Security
10 min read
3388 views

Subdomain Takeover: Die vergessenen DNS-Einträge, die Ihre Marke kapern 🌐

IT
InstaTunnel Team
Published by our engineering team
Subdomain Takeover: Die vergessenen DNS-Einträge, die Ihre Marke kapern 🌐

Einführung

Im sich schnell entwickelnden Bereich der Cybersicherheit besteht eine Schwachstelle, die Organisationen aller Größen weiterhin betrifft: Subdomain Takeover. Während Sicherheitsteams sich auf das Patchen von Software-Schwachstellen und den Schutz vor ausgeklügelten Angriffen konzentrieren, schaffen verwaiste Cloud-Ressourcen und vergessene DNS-Einträge unsichtbare Hintertüren, die Angreifer in nur wenigen Stunden ausnutzen können. Cyberkriminelle können eine ungenutzte Subdomain verwenden, um Phishing-Seiten zu hosten, Malware zu verbreiten und sensible Nutzerdaten zu erfassen – innerhalb weniger Stunden wird Ihre vertrauenswürdige Domain zum Werkzeug gegen Ihre eigenen Kunden.

Dieser umfassende Leitfaden erklärt die Mechanismen des Subdomain Takeover, zeigt, wie Angreifer diese Schwachstellen entdecken und ausnutzen, und bietet umsetzbare Strategien zum Schutz Ihrer digitalen Infrastruktur. Ob Sie Sicherheitsexperte, Entwickler oder Geschäftsinhaber sind – das Verständnis dieser Bedrohung ist entscheidend, um die Integrität Ihrer Marke zu wahren und Ihre Nutzer zu schützen.

Was ist Subdomain Takeover?

Schwachstellen beim Subdomain Takeover entstehen, wenn eine Subdomain Ihres Unternehmens auf einen Drittanbieterdienst zeigt, der nicht mehr existiert. Dadurch kann ein Angreifer diesen Dienst beanspruchen und kontrollieren, was auf der Subdomain erscheint. Diese scheinbar einfache Fehlkonfiguration schafft eine gefährliche Situation, in der Angreifer schädlichen Inhalt von Domains ausliefern können, denen Nutzer grundsätzlich vertrauen.

Die Anatomie einer verwundbaren Subdomain

Die Schwachstelle entsteht meist durch eine vorhersehbare Abfolge:

  1. Servicebereitstellung: Ihr Entwicklungsteam erstellt eine Subdomain (z.B. marketing.ihredomain.de) und zeigt sie auf einen Drittanbieterdienst wie AWS S3, Azure, GitHub Pages oder Heroku.

  2. DNS-Konfiguration: Es wird ein DNS-Eintrag (meist CNAME) angelegt, um den Traffic von Ihrer Subdomain zum externen Dienst zu leiten.

  3. Deaktivierung des Dienstes: Das Projekt endet, die Cloud-Ressource wird gelöscht, aber der DNS-Eintrag bleibt bestehen.

  4. Das Schwachstellenfenster: Solche DNS-Einträge werden auch als “dangling DNS”-Einträge bezeichnet und bieten Angreifern die Möglichkeit, den gleichen Ressourcen-Namen zu beanspruchen und den Inhalt Ihrer Subdomain zu kontrollieren.

Warum ist das für Ihr Geschäft relevant?

Subdomain Takeovers stellen erhebliche Sicherheitsrisiken dar: Phishing-Attacken – Angreifer können schädlichen Inhalt auf der Subdomain hosten und das Vertrauen in die Hauptdomain ausnutzen. Datenklau – sensible Informationen können gestohlen werden, wenn Nutzer dazu verleitet werden, mit der kompromittierten Subdomain zu interagieren. Die Konsequenzen gehen über technische Sicherheitsprobleme hinaus und betreffen Markenreputation, Kundenvertrauen und regulatorische Vorgaben.

Auswirkungen in der Praxis: Aktuelle Beispiele

Die Bedrohung durch Subdomain Takeover ist keine Theorie. Weltweit fallen Organisationen weiterhin diesen Angriffen zum Opfer, mit verheerenden Folgen.

Die SubdoMailing-Kampagne

Kürzlich nutzte eine massive Betrugs-Kampagne namens “SubdoMailing” über 8.000 legitime Domains, um groß angelegte Betrugsmails zu versenden. Durch die Ausnutzung dangling DNS-Einträge konnten Angreifer das Ansehen vertrauenswürdiger Domains ausnutzen, um E-Mail-Sicherheitsfilter zu umgehen – ein Beispiel dafür, wie Subdomain Takeovers groß angelegte, ausgeklügelte Angriffe ermöglichen.

Auswirkungen auf die Lieferkette

In einer Untersuchung von Oktober 2024 bis Januar 2025 suchten Forscher nach gelöschten AWS S3 Buckets mit bestehenden Referenzen, die auf sie verweisen, insbesondere in Bezug auf Pipelines, Anwendungsentwicklung und Deployment. Diese Forschung zeigte, wie Subdomain Takeovers in Lieferkettenangriffe umschlagen können, was potenziell Entwicklungsprozesse und Softwareverteilmechanismen gefährdet.

Hochkarätige Vorfälle

Regierungswebseiten, Fortune-500-Unternehmen und beliebte Plattformen waren alle von Subdomain Takeovers betroffen. Sie haben vielleicht von der Manipulation der Website der Trump-Administration gehört. Diese Vorfälle verdeutlichen, dass keine Organisation vor dieser Schwachstelle sicher ist, unabhängig von Größe oder Sicherheitsreife.

Häufig genutzte verwundbare Dienste und Plattformen

Das Verständnis, welche Dienste häufig ausgenutzt werden, hilft, Ihre Sicherheitsmaßnahmen zu priorisieren. Hier die meistangreifbaren Plattformen:

Cloud-Speicherdienste

Amazon S3: Wenn der Entwickler den Bucket löscht, aber den entsprechenden DNS-Eintrag vergisst zu entfernen, entsteht eine neue Schwachstelle für Subdomain Takeover. Ein Angreifer kann dann einen neuen AWS S3 Bucket mit demselben Namen erstellen und die Kontrolle übernehmen.

Azure Blob Storage: Ähnlich wie bei S3, wenn Speicher-Accounts gelöscht werden, aber DNS-Einträge bestehen bleiben, können Angreifer Konten mit passenden Namen recreieren.

Platform-as-a-Service (PaaS)

  • Heroku: Gelöschte Apps hinterlassen CNAME-Einträge, die auf herokuapp.com-Domains zeigen und übernommen werden können.
  • GitHub Pages: Gelöschte Repositories ohne Entfernung der DNS-Einträge schaffen Übernahmemöglichkeiten.
  • Shopify: E-Commerce-Projekte, die migriert oder aufgegeben wurden, hinterlassen oft anfällige DNS-Konfigurationen.
  • Fastly und CloudFront: CDN-Konfigurationen, die gelöscht wurden, während DNS-Einträge aktiv bleiben.

Content-Management- und Marketing-Plattformen

  • WordPress.com: Gehostete Blog-Subdomains, die deaktiviert wurden.
  • HubSpot: Marketing-Automatisierungsplattformen mit verwaisten Landing Pages.
  • Zendesk: Kundensupport-Subdomains, die auf deaktivierte Help-Center zeigen.

Schritt-für-Schritt-Anleitung: Finden von Subdomain Takeover-Schwachstellen

Sicherheitsexperten und ethische Hacker verwenden systematische Ansätze, um diese Schwachstellen zu identifizieren. Das Verständnis des Prozesses hilft sowohl Verteidigern als auch autorisierten Testern.

Schritt 1: Subdomain-Enumeration

Der erste Schritt besteht darin, alle Subdomains eines Ziel-Domains zu entdecken:

Passive Methoden: - Zertifikat-Transparenz-Logs: Suche bei crt.sh nach allen Zertifikaten für die Ziel-Domain - DNS-Aggregator: Nutze Dienste wie SecurityTrails, DNSDumpster oder VirusTotal - Suchmaschinen-Recherche: Nutze Google Dorks (z.B. site:*.beispiel.de)

Aktive Methoden: - DNS-Bruteforce: Nutze Tools wie Sublist3r, Amass oder Subfinder, um gängige Subdomain-Namen zu testen - Zone-Transfer-Versuche: Prüfe, ob DNS-Server Zone-Transfers erlauben (Fehlkonfiguration)

Schritt 2: DNS-Eintragsanalyse

Nachdem Subdomains identifiziert wurden, analysiere ihre DNS-Einträge:

# Überprüfung der CNAME-Einträge
dig marketing.beispiel.de CNAME

# Überprüfung der NS-Einträge
dig dev.beispiel.de NS

# Überprüfung der A-Einträge
dig blog.beispiel.de A

Achte auf Antworten, die auf externe Dienste hinweisen, insbesondere Fehlermeldungen wie “NXDOMAIN” oder Einträge, die auf Drittanbieterplattformen zeigen.

Schritt 3: Schwachstellenidentifikation

Wenn die Bereitstellung oder Deaktivierung (Entfernung) eines virtuellen Hosts nicht ordnungsgemäß erfolgt, besteht die Möglichkeit, dass ein Angreifer eine Subdomain übernimmt. Wichtige Hinweise auf Schwachstellen:

  • CNAME zeigt auf nicht-existente Ressourcen: Der DNS-Eintrag existiert, das Ziel ist aber nicht vorhanden
  • Fehlermeldungen: “404 Not Found,” “NoSuchBucket,” “Hier gibt es keine GitHub Pages”
  • Unbeanspruchte Nutzernamen: Der Dienst erlaubt es, den genauen Namen im DNS-Eintrag zu beanspruchen

Schritt 4: Verifikationstest

Vor der Meldung einer Schwachstelle sollte diese auf Ausnutzbarkeit geprüft werden:

  1. Beanspruchen der Ressource: Erstellen Sie auf der Zielplattform ein Konto oder eine Ressource, die dem DNS-Eintrag entspricht
  2. Testinhalt bereitstellen: Platzieren Sie eine eindeutige, harmlose Kennung (z.B. “Proof of Concept by [Ihr Name]”)
  3. Zugriff via Subdomain: Besuchen Sie die anfällige Subdomain, um zu bestätigen, dass Ihr Inhalt erscheint
  4. Vollständige Dokumentation: Machen Sie Screenshots vom Prozess, den DNS-Einträgen und dem erfolgreichen Takeover

Tools für automatisierte Erkennung

Mehrere spezialisierte Tools erleichtern die Erkennung von Subdomain Takeover:

  • SubOver: Python-basiertes Tool zur Überprüfung auf Takeover-Schwachstellen bei mehreren Diensten
  • subjack: Go-basiertes Fingerprinting-Tool mit umfangreichen Service-Signaturen
  • Nuclei: Erweiterbarer Schwachstellen-Scanner mit Templates für Subdomain Takeover
  • Can I Take Over XYZ: Umfassende Datenbank mit takover-anfälligen Diensten

Der Exploitationsprozess (ethische Perspektive)

Das Verständnis, wie Angreifer Subdomain Takeovers ausnutzen, hilft Sicherheitsteams, wie Gegner zu denken und Abwehrmaßnahmen zu verbessern.

Reconnaissance-Phase

Angreifer beginnen mit umfassender Aufklärung, identifizieren Organisationen mit großer digitaler Präsenz und zahlreichen Subdomains. Zielgruppen sind: - Unternehmen im M&A-Prozess (höhere Wahrscheinlichkeit verwaister Ressourcen) - Organisationen mit häufigen Marketingkampagnen (vorübergehende Landing Pages) - Tech-Unternehmen mit zahlreichen Entwicklungsprojekten

Beanspruchung der Ressource

Sobald eine verwundbare Subdomain gefunden ist, ist die Ausnutzung meist unkompliziert:

  1. Erstellen Sie ein Konto auf der identifizierten Plattform (AWS, Azure, GitHub usw.)
  2. Provisionieren Sie eine Ressource mit genau dem Namen, der im DNS-Eintrag genannt wird
  3. Veröffentlichen Sie schädlichen Inhalt, um Nutzervertrauen auszunutzen

Bösartige Aktivitäten

Mit Kontrolle können Angreifer:

Phishing-Operationen: Sie müssen sich nicht durchsetzen, sondern schleichen sich durch vernachlässigte Assets ein. Sie erstellen überzeugende Login-Seiten auf vertrauenswürdigen Subdomains, um Anmeldedaten zu stehlen.

Verteilung von Malware: Verbreiten Sie Exploit-Kits oder schädliche Downloads von Domains, die von Sicherheitssoftware vertraut werden.

Datenerfassung: Sammeln Sie Cookies, Session-Tokens und nutzerübermittelte Informationen für legitime Dienste.

Reputationsschädigung: Beschädigen Sie Subdomains mit peinlichen oder unangemessenen Inhalten, um den Markenruf zu schädigen.

SEO-Manipulation: Erstellen Sie Spam-Inhalte auf hochrangigen Subdomains, um Suchrankings zu beeinflussen.

Umfassende Verteidigungsstrategie

Der Schutz vor Subdomain Takeover erfordert einen mehrschichtigen Ansatz, der technische Kontrollen, Prozessverbesserungen und organisatorisches Bewusstsein kombiniert.

Sofortmaßnahmen

Durchführung eines Subdomain-Audits: Erfassen Sie alle Subdomains Ihrer Organisation und dokumentieren Sie Zweck und Eigentümerschaft.

Inventarisierung der DNS-Einträge: Erstellen Sie eine vollständige Übersicht aller DNS-Einträge, insbesondere CNAMEs, die auf externe Dienste zeigen.

Orphaned Records identifizieren: Subdomains sind verwundbar, wenn DNS-Einträge auf deaktivierte Dienste oder abgelaufene Ressourcen zeigen. Beispiel: Wenn Ihr Team ein Projekt auf Amazon S3 abschaltet, aber der DNS-Eintrag noch auf einen nicht existierenden Bucket zeigt, können Angreifer den Bucket-Namen beanspruchen.

Dangling References entfernen: Löschen Sie DNS-Einträge, die keine aktiven Ressourcen mehr bedienen.

Prozess- und Richtlinienverbesserungen

Deaktivierungsprozesse etablieren: Erstellen Sie formale Abläufe, um DNS-Einträge vor der Löschung von Cloud-Ressourcen zu entfernen. DNS-Aufräumarbeiten sollten Pflichtbestandteil bei Projektabschluss sein.

Change Management implementieren: Alle DNS-Änderungen benötigen Genehmigung und Dokumentation, mit regelmäßigen Überprüfungen der Notwendigkeit.

Eigentümerschaft zuweisen: Klare Verantwortlichkeiten für jede Subdomain und jeden DNS-Eintrag festlegen, um Verantwortlichkeit sicherzustellen.

Regelmäßige Überprüfungen: Planen Sie vierteljährliche Audits der DNS-Einträge und Cloud-Ressourcen, um Fehlkonfigurationen zu erkennen und zu beheben.

Technische Kontrollen

DNS-Überwachung: Implementieren Sie kontinuierliche Überwachungslösungen, die Änderungen im DNS und dangling records erkennen und alarmieren.

Automatisierte Scans: Setzen Sie Tools wie SubOver oder Nuclei regelmäßig ein, um Schwachstellen proaktiv zu erkennen.

Cloud-Ressourcen-Tagging: Markieren Sie alle Cloud-Ressourcen mit Projektinformationen und DNS-Zuordnungen für eine leichtere Nachverfolgung.

Ressourcennutzung verhindern: Einige Cloud-Anbieter bieten Optionen, Ressourcen dauerhaft zu löschen, um eine Wiederverwendung des Namens zu verhindern.

Wildcards (Sternchen) DNS-Einträge vorsichtig verwenden: Während Wildcard-Einträge (z.B. *) einige Takeover-Risiken mindern können, bringen sie andere Sicherheitsprobleme mit sich und sollten sorgfältig geprüft werden.

Schutz durch Cloud-Anbieter

Große Cloud-Anbieter haben Schutzmaßnahmen implementiert, aber es ist wichtig, deren Grenzen zu kennen:

Azure: CNAME-Einträge sind besonders anfällig, Azure hat jedoch Domain-Verification-Anforderungen für bestimmte Dienste eingeführt, die Eigentumsnachweis verlangen, bevor benutzerdefinierte Domains hinzugefügt werden.

AWS: Route 53 bietet Alias-Einträge, die sich automatisch entfernen, wenn die Zielressource gelöscht wird, allerdings bleiben CNAME-Einträge anfällig.

Google Cloud: Domain-Verification-Prozesse für viele Dienste reduzieren, aber eliminieren das Risiko nicht vollständig.

Sicherheits-Tools und Monitoring

Integrieren Sie Subdomain Takeover-Erkennung in Ihren Sicherheitsworkflow:

Kontinuierliche Überwachungsplattformen: Dienste wie SecurityTrails, DNSdumpster oder Detectify überwachen DNS-Änderungen und Schwachstellen kontinuierlich.

Bug-Bounty-Programme: Incentivieren Sie externe Sicherheitsforscher, Schwachstellen durch Plattformen wie HackerOne oder Bugcrowd zu melden. Das HackerOne-Hacktivity-Feed – eine kuratierte Sammlung öffentlich gemeldeter Berichte – enthält zahlreiche Subdomain Takeover-Meldungen.

SIEM-Integration: Konfigurieren Sie Ihr Security Information and Event Management-System, um bei DNS-Änderungen und ungewöhnlicher Subdomain-Aktivität zu alarmieren.

Reaktion auf einen Subdomain Takeover

Wenn Sie einen aktiven Subdomain Takeover entdecken, handeln Sie schnell:

Sofortmaßnahmen

  1. Bestätigen Sie den Takeover: Vergewissern Sie sich, dass die Subdomain tatsächlich kompromittiert ist, und dokumentieren Sie die schädlichen Inhalte.
  2. DNS-Einträge entfernen: Löschen Sie sofort den DNS-Eintrag, der auf die kompromittierte Ressource zeigt. Damit wird der Traffic zu den Inhalten des Angreifers gestoppt.
  3. Stakeholder informieren: Benachrichtigen Sie Sicherheitsteams, Recht und betroffene Geschäftsbereiche.
  4. Auswirkungen bewerten: Ermitteln Sie, welche Inhalte bereitgestellt wurden, wie lange der Takeover bestand und wie viele Nutzer betroffen sind.

Untersuchungsphase

  • Zugriffsprotokolle prüfen: Falls vorhanden, analysieren Sie DNS-Abfrageprotokolle, um den Umfang der Exposition zu verstehen.
  • Datenkompromittierung prüfen: Untersuchen Sie, ob Nutzerdaten gesammelt oder Anmeldedaten gefischt wurden.
  • Forensische Analyse: Dokumentieren Sie die Angriffsmethodik für zukünftige Prävention.

Nachbereitung

  • Präventive Kontrollen implementieren: Beheben Sie die Ursachen und wenden Sie die Erkenntnisse auf Ihre Infrastruktur an.
  • Benachrichtigung der Nutzer: Falls Nutzerdaten betroffen sind, erfüllen Sie die Meldepflichten bei Datenschutzverletzungen.
  • Regulatorische Meldungen: Melden Sie Vorfälle bei den zuständigen Behörden, falls erforderlich.

Best Practices für langfristigen Schutz

Nachhaltige Sicherheit erfordert die Integration der Subdomain Takeover-Prävention in die Unternehmenskultur:

Schulung des Entwicklungsteams

Schulen Sie Entwickler zu Risiken des Subdomain Takeover, mit Fokus auf: - Die Bedeutung von DNS-Hygiene - Richtige Deaktivierungsprozesse - Sicheres Cloud-Resource-Management

Infrastructure as Code (IaC)

Verwalten Sie DNS-Einträge versioniert mittels Infrastructure-as-Code: - Alle DNS-Änderungen in Git-Repositories nachverfolgen - Automatisierte Validierung zur Erkennung dangling records - Tools wie Terraform, CloudFormation oder ähnliche für DNS-Management verwenden

Sicherheitsbewusstsein

Integrieren Sie Subdomain Takeover in Sicherheitsprogramme: - Erklären Sie die geschäftlichen Auswirkungen auch Nicht-Technikern - Zeigen Sie, wie kleine Versäumnisse große Schwachstellen schaffen - Fördern Sie eine Sicherheitskultur, bei der Sicherheit Verantwortung aller ist

Vendor-Management

Bei Zusammenarbeit mit Drittanbietern: - Dokumentieren Sie, welche Dienste DNS-Einträge auf sie zeigen - Überprüfen Sie Verträge auf Klauseln zur Ressourcen-Deaktivierung - Etablieren Sie Kommunikationskanäle, um Sicherheitsprobleme zu melden

Fazit

Subdomain Takeover ist eine perfekte Kombination aus vergessener Infrastruktur, schneller Cloud-Adoption und unzureichenden Deaktivierungsprozessen. Angreifer müssen sich nicht durchsetzen, sondern können durch vernachlässigte Assets eindringen. Es ist ein Paradebeispiel dafür, wie Angreifer scheinbar kleine Fehlkonfigurationen ausnutzen, um erheblichen Schaden anzurichten.

Die gute Nachricht ist: Subdomain Takeover ist vollständig vermeidbar durch sorgfältiges DNS-Management, richtige Deaktivierungsprozesse und kontinuierliches Monitoring. Durch die Umsetzung der in diesem Leitfaden beschriebenen Strategien – von sofortigen Audits bis zu langfristigen Prozessverbesserungen – können Organisationen diese Schwachstelle aus ihrer Angriffsfläche entfernen.

Denken Sie daran: Sicherheit ist kein Ziel, sondern eine Reise. Regelmäßige Audits, automatisiertes Monitoring und organisatorisches Bewusstsein verwandeln das Subdomain Takeover von einer unsichtbaren Bedrohung in ein beherrschbares Risiko. Handeln Sie noch heute: Inventarisieren Sie Ihre Subdomains, bereinigen Sie dangling DNS-Einträge und etablieren Sie Prozesse, die zukünftige Schwachstellen verhindern.

Der Ruf Ihrer Marke und das Vertrauen Ihrer Nutzer hängen von der unsichtbaren Infrastruktur der DNS-Einträge ab. Lassen Sie nicht zu, dass vergessene Konfigurationen die Hintertür für Angreifer werden. Starten Sie noch heute Ihre Subdomain-Überprüfung, denn Angreifer suchen bereits nach Ihren dangling DNS entries.

Über den Autor: Dieser Artikel wurde im Oktober 2025 unter Berücksichtigung aktueller Best Practices der Cybersicherheit recherchiert und verfasst, basierend auf führenden Quellen wie Microsoft Azure Security, CrowdStrike, OWASP, HackerOne und aktuellen Bedrohungsberichten zu Subdomain Takeover-Kampagnen.

Related InstaTunnel pages

Continue from this article into the most relevant product guides and workflows.

Webhook testing toolUse stable HTTPS tunnel URLs for provider webhooks, retries, and local callback debugging.Plans and limitsCompare Free, Pro, and Business limits for tunnels, MCP endpoints, bandwidth, and teams.Trust and security centerReview security controls, reliability practices, status references, and operational safeguards.InstaTunnel documentationRead setup steps, CLI commands, webhook guides, MCP usage, and troubleshooting workflows.

Related Topics

#subdomain takeover, DNS security, dangling DNS records, cloud security vulnerabilities, CNAME takeover, cybersecurity threats 2025, DNS hijacking, brand security, S3 bucket takeover, Azure subdomain vulnerability, GitHub Pages security, Heroku takeover, abandoned cloud resources, DNS record management, website security, phishing attacks, domain security, ethical hacking, penetration testing, subdomain enumeration, DNS misconfiguration, cloud infrastructure security, AWS security, vulnerability assessment, cyber threats, digital asset management, DNS monitoring, security best practices, web application security, information security, subdomain reconnaissance, bug bounty, security awareness, DNS audit, cloud resource management, CNAME vulnerability, third-party service security, digital brand protection, security operations, threat intelligence, DevSecOps, infrastructure security, DNS hygiene, security compliance, data breach prevention, malware distribution, SEO poisoning, domain reputation, certificate transparency, security tools, automated scanning, incident response, DNS takeover prevention, enterprise security, network security, application security, supply chain security, security policy, risk management, cybersecurity strategy, domain management, IT security, cloud migration security, decommissioning procedures, security monitoring, threat detection, vulnerability management, security architecture, digital security, online security, corporate security

Keep building with InstaTunnel

Read the docs for implementation details or compare plans before you ship.

Read DocumentationView Pricing

Share this article

Share on XShare on LinkedIn

More InstaTunnel Insights

Discover more tutorials, tips, and updates to help you build better with localhost tunneling.

Browse All Articles