Der US-amerikanische Sicherheitsdienstleister CSC hat eine Neuauflage seines »Domain Security Report« für das Jahr 2026 veröffentlicht. DNS-Hijacking, Domain-Spoofing und Phishing-Kampagnen bleiben demnach die häufigsten Einfallstore für domain-basierte Bedrohungen.
Zum sechsten Mal in Folge hat sich CSC mit dem Stand der Domain-Sicherheit beschäftigt, indem die Sicherheitslage der Forbes Global 2000-Unternehmen, eine jährlich erscheinende Liste der 2.000 größten börsennotierten Unternehmen der Welt, analysiert hat. Konkret geht es um die Sicherheitsmaßnahmen, die zur Minderung von Cyberrisiken im Domain-Ökosystem ergriffen worden sind, und zwar außerhalb der firmeneigenen Firewalls, sowie Fälle von potenziellem Online-Markenmissbrauch und -rechtsverletzungen durch Dritte. Zu den typischen Sicherheitsmaßnahmen zählen DMARC (Domain-Based Message Authentication, Reporting and Conformance), SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), DNSSEC (DNS Security Extensions) und CAA-Einträge (Certificate Authority Authorization). Das stärkste Wachstum weist dabei DMARC auf; angesichts der zahlreichen Meldungen über Phishing-Angriffe – einschließlich deren zunehmender Häufigkeit und Komplexität – ist die DMARC-Nutzung rasant von 39 Prozent im Jahr 2020 auf 80 Prozent im Jahr 2025 gestiegen. Eine wesentliche Rolle dabei hat auch die NIS-2 der EU gespielt, die zu einer verstärkten DMARC-Nutzung beigetragen hat. Von den verbleibenden 20 Prozent stammen 85 Prozent aus dem asiatisch-pazifischen Raum (APAC) und sind branchenübergreifend vertreten.
Immer beliebter werden auch Registry-Locks, deren Nutzung bis 2025 leicht auf 24 Prozent angestiegen ist. Durch Aktivierung eines Registry-Locks wird jeder Versuch einer Änderung der Domain-Konfiguration wie ein Inhaber-Wechsel oder Änderungen an den Nameserver-Einträgen ohne Abschluss eines Multi-Faktor-Authentifizierungsprozesses verhindert. Anders verhält es sich bei DNSSEC. Obwohl der Anteil der Unternehmen, die DNSSEC einsetzen, noch gering ist, hat er sich in den letzten sechs Jahren vervierfacht und wird voraussichtlich 2025 bei elf Prozent liegen. DNSSEC gewährleistet die Authentifizierung und Datenintegrität von DNS-Anfragen wie -Antworten und verhindert so, dass Cyberkriminelle den Internetverkehr auf schädliche Websites wie Phishing-Seiten umleiten. In einigen Ländern liegt die Verbreitung von DNSSEC bei über 67 Prozent. In großen Organisationen ist sie jedoch weiterhin geringer. Dies liegt nach Einschätzung von CSC zum Teil an der Pflege und Aktualisierung der Schlüssel, die in komplexeren Organisationsstrukturen erforderlich sind. Dennoch sei DNSSEC eine Sicherheitsmaßnahme, die alle kritischen Bereiche implementieren sollten. Schließlich stieg die Nutzung von CAA-Einträgen bis 2025 erneut auf elf Prozent. CAA-Einträge ermöglichen es Unternehmen, bestimmte Zertifizierungsstellen (CAs) als Aussteller digitaler Zertifikate für ihre Domains festzulegen. Dies verhindert, dass Cyberkriminelle über eine nicht autorisierte CA ein neues digitales Zertifikat erhalten, da ihre Anfrage fehlschlägt und das Unternehmen eine Warnung erhält. Alles in allem bleibt noch viel zu tun. Bei 67 Prozent aller Global-2000-Unternehmen seien weniger als die Hälfte der empfohlenen Sicherheitsmaßnahmen umgesetzt. Nur ein Unternehmen hat die volle Punktzahl erreicht, bei 87 Unternehmen liegt der Wert für Domain-Sicherheit bei null. Unerfreulich: 88 Prozent der homoglyphischen Domains befinden sich in der Hand Dritter. Sind Domains in den Händen Dritter, verweisen 40 Prozent auf Werbung, Pay-per-Click-Anzeigen oder werden für Domain-Parking verwendet; schädliche Inhalte fanden sich „nur“ in zwei Prozent der Fälle.
Ein kleines Highlight der aktuellen Ausgabe des Reports ist, dass als Vergleichsmaßstab 100 führende »Unicorns« herangezogen wurden, also nicht börsennotierte Start-Up-Unternehmen mit einer Bewertung von über einer Milliarde US-Dollar. Bei Sicherheitsmaßnahmen für Domains, die auf DNS-Einträgen basieren, beobachtete CSC eine höhere Akzeptanz bei Unicorns – bis zu 100 Prozent nutzen SPF für ihre eMail-Authentifizierungsprotokolle. Allerdings setzt nur ein Prozent auf DNS-Redundanz, und fast 90 Prozent der Unicorns betreiben eine einzige Cloud-Infrastruktur.