Ein Subdomain Takeover (die Übernahme von Subdomains) stellt für Unternehmen mit umfangreichen Online-Präsenzen ein erhebliches Risiko dar – und das sind im Jahr 2025 nicht wenige! Ein Domainname bildet das Fundament der digitalen Identität eines Unternehmens. Er umfasst Haupt- und Nebenwebsites und dient als digitale Visitenkarte, Schaufenster und zentrale Plattform für Geschäftsaktivitäten. Für SaaS-Anbieter und Technologieunternehmen sind Domains zudem essenzielle Bestandteile ihrer Produktangebote. 

Ein unbemerkter Angriff auf eine Ihrer Subdomains, die anschließend ohne Ihr Wissen für betrügerische Zwecke verwendet wird, ist daher das Letzte, was Sie brauchen. Dieser Artikel zeigt, wie hoch das Risiko eines Subdomain Takeover ist und welche bewährten Maßnahmen helfen, es zu minimieren. Dazu zählt unter anderem der Einsatz von External Attack Surface Management (EASM) als wirksame Schutzmaßnahme.

Wie funktioniert ein Subdomain Takeover?

Ein Subdomain Takeover erfolgt, wenn ein Angreifer die Kontrolle über eine Subdomain erlangt, auf die eigentlich nur der rechtmäßige Domaininhaber Zugriff haben sollte. Der typische Ablauf ist folgender:

1. Identifikation ungenutzter Subdomains: Der Angreifer scannt die Ziel-Domain nach Subdomains, die nicht mehr aktiv oder falsch konfiguriert sind. Dabei kommen Tools wie sublist3r, amass oder subfinder zum Einsatz.
2. Prüfung der DNS-Einträge: Der Angreifer untersucht die DNS-Einträge dieser Subdomains, um festzustellen, ob sie noch auf einen gültigen Dienst verweisen oder fehlerhaft konfiguriert sind. Fehlkonfigurationen können beispielsweise CNAME-Einträge sein, die auf nicht mehr existierende Dienste verweisen.
3. Ausnutzung der Fehlkonfiguration: Falls eine Subdomain auf einen nicht mehr existierenden Dienst verweist, kann der Angreifer dies ausnutzen. Wenn eine Subdomain beispielsweise auf einen Cloud-Service (wie einen AWS S3-Bucket) verweist, der gelöscht wurde, verweist der DNS-Eintrag weiterhin auf die Domain des Cloud-Service.
4. Beanspruchung der Subdomain: Der Angreifer erstellt einen neuen Dienst (z. B. einen neuen S3-Bucket) mit demselben Namen wie die ursprüngliche Ressource auf dem Cloud-Service. Da der DNS-Eintrag weiterhin auf die Cloud-Domain verweist, wird die Subdomain nun auf die vom Angreifer kontrollierte Ressource geleitet.
5. Kontrolle der Subdomain: Sobald der Angreifer die Subdomain kontrolliert, kann er sie für diverse bösartige Zwecke nutzen, darunter das Hosting von Phishing-Seiten, die Verbreitung von Malware oder die Weiterleitung von Nutzern auf schadhafte Websites.
6. Aufrechterhaltung der Kontrolle: Der Angreifer behält die Kontrolle über die Subdomain, bis der eigentliche Domaininhaber die DNS-Einträge korrigiert oder andere Gegenmaßnahmen ergreift.

Beispielszenario: Eine Bank lässt unbeabsichtigt eine Subdomain ungesichert, die für eine vergangene Werbekampagne genutzt wurde. Ein Angreifer nutzt diese Schwachstelle, um eine betrügerische Webseite zu erstellen, die der Login-Seite der Bank ähnelt. Kunden, die der bekannten URL vertrauen, geben dort ihre Anmeldedaten ein, sodass der Angreifer Zugriff auf Tausende Bankkonten erhält und sensible Daten stehlen kann. Neben rechtlichen Konsequenzen könnte die Bank dadurch einen erheblichen und nachhaltigen Reputationsschaden erleiden.

Aktuelle Hacking-Angriffe im Zusammenhang mit Subdomain Takeover

Subdomain Takeovers sind weit verbreitet und können schwerwiegende Folgen nach sich ziehen. Kürzlich wurde beispielsweise eine massive Werbebetrugs-Kampagne namens „SubdoMailing“ aufgedeckt. Dabei wurden über 8.000 legitime Internetdomains und 13.000 gekaperte Subdomains namhafter Marken genutzt, um täglich bis zu fünf Millionen betrügerische E-Mails zu versenden und so Einnahmen zu generieren.

Große Unternehmen sind ebenfalls betroffen. Im Jahr 2020 stellten Sicherheitsexperten von Microsoft fest, dass zahlreiche Microsoft-Subdomains Angriffsflächen für Übernahmen boten. In einem anderen Fall gelang es Cyberkriminellen, eine Tesla-Subdomain zu kapern und darauf eine betrügerische Kryptowährungs-Website zu hosten.

Motive und Absichten

Sobald ein Angreifer die Kontrolle über eine anfällige Subdomain erlangt hat, kann er bösartige Inhalte hosten und die Subdomain in eine Plattform für Phishing-Kampagnen und andere betrügerische Aktivitäten verwandeln. Hacker nutzen die Übernahme von Subdomains als Mechanismus, um Benutzeranmeldedaten abzufangen, Malware zu verbreiten und sensible Informationen wie Sitzungscookies zu sammeln, die weitere Angriffe ermöglichen können.

Warum sind Subdomains angreifbar?

Jede Domain ist mit einer Reihe von DNS-Einträgen verknüpft, darunter auch CNAME-Einträge, die Subdomains mit bestimmten Diensten verbinden. Sicherheitslücken entstehen, wenn externe Dienste, die häufig bei Cloud-Anbietern gehostet werden, inaktiv oder falsch konfiguriert sind, während die DNS-Einträge weiterhin darauf verweisen.

Diese Schwachstellen ermöglichen es Angreifern, die Subdomain zu kapern, indem sie ihre eigene virtuelle Umgebung aufsetzen und dort schädliche Inhalte bereitstellen. Dadurch können sie Cookies der Hauptdomain abfangen, Cross-Site-Scripting (XSS)-Angriffe durchführen, Content-Sicherheitsrichtlinien umgehen und potenziell Zugang zu sensiblen Benutzerinformationen erlangen oder schadhafte Inhalte an ahnungslose Benutzer ausliefern.

IT-Optionen zur Abwehr von Subdomain Takeovers

Für Unternehmen mit minimaler Online-Präsenz ist das Risiko eines Subdomain Takeover oft vernachlässigbar. Doch für große Organisationen, bei denen Domains eine zentrale Rolle spielen und zahlreiche Subdomains genutzt werden, gewinnt dieses Risiko einen höheren Stellenwert. Hier wird ein Subdomain Takeover zu einer erheblichen Bedrohung für den fortlaufenden Betrieb und die Sicherheit des Unternehmens.

Folgendes sind einige gängige Abwehrmaßnahmen gegen Subdomain Takeovers.

Monitoring und Erkennung

Unternehmen lassen Subdomains nach Gebrauch oft ohne Aufsicht oder mit unsachgemäßer Konfiguration zurück, was im Lauf der Zeit zu Schwachstellen führt. Eines der effektivsten Mittel zur Verhinderung von Subdomain Takeovers ist der Einsatz eines External Attack Surface Management (EASM)-Tools. Diese Lösungen überwachen kontinuierlich Domains und identifizieren potenziell angreifbare Fehlkonfigurationen oder verwaiste Subdomains.

Als wesentlicher Bestandteil einer umfassenden Sicherheitsstrategie kartiert und analysiert EASM den digitalen Fußabdruck eines Unternehmens aus einer externen Perspektive und deckt Schwachstellen auf, bevor sie ausgenutzt werden können. Durch die proaktive Behebung dieser Schwachstellen helfen EASM-Tools Unternehmen, ihre Online-Ressourcen zu schützen und die allgemeine Sicherheit zu erhöhen.

Regelmäßige Überprüfung und Bereinigung von DNS-Datensätzen

Überprüfen Sie regelmäßig Ihre DNS-Einträge, insbesondere die CNAME- und TXT-Einträge, um die Sicherheit und Korrektheit Ihrer Domainkonfigurationen zu gewährleisten. Stellen Sie sicher, dass veraltete oder irrelevante Subdomain-Einträge, die auf ungenutzte Dienste von Drittanbietern verweisen, umgehend entfernt oder aktualisiert werden. So verhindern Sie, dass Angreifer anfällige Subdomains ausnutzen, und schützen Ihre Domain, während Sie gleichzeitig sichere und aktuelle Konfigurationen gewährleisten.

Überwachung von Drittanbieterdiensten

Wenn Sie Drittanbieterdienste wie Cloud-Plattformen oder Content Delivery Networks (CDNs) für Ihre Subdomains nutzen, sollten Sie sicherstellen, dass diese stets aktiv und korrekt konfiguriert sind. Behalten Sie Ablauftermine und Testzeiträume im Blick, um zu verhindern, dass Subdomains auf ungenutzte Adressen zeigen und zum Sicherheitsrisiko werden.

Domain-Schutz durch Registrar-Sperre und MFA

Nutzen Sie die Schutzmechanismen zur Verhinderung unbefugter DNS-Änderungen, die viele Domain-Registrare anbieten, um das Risiko von Hackerangriffen zu vermindern. Aktivieren Sie außerdem eine Multi-Faktor-Authentifizierung (MFA) für den Registrar-Zugang, um eine Sicherheitsschicht hinzuzufügen und unautorisierte Zugriffe weiter zu erschweren. Die Umsetzung dieser Sicherheitsmaßnahmen verringert das Risiko einer Übernahme von Subdomains erheblich und trägt zum Schutz Ihrer Online-Ressourcen bei.

Analysieren Sie kostenlos Ihre Angriffsfläche

Möchten Sie eine umfassende Übersicht über Ihre Angriffsflächen erhalten, einschließlich aller Domains und Subdomains? Buchen Sie hier eine kostenlose Analyse.