbesetzte Monitoring-Queues. Für Angreifer ist das eine verlässliche Gelegenheit, besonders wenn Domains und DNS-Konfigurationen dabei aus dem Fokus geraten. Tags: #Domain | #Urlaub
Im Detail
Urlaubszeit bedeutet für viele IT-Teams: Vertretungsregelungen, fehlende Übergaben, unterbesetzte Monitoring-Queues. Für Angreifer ist das eine verlässliche Gelegenheit, besonders wenn Domains und DNS-Konfigurationen dabei aus dem Fokus geraten.
.de gehört zu den sichersten Länder-Endungen (ccTLD) weltweit. Laut dem Global Domain Report 2026 lag.de im Ranking der sichersten ccTLDs mit mehr als einer Million Domains im gesamten Betrachtungszeitraum auf Platz 1, vor.ch,.ca,.nl und.uk. Das ist kein Zufall, sondern das Ergebnis aktiver Sicherheitspraxis: hohe Registrierungsstandards, schnelle Reaktion bei Missbrauch, wachsende DNSSEC-Adoption.
Doch diese Praxis hat eine saisonale Schwachstelle. Jedes Jahr in der Urlaubs-High-Season zwischen Juli und September wiederholt sich dasselbe Muster: Zuständigkeiten sind unklar, Monitoring-Alerts landen in Postfächern, die niemand liest, und Domains geraten aus dem Blickfeld, obwohl Website, E-Mail und Authentifizierungsdienste unmittelbar von ihnen abhängen.
Angreifer wissen das und nutzen es systematisch aus.
Welche Angriffsmuster in der Ferienzeit wiederkehren
Domain-bezogene Angriffe folgen keinem Zufallsprinzip. Sie orientieren sich an Gelegenheiten, und die entstehen dort, wo Aufmerksamkeit nachlässt. Drei Muster sind besonders relevant:
Kampagnen-Domains, die nach einer Aktion nicht verlängert werden, fallen in den freien Markt zurück. Wer sie registriert, übernimmt damit eine Adresse, die noch in externen Systemen verankert ist: als Ziel von E-Mail-Weiterleitungen, als referenzierte Subdomain in übergeordneten DNS-Zonen oder als hinterlegter Absender in SPF- und DKIM-Einträgen anderer Domains.
Diese Referenzen werden beim Ablauf einer Domain nicht automatisch bereinigt. Ein Angreifer, der die Domain neu registriert, kann so Kommunikationsflüsse abfangen oder sich gegenüber Dritten als legitimer Absender ausgeben.
Parallel dazu registrieren Angreifer Domains, die der Unternehmensadresse ähneln: mit Buchstabendrehern, zusätzlichen Bindestrichen oder alternativen TLDs (Typosquatting). Diese Lookalike-Domains werden für Phishing-Kampagnen, CEO-Fraud oder gefälschte Lieferantenkorrespondenz genutzt. Wenn das interne Monitoring in der Ferienzeit pausiert, bleiben solche Registrierungen oft wochenlang unbemerkt.
Ein drittes Muster betrifft SSL-Zertifikate. Scheitert die automatische Erneuerung und niemand bemerkt es, wird die Domain im Browser als „nicht sicher“ markiert. Das schadet nicht nur der Nutzererfahrung. Es spielt Angreifern in die Hände, die eine optisch ähnliche Domain mit gültigem Zertifikat betreiben, während die echte Unternehmensseite rot markiert ist.
Hinzu kommt ein strukturelles Problem, das IT-Verantwortliche kennen, aber selten systematisch angehen: Viele Unternehmen haben kein vollständiges Bild ihres Domain-Portfolios. Kampagnen-Domains aus vergangenen Jahren, Subdomains für abgelöste Dienste, Weiterleitungen ohne aktiven Inhalt: Vieles davon bleibt undokumentiert. Und was nicht bekannt ist, kann auch nicht geschützt werden.
Minimal-Controls, die in der Ferienzeit tragen
Vollständige Domain-Sicherheit lässt sich nicht in einer Urlaubsvorbereitung nachholen. Aber es gibt Maßnahmen, die den Angriffsraum konkret verkleinern, ohne großen Aufwand bei rechtzeitiger Einführung:
Transfer-Lock und Registrar-Lock verhindern, dass Domains ohne explizite Freigabe übertragen oder gelöscht werden können. Sie sind bei den meisten Registraren kostenlos verfügbar und sollten für alle geschäftskritischen Domains dauerhaft aktiv sein.
Mehrfaktor-Authentifizierung ist der wirksamste Schutz gegen unbefugten Zugriff auf Domain-Verwaltungskonten. Wer MFA noch nicht aktiviert hat, holt das vor der Urlaubssaison nach und stellt sicher, dass auch Vertretungen Zugang haben, ohne Passwörter weitergeben zu müssen.
Automatisiertes Domain-Monitoring erkennt neue Lookalike-Registrierungen, DNS-Änderungen und Zertifikatsprobleme, unabhängig von Urlaubsabwesenheiten. Entscheidend ist, dass Alerts nicht nur in einem Postfach landen, sondern an eine Vertretungsadresse oder ein gemeinsames Ticket-System weitergeleitet werden.
Zuständigkeiten klar regeln: Domains dürfen kein Point of Failure sein
Das eigentliche Problem ist selten technischer Natur. Es ist organisatorisch. Domains werden in vielen Unternehmen als IT-Infrastruktur behandelt, als Selbstverständlichkeit, die läuft, bis sie nicht mehr läuft. Verantwortlichkeiten sind oft nicht schriftlich fixiert, Eskalationswege nicht definiert, Übergaben nicht dokumentiert.
Das ändert sich gerade, auch regulatorisch. Die NIS-2-Richtlinie stuft DNS als kritische Infrastruktur ein. Was früher Best Practice war, wird zunehmend zur Pflicht: klare Verantwortlichkeiten, dokumentierte Prozesse, nachweisbare Schutzmaßnahmen.
Konkret bedeutet das:
Eine benannte Person ist für das Domain-Portfolio verantwortlich, und eine definierte Vertretung übernimmt diese Rolle während der Abwesenheit.
Monitoring-Alerts sind so konfiguriert, dass sie auch während der Ferienzeit bearbeitet werden können.
Es gibt einen dokumentierten Change-Prozess: Keine DNS-Änderung ohne Freigabe, keine Übertragung ohne Vier-Augen-Prinzip.
Eskalationswege sind schriftlich festgelegt: Wer wird bei einem Domain-Ausfall kontaktiert? Wer hat Zugriff auf den Registrar-Account?
Diese Fragen klingen nach Grundlagen und sind es auch. Aber in der Praxis fehlen die Antworten überraschend oft, und das fällt meistens genau dann auf, wenn es zu spät ist.
Fazit: Sicherheit braucht keine Sommerpause
.de ist eine der sichersten TLDs der Welt. Diesen Standard zu halten ist kein Selbstläufer. Er erfordert aktive Pflege, auch und gerade in der Ferienzeit. Transfer-Lock, MFA, Monitoring, klare Zuständigkeiten: Das sind keine Hochsicherheitsprojekte. Es sind operative Grundlagen, die sich ohne Spezialprojekt umsetzen lassen.
Wer vor dem Sommer eine Domain-Inventur durchführt, Vertretungsregelungen dokumentiert und Monitoring-Alerts auf Vertretungsadressen umleitet, schließt ein Risikofenster, das Angreifer seit Jahren zuverlässig nutzen. Das ist keine Übervorsicht. Es ist professionelles Domain-Management.
Autor: Stephan Schmidt, Geschäftsführer von united-domains
Tags: #Domain | #Urlaub