Behörden-Domains

Behörden-Domains leiten auf Seiten mit Scam, Pornos und Schadsoftware weiter

12.12.2025 von SourCreamSauce Lesezeit: 10 Min.

Man denkt an nichts Böses, klickt bei Google auf den Treffer von Behörden-Domains und landet plötzlich auf der Seite eines Cyberkriminellen.

Man klickt auf Behörden-Domains und erwartet das Übliche: Formulare, Hinweise, Beschlüsse, Rechtsbehelfsbelehrungen etc., die seit Jahren unverändert auf den Webseiten existieren. Und plötzlich steht da ein Suchtreffer, der nach Erotik oder gar Pornografie aussieht, unter einer eigentlich vertrauenswürdigen Adresse.

Bislang primär Behörden-Domains in den USA betroffen

Genau das ist in der letzten Zeit, wie sollte es anders sein, mal wieder in den USA passiert – nicht einmal oder zweimal, sondern gleich dutzendfach, sodass ein klares Muster erkennbar ist. Auf offiziellen Websites tauchen PDF-Dokumente auf, die mit der Verwaltung nichts zu tun haben. Stattdessen hat man sie angereichert mit den typischen Keywords, Links zu Pornoseiten, KI-Nacktbild-Generatoren und den typischen Scam-Angeboten oder Fake-Shops, die überall sichtbar sind. Die ganzen Inhalte sind gar nicht für Leser von Behördendokumenten gedacht oder Personen, die Dokumente für den nächsten Führerscheinantrag brauchen, sondern einfach nur für die Suchmaschinen.

Das Peinliche an der Sache ist nicht das Motiv, sondern die Tatsache, dass alles unter einer amtlichen Domain liegt und deshalb funktioniert.

AI Nudity, pdf document of hackers — Screenshot eines präparierten PDF-Dokuments, Quelle, thx!

Das Ziel sind die Suchmaschinen

Wenn ein solches PDF-Dokument auf einer x-beliebigen Spam-Seite liegen würde, wäre sie wie ein Wassertropfen im Meer. Sie wäre praktisch unsichtbar. Niemand würde sich dafür interessieren. Der Kniff ist aber die gewählte Online-Plattform. Universitäts- und Behörden-Domains bringen von Amts wegen eine repräsentative Autorität mit. Sie sind alt, gut verlinkt und wirken außerdem hochgradig seriös. Suchmaschinen behandeln solche Adressen ganz anders als frisch registrierte, die man an jeder Ecke des Internets finden kann und die Google schlichtweg über Monate hinweg ignoriert.

Das Rezept ist simpel aber schon ausreichend. Eine HTML-Datei unter einer passenden Domain, ein bisschen Text, der nach Suchbegriffen aussieht, angereichert mit ein paar Links. Und schon taucht die Datei zwischen den echten Treffern in den Suchergebnissen auf. Wer zu schnell klickt und den Link nicht überprüft, landet ganz woanders. Wer langsamer liest und genauer prüft, fragt sich plötzlich, wo die Stadtverwaltung ein dem Bürger ansprechendes Vokabular entdeckt hat und ihn nicht mehr nur als Geldquelle oder lästigen Bittsteller von oben herab behandelt. Aufmerksame Leser werden trotzdem nicht darauf klicken.

Google ist das Ziel des PDF-Dokuments (siehe oben).

Das PDF-Dokument ist selten die Magie

Bei „bösartigen PDFs” denkt man reflexartig an Exploits, die das System verseuchen. Reader-Lücken, Code im Dokument, irgendein Trick im Dateiformat. Das gibt es natürlich alles. Diesmal ist der Einstieg aber viel banaler und eigentlich auch öder.

Der Upload ist das Ziel

Irgendwo auf der Webseite gibt es ein Formular, wo man Anhänge hochladen kann. Diese Möglichkeit nutzen Cyberkriminelle einfach aus. Wenn die hochgeladenen Dateien anschließend öffentlich abrufbar sind, am besten noch unter der Hauptdomain, dann ist die Arbeit des Angreifers fast erledigt. Der Rest ist typische Internetmechanik. Die Suchmaschinen indexieren sie, die Suchenden klicken drauf, fertig.

Das ist auch der Grund, warum man solche Fälle nicht als „Hack“ bezeichnen kann. Niemand hat einen Server gehackt, das Admin-Passwort geknackt und auch kein Template überschrieben. Es wurde lediglich eine vorhandene Möglichkeit genutzt. Das macht die Angelegenheit jedoch nicht harmloser. Es ist für die beteiligten Behörden zurecht richtig peinlich, die eigene Inkompetenz öffentlich erklären zu müssen.

Liebe US-Behörden: IT-Sicherheit sieht anders aus! Bildquelle, gemeinfrei.

Kalifornien zeigt den Hebel

Kalifornien ist deshalb ein gutes Beispiel. Dort sieht man, wie schnell so etwas eskaliert, wenn ein zentraler, essenzieller Ablauf offensteht. Beim Secretary of State geht es um ein Online-System, das viele Bürger ganz selbstverständlich nutzen, da man darüber Firmenangelegenheiten und Einträge abwickeln kann. Genau deshalb ist es ein dankbares Ziel. Das Portal ist in unzähligen Suchmaschinen und Verlinkungen zu finden, wird ständig aufgerufen und gecrawlt.

Wenn in so einem System Uploads möglich sind, die hinterher öffentlich sichtbar sind, reicht ein einziger Versuch, um dem Missbrauch Tür und Tor zu öffnen. Die Hacker brauchen keine 0-Day-Schwachstelle oder eine spektakuläre Aktion, um an ihr Ziel zu gelangen. Weil die Domain amtlich ist, rutscht das mit sinnfremden Inhalten vollgestopfte PDF-Dokument direkt zwischen die echten Treffer der Webseite.

Und genau hier steckt der Zentralisierungseffekt, den die Hacker ausnutzen können, ohne gleich den Holzhammer einer Zero-Day-Lücke ausnutzen zu müssen. Das ist nicht die Geschichte von dem einen Anbieter, der alles kaputtmacht, wie es Cloudflare ja in letzter Zeit mit seinem DNS gerne gemacht hat. Das Problem besteht darin, dass viele Ämter ihre Webseiten aus ähnlichen Modulen aus einem bestehenden Baukasten-System zusammenstellen lassen.

abzocknews

Ein CMS-Baukasten ist für die Ämter billig und bequem. Er lässt sich leicht politisch verkaufen und alles sieht so toll nach einer gelungenen Digitalisierung aus. Nur sind Baukästen eben auch gleichförmig. Wenn der Upload-Ablauf, die Struktur und die Methoden überall gleich sind, ist es das Missbrauchspotenzial auch, weil der Ablauf identisch ist. Das sind für Kriminelle ideale Voraussetzungen.

Oft sind Dienstleister nur die Plattform und Steigbügelhalter

In mehreren Fällen tauchen die gleichen Dienstleisternamen im Hintergrund auf. Behörden entwickeln ihre Websites selten selbst, sondern geben das in Auftrag. Das ist normal. Es ist auch nicht automatisch falsch. Problematisch wird es jedoch, wenn Upload-Inhalte ungeprüft öffentlich sind, weil die Suchmaschinen sie dann wie offizielle Inhalte behandeln.

Wenn ein Portal Anhänge annimmt und diese später unter derselben Domain ausliefert, passiert etwas ganz Simples. Die Domain-Autorität und -Seriosität färbt einfach ab. Ein PDF im Upload-Ordner fühlt sich für Suchmaschinen nicht anders an als ein PDF im Pressebereich. Der Crawler sieht nur eine erreichbare URL. Mehr braucht er nicht für die Kategorisierung und Indexerstellung.

Damit wird auch klar, warum man das keinem Anbieter zuschreiben kann. Solche Treffer tauchen bei verschiedenen Infrastrukturen und Anbietern auf. Der gemeinsame Nenner ist nicht der Name auf der Rechnung, sondern der identische Ablauf: Upload, öffentliche Auslieferung und Indizierung durch die Crawler.

Wenn aus PDFs Weiterleitungen werden

Manche Treffer sind keine PDFs, die dort jemand hochgeladen hat. Wenn die Prüfung der Uploads mangelhaft ist, kann es sich auch um HTML-Dateien handeln, die die Nutzer von der Behördenseite zu einem Fake-Shop, einer Abzockeseite (Scam) oder zu einem Porno-Portal weiterleiten.

Das ist nicht nur peinlich, weil es unter einer offiziellen Adresse der Behörden-Domains passiert. Es ist auch gefährlich, weil bei einer solchen Umleitung am Ende alles nachgeladen werden kann, was der Angreifer dahinter hängt. In mindestens einem Fall wurde dabei sogar eine Malware im Browser heruntergeladen, um den PC zu infizieren. Spätestens dann ist das keine SEO-Sauerei mehr, sondern ein klassisches Sicherheitsproblem.

Don't download any torrents without a VPN, your government is tracking you! — *

Fälle missbrauchter Behörden-Domains in Deutschland noch nicht bestätigt

Diese aktuelle Problematik betrifft bisher vor allem Fälle in den USA. Berichte oder gar eine Liste, die deutsche Behörden-Domains eindeutig als Teil derselben Missbrauchsproblematik zeigt, gibt es bislang noch nicht.

Die falsche Schlussfolgerung, dass es uns nicht betreffen könnte, käme einer Entwarnung gleich. Das ist aber einfach nicht der Fall. Denn das Grundproblem sind nicht die Domains an sich, sondern die Baukasten-Struktur der Seiten. Dazu kommt der Upload plus Veröffentlichung und die anschließende Indexierung der Datei auf einer hochgradig angesehenen Webseite.

Wer schon einmal mit kompromittierten Websites zu tun hatte, kennt das System dahinter. Plötzlich rankt eine Seite für Begriffe, die dort gar nichts zu suchen haben. Auch Unterseiten, die niemand gebaut hat, erscheinen plötzlich im Index, ebenso Snippets, die nach typischem Spam riechen. Mal ist es ein versteckter Text, mal eine Umleitung oder ein Plug-in, das man seit mehreren Jahren nicht mehr gepflegt hat.

Das Thema Zentralisierung ist auch hier kein theoretischer Begriff mehr. Der Angriff auf die Südwestfalen IT hat gezeigt, welche Auswirkungen ein zentraler Knotenpunkt haben kann, wenn Dutzende Domains vieler Kommunen betroffen sind. Damals handelte es sich um einen anderen Angriffstyp, nämlich Ransomware. Das endgültige Ziel der Hacker war der Ausfall und der damit einhergehende Stillstand ganzer städtischer Verwaltungen. Aber die Logik ist leider dieselbe. Ein gemeinsamer Unterbau wirkt sich exponentiell aus, sobald etwas nicht mehr funktioniert. Bei PDF-Dokumenten ist der Schaden nicht der Verwaltungsstillstand, sondern der Vertrauensverlust. Dazu gesellt sich die Frage, was Cyberkriminelle alles unter einer offiziellen Domain installieren konnten.

Warum das Löschen oft nicht reicht

Natürlich könnte man jetzt sagen: „Datei weg, Problem weg.” Doch bei einer Suchmaschine ist das leider selten der Fall. So schnell ist das Problem nicht gelöst.

Wenn etwas einmal indexiert ist, hängt es im Zweifel noch lange nach, sei es als Snippet, im Cache oder als veralteter Treffer. Selbst wenn die Datei schon entfernt wurde, kann der Treffer noch lange sichtbar bleiben, bis Suchmaschinen neu crawlen und ihren gigantischen Index auf den neuesten Stand bringen.

Was Behörden technisch anders aufbauen müssen

Der strukturelle Fehler ist fast immer derselbe. Upload-Inhalte werden wie offizieller Content behandelt.

Uploads sollten getrennt ausgeliefert werden. Idealerweise auf einer separaten Domain oder Subdomain, die nicht die volle Autorität der Hauptdomain besitzt. Dazu kommen klare Regeln, ob man von außen auf die Inhalte zugreifen kann. Und natürlich die Frage, wann Suchmaschinen den Inhalt der Dokumente überhaupt indexieren dürfen. Bei PDFs ist das keine nette Zusatzfunktion, sondern die Grundlage. Wenn PDFs nicht in die Suche gehören, muss man das entsprechend konfigurieren.

Und dann ist da noch der unangenehme Teil, über den kaum jemand gern redet. Man muss Uploads wie eine Angriffsfläche behandeln und nicht wie eine nette Beilage. Es braucht Validierung, Limitierung, Scans und die simple Frage, ob der Upload sofort öffentlich sein darf oder erst nach der Prüfung und Freigabe.

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.

Ende des Windows 10 Supports, ESU-Updates gratis, Microsoft Activation Script

Microsoft Activation Script (MAS) versorgt Windows 10 weiterhin mit kostenlosen Updates

Das kostenlose Microsoft Activation Script (MAS) versorgt Windows 10 nach Supportende mit Updates. Das ist aber alles andere als legal.

Discord Kundendienst gehackt

Discord Kundendienst gehackt, Ausweis- und Führerschein-Scans kopiert

Discord Kundendienst gehackt. Dem Eindringling gelang es offenbar, am 20. September zahlreiche Scans von offiziellen Dokumenten zu kopieren.

Flipper Blackhat

Flipper Blackhat: Wenn der Flipper Zero zum portablen Linux-Pen-Tester wird

Wer möchte, kann sein Flipper Zero zu einer Art Schweizer Taschenmesser verwandeln. Damit sind unzählige Penetrationstests möglich.

Nordkorea

Proton Mail sperrt E-Mail-Accounts nach Nordkorea-Hack

Weil der Autor vom PDF-Magazin Phrack „weiteren Schaden an ihrem Dienst verursachen könnte" sperrte Proton Mail mehrere E-Mail-Accounts.

WhatsApp-Malware SORVEPOTEL

WhatsApp-Malware SORVEPOTEL verbreitet sich selbst über Phishing-Nachrichten

Forscher warnen vor der neuen WhatsApp-Malware „SORVEPOTEL“, die sich über Phishing-Nachrichten verbreitet und viele Geräte verseucht hat.

smarttube

SmartTube-Schock auf Android TV

Wie der werbefreie YouTube-Client zur Gefahr wurde. SmartTube wurde bei diversen Android TV-Boxen zu einem Einfallstor für Schadsoftware.

Symbolbild: Android-Trojaner RatOn bedroht Bankkonten und Krypto-Wallets.

Android-Trojaner RatOn: Automatische Überweisungen an Hacker & Krypto-Diebstahl im Doppelpack

Neuer Android-Trojaner RatOn bringt automatische Überweisungen, Krypto-Klau & Fake-Ransomware. ThreatFabric deckt die Kampagne auf.

pornhub premium

Pornhub Premium und der Leak, der nach Erpressung riecht

Wenn der Betreiber nicht den Forderungen von ShinyHunters entspricht, wollen die Hacker zahlreiche Pornhub Premium-Kundendaten enttarnen.

Ein KI-Bot im Routinebetrieb – technisch hochkomplex und nicht ohne Risiken.

Gemini 3 Jailbreak offenbart hochgefährliche Anleitungen

Ein schneller Jailbreak enthüllt, wie leicht Gemini 3 gefährliche Inhalte preisgibt und zeigt massive Schwächen in Googles KI-Schutzsystemen.

Detour Dog

Detour Dog und die DNS-TXT-Kommunikation – eine neue Dimension der Malware-Verteilung

Die Malware-Kampagne von Detour Dog ist schon lange aktiv. In Wordpress-Blogs bettete man dafür ein ausgeklügeltes JavaScript ein.

Überwachung dort, wo Privatheit beginnen sollte: im eigenen Zuhause.

Polizeigesetz Berlin: Heimliche Wohnungseinbrüche und KI-Überwachung werden legal

Berlin verabschiedet ein Polizeigesetz: Staatstrojaner, heimliche Wohnungsbetritte, KI-Überwachung, Gesichtserkennung und Funkzellenabfragen.

Symbolbild: Der Entschlüsselungs-Key liegt offen – ein seltener Fehler in einer ansonsten gefährlichen Ransomware-Kampagne.

CyberVolk-Ransomware: VolkLocker liefert Entschlüsselungs-Key gleich mit

CyberVolk-Ransomware ist zurück: VolkLocker läuft komplett über Telegram und speichert den Master-Key im Klartext.

Vault Viper Leak: Der „Universe Browser“, der alles mitliest

Vault Viper Leak: Der „Universe Browser“, der alles mitliest

Der angeblich „sichere“ Universe Browser ist Teil des Untergrundnetzwerks Vault Viper, einer globalen Cybermafia.

Mario im Datensturm: Nintendo zwischen Leak-Gerüchten und Digitalchaos

Nintendo gehackt? Crimson Collective prahlt mit Datenklau – Beweise bisher fragwürdig

„Nintendo gehackt?“ – Die Hackergruppe Crimson Collective behauptet, in Nintendos Systeme eingedrungen zu sein.

ASUS-Router

Zehntausende ASUS-Router sind unter fremder Kontrolle

Die "Operation WrtHug" ist eine große Cyber-Angriffskampagne auf ASUS-Router. Wir erklären, wie sie funktioniert und man sie abwehren kann.

Symbolbild: Fakeshops ködern Verbraucher mit täuschend echten Angeboten.

Fakeshop-Betrug: 1,4 Millionen Euro ergaunert – Duo landet hinter Gittern

Fakeshop-Betrug brachte zwei Tätern 1,4 Millionen Euro ein. Das LG Hannover verhängte mehrjährige Haftstrafen.

Malware, Hacker

„One Battle After Another”: Torrent versteckt Malware in Untertiteln

Ein gefälschter Torrent für Leonardo DiCaprios Film „One Battle After Another” versteckt eine bösartige Malware in den Untertiteldateien.

Der lokalsender Radio Nordseewelle wurde Opfer eines Hackerangriffs

Radio Nordseewelle: Cyberangriff legt Infrastruktur von Lokalsender lahm

Radio Nordseewelle wurde Opfer eines schweren Cyberangriffs, Hardware wurde zerstört und musste teils komplett neu aufgebaut werden.