Defaults.Exposed › Berichte
Domain- und DNS-Hijacking: Wie Domains gestohlen werden und wie Sie Ihre absichern (2026)
Veröffentlicht 2026-07-01
Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Hijacking bedeutet, die Kontrolle über das DNS oder die Registrierung Ihrer Domain zu übernehmen, um deren Datenverkehr und E-Mails umzuleiten. Siehe wie wir bewerten.
Domain-Hijacking berührt Ihre Website nicht — es übernimmt das DNS oder das Registrar-Konto, das darauf verweist, sodass Ihre eigenen Besucher und E-Mails unbemerkt zu einem Angreifer umgeleitet werden. Die beiden DNS-Kontrollen, die das Risiko am stärksten senken, gehören zu den am wenigsten verbreiteten im Web: Nur 1,99 % der Domains haben gültiges DNSSEC und lediglich 1,56 % veröffentlichen einen CAA-Eintrag. So werden Domains gestohlen und so sichern Sie Ihre ab.
Wie Domains tatsächlich gekapert werden
- Übernahme des Registrar-Kontos — ein abgephishtes oder wiederverwendetes Passwort bei Ihrem Registrar-Login erlaubt einem Angreifer, Nameserver zu ändern oder die Domain gleich ganz zu transferieren. Der wirkungsvollste Angriffsweg — und der am besten vermeidbare.
- Manipulation von DNS-Einträgen / Cache Poisoning — gefälschte DNS-Antworten leiten Nutzer und E-Mails anderswohin. Genau das soll DNSSEC verhindern — und 1,99 % der Domains haben es (mit weiteren 3,02 %, die signiert, aber fehlerhaft sind).
- Verwaiste Einträge — ein DNS-Eintrag, der weiterhin auf eine Cloud-Ressource verweist, die Ihnen nicht mehr gehört, ermöglicht es jemand anderem, sie zu beanspruchen (Subdomain-Übernahme).
- Neuregistrierung abgelaufener Domains — lassen Sie eine Domain verfallen, kann sie jeder neu registrieren und den verbliebenen Datenverkehr und das Vertrauen erben. Im gesamten Zensus lösen 6,2 % der Domains nicht mehr auf — ein großer Pool verfallener Namen. Siehe die toten Domains des Internets.
- Ausstellung betrügerischer Zertifikate — ohne einen CAA-Eintrag, der einschränkt, welche Stellen für Ihre Domain ausstellen dürfen, ist ein fehlerhaft ausgestelltes Zertifikat leichter zu erlangen. Nur 1,56 % der Domains setzen einen.
Konzentration schafft eine systemische Dimension
Die meisten Domains verlassen sich auf eine Handvoll DNS-Anbieter, sodass ein einzelner Anbietervorfall überproportionale Reichweite hat: Der größte Nameserver-Betreiber allein bedient 15,4 % der Domains, die einen anerkannten Anbieter nutzen, und die fünf größten zusammen 42,1 %. Konzentration ist kein Fehler, den Sie allein beheben können, aber sie ist ein Grund, die Kontrollen, die Sie besitzen, richtig zu machen. Siehe Nameserver-Konzentration.
Wie Sie Ihre Domain absichern
- Sichern Sie das Registrar-Konto — einzigartiges Passwort, starke MFA und aktivieren Sie die Registrar-Sperre (Transfer verboten), sodass die Domain nicht ohne ausdrückliche Entsperrung verschoben werden kann.
- Aktivieren Sie DNSSEC, wo Ihr Host es automatisiert — es stoppt gefälschte DNS-Antworten am Resolver.
- Veröffentlichen Sie einen CAA-Eintrag, der nur die von Ihnen genutzten Zertifizierungsstellen benennt, sodass kein betrügerisches Zertifikat ausgestellt werden kann.
- Prüfen Sie das DNS auf verwaiste Einträge — entfernen Sie Einträge, die auf Ressourcen verweisen, die Sie nicht mehr kontrollieren.
- Lassen Sie wichtige Domains niemals verfallen — verlängern Sie die Registrierung automatisch und halten Sie die Kontaktdaten aktuell, damit keine Verlängerungsmitteilung durchrutscht.
Häufig gestellte Fragen
Was ist Domain-Hijacking? Die Übernahme der Registrierung oder des DNS Ihrer Domain, um deren Web- und E-Mail-Verkehr umzuleiten — ohne jemals Ihre tatsächlichen Server zu kompromittieren.
Wie unterscheidet sich DNS-Hijacking? DNS-Hijacking manipuliert gezielt die Einträge, die Ihre Domain auflösen (über Kontoübernahme, Cache Poisoning oder einen kompromittierten DNS-Host). DNSSEC schützt vor gefälschten Antworten; nur 1,99 % der Domains haben es.
Was ist der einzige beste Schutz? Die Absicherung des Registrar-Kontos — einzigartiges Passwort, MFA und Registrar-Transfersperre. Die meisten Hijackings beginnen mit Kontozugriff, nicht mit raffinierten Angriffen.
Stoppt DNSSEC Hijacking? Es stoppt eine wichtige Klasse — gefälschte/vergiftete DNS-Antworten —, aber keine Übernahme des Registrar-Kontos. Nutzen Sie es zusammen mit Kontosicherheit und CAA.
Ist irgendetwas davon teuer? Nein. Registrar-Sperre, DNSSEC und CAA sind kostenlose Einstellungen; die Kosten sind die Disziplin, sie anzuwenden.
Prüfen Sie die DNS-Abwehr Ihrer Domain kostenlos
Sehen Sie, ob DNSSEC und CAA vorhanden und korrekt konfiguriert sind — vertraulich und nur für Eigentümer.
Prüfen Sie Ihre Domain → · DNSSEC beheben → · CAA beheben → · Wie wir bewerten → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.