Apps & Mobile Entwicklung
Nachlässigkeiten in der Verwaltung: Wie ehemalige Behörden-Domains zu Sicherheitsrisiken werden
Behörden und Verwaltungen verwenden eine Vielzahl an Domains. Wenn diese aber nicht mehr benötigt und aufgegeben werden, können diese sich zu einer Schwachstelle entwickeln. Von einem Fall beim Bundesamt für Migration und Flüchtlinge (BAMF) berichten Netzpolitik.org und das im Bereich Cybersicherheit tätige Start-up Mint Secure.
Ausgangspunkt war ein neuer Name. Bis 2005 hieß das BAMF noch Bundesamt für Anerkennung ausländischer Flüchtlinge (BAFL). Eine der Domains, die daher genutzt wurde, war www.bafl.de. Bis mindestens 2013 leitete diese noch zur aktuellen BAMF-Seite weiter. Irgendwann wurde sich bei der Behörde aber offenkundig dafür entschieden, Altlasten loszuwerden – die BAFL-Domain wurde aufgegeben.
Aufgegebene Domain erhält immer noch Anfragen aus Bundesnetzen
Intern ist dieser Schritt aber nicht komplett umgesetzt worden, zeigt nun die Analyse von Mint Secure. Der Gründer und IT-Sicherheitsexperte Tim Philipp Schäfers hatte sich die Domain bafl.de gekauft, die Vorbesitzer hatten anscheinend kein Interesse mehr. Interessiert hatte ihn laut dem Bericht von Netzpolitik.org, inwieweit ehemalige Behörden-Domains noch aufgerufen werden.
Was er bei seinem Test feststellte: Selbst aus den Netzen von Bundesbehörden erfolgen noch täglich DNS-Anfragen. Ein Herkunftsort ist etwa das Bundesinnenministerium. „Seit September 2025 hat es Tausende solcher DNS-Anfragen gegeben. Einige finden täglich und automatisiert statt, andere offenbar durch manuelle Pings oder Anfragen an IT-Systeme“, heißt es in der Analyse auf Mint Secure.
Schäfers vermutete hinter den Zugriffen auf bafl.de eine Fehlkonfiguration interner Systeme. Er meldete den Vorfall daher bereits im September beim CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es dauerte etwas, bis sich das BAMF meldete. Ein Sprecher bestätigte mittlerweile aber auch gegenüber Netzpolitik.org die Probleme.
Beim ITZ-Bund – also dem zentralen IT-Dienstleister der Bundesverwaltung – hat das BAMF mittlerweile beantragt, dass bafl.de aus allen Konfigurationen entfernt wird. So wolle man potenzielle Gefahren und Missbrauch verhindern. So schnell lassen sich die Server-Konfigurationen aber offenbar nicht anpassen. Mint Secure registriert bis heute noch DNS-Anfragen aus Bundesnetzen.
Solche Anfragen sind ein Risiko, Mint Secure bezeichnet die bafl.de-Domain als potenziell „unkontrollierten technischen Einstiegspunkt in interne Netze von BMI [Bundesinnenministerium] und BAMF“. Angreifer hätten damit „interne Hostnamen, Dienste und Netzstrukturen auslesen und so detaillierte Informationen über die IT-Infrastruktur gewinnen können“, was im Worst-Case-Szenario dazu führt, dass am Ende die Systeme des Bundes kompromittiert werden.
Generell bestehe die Gefahr, dass ein solcher Fall zu erheblichen technischen und sicherheitsrelevanten Schäden für die betroffenen Bundesbehörden führen könne.
bafl.de wurde zeitweise von Dritten verwendet
Angreifbar sind aber nicht nur die Bundesbehörden. Auch Bürger können durch ehemalige Domains getäuscht werden. Unter bafl.de fand lange Zeit nichts statt, ab August 2022 war dort aber zeitweise eine Webseite abrufbar, die vermeintlich über Asyl informierte. Diese bestand aber vor allem aus Stockbildern und KI-Texten und hatte zudem kein Impressum.
Ein direkter Schaden wurde damit offenbar nicht angerichtet, heißt es bei Netzpolitik.org. Wie eine Rückwärtssuche von Bildern der Webseite ergab, wurden die Inhalte offenbar für mehrere Web-Auftritte verwendet. Aufgrund des ähnlichen Vorgehens vermutet Mint Secure, dass die Betreiber sich damit SEO-Vorteile verschaffen wollten, um auf dubiose Angebote wie etwa Glücksspielportale zu verweisen.
Domains wie bafl.de sind dafür besonders geeignet, weil diese in Nachrichtenarchiven, Forschungsarbeiten sowie bei Behörden und Ämtern – und sogar auf Bundestag.de – noch auftauchen. Auf den ersten Blick wirken diese also vergleichsweise seriös, Betrugsabsichten lassen sich so gut tarnen.
Alte Domains aus Sicherheitsgründen besser reservieren
Dass Domains freigegeben werden, obwohl interne Systeme diese noch ansteuern, hält Schäfers für ein schweres Versäumnis. Behörden müssten sicherstellen, dass diese „intern auf keinem System mehr verwendet wird oder sicherheitshalber reserviert halten, wenn man das nicht garantieren kann“, sagte er zu Netzpolitik.org.
Diese Haltung wird auch vom BAMF bestätigt. Aus Sicherheitsgründen sei es erforderlich, nicht mehr genutzte Domains weiter zu registrieren.
Wie verbreitet das Problem ist, lässt sich aber nicht sagen. Für eine Analyse wird zunächst eine Liste mit allen Bundes-Domains sowie denjenigen, die in den letzten Jahren aufgegeben worden sind, benötigt. Diese Informationen will die Bundesregierung aber nicht freigeben. Eine Antwort auf eine Anfrage der Linken wird als Verschlusssache und damit als geheim eingestuft, heißt es im Bericht von Netzpolitik.org. Schätzungen legen indes nahe, dass die Anzahl der Bundes-Domains in die Tausende geht.
Lösungsansätze sind ebenso nicht einfach umsetzbar. Ein konkretes Regelwerk existiert nicht, die jeweiligen Behörden sind für die Absicherung der Domains zuständig. Angedacht ist auch eine „Digitale Dachmarke“, die neben einer einheitlichen Bild-Wort-Marke auch Domain-Namen vorsieht, die auf gov.de enden. Das Projekt befindet sich aber noch in der Pilotphase, berichtet Netzpolitik.org.
Apps & Mobile Entwicklung
Gratis-Dreingabe: Bei MSI gibt es John Carpenter’s Toxic Commando zum Netzteil
Wer ab heute bis einschließlich 12. April 2026 eins von drei qualifizierten Netzteilen von MSI bei ausgewählten Händlern kauft, bekommt den neuen Zombie-Shooter John Carpenter’s Toxic Commando (Test) im Wert von 40 Euro (bei Steam) gratis.
Apps & Mobile Entwicklung
DirectStorage 1.4: Mit Zstandard werden Spieldaten noch schneller entpackt
Auch wenn der „Spieldaten-Beschleuniger“ DirectStorage von Microsoft weiterhin ein absolutes Nischendasein in Spielen fristet, wird er immer weiter entwickelt. Mit der Version DirectStorage 1.4 wird der Datenkompressionsalgorithmus Zstandard (zstd) erstmals unterstützt. Dieser soll schneller als Deflate arbeiten.
Die Idee hinter Microsofts Programmierschnittstelle DirectStorage ist die Beschleunigung des Datenstroms vom Massenspeicher (SSD) zur Grafikkarte respektive Grafikspeicher. Die Vision: Riesige Spielwelten, für deren Darstellung die GPU kontinuierlich ohne Belastung von CPU und Arbeitsspeicher neue Daten (im Wesentlichen Texturen) in Echtzeit von der SSD in den VRAM nachlädt. DirectStorage API ist die Velocity-Architektur der Xbox Series X für den Windows-PC.
Auf Deflate folgt Zstandard
Seit DirectStorage 1.1 werden die Spieldaten durch die GPU dekomprimiert, was wesentlich schneller als über die CPU erfolgt und daher weitere Leistungsvorteile bietet. Bisher wurde dafür der Datenkompressionsalgorithmus Deflate genutzt. Mit DirectStorage 1.4 wird die Unterstützung der Zstandard-Komprimierung (zstd) zur neuen Option für Spieleentwickler. Zstandard soll nach Angaben im Microsoft-Entwicklerblog die Komprimierungsraten verbessern, schnellere Ladezeiten ermöglichen und ein flüssigeres Asset-Streaming für inhaltsreiche Spiele gewährleisten.
Zstd zeichnet sich durch wettbewerbsfähige Kompressionsraten und Dekomprimierungsleistung, breite Verfügbarkeit auf Hardware und Software verschiedener Betriebssysteme sowie weite Verbreitung in Betriebssystemen, Cloud-Umgebungen und Webanwendungen aus.
Microsoft
Mit DirectStorage 1.4 werde zstd in das „mehrstufige Dekomprimierungs-Framework“ integriert. Das Dekomprimieren der Daten werde sowohl von der GPU als auch von der CPU unterstützt. Letztlich müssen die Entwickler entscheiden, welchen Weg sie bei ihren Spielen gehen werden.
AMD, Intel und Nvidia optimieren Treiber
Jetzt arbeite Microsoft „eng mit GPU-Hardwareherstellern zusammen, um eine optimale Leistung der Zstd-Dekomprimierung auf verschiedenster Gaming-Hardware zu gewährleisten“, heißt es weiter. Per Treiberupdate soll die Leistung bei der GPU-Dekomprimierung via zstd optimiert werden. AMD und Nvidia haben neue Treiber für die zweite Jahreshälfte in Aussicht gestellt. Bei Intel ist von Optimierungen in den kommenden Monaten die Rede und Qualcomm will optimierte Treiber-Updates noch vor Jahresende bereitstellen.
DirectStorage wird bisher kaum genutzt
So schön diese Techniken in der Theorie auch klingen, in der Praxis sind sie bisher so gut wie gar nicht angekommen. Nach dem DirectStorage-Debüt in Forspoken und Ratchet & Clank: Rift Apart gibt es kaum Spiele mit entsprechender Unterstützung. Forza Motorsport und Horizon Forbidden West zählen zu den wenigen dazu.
Als Grund dafür gilt eine aufwendige Implementierung, wie PC World in einer Analyse schrieb: „DirectStorage ist mehr als nur eine Option, die man aktivieren kann, um Assets schnell zu laden. Es bedeutet einen grundlegenden Wandel im Spieldesign mit neuen Methoden zum Packen, Komprimieren und Dekomprimieren von Assets während des Spielablaufs“.
In einem Spiel sorgte DirectStorage zudem für Enttäuschung, da sich zwar Ladezeiten verkürzten, doch die FPS sogar verringerten.
- Ratchet & Clank: Rift Apart: Ohne DirectStorage gibt es mehr FPS auf GeForce-GPUs
- Forspoken im Test: Die PC-Premiere von DirectStorage analysiert
DirectStorage mit zstd für Next-Gen Xbox
Letztlich könnte das Zusammenrücken von Xbox- und PC-Spielen bei der neuen Xbox-Generation alias Project Helix der Verbreitung von DirectStorage einen Schub geben. „DirectStorage + zstd“ stehen jedenfalls auf der Feature-Liste der kommenden PC/Konsole von Microsoft.
Apps & Mobile Entwicklung
SSD-Controller SM8008: Der Bruder des SM2508 bringt 6-nm-Effizienz
Dank moderner Fertigung werden SSD-Controller immer effizienter. Das zeigt auch der für Enterprise-SSDs bestimmte SM8008 von Silicon Motion. Der 8-Kanal-Controller mit PCIe 5.0 soll weniger als 5 Watt Leistung aufnehmen und dabei trotzdem 14 GB/s und 2,3 Millionen IOPS ermöglichen.
Controller mit PCIe 5.0 sind sparsam geworden
Bei den Controllern für Consumer-SSDs sorgt die neue Generation, zu der auch der SM2508 von Silicon Motion zählt, für eine deutlich niedrigere Leistungsaufnahme bei noch mehr Leistung. Die Energieeffizienz ist also erheblich gestiegen.
SM8008 ähnelt dem SM2508 sehr
Mit dem SM8008 gilt das jetzt auch für das Segment der Enterprise-SSDs für Server und Rechenzentren. Dieser bietet wie der SM2508 acht Speicherkanäle und mit bis zu 14 GB/s sowie 2,3 Millionen IOPS ähnliche Leistungswerte. Und auch die Leistungsaufnahme des Chips ist mit „weniger als 5 Watt“ laut Hersteller ähnlich. In der vorliegenden Präsentation ist sogar von weniger als 4 Watt die Rede.
-
Silicon Motion SM8008 (Bild: Silicon Motion)
Bild 1 von 5
Möglich macht es die moderne 6-nm-Fertigung bei TSMC, die erstmals beim SM2508 zum Einsatz kam und inzwischen auch bei Phison genutzt wird. PCIe-5.0-SSDs können so ohne aufwendige Kühlung betrieben werden. Unterm Strich gibt es so viele Ähnlichkeiten zum SM2508, dass der SM8008 als Enterprise-Variante des gleichen Chips durchgeht. Denn auch die Bestückung mit vier Cortex-R8-Kernen und einem Cortex M0 sowie die Unterstützung von NAND-Flash mit 3.600 MT/s passen haargenau zum SM2508.
Die wichtigsten Eckdaten zum SM8008 lauten wie folgt:
- Sequenzieller Durchsatz von bis zu 14 GB/s
- Über 2,3 Millionen IOPS (4K Random)
- Leistungsaufnahme im aktiven Betrieb von weniger als 5 Watt
- PCIe 5.0 x4 als elektrische Schnittstelle und NVMe 2.0a als Protokoll
- 8 NAND-Kanäle mit Unterstützung für ONFI und Toggle DDR 5.0 mit bis zu 3.600 MT/s
- Unterstützt dedizierten DRAM-Cache (DDR oder LPDDR4)
- Unterstützt AES-256, SHA2-512, RSA-3072b, Secure Boot und Firmware-Authentifizierung
Einsatz als schnelles Boot Drive
Während der SM8366 mit seinen 16 Kanälen noch in einer anderen Liga spielt, soll der SM8008 primär als Boot-Datenträger dienen. Aber auch andere Anwendungen in Server-Umgebung, die Wert auf eine niedrige Leistungsaufnahme legen, sind ein mögliches Einsatzgebiet.
Silicon Motion will damit nach eigenen Angaben der wachsenden Nachfrage nach Boot-SSDs in Zeiten des Ausbaus der Hyperscale- und Enterprise-Rechenzentren begegnen: „Der SM8008 trägt dieser steigenden Nachfrage mit einer Controller-Architektur Rechnung, die für Energieeffizienz, vorhersehbare Leistung und Sicherheit auf Enterprise-Niveau im großen Maßstab optimiert ist“, heißt es in der Pressemitteilung.
PCIe 6.0 kommt mit dem SM8466
Bereits im noch feineren 4-nm-Prozess von TSMC soll irgendwann der SM8466-Controller erscheinen. Dieser arbeitet schon mit PCIe 6.0 und soll die maximale Leistung auf 28 GB/s und 7 Millionen IOPS heben.
Gratis-Dreingabe: Bei MSI gibt es John Carpenter’s Toxic Commando zum Netzteil
Behörden-Chaos in Sachsen: Wenn die Software keine Zahlungen zuordnet
EU-Kommission höhlt Datenschutz der digitalen Brieftasche aus
Schnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
Community Management und Zielgruppen-Analyse: Die besten Insights aus Blog und Podcast
Community Management zwischen Reichweite und Verantwortung
-
Künstliche Intelligenzvor 2 MonatenSchnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
-
Social Mediavor 1 WocheCommunity Management und Zielgruppen-Analyse: Die besten Insights aus Blog und Podcast
-
Social Mediavor 4 WochenCommunity Management zwischen Reichweite und Verantwortung
-
Künstliche Intelligenzvor 3 Wochen
Top 10: Die beste kabellose Überwachungskamera im Test – Akku, WLAN, LTE & Solar
-
Künstliche Intelligenzvor 3 MonatenDigital Health: „Den meisten ist nicht klar, wie existenziell IT‑Sicherheit ist“
-
Social Mediavor 3 MonatenDie meistgehörten Gastfolgen 2025 im Feed & Fudder Podcast – Social Media, Recruiting und Karriere-Insights
-
UX/UI & Webdesignvor 1 MonatEindrucksvolle neue Identity für White Ribbon › PAGE online
-
Künstliche Intelligenzvor 3 MonatenEMEC vereint Gezeitenkraft, Batteriespeicher und H₂-Produktion in einer Anlage
