Subdomain-Übernahmen, erklärt — und wie du sie erkennst | Scanthra

Scanthra · 7 Min Lesezeit · Aktualisiert Mai 2026

Der Mechanismus in einem Absatz

Vor drei Jahren hat jemand in deinem Team events.deinfirma.de als CNAME erstellt, der auf deine-eventseite.herokuapp.com zeigt. Die Marketingkampagne endete, die Heroku-App wurde gelöscht, der CNAME im DNS wurde vergessen. Heute kann sich jeder bei Heroku anmelden, den Namen deine-eventseite.herokuapp.com beanspruchen und beliebiges HTML ausliefern. Browser, die events.deinfirma.de aufrufen, sehen deren Seite, mit deiner Domain in der Adresszeile, mit dem Vertrauen deiner Marke. TLS funktioniert, weil Dienste wie Heroku Zertifikate automatisch ausstellen. Aus Sicht des Browsers ist es ein völlig legitimer Besuch deiner echten Website.

Warum das wichtig ist

Echte Angriffe, die in freier Wildbahn beobachtet wurden:

• Phishing. „Einloggen bei deinbank.example.de" landet auf der Seite des Angreifers — mit einem tadellosen TLS-Schloss.
• Cookie-Diebstahl. Wenn deine Hauptdomain Cookies auf .example.de setzt, kann die übernommene Subdomain diese lesen, indem sie einfach unter derselben Hauptdomain liegt.
• SEO-Vergiftung. Angreifer leiten von deiner Subdomain auf Ad-Fraud- oder Malware-Hosts weiter. Google blacklistet gelegentlich die gesamte example.de als Folge.
• Markenschaden. Eine Schlagzeile wie „Acme GmbHs eigene Subdomain betreibt Krypto-Scam-Seiten" lässt sich schwer bereinigen.

Die verwundbaren Dienste

Subdomain-Übernahmen betreffen jeden SaaS-Dienst, der (1) Nutzern erlaubt, eine beliebige Subdomain der Plattform zu beanspruchen, und (2) nicht prüft, ob der Antragsteller auch die ursprüngliche Domain besitzt. Historisch anfällige Plattformen umfassen:

• Heroku, AWS S3 Buckets (Static-Website-Hosting), Azure Cloud Apps / Traffic Manager / CDN, GitHub Pages, GitLab Pages, Shopify, Squarespace, Tumblr, Webflow, Netlify, Vercel, Fastly, Pantheon, Zendesk, Statuspage, SendGrid, Mailgun, Tilda, Strikingly, Surge.sh, Ghost.io, Cargo, Read the Docs.

Der Übernahme-Indikator ist je nach Plattform leicht unterschiedlich — die meisten zeigen eine charakteristische „No such app" / „Bucket does not exist" / „404 Not Found"-Meldung, wenn der Name nicht beansprucht ist. Das community-gepflegte Repository EdOverflow/can-i-take-over-xyz auf GitHub hält die aktuelle Liste.

So erkennst du hängende Einträge selbst

Schritt 1 — Subdomains inventarisieren

Du kannst nicht beheben, was du nicht kennst. Quellen für eine vollständige Übersicht:

• Die Zone-Datei deines DNS-Anbieters — alle A-, AAAA- und CNAME-Einträge exportieren.
• Certificate Transparency Logs über crt.sh — jedes jemals für deine Domain ausgestellte TLS-Zertifikat ist öffentlich.
• Frühere Scans, Passwort-Manager-Einträge, interne Wikis — überall, wo jemand eine Subdomain hinzugefügt haben könnte, die niemand entfernt hat.

Schritt 2 — Jeden Eintrag auflösen

Für jeden Eintrag:

• Wenn es ein A/AAAA-Eintrag ist, der auf eine IP zeigt, die du nicht mehr besitzt — löschen.
• Wenn es ein CNAME ist, der auf einen Drittanbieter-Dienst zeigt, rufe die URL auf und schau auf die Antwort. „No such app", „There isn't a GitHub Pages site here", „NoSuchBucket" oder „Repository not found" sind Übernahme-Anzeichen.
• Wenn dig +short cname.subdomain ein NXDOMAIN für das Ziel zurückgibt — das ist ein starkes Übernahme-Signal.

Schritt 3 — Entfernen oder zurückbeanspruchen

Wenn du die Subdomain nicht mehr brauchst, lösche den DNS-Eintrag. Wenn du sie noch brauchst, leite sie auf einen aktuellen Asset. Vermeide es, auf „Platzhalter"-Cloud-Apps zu zeigen — sie tendieren dazu, in einen anfälligen Zustand zu driften.

Wie du das nächste Problem verhinderst

• DNS-Verantwortlicher pro Eintrag. Jeder Subdomain-Eintrag in deiner Zone sollte einen dokumentierten Verantwortlichen haben — in den Notizen deines DNS-Anbieters oder in einer internen Tabelle.
• Deprovisioning-Checkliste. „Kampagnen-Website abschalten" muss einschließen: „CNAME-Eintrag im DNS entfernen, der auf den Kampagnen-Host zeigt."
• Quartalsweise DNS-Überprüfung. 30 Minuten pro Quartal verhindern einen markenschädigenden Vorfall.
• Wildcards mit Bedacht. Ein Wildcard-*.example.de- CNAME auf einen Drittanbieter-Dienst ist eine dauerhafte Einladung zur Übernahme für jeden unbeanspruchten Namen.

So erkennt Scanthra das Problem

Unser DNS-Recon-Modul fragt die öffentlichen Certificate Transparency Logs ab (passiv, kein DNS-Brute-Force) und markiert jede Subdomain, für die jemals ein echtes Zertifikat ausgestellt wurde. Wir heben Entwicklungs-, Staging- und Admin-ähnliche Subdomains als Befunde hervor — die klassischen Kandidaten für vergessene und hängende Einträge. Die eigentliche Subdomain-Übernahme- Erkennung (Prüfung, ob das jeweilige CNAME-Ziel bei einem bekannt anfälligen Anbieter unbeansprucht ist) befindet sich in unserer Roadmap und steht zahlenden Nutzern zuerst zur Verfügung.