Frau verzweifelt über Sicherheitsrisiken bei Domains Ärgern Sie sich nicht nachher, sondern achten Sie vorher auf mögliche Risiken und Sicherheitslücken bei eigenen und fremden Domains.

Die Registrierung einer Domain ist schnell erledigt und kostet meistens nicht viel. So kommt es im Internet öfter vor, dass man als Firma für ein neues Projekt auch eine neue Domain registriert. Als Unternehmen oder Startup bietet man Services an, schreibt Blogartikel oder stellt praktische Funktionen für die Nutzer zur Verfügung. Was soll daran gefährlich sein? Dieser Artikel gibt Tipps zum Umgang mit Domains – eigenen und fremden.

Die eigene Domain

Wie gesagt, die eigene (gekündigte) Domain kann unter Umständen ein Sicherheitsrisiko darstellen – auch für Ihre Besucher und Kunden. Eine Möglichkeit: Ein Projekt wird nicht mehr weitergeführt und man kündigt die Domain. Was könnte oder wird passieren?

  • Ein Mitbewerber schnappt sich die freigewordene Domain und führt ein ähnliches oder gänzlich anderes „Geschäft“ dort weiter. Das ist eventuell verwirrend für die bisherigen Nutzer beziehungsweise eigenen Kunden.
  • Die Domain wird von einem unseriösen Anbieter registriert und dementsprechende Services werden offeriert. Eventuell wird es gefährlich für die Nutzer, weil sie dem unseriösen Anbieter unter der gewohnten Domain vertrauen.
  • Die Domain wird nicht neu vergeben und die (ehemaligen) Kunden sehen nur noch die Fehlermeldung „Diese Website ist nicht erreichbar …“. Auch wenn Sie die Website nicht mehr im Repertoire haben, wirft es ein schlechtes Licht auf Sie.

Tipps für die eigenen Domains

Maßnahme: Domain nicht kündigen

Wenn man eine Domain nicht mehr braucht, sollte man sie dennoch in vielen Fällen behalten. Vielleicht sogar für immer. Schalten Sie eine Information auf die Startseite; eine schlichte Landingpage mit Infotext genügt vollkommen.

Alle bisherigen Unterseiten und gegebenenfalls Subdomains sollten auf diese Startseite führen (Redirect). Erklären Sie, warum/dass Sie Ihr Angebot eingestellt haben und (optional) weisen Sie darauf hin, wo die Besucher Sie jetzt finden können.

Vermeiden Sie auf jeden Fall reputationsschädigende Folgen, indem sich jeder ihre aufgegebene Domain schnappen kann und „sonstwas“ damit machen kann. Dazu gleich mehr, wenn es im nächsten Abschnitt um fremde Domains und die damit verbundenen Sicherheitsrisiken geht.

Domains mit archivierten Inhalten

Denken Sie auch daran: Das Internet vergisst nichts! Wer auf Wayback Machine stöbert, findet teilweise die lustigsten bis skurilsten und auch peinliche Inhalte. Vielleicht sogar abgemahnte Inhalte, die längst von Ihnen (damals) gelöscht worden sind?

Vergessen Sie also auch nicht, eine E-Mail an diese Archivierungsdienste zu schreiben (siehe FAQ dort), um Ihre dort archivierten Seiten komplett löschen zu lassen. Geben Sie Crawlern und Suchmaschinen die richtigen technischen Informationen und sorgen damit dafür, dass alle Seiten aus dem Index verschwinden. Das funktioniert am besten, wenn Sie die Domain immer noch im Zugriff haben.

 

Fremde Domains

In Kombination mit der eigenen Domain kann die Verbindung mit fremden Domains zum Sicherheitsrisiko werden. Sobald Sie in Ihre Webpräsenz Code von Drittanbietern einbinden, also fremde Dienste nutzen, kann es heikel werden.

Ein (eher harmloses, aber ärgerliches) Beispiel aus der Praxis ist der Einbettungs-Code von YouTube Videos: In älteren Blogartikeln von mir (so um 2010) finde ich immer wieder Code, der nicht mehr funktioniert. Dieser hat sich nämlich geändert! Nach einer Übergangsphase wurde der alte Code mit Flash-Technik unbrauchbar gemacht; das Video wird heute nicht mehr angezeigt. Man muss also sämtliche Codeschnippsel austauschen.

Jetzt stellen Sie sich dieses Szenario mit einer Sicherheitslücke im Code vor, den Sie von Dritten bei sich eingebunden haben. Oder noch schlimmer: Der Anbieter kündigt seine Domain, sie kommt wieder auf den freien Domain-Markt und wird von einem neuen Inhaber so manipuliert, dass Ihre Codeschnippsel, die einst nützlich waren, schädlich werden. Weil bösartiger Code eingeschleust wird.

Dieses kann natürlich auch unabsichtlich aus Anbietersicht passieren, wenn die Website gehackt wird und der bösartige Angreifer ein leichtes Spiel hat, durch Ihre Code-Einbettung der gehackten Präsenz an Ihre Website heranzukommen.

Wie kann man sich vor Schadcode von Fremd-Domains schützen?

Dokumentation und regelmäßige Kontrolle sind Pflicht! Wenn Sie einen großen Nutzen davon haben, Drittanbieter-Code einzubinden, dann sollten Sie das mit äußerster Vorsicht und Aufmerksamkeit tun. Bei möglichen Alternativen wählen Sie die Lösung, dass Sie den Code (JavaScripte, Bilder, Downloads) selber verwalten.

Verlinken Sie nicht direkt auf Downloads von Dritten (Dateien wie EXE, DMG, ZIP, …) sondern auf die Anbieter-Website. Wenn Sie unbedingt den Download als Link zur Verfügung stellen möchten, richten Sie eine Website/Unterseite ein, auf der Sie den Download (mit Beschreibung) anbieten. Weisen Sie dort auf mögliche Risiken für den Nutzer hin und mahnen zur Vorsicht.

Seien Sie skeptisch, wenn Sie sogenannte Plugins (WordPress) oder Extensions (TYPO3) einsetzen. Ein versierter Blick in den Code hat schon manches Installieren eines „kleinen Helfers“ verhindert. „Telefoniert“ die Erweiterung nämlich ständig mit seinem Entwickler und liefert (Ihrerseits ungefragt sowie unerlaubt) Nutzungsdaten oder andere sensible Daten, verzichtet man lieber auf den Einsatz. Die Alternative wäre eine selbstprogrammierte Erweiterung.

Tipps für den Umgang mit fremden Domains

Nutzen Sie eingebetteten Code von Bilder- oder Video-Diensten sowie Diensten wie Statistik-Tools, Werbe-Bannern und so weiter nur nach eingehender Prüfung des Anbieters. Zwar sind auch die „großen Player“ wie Google, Microsoft und andere nicht vor Hacking und Sicherheitslücken gefeit, doch bieten sie ein wenig mehr Sicherheit (zumindest das Gefühl) als Anbieter, die sich nicht lange auf dem Markt halten können.

Gehen Sie davon aus, dass eine fremde Domain ganz schnell den Besitzer wechseln kann. Das beschriebene Szenario mit der eigenen gekündigten Domain lässt sich auf fremde Domains ebenso übertragen. Domain-Übernahmen sind keine Seltenheit. Ebenso gefährlich können Subdomains sein.

Läuft – unbemerkt vom Domaininhaber – ein DNS-Hijacking, dann könnte Schadcode ausgespielt werden. Achten Sie immer darauf, wenn sich etwas auf der Website eines Code-Anbieters ändert. Abonnieren Sie den Newsletter von den Diensten, die Sie nutzen und löschen Sie sofort den eingebetteten Code, wenn der Dienst eingestellt wird.
Besser noch (wie gesagt): Nutzen Sie so wenig wie möglich externe (Code-)Quellen.

 

Nicole Y. JodeleitAutorin dieses Beitrags:

Nicole Y. Jodeleit ist Freiberuflerin für Online-Kommunikation und schreibt auf verschiedenen Corporate Blogs über unterschiedliche Themen. Auf dem eigenen Blog Auto-Diva hat sie ihr Interesse für Autos und Technik zur Passion gemacht.