Defaults.Exposed

Defaults.Exposed › Berichte

Die Hall of Fame der Fehlkonfigurationen: Die kuriosesten Sicherheitsrekorde des Webs (2026)

Veröffentlicht 2026-06-29

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Jede Zahl unten ist ein echtes, wiederkehrendes Muster — kein Einzelfall. Siehe wie wir bewerten.

Die meisten Sicherheitsmängel sind langweilig: eine vergessene Einstellung. Einige sind aber wirklich komisch — das digitale Äquivalent dazu, das Gebäude mit dem Schild „MIETERNAME EINSETZEN” noch im Fenster zu übergeben. Wir haben 261 Millionen Domains bewertet; hier sind die Rekorde, bei denen wir zweimal hinschauen mussten.

1. Das Zertifikat, das niemand umbenannt hat

Wenn man ein TLS-Zertifikat mit den Standard-OpenSSL-Eingabeaufforderungen erstellt und einfach Enter drückt, wird der Organisationsname zu einem Platzhalter. Diese Platzhalter sollten vor dem Livegang ersetzt werden. Wurden sie aber nicht:

„Ausgestellt von”-Name auf dem Live-ZertifikatSites
Internet Widgits Pty Ltd244.468
MyCompany Inc.226.830
TRAEFIK DEFAULT CERT108.348
localhost106.086

„Internet Widgits Pty Ltd” ist der buchstäbliche Standardwert in der Beispielkonfiguration von OpenSSL — und 244.468 öffentliche Sites liefern ein damit gestempeltes Zertifikat aus. Über alle offensichtlichen Platzhalter- und Standardnamen hinweg haben 685.732 Sites das Schild nie geändert. Jede einzelne von ihnen ist außerdem selbstsigniert, sodass Besucher eine Browserwarnung erhalten — sie liefern den Platzhalter und den Fehler aus.

2. DMARC, beim Übersetzen verloren

Eine DMARC-Richtlinie funktioniert nur, wenn sie exakt p=none, p=quarantine oder p=reject lautet. 48.648 Domains haben etwas anderes veröffentlicht — das Richtlinienwort falsch geschrieben oder ganz in einer anderen Sprache (die Live-Daten enthalten spanische, französische und portugiesische Schreibweisen von „none”). Die Absicht war richtig; die exakte Schreibweise nicht — und DMARC akzeptiert nur das englische Schlüsselwort, sodass alle von ihnen null Schutz bieten. (Vollständige, aktuelle Liste mit Zählungen: die häufigsten DMARC-Tippfehler des Internets.)

3. Die SPF-Willkommensmatte

Die ganze Aufgabe von SPF ist es, anzugeben, welche Server in Ihrem Namen E-Mails senden dürfen. 36.014 Domains beenden ihren Eintrag mit +all — was das genaue Gegenteil bedeutet: „jeder Server im Internet ist autorisiert, in meinem Namen zu senden.” Das ist das Sicherheitsäquivalent dazu, seinen Schlüssel an die Tür zu kleben. Weitere 7.958 brechen ihr SPF stillschweigend, indem sie das Limit von 10 DNS-Abfragen überschreiten und es damit vollständig ungültig machen. (Mehr: der SPF-Fehlkonfigurationsbericht.)

4. Lobende Erwähnung: die selbstsignierten Millionen

Über die komischen Namen hinaus liefern 3.378.080 Sites ein selbstsigniertes Zertifikat aus — eines, das sie sich selbst ausgestellt haben und das Browser ablehnen. Meist ein Router, eine Testbox oder ein internes Tool, das versehentlich auf das öffentliche Internet gerichtet wurde und nie ein echtes Zertifikat erhielt.

Was die komischen gemeinsam haben

Jeder Eintrag hier hat dieselbe Grundursache wie die langweiligen Fehler: ein unangetasteter Standardwert, ein übersprungener Schritt, ein nicht zu Ende geführtes Copy-Paste. Das Web scheitert nicht dramatisch — es scheitert durch Trägheit, einen nicht umbenannten Platzhalter nach dem anderen. Das Gute daran: Jeder einzelne davon ist eine Fünf-Minuten-Korrektur.

Häufig gestellte Fragen

Warum sagen so viele Zertifikate „Internet Widgits Pty Ltd”? Es ist der Standard-Organisationsname in der Beispielkonfiguration von OpenSSL. Wenn jemand ein Zertifikat erstellt und die Standardwerte akzeptiert, landet dieser Platzhalter auf dem Live-Zertifikat. 244.468 öffentliche Sites haben ihn nie geändert.

Bewirkt eine DMARC-Richtlinie in einer anderen Sprache etwas? Nein. DMARC erkennt nur die exakten Schlüsselwörter none, quarantine und reject. Ein Eintrag mit falsch geschriebenem oder in einer anderen Sprache verfasstem Richtlinienwort ist ungültig und wird ignoriert — die Domain bleibt fälschbar.

Was bewirkt SPF +all? Es autorisiert jeden Server im Internet, E-Mails im Namen Ihrer Domain zu senden — schlimmer, als gar kein SPF zu haben. 36.014 Domains haben es, fast immer aus Versehen.

Sind das seltene Sonderfälle? Nein — jeder betrifft Hunderttausende bis Millionen von Domains, durchgängig gefunden über einen Zensus von 261 Millionen Domains. Es sind verbreitete Standardwerte, keine Ausnahmeunfälle.

Stellen Sie sicher, dass Ihre Domain nicht in der nächsten Ausgabe ist

Die meisten davon sind Ein-Zeilen-Korrekturen. Überprüfen Sie Ihre Domain privat und kostenlos — sehen Sie Ihr Zertifikat, DMARC und SPF genau so, wie das Internet sie sieht.

Überprüfen Sie Ihre Domain → · DMARC-Tippfehler → · SPF-Fehlkonfigurationsbericht → · Der Zertifikatsfehlerbericht → · Nur aggregierte Daten. Daten gespeichert und verarbeitet in der EU.