In seinem Vortrag »Verlorene Domains, offene Türen – Was alte Behördendomains verraten« zeigt Tim Philipp Schäfer (Mint Secure GmbH) anschaulich, welche Risiken damit einhergehen, wenn Organisationen und Unternehmen früher genutzte Domains löschen und sie sodann von Dritten registriert werden.
Am Ende jeden Jahres veranstaltet der CCC seinen Chaos Communication Congress, bei dem auch zahlreiche Vorträge, Workshops und Podcasts gehalten, im Internet live übertragen und auch zum späteren Abruf zur Verfügung gestellt werden. Für Domain-Inhaber interessant, zeigte Tim Philipp Schäfer (Mint Secure GmbH) am 28. Dezember 2025 in seinem knapp 40-minütigen Vortrag, welche Fehler und Risiken damit einhergehen, wenn man früher genutzte Domains einfach löscht. Der Vortrag, der speziell auf Behördendomains gemünzt ist und in dem er seine Erfahrungen mit einigen Domains, die er problemlos registrieren oder erwerben konnte, darstellt, ist auch für Unternehmensdomains relevant.
Den Einstieg nimmt Schäfer über eine ältere Dokumentation einer Behörde, die im Internet abrufbar ist. In dieser fand er die Beispieldomain testtraeger.de genannt. Eine kurze Prüfung machte klar, die Domain war frei. Schäfer registriert sie, nahm einfache DNS- und eMail-Einstellungen (CatchAll) für die Domain vor und erlangte so Zugriff auf Ressourcen einer Bundesbehörde – mit Admin-Rechten. Bereits im März 2025 berichteten heise.de und netzpolitik.org darüber. Anhand des Vortrags von Schäfer wird dies jedoch anschaulicher. Er verweist dabei auch auf andere Quellen für solche Testdomains, die etwa in Testumgebungen beispielsweise auf GitHub zu finden sind.
In einem weiteren Schritt zeigt Schäfer, wie bedeutend es ist, sich Vertipperdomains zu sichern. In einem Vortrag auf der DefCon21 von 2013 wurde nebenbei über Logdaten von Bundesbehörden mit Zugriffsversuchen auf die Domain bund.ee unter der Länderendung von Estland berichtet. Schäfer prüfte die Verfügbarkeit der Domain bund.ee und konnte auch diese Domain für sich registrieren. In den Logdaten fand er auch 12 Jahre nach dem Vortrag aus 2013 DNS- und MX-Anfragen des Bundes auf die Domain. Hintergrund für die Zugriffe müssen nicht zwingend Vertipper sein, es können auch Fälle von Bitsquatting/Bitflips sein, die auf Problemen der Hardware zurückgehen, etwa wenn diese qualitative Schwächen aufweist oder aufgrund zu hoher Temperaturen Fehler generiert. So kann aus der Bitfolge »01100100« für »d« ein »01100101« für »e« und die falsche Top Level Domain abgerufen werden.
Aus diesen Fehlern können sich missbräuchliche Zugriffe auf Systeme ergeben, oder auch Phishing-Angriffe, um an Log-In-Daten zu gelangen. Schlimmstenfalls lässt sich Schadcode implementieren. Um solchen Fehlern zu begegnen, sollte man Maßnahmen ergreifen, die die eigene Infrastruktur und das Domain-Management verbessern. Schäfer empfiehlt unter anderem, keine zufälligen »Beispiel«-Domains zu verwenden, keine Testdaten in die Produktivumgebung zu übertragen, alles sorgfältig zu dokumentieren, unbedingt sichere Testdaten zu verwenden, und regelmäßige Überprüfung der Konten und Berechtigungen durchzuführen. Weiter kann man Vertippern und Übertragungsfehlern ECC Hardware / ECC Memory entgegensetzen, die per »Error correcting code« Bitflips vermeiden, und beim DNS-Resolver offensichtlich falsche Eingaben blocken oder vor Aussendung von Anfragen Empfänger auf Mail-Gateways prüfen. Für den Bund legt er nahe, nachdem er deren Domain-Registrierungskuddelmuddel dargestellt hat, ein einheitliches System für Domain-Registrierungen zu etablieren, etwa in Form von durchgängigen Subdomains unterhalb von .bund.de. Ein wichtiger Schritt zu mehr Sicherheit ist dann auch, sehr wahrscheinliche Vertipperdomains zu registrieren.