Wenn Bürger im digitalen Raum nach Informationen staatlicher Stellen suchen, ist Verlässlichkeit die wichtigste Währung. Eine offizielle Webseite muss nicht nur vertrauenswürdig, sondern auch zweifelsfrei als solche erkennbar sein. Doch wer in Deutschland nach staatlicher Expertise sucht, begibt sich oft auf eine digitale Schnitzeljagd. Anstatt einer klaren Kennzeichnung herrsche seit Jahren Intransparenz, kritisiert der IT-Sicherheitsforscher Tim Philipp Schäfers. Diese sei nicht nur verwirrend, sondern berge auch handfeste Sicherheitsrisiken wie das Verteilen von Schadsoftware.

Um diesem Zustand entgegenzuwirken und den Druck auf die Verantwortlichen zu erhöhen, hat Schäfers am Montag auf dem Portal FragDenStaat eine Liste mit über 2000 Domains des Bundes veröffentlicht. Diese Daten trug der Experte mühsam über Scraping-Verfahren und Suchmaschinenanalysen zusammen. Die Übersicht bietet nun erstmals einen umfassenden Einblick in den digitalen Fußabdruck des Bundes.

Diese Offenheit sei ein notwendiger Schritt für mehr digitale Souveränität, begründet Schäfers die Veröffentlichung. Sie ermögliche es der Öffentlichkeit und anderen staatlichen Stellen, die Authentizität von Webseiten zuverlässig zu prüfen. Zugleich zwinge sei die Behörden dazu, ihre Sicherheitsvorkehrungen auf ein zeitgemäßes Niveau zu heben. Nur wenn klar dokumentiert werde, welche Domains offiziell sind, ließen sich gefälschte Angebote effektiv entlarven.

"Domain-Kuddelmuddel"

Das Management der Bundes-Domains gleicht aktuell einem Wildwuchs. Während Nationen wie die USA mit .gov oder Großbritannien mit gov.uk auf eine einheitliche und unmissverständliche Endung setzen, verharrt Deutschland in einem dezentralisierten Flickenteppich.

Dieses "Domain-Kuddelmuddel" zeigt sich laut Schäfers in einem verwirrenden Mix aus klassischen .de-Adressen, selten genutzten .bund.de-Strukturen und einer Vielzahl von Sonderdomains für kurzfristige Projekte oder Initiativen. Oft ist für Außenstehende kaum ersichtlich, ob eine Seite tatsächlich von einer Behörde oder einem Ministerium betrieben wird oder ob es sich um eine gut gemachte Kopie handelt. Die Unklarheit nutzten Betrüger in der Vergangenheit bereits aus. So wurden während der Corona-Pandemie staatliche Websites gezielt nachgeahmt, um Fördergelder abzugreifen. Ein weiteres Problem sind ausgelaufene Domains des Bundes, die in die Hände unbefugter Dritter gelangten, weil das Management der Adressen versagte. Werden solche Adressen nicht rechtzeitig verlängert oder nach einer Umstrukturierung vergessen, können sie zur Falle für Nutzer werden, die dort weiterhin offizielle Inhalte vermuten.

Besonders deutlich werde die Absurdität bei einem Blick auf die Namensänderungen von Ministerien nach Regierungsneubildungen, führt Schäfers aus. Als Beispiel nennt er das heutige Bundesdigitalministerium, das seit Ende der 1990er Jahre gleich fünf verschiedene Bezeichnungen getragen habe. Jede dieser Umbenennungen habe eine Spur an Domains hinterlassen – von bmvbs.de über bmvi.de bis hin zu unzähligen Variationen mit Endungen wie .net, .org oder .info. Sogar "Minister-Domains" wie verkehrsminister.de seien registriert worden. Diese Flut an Adressen mache es Bürgern praktisch unmöglich, die Echtheit einer URL zu beurteilen.