Nachlässigkeiten in der Verwaltung: Wie ehemalige Behörden-Domains zu Sicherheits­risiken werden

Behörden und Verwaltungen verwenden eine Vielzahl an Domains. Wenn diese aber nicht mehr benötigt und aufgegeben werden, können diese sich zu einer Schwachstelle entwickeln. Von einem Fall beim Bundesamt für Migration und Flüchtlinge (BAMF) berichten Netzpolitik.org und das im Bereich Cybersicherheit tätige Start-up Mint Secure.

Ausgangspunkt war ein neuer Name. Bis 2005 hieß das BAMF noch Bundesamt für Anerkennung ausländischer Flüchtlinge (BAFL). Eine der Domains, die daher genutzt wurde, war www.bafl.de. Bis mindestens 2013 leitete diese noch zur aktuellen BAMF-Seite weiter. Irgendwann wurde sich bei der Behörde aber offenkundig dafür entschieden, Altlasten loszuwerden – die BAFL-Domain wurde aufgegeben.

Aufgegebene Domain erhält immer noch Anfragen aus Bundesnetzen

Intern ist dieser Schritt aber nicht komplett umgesetzt worden, zeigt nun die Analyse von Mint Secure. Der Gründer und IT-Sicherheitsexperte Tim Philipp Schäfers hatte sich die Domain bafl.de gekauft, die Vorbesitzer hatten anscheinend kein Interesse mehr. Interessiert hatte ihn laut dem Bericht von Netzpolitik.org, inwieweit ehemalige Behörden-Domains noch aufgerufen werden.

Was er bei seinem Test feststellte: Selbst aus den Netzen von Bundesbehörden erfolgen noch täglich DNS-Anfragen. Ein Herkunftsort ist etwa das Bundesinnenministerium. „Seit September 2025 hat es Tausende solcher DNS-Anfragen gegeben. Einige finden täglich und automatisiert statt, andere offenbar durch manuelle Pings oder Anfragen an IT-Systeme“, heißt es in der Analyse auf Mint Secure.

Schäfers vermutete hinter den Zugriffen auf bafl.de eine Fehlkonfiguration interner Systeme. Er meldete den Vorfall daher bereits im September beim CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es dauerte etwas, bis sich das BAMF meldete. Ein Sprecher bestätigte mittlerweile aber auch gegenüber Netzpolitik.org die Probleme.

Beim ITZ-Bund – also dem zentralen IT-Dienstleister der Bundesverwaltung – hat das BAMF mittlerweile beantragt, dass bafl.de aus allen Konfigurationen entfernt wird. So wolle man potenzielle Gefahren und Missbrauch verhindern. So schnell lassen sich die Server-Konfigurationen aber offenbar nicht anpassen. Mint Secure registriert bis heute noch DNS-Anfragen aus Bundesnetzen.

Solche Anfragen sind ein Risiko, Mint Secure bezeichnet die bafl.de-Domain als potenziell „unkontrollierten technischen Einstiegspunkt in interne Netze von BMI [Bundesinnenministerium] und BAMF“. Angreifer hätten damit „interne Hostnamen, Dienste und Netzstrukturen auslesen und so detaillierte Informationen über die IT-Infrastruktur gewinnen können“, was im Worst-Case-Szenario dazu führt, dass am Ende die Systeme des Bundes kompromittiert werden.

Generell bestehe die Gefahr, dass ein solcher Fall zu erheblichen technischen und sicherheitsrelevanten Schäden für die betroffenen Bundesbehörden führen könne.

bafl.de wurde zeitweise von Dritten verwendet

Angreifbar sind aber nicht nur die Bundesbehörden. Auch Bürger können durch ehemalige Domains getäuscht werden. Unter bafl.de fand lange Zeit nichts statt, ab August 2022 war dort aber zeitweise eine Webseite abrufbar, die vermeintlich über Asyl informierte. Diese bestand aber vor allem aus Stockbildern und KI-Texten und hatte zudem kein Impressum.

Ein direkter Schaden wurde damit offenbar nicht angerichtet, heißt es bei Netzpolitik.org. Wie eine Rückwärtssuche von Bildern der Webseite ergab, wurden die Inhalte offenbar für mehrere Web-Auftritte verwendet. Aufgrund des ähnlichen Vorgehens vermutet Mint Secure, dass die Betreiber sich damit SEO-Vorteile verschaffen wollten, um auf dubiose Angebote wie etwa Glücksspielportale zu verweisen.

Domains wie bafl.de sind dafür besonders geeignet, weil diese in Nachrichtenarchiven, Forschungsarbeiten sowie bei Behörden und Ämtern – und sogar auf Bundestag.de – noch auftauchen. Auf den ersten Blick wirken diese also vergleichsweise seriös, Betrugsabsichten lassen sich so gut tarnen.

Alte Domains aus Sicherheitsgründen besser reservieren

Dass Domains freigegeben werden, obwohl interne Systeme diese noch ansteuern, hält Schäfers für ein schweres Versäumnis. Behörden müssten sicherstellen, dass diese „intern auf keinem System mehr verwendet wird oder sicherheitshalber reserviert halten, wenn man das nicht garantieren kann“, sagte er zu Netzpolitik.org.

Diese Haltung wird auch vom BAMF bestätigt. Aus Sicherheitsgründen sei es erforderlich, nicht mehr genutzte Domains weiter zu registrieren.

Wie verbreitet das Problem ist, lässt sich aber nicht sagen. Für eine Analyse wird zunächst eine Liste mit allen Bundes-Domains sowie denjenigen, die in den letzten Jahren aufgegeben worden sind, benötigt. Diese Informationen will die Bundesregierung aber nicht freigeben. Eine Antwort auf eine Anfrage der Linken wird als Verschlusssache und damit als geheim eingestuft, heißt es im Bericht von Netzpolitik.org. Schätzungen legen indes nahe, dass die Anzahl der Bundes-Domains in die Tausende geht.

Lösungsansätze sind ebenso nicht einfach umsetzbar. Ein konkretes Regelwerk existiert nicht, die jeweiligen Behörden sind für die Absicherung der Domains zuständig. Angedacht ist auch eine „Digitale Dachmarke“, die neben einer einheitlichen Bild-Wort-Marke auch Domain-Namen vorsieht, die auf gov.de enden. Das Projekt befindet sich aber noch in der Pilotphase, berichtet Netzpolitik.org.