In diesem Jahr fällt der “World Password Day” auf den 1. Mai – ein Tag, der weltweit ins Gedächtnis rufen soll, wie wichtig es ist, seine Passwörter sicher aufzusetzen. Wie verhält es sich mit dem Passwort zu Ihrem Domain-Portfolio? Dabei spielt nicht nur eine Rolle, wie sicher Ihre Passwörter sind, sondern wer überhaupt den Zugang zu Ihren Domains hat, und ob dieser Zugang auch in ein paar Jahren noch gewährleistet ist.
Die stille Gefahr: Zugangsdaten ehemaliger Mitarbeiter
Viele Unternehmen räumen IT-Security bereits jetzt eine große Rolle ein: sie setzen auf Passwort-Manager, 2-Factor-Authentication (2FA) und Zero-Trust-Prinzipien. Aber wenn es um die eigenen Domains geht, ist das Bild oft etwas weniger klar:
- Bei welchem Registrar liegt welche Domain?
- Wer hat die Zugangsdaten zum Domain-Management?
- Ist das Passwort überhaupt dokumentiert und entspricht es der eigenen Security Policy?
- Wissen neue Mitarbeitende, wo sie im Notfall Zugriff auf die Domain-Daten erhalten?
In der Praxis erleben wir häufig: Domain-Verwaltung ist oftmals historisch gewachsen. Die erste Domain wurde vielleicht noch vom Gründer und damaligen Geschäftsführer registriert – nicht selten mit privaten oder kostenfrei verfügbaren E-Mail-Adressen verknüpft, wie gmx.de, web.de oder gmail.com. Später kamen Domains über Agenturen, Dienstleister oder neue Mitarbeiter aus der Marketing-, IT- oder Rechts-Abteilung hinzu. Das Ergebnis: ein Flickenteppich an Anbietern, Passwörtern und Verantwortlichkeiten.
Die Risiken undokumentierter Domain-Zugänge
Welche Risiken damit verbunden sind, ist relativ klar: Erhalten Unbefugte Zugang zur Domain-Verwaltung, lässt sich nicht nur die Ziel-Website ändern, was zu Verlust von Kunden und Umsatz führen kann, sondern auch der E-Mail-Verkehr manipulieren und kontrollieren. Wenn DNS-Konfiguration, SPF, DKIM oder DMARC-Daten von Dritten verändert werden, führt das unweigerlich zu einer Reihe von Risiken:
- E-Mail-Spam und Phishing: Durch SPF (Sender Policy Framework) oder DKIM (DomainKeys Identified Mail) können Dritte E-Mails im Namen des Unternehmens senden, die als Spam oder Phishing-Mails erscheinen.
- E-Mail-Verlust und -Verzögerung: Durch die Manipulation der DNS-Konfiguration könnten E-Mails nicht mehr zugestellt oder verzögert werden. Das kann wichtige Geschäftsbeziehungen beeinträchtigen.
- Man-in-the-Middle-Angriffe: Wenn DKIM oder DMARC (Domain-based Message Authentication, Reporting and Conformance) manipuliert werden, können Dritte E-Mails abfangen und ändern, ohne dass der Absender oder Empfänger es bemerkt. So lassen sich sensitive Daten ausspionieren, oder Zugänge zu weiteren Systemen erschlichen werden.
- Reputationsverlust: Wenn Dritte manipulierte E-Mails im Namen des Unternehmens senden, kann allein das das Vertrauen der Kunden und Geschäftspartner untergraben.
- Finanzielle Verluste: In schweren Fällen können manipulierte E-Mails zu finanziellen Verlusten führen, wenn Dritte beispielsweise Rechnungen oder Zahlungsaufforderungen im Namen des Unternehmens senden.
Risiken durch Freemail-Adressen
Ein großes Problem bei der Registrierung historisch gewachsener Domains ist oft die Verwendung von frei verfügbaren E-Mail-Diensten, sogenannter Freemail-Adressen. Freemail-Adressen sind nicht institutionell verankert, d.h. sie werden nicht über die zentrale IT-Abteilung gemanaged und bergen damit das Risiko, dass sich Zugänge beim Ausscheiden von Mitarbeitern nicht mehr herstellen lassen. Fehlt der Zugang zu dem Freemail-Account, verlieren Unternehmen effektiv den Zugriff auf ihre Domains – ein sicherheitskritisches und potenziell geschäftsschädigendes Problem.
Der kritische “2FA”-Faktor
Auch beim Einsatz von Zwei-Faktor-Authentifizierung (2FA) zeigt sich häufig ein Schwachpunkt:
- Wird der zweite Faktor an eine private Telefonnummer oder personalisierte E-Mail-Adresse gekoppelt, steigt das Risiko, dass sich Accounts durch das Ausscheiden von Mitarbeitern oder der Änderung der persönlichen Daten nicht mehr aktivieren lassen.
- Daher ist es essentiell, den zweiten Faktor entweder von persönlichen Kommunikationsdaten zu entkoppeln, oder im Rahmen des Offboarding-Prozesses eines Mitarbeiters sicherheitstechnisch neu zu vergeben und zentral zu verwalten.
Zentralisierung und klar definierte Prozesse
Um diese Risiken und potenzielle Sicherheitslücken zu minimieren, hilft im ersten Schritt eine Domain-Inventur. Ziel dabei: alle Domains eines Unternehmens, deren Registrare und die zugehörigen Zugangsdaten zu erfassen. Anschließend empfiehlt es sich, alle Domains bei einem zentralen Provider zu konsolidieren, um die Anzahl der Zugänge zu reduzieren und die Verwaltung zu zentralisieren. Wenn Sie sich entscheiden, zu united-domains zu migrieren, helfen wir Ihnen kostenlos dabei.
Für die Hauptdomain ist eine zusätzliche Absicherung empfehlenswert, beispielsweise durch das Aktivieren des Domain-Tresors, der DNSSEC, Zwei-Faktor-Authentifizierung (2FA) für Domain-Aktionen und Whois-Domain-Privacy (Anonymisieren der Inhaberdaten). Diese Maßnahmen erhöhen den Schutz vor unbefugtem Zugriff und Datenverlust, gerade für zentrale Haupt-Domains.
Fazit und was Sie heute noch erledigen können
Starten Sie am besten noch heute mit Ihrer Domain-Inventur. Dazu haben wir eine kostenlose Checkliste vorbereitet, die Ihnen dabei hilft, den Status Quo zu erfassen.
Sollten Sie noch keinen klar definierten Prozess haben, um bei Mitarbeiterwechseln auch alle relevanten Sicherheitsdaten und Zwei-Faktor-Authentifizierungsfaktoren neu zu vergeben, sollten Sie dieses in Ihrer Security Policy verankern.
Aktivieren Sie den Domain-Tresor für Ihre Hauptdomains, um den Zugriff auf Ihre zu schützen und DNS-Antworten Ihrer Domain zuverlässig abzusichern.
Sie möchten Ihr Domain-Portfolio zu united-domains zentralisieren? Wir helfen Ihnen dabei.
