Registry-Lock

Der notwendige zusätzliche Schutz vor Domain-Diebstahl

Ein Domain-Diebstahl in der Krypto-Szene, der den Kunden des betroffenen Unternehmens Verluste von rund US$ 1,2 Mio. einbrockte, zeigt, wie wichtig der Schutz der eigenen Domains durch einen Registry-Lock bei Registrar und Registry ist. Ein Angreifer hatte durch Social-Engineering Zugriff auf die finnische Domain der Kryptoplattform CoW Swap errungen – bei der Registry.

Am 14. April 2026 gelang es einem Angreifer, durch Social-Engineering Zugriff auf das Registrierungssystem für die Domain cow.fi der Kryptoplattform CoW Swap zu erlangen. Der Angreifer erhielt Zugriff auf die DNS-Server, die über Amazon Route 53 bereitgestellt wurden. Besucher des Angebots von CoW Swap konnten so über einen Zeitraum von mehreren Stunden auf eine bösartige Website umgeleitet werden. Die in diesem Zeitraum gestarteten Transaktionen liefen in falsche Hände. Die Verluste der Nutzer werden von CoW Swap auf US$ 1,2 Mio. geschätzt. Die betroffene Unternehmung CoW Swap (cow.fi) stellte in einem ausführlichen, aber noch nicht abschließenden Post Mortem vom 16. April 2026 dar, wie es zu dem Domain-Zugriff kam und welche Folgen er hatte. Der Angreifer hatte sich demnach gegenüber der finnischen .fi-Registry Traficom als hochrangiger Mitarbeiter von CoW DAO ausgegeben; dieser legte er entsprechende gefälschte Ausweisdokumente vor. Traficom wandte sich an den französischen Domain-Registrar Gandi (gandi.net), über den die finnische Domain cow.fi registriert ist, um die Sache zu klären. Laut Angaben von CoW DAO reagierte Gandi nicht, weshalb dem Angreifer durch Traficom Zugriff auf die Domain gewährt wurde. Der änderte die Kontakt-eMailadresse beim Registrar und die DNS-Einträge der Domain auf Amazon Route 53. Danach transferierte er die Domain cow.fi zu einem anderen Provider. Für mehrere Stunden wurden Nutzer von cow.fi und swap.cow.fi auf eine Phishing-Seite weitergeleitet – einer Kopie der Seite von CoW Swap. Das Unternehmen unterstreicht, dass es sich nicht um einen Einbruch in das CoW-Protokoll handele:

our hosted zone, frontend, backend APIs, smart contracts, and all signing infrastructure remained intact and uncompromised throughout the incident.

Der Angreifer nutzte Schwächen bei der finnischen Domain-Registry Traficom und beim Domain-Registrar Gandi aus. Der Vorfall gehöre zu einer dokumentierten Serie von .fi-Domain-Hijacks, die sich gegen Krypto-Projekte richtet.

Bei CoW Swap sieht man eine Schwäche der Verfahren bei Domain-Anbietern, also Registraren und Registries. Domains werden über ein mehrstufiges System verwaltet: Die Registry verwaltet die maßgebliche Datenbank mit den Domain-Einträgen. Registrare fungieren als Vermittler, sie nehmen Domain-Bestellungen an und sorgen für die Registrierung der Domains. Beim Wechsel des Registrars wird eine Domain von einem Registrar zu einem anderen transferiert. Der Inhaber des Accounts beim neuen Registrar erhält die Gewalt über die Domain und kann eigene Nameserver-Einträge vornehmen. Auf diese Weise steuert er, welche Website mit der Domain verknüpft ist. Diesen Weg ging der Angreifer im Fall von cow.fi. CoW Swap stellt fest, dass verschiedene, üblicherweise empfohlene gängige Sicherheitsmaßnahmen wie DNSSEC, CAA (DNS Certification Authority Authorization), CSP (Content Security Policy), SRI (Subresource Integrity) und DNS TTL in diesem Fall keinen Schutz geboten hätten, da der Angreifer auf Registry-Ebene agierte und seine eigene Infrastruktur nutzte. Als notwendiger Sicherheitsfaktor kam deshalb für CoW Swap ein Registry-Lock in Frage, der nun auch eingerichtet wurde.

Ein Registry-Lock ist ein zusätzlicher Sicherheitsfaktor auf Registry-Ebene. Er bietet zusätzlichen Schutz für Domains, da er ungewollte Änderungen an wichtigen Domain-Daten wie Inhaberinformation, Nameserver oder dem Provider verhindert. Der Domain-Inhaber kann den Registry-Lock üblicherweise über seinen Registrar bei der Registry einrichten lassen. Es hängt von der jeweiligen Registry ab, ob und welcher Status unterstützt wird. Folgende Dienste sind mit einem Registry-Lock verbunden:

  • »serverDeleteProhibited« (die Domain kann nicht gelöscht werden)
  • »serverHold« (die Domain ist nicht aktiv im DNS und löst somit nicht auf)
  • »serverRenewProhibited« (die Domain kann nicht verlängert werden)
  • »serverTransferProhibited« (die Domain kann nicht transferiert werden)
  • »serverUpdateProhibited» (die WHOIS-Daten der Domain können nicht geändert werden)

Bei der .de-Verwaltung DENIC eG zum Beispiel muss der Domain-Inhaber ein vom Provider zur Verfügung gestelltes Formular ausfüllen, darin einen »Lock Contact« benennen, der Änderungen an den Domain-Daten bestätigen muss, und einen Identitätsnachweis erbringen. Der Registrar ist dann derjenige, der die Aufträge zur Einrichtung des Locks und zu Änderungen der Domain-Daten oder des »Lock Contact« weiterleitet. Die Registry prüft die vom Registrar ausgehenden Aufträge und weist die Ausführung zurück, wenn die Prüfung nicht positiv ausfällt. Erst nach einer erfolgreichen Prüfung und Autorisierung werden Änderungen an den Domain-Daten vorgenommen und Lock Contact und Registrar darüber informiert. Das Beispiel von CoW Swap zeigt, dass man mit einfachen Mittel schweren Missbrauch und große Schäden durch eine Domain-Entführung verhindern kann. Um seine eigenen Werte zu sichern, ist ein Registry-Lock, so er denn von der jeweiligen Registry angeboten wird, die leichteste Übung.

InterNetX

Der aktuelle »Global Domain Report« für 2026 ist da

Die Mechanismen der Domain-Suche, -Registrierung, -Bewertung und -Nutzung befinden sich in einem radikalen Wandel. Zu diesem Ergebnis kommen der Internet-Provider InterNetX GmbH aus Regensburg und die Kölner Domain-Handelsplattform Sedo GmbH in der Neuauflage ihres »Global Domain Report« für das Jahr 2026.

Wer wissen will, wohin sich das Domain-Universum entwickelt, findet im aktuellen Global Domain Report auf 102 Seiten Antworten auf nahezu jede Frage. Im Mittelpunkt stehen die Brennpunkte, welche die Branche prägen: Internet Governance, die Auswirkungen von KI, Web3, die bevorstehende nTLD-Einführungsrunde und der sich stetig verschärfende DNS-Missbrauch. Grundlage ist ein Domain-Namensraum, der mit 386,9 Mio. Registrierungen einen neuen Höchsttand erreicht hat. Die Wachstumsquote lag insgesamt bei 2,2 Prozent, wobei die ccTLDs mit einem Plus von 3,4 Prozent und das Lager der nTLDs mit sogar 29,9 Prozent herausstechen. Für die Macher des Reports verläuft das Wachstum nun eher stetig als explosionsartig, was auf eine reifere Branche hindeutet. Legacy-gTLDs wie .com, .net oder .info bleiben das Rückgrat des Marktes; doch ihre Dominanz nimmt langsam ab, während ccTLDs und einzelne nTLDs Marktanteile gewinnen. Aber man darf sich nicht täuschen lassen: Auf die Top-10-TLDs entfallen rund zwei Drittel aller weltweiten Domain-Registrierungen, was verdeutlicht, wie konzentriert der Markt an der Spitze nach wie vor ist. Die Endung .com dominiert mit einem Volumen von 161 Mio. registrierten Domains, das um ein Vielfaches höher ist als das der meisten anderen TLDs in den Top 10. Die auffälligste Veränderung findet am Rand der Rangliste statt: .xyz und .top schaffen es zum ersten Mal unter die Top 10, während .br und .au herausfallen, was auf eine starke Dynamik bei einigen wenigen nTLDs mit hohem Volumen hindeutet.

Schaut man sich an, wie viele Domains aktiv genutzt werden, fällt das Bild oft ernüchternd aus. Nicht bei jeder Domain-Endung führt ein hohes Registrierungsvolumen automatisch zu vielen entwickelten Websites: Bei .xyz gibt es beispielsweise mehr Registrierungen, aber vergleichsweise wenige aktive Websites, während bei .space der gegenteilige Trend zu beobachten ist. Dies unterstreicht, wie unterschiedlich nTLDs eingesetzt werden. Weiter ist zu beobachten, dass nTLDs bei der Einführung wichtiger Sicherheitsmaßnahmen noch hinterherhinken. Eine gute DNS-Hygiene wirkt wie ein Schutzschild: HTTPS verschlüsselt den Datenverkehr, SPF und DMARC helfen dabei, eMail-Spoofing zu verhindern, DNSSEC schützt DNS-Antworten vor Manipulationen, während IPv6-Unterstützung und CDNs die Ausfallsicherheit, Reichweite und Leistung verbessern. Die nTLDs weisen bei mehreren dieser Sicherheitsmaßnahmen generell niedrigere Akzeptanzraten auf. Mögliche Gründe hierfür sind jüngere, volatilere Portfolios, ein höherer Anteil an geparkten oder spekulativen Registrierungen sowie viele kleinere Registries oder Hosting-Konfigurationen, die sich noch nicht vollständig an bewährten Sicherheitsstandards ausgerichtet haben. Einerseits enttäuschend aber andererseits zumindest in Teilen erfreulich: Marken-TLDs (.brands) machten in der Einführungsrunde 2012 etwa 34 Prozent der Bewerbungen aus, gleichwohl bleiben die meisten Domains unter Marken-Endung bislang inaktiv. So verfügen nur 14 Prozent über entwickelte Websites; in einigen Fällen wird die eigene Domain-Endung sogar nur für eMails genutzt. Interessanterweise gehören mehr als die Hälfte aller .brands deutschen Unternehmen, was die Bedeutung Deutschlands im Namensraum unterstreicht.

All das ist natürlich nur ein kleiner Ausschnitt aus dem Report. Wie bereits in den Vorjahren ist er auch in seiner Neuauflage 2026 sehr lesenswert. Und es ist mehr als erfreulich, dass InterNetX und Sedo ihre und Daten aus anderen Quellen zusammentragen, um einen praktisch nützlichen Einblick in die Domain Name Industry zu gewähren; bleibt zu hoffen, dass das auch nach einem im Raum stehenden Verkauf von Sedo so bleibt. Bis dahin bietet die aktuelle Ausgabe des »Global Domain Report« eine Menge wertvoller Informationen, die bei der Beurteilung von Fragen zur Domain-Strategie herangezogen werden können und sollten.

ccTLDs

Die finnische Domain-Verwaltung löscht 100 .fi-Domains wegen fehlerhafter WHOIS-Daten

Die Finnish Transport and Communications Agency (Traficom), Verwalterin der finnischen Länderendung .fi, greift hart durch. Nach eigenen Angaben hat die Transport- und Kommunikationsbehörde in einem Zug über 100 .fi-Domains gelöscht, weil die im WHOIS hinterlegten Inhaberdaten nicht mit den tatsächlichen Domain-Inhabern übereinstimmten.

In den konkreten Fällen waren die Domain-Namen auf den Namen eines Datenschutz- und/oder Proxy-Dienstleisters registriert worden, obwohl dieser nicht der tatsächliche Inhaber der Domain-Namen war. Eine .fi-Domain muss nach den Vergaberegelungen stets auf ihren tatsächlichen Inhaber registriert sein. Sanna Sinisalo, Head of Unit bei Traficom teilt mit:

By ensuring that a domain name is registered to its actual holder, we promote cybersecurity in the Finnish internet.

Dabei steht auch der Domain-Registrar in der Verantwortung; er muss sicherstellen, dass die Inhaberdaten korrekt, aktuell und ausreichend sind, um den Inhaber zu identifizieren. Werden fehlerhafte oder unvollständige Daten trotz Aufforderung durch Traficom nicht korrigiert, kann eine .fi-Domain gelöscht werden. Die Registry kündigte an, den Namensraum unter .fi weiterhin zu überwachen und gegebenenfalls Maßnahmen zu ergreifen, wenn die Inhaberdaten nicht den gesetzlichen Anforderungen entsprechen.

Security

Mehr KI unter Cyberkriminellen – EU legt den jährlichen »Threat Landscape Report« vor

Der »Cybersecurity Service for the Union Institutions, Bodies, Offices and Agencies« (CERT-EU) der Europäischen Union hat seinen jährlichen Bericht »Threat Landscape Report« für das Jahr 2025 vorgestellt. KI erfreut sich unter Cyberkriminellen wachsender Beliebtheit, aber auch Domain-Typosquatting kommt nicht aus der Mode.

Der 2011 gegründete und in Belgien ansässige CERT-EU besteht aus einem Team von IT-Sicherheitsexperten der Organe und Einrichtungen der EU. Er sammelt, verwaltet, analysiert und teilt Informationen über Bedrohungen, Schwachstellen und Vorfälle im Zusammenhang mit Infrastrukturen aus den Bereichen der Informations- und Kommunikationstechnologien. Teil dieser Tätigkeit ist der jährlich erscheinende »Threat Landscape Report«; der Bericht basiert auf einer Analyse der im Laufe eines Jahres erfassten schädlichen Aktivitäten. Insgesamt zeigt sich laut CERT-EU eine komplexere und vielfältigere Bedrohungslandschaft. Globale Ereignisse wie Konferenzen und Gipfeltreffen, Wahlen, Konflikte und Sanktionen wirkten erneut als Auslöser für Cyberangriffe auf Einrichtungen der EU und deren Ökosystem. Angreifer nutzten diese Ereignisse entweder als Köder für Social-Engineering, nahmen Teilnehmer gezielt als lohnende Ziele ins Visier oder starteten Cyberangriffe zur Unterstützung ihrer übergeordneten strategischen Ziele. Insgesamt identifizierte man mindestens 174 verschiedene Akteure, die böswillige Aktivitäten durchführten. Cyberspionage machte mit 38 Prozent den größten Anteil der erfassten Aktivitäten aus. Böswillige Aktivitäten, die einem Ursprungsland zugeordnet werden konnten, wurden am häufigsten mit der Volksrepublik China in Verbindung gebracht, dicht gefolgt von der Russischen Föderation. Bedrohungsakteure mit Verbindungen zu China nutzten vorwiegend Schwachstellen und kompromittierte Lieferketten aus, während Bedrohungsakteure mit Verbindungen zu Russland gezielt Organisationen angriffen, die die ukrainischen Bemühungen unterstützten.

Auch Domain-Namen bleiben für Cyberkriminelle ein wichtiges Werkzeug. Als die EU im Oktober 2025 das 19. Sanktionspaket gegen Russland im Zusammenhang mit der andauernden Invasion in der Ukraine verhängte, stiegen zeitgleich die Aktivitäten der russlandnahen Gruppe »Doppelgänger«, die digitale Einmischung in die EU betrieb. Dabei wurden Domains eingesetzt, die Medienunternehmen und Regierungsinstitutionen imitierten. Sie stellten die Ukraine und ihre westeuropäischen Verbündeten in einem negativen Licht dar und konzentrierte sich auf den vermeintlichen Rückgang des westlichen Einflusses. Zeitweise gingen die Täter auch vergleichsweise banal vor; so beobachtete CERT-EU ihre Versuche, sich online als EU-Organisationen auszugeben, wobei Maßnahmen wie Domain-Typosquatting, Missbrauch zugehöriger Marken oder Logos und Website-Klone eingesetzt wurden. Im Januar 2025 führte ein mit Russland verbundener Akteur im Bereich der Cyberspionage Spear-Phishing-Kampagnen durch, bei denen schädliche RDP-Dateien verbreitet wurden. Die Kampagne nutzte vom Angreifer kontrollierte Domains, die einen Rüstungshersteller in einem EU-Mitgliedstaat vortäuschten. Im Oktober 2025 soll zudem ein mit Russland verbundener Akteur im Bereich der Cyberspionage eine gefälschte Domain erstellt haben, die sich auf die in Slowenien stattfindende Internationale Verteidigungsausstellung und -konferenz bezog.

Der 26-seitige Bericht, der kostenlos zum Download bereitsteht, schließt mit einer Reihe von Empfehlungen ab. So empfiehlt CERT-EU, digitale Plattformen auf Identitätsdiebstahl und Markenmissbrauch zu überwachen. Das soll verhindern, dass sich Angreifer als Mitglieder der EU ausgeben, um gefälschte Domains, Social-Media-Konten, geklonte Websites und das EU-Emblem zu missbrauchen. EU-Einrichtungen kommen dabei in den Genuss, die proaktiven Überwachungs- und Entfernungsverfahren von CERT-EU für Markenmissbrauch nutzen zu können. Für die Privatwirtschaft gibt es Dienste wie die »Brand Protection« der united-domains GmbH (deren Projekt der Domain-Newsletter und domain-recht.de ist); über automatisierte Überwachung lassen sich so Webseiten aufspüren, die eine Marke durch Fake-Shops, Phishing und Scam bedrohen.

ccTLDs

Die Zukunft von .io bleibt ungewiss – Premierminister stoppt die Vereinbarung zwischen Mauritius und Großbritannien

Die Zukunft der Top Level Domain .io (Britisches Territorium im Indischen Ozean) bleibt im Ungewissen.

Nach einem Bericht der BBC hat Keir Starmer, Premierminister des Vereinigten Königreichs, das geplante »Agreement between the Government of the United Kingdom of Great Britain and Northern Ireland and the Government of the Republic of Mauritius concerning the Chagos Archipelago including Diego Garcia« aufgrund der sich verschlechternden Beziehungen zu US-Präsident Donald Trump auf Eis gelegt, nachdem die USA ihre Zustimmung nicht formell bestätigt hatten. Trump hatte Starmer gedrängt, das Abkommen aufzukündigen, obwohl er zuvor seine Unterstützung für den Vertrag bekundet hatte. Das Abkommen hätte vorgesehen, dass Großbritannien die Souveränität über das Gebiet an Mauritius abtritt und durchschnittlich GBP 101 Mio. pro Jahr zahlt, um einen gemeinsamen britisch-amerikanischen Militärstützpunkt auf der größten Insel, Diego Garcia, zurückzumieten. Im Januar 2026 hatte Trump das Vorhaben als »act of total weakness« bezeichnet. Sollte es zu Änderungen bei .io kommen, haben sie zwar eine Vorlaufzeit von mehreren Jahren; langfristige Planungssicherheit haben Inhaber einer .io-Domain aktuell aber gerade nicht.

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Mit Bestellung des Domain-Recht Newsletter willigen Sie darin ein, dass wir Ihre Daten (Name und E-Mail-Adresse) zum Zweck des Newsletterversandes in unseren Account bei der Optimizly GmbH (vormals Episerver GmbH), Wallstraße 16, 10179 Berlin übertragen. Rechtsgrundlage dieser Übermittlung ist Artikel 6 Absatz 1 Buchstabe a) der Europäischen Datenschutzgrundverordnung (DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie am Ende jedes Domain-Recht Newsletters auf den entsprechenden Link unter "Newsletter abbestellen? Bitte einfach hier klicken:" klicken.

Seite 1 von 785
Top