Elite-Universitäten stehen vor der Krise der Porno-Subdomains

Große Universitäten in den Vereinigten Staaten kämpfen mit einer erheblichen Cybersicherheitskrise, nachdem ihre offiziellen Website-Subdomains kompromittiert und zur Verbreitung expliziter pornografischer Inhalte und böswilliger Betrügereien missbraucht wurden. Der Sicherheitsforscher Alex Shakhov hat kürzlich diese besorgniserregende Sicherheitslücke aufgedeckt, die einige der angesehensten akademischen Einrichtungen der Welt betrifft, und die gefährlichen Folgen unzureichender Domänenverwaltungspraktiken und nachlässiger Aufzeichnungen durch Universitäts-IT-Administratoren aufgezeigt.

Zu den kompromittierten Institutionen gehören prominente Namen wie die University of California, Berkeley (berkeley.edu), die Columbia University (columbia.edu) und die Washington University in St. Louis (washu.edu). Anstatt direkt auf die Haupthomepages der Universität zuzugreifen, nutzten Betrüger vergessene oder verlassene Subdomains aus – spezialisierte Webadressen, die typischerweise für bestimmte Abteilungen, Forschungsprojekte oder Dienstleistungen verwendet werden. Diese Subdomains, die Jahre zuvor erstellt und anschließend ohne ordnungsgemäße Wartung aufgegeben wurden, wurden zu leichten Zielen für böswillige Akteure, die illegale Inhalte und betrügerische Machenschaften hosten wollten.

Die konkreten Beispiele kompromittierter Subdomains sind in ihrer Dreistigkeit besonders alarmierend. Eine Subdomain der UC Berkeley unter causal.stat.berkeley.edu stellte explizites pornografisches Material über URLs bereit, die offensichtliche Verweise auf nicht jugendfreie Inhalte enthielten. In ähnlicher Weise leitete die Subdomain „conversion-dev.svc.cul.columbia[.]edu“ der Columbia University Besucher auf pornografische Websites weiter, während die Domain „provost.washu.edu“ der Washington University PDF-Dateien mit Inhalten für Erwachsene hostete. Diese gekaperten Subdomains stellten nicht nur passive Inhalte bereit; Einige verwiesen ahnungslose Besucher auf betrügerische Websites, die fälschlicherweise behaupteten, ihre Computer seien mit Schadsoftware infiziert, und verlangten Bezahlung für unnötige „Sicherheitsupdates“.

Das Ausmaß dieses Universitäts-Subdomain-Hijacking-Skandals geht weit über diese drei Institutionen hinaus. Shakhovs Untersuchung identifizierte Hunderte kompromittierter Subdomains an mindestens 34 verschiedenen Universitäten, was auf ein systemisches Problem bei der Verwaltung akademischer Institutionen mit ihrer digitalen Infrastruktur schließen lässt. Allein die Google-Suchergebnisse ergaben Tausende von indizierten Seiten, die auf diese gekaperten Subdomains verwiesen, was bedeutet, dass ahnungslose Schüler, Eltern und Mitarbeiter leicht auf diese schädlichen Inhalte stoßen könnten, während sie nach legitimen Universitätsressourcen suchen oder Recherchen durchführen.

Die Hauptursache dieser weit verbreiteten Sicherheitslücke lässt sich direkt auf eine schlechte Subdomain-Governance und eine schlampige Verwaltungsführung zurückführen. Im Laufe der Jahre erstellen Universitäten zahlreiche Subdomains für Forschungsprojekte, experimentelle Initiativen, Abteilungswebsites und temporäre Dienste. Wenn diese Projekte jedoch abgeschlossen werden oder die Dienste nicht mehr benötigt werden, versäumen es viele Institutionen, diese digitalen Vermögenswerte ordnungsgemäß zu dokumentieren, zu pflegen oder zu deaktivieren. Dadurch entstehen sogenannte „Domain-Waisen“ von Cybersicherheitsexperten – vergessene Webadressen, die aktiv und zugänglich bleiben, aber keinen legitimen Zweck oder keine Aufsicht haben.

Ohne ordnungsgemäße DNS-Einträge, SSL-Zertifikate oder aktive Überwachung werden diese verwaisten Subdomains anfällig für eine Technik, die als Subdomain-Takeover-Angriffe bekannt ist. Böswillige Akteure können Hosting-Dienste oder Webplattformen unter Verwendung der Domainnamen der Universität registrieren und so effektiv die Kontrolle über diese vergessenen digitalen Vermögenswerte übernehmen. Da diese Subdomains die mit ihren übergeordneten Universitätsdomains verbundene Autorität und Glaubwürdigkeit behalten, werden sie von Suchmaschinen wie Google problemlos indiziert, und die Wahrscheinlichkeit, dass Benutzer ihnen vertrauen, ist größer. Diese Kombination macht sie zu unschätzbaren Werkzeugen für die Verbreitung von Inhalten für Erwachsene, die Durchführung von Phishing-Angriffen und die Verbreitung von Malware.

Die Auswirkungen dieses Sicherheitsversagens sind vielfältig und besorgniserregend. Für die Universitäten selbst schädigt das Hosten anstößiger Inhalte und betrügerischer Machenschaften auf ihren offiziellen Domains den Ruf der Institution und könnte sie möglicherweise einer rechtlichen Haftung aussetzen. Studierende und Mitarbeiter, die auf diese Inhalte stoßen, können Sicherheitslücken erleiden, da Betrugsseiten oft persönliche Daten sammeln oder Malware verbreiten. Eltern und angehende Studierende, die nach Informationen über diese Institutionen suchen, greifen möglicherweise versehentlich auf Inhalte für Erwachsene zu und hinterlassen so einen zutiefst negativen ersten Eindruck.

Darüber hinaus veranschaulicht diese Situation ein umfassenderes Problem bei institutionellen Cybersicherheitspraktiken. Viele Universitäten, insbesondere solche mit weitläufigen, über Jahrzehnte aufgebauten IT-Infrastrukturen, haben Schwierigkeiten, umfassende Bestände aller ihrer digitalen Assets zu führen. Ohne genau zu wissen, welche Subdomänen existieren und welche Dienste sie unterstützen, können IT-Teams ihre Netzwerke nicht effektiv sichern. Diese Wissenslücke macht es unmöglich zu erkennen, welche Domänen tatsächlich genutzt werden und welche vergessen und aufgegeben wurden.

Der Forschungsgemeinschaft sind seit Jahren ähnliche Schwachstellen bekannt. Sicherheitsexperten haben zahlreiche Warnungen vor den Risiken nicht verwalteter Subdomains und der Leichtigkeit veröffentlicht, mit der Angreifer diese ausnutzen können. Allerdings sind viele Organisationen bei der Umsetzung systematischer Lösungen nur langsam vorangekommen. Die Erstellung und Pflege eines umfassenden Subdomain-Inventars erfordert viel Zeit und Ressourcen, und viele Institutionen sehen darin eine geringere Priorität als den Schutz von Hauptwebsites und kritischen akademischen Systemen.

Um dieses weit verbreitete Problem anzugehen, ist ein mehrgleisiger Ansatz der betroffenen Universitäten erforderlich. Zunächst muss jede Institution eine gründliche Prüfung aller Subdomains durchführen, die mit ihren primären Domainnamen verknüpft sind. Dieses Inventar sollte den Zweck jeder Subdomain dokumentieren, identifizieren, welche noch aktiv genutzt werden, und diejenigen kennzeichnen, die aufgegeben wurden. Zweitens müssen Universitäten automatisierte Überwachungssysteme implementieren, die erkennen können, wenn ihre Domains missbraucht werden oder wenn verdächtige DNS-Einträge ohne Genehmigung erstellt werden.

Drittens sollten Institutionen klare Richtlinien für das Subdomain-Lebenszyklusmanagement festlegen. Dazu gehört die Anforderung einer Dokumentation bei der Erstellung neuer Subdomains, die Festlegung regelmäßiger Überprüfungspläne zur Beurteilung, ob Subdomains weiterhin erforderlich sind, und die Entwicklung von Verfahren zur sicheren Deaktivierung nicht mehr benötigter Domains. Viertens müssen Universitäten sicherstellen, dass DNS-Sicherheitsfunktionen wie DNSSEC ordnungsgemäß konfiguriert sind und dass DNS-Einträge regelmäßig auf nicht autorisierte Einträge überprüft werden.

Über die Reaktionen einzelner Institutionen hinaus unterstreicht dieser Vorfall die Notwendigkeit besserer branchenweiter Standards für Best Practices für die Domain-Sicherheit. Universitätskonsortien und IT-Fachverbände könnten Richtlinien und Tools entwickeln, die speziell darauf ausgelegt sind, akademische Einrichtungen bei der Verwaltung ihrer immer komplexer werdenden digitalen Infrastruktur zu unterstützen. Darüber hinaus könnten Domain-Registrare dazu ermutigt werden, institutionellen Kunden bessere Sicherheitsfunktionen und Überwachungsmöglichkeiten bereitzustellen.

Die Entdeckung des Forschers Alex Shakhov ist eine deutliche Erinnerung daran, dass selbst renommierte Institutionen mit erheblichen Ressourcen Opfer relativ einfacher Angriffe werden können, wenn grundlegende Sicherheitshygiene vernachlässigt wird. Da Universitäten ihre digitale Präsenz weiter ausbauen und neue webbasierte Dienste zur Unterstützung von Forschung und Bildung entwickeln, kann die Bedeutung eines ordnungsgemäßen Infrastrukturmanagements nicht genug betont werden. Die von dieser jüngsten Kompromittierung betroffenen Institutionen stehen nun vor der doppelten Herausforderung, den Schaden an ihrem Ruf zu beseitigen und gleichzeitig Systeme zu implementieren, um ähnliche Vorfälle in der Zukunft zu verhindern – eine kostspielige Lektion über den wahren Preis einer schlechten Domainverwaltung.