Rückblick: Dieser Beitrag stammt aus dem Juli 2018 und dokumentiert einen der bekanntesten deutschen Hoster-Hacks des Jahrzehnts. Die Fakten sind historisch, die Lehre daraus ist zeitlos.

Was ist damals passiert?

Am 3. Juli 2018 meldete sich ein Nutzer im Forum von DomainFactory und behauptete, Zugang zu Kundendaten zu haben. DomainFactory, damals zur GoDaddy-Gruppe gehörig und einer der größten deutschen Webhoster, bestätigte den Vorfall wenige Tage später.

Die Ursache: Eine Systemumstellung Ende Januar 2018 hatte versehentlich einen Datenfeed offen gelassen. Immer wenn Kunden an ihrem Account Änderungen vornahmen und dabei Systemfehler auftraten, wurden Daten in ein XML-Feld geschrieben und waren von außen zugänglich. Diesen Fehler nutzte ein Angreifer aus, der nach eigenen Angaben einen DirtyCow-Exploit einsetzte, um weitere Systeme zu kompromittieren.

Betroffen war ein breites Spektrum an personenbezogenen Daten: Klarname, Firmenname, Kundennummer, E-Mail-Adresse, Anschrift, Geburtsdatum, Telefonnummer, das DomainFactory-Telefonpasswort, Bankname und IBAN sowie der bei der Schufa zuletzt abgefragte Score. Teile davon lagen im Klartext vor.

Die Expositionszeit: vom 29. Januar bis zum 3. Juli 2018. Über fünf Monate.

Offizielle Zusammenfassung des Vorfalls: DomainFactory Blog, Datenpanne Juli 2018

Warum war das mehr als ein normaler Passwort-Leak?

Passwort-Leaks kommen häufig vor, aber die Kombination aus Bankdaten, Schufa-Score und Klaridentität ist ein anderes Kaliber. Ein Angreifer mit diesen Informationen kann Identitätsbetrug versuchen, Phishing-Mails authentisch wirken lassen oder Lastschrift-Betrug einleiten.

Der Hacker gab damals öffentlich an, die Daten nicht weiterverkaufen zu wollen. Ob das der Wahrheit entsprach, lässt sich nicht überprüfen. Betroffene hatten keine Möglichkeit, das zu kontrollieren.

Was sollten Betroffene damals getan haben, und was gilt noch heute?

Wenn Sie 2018 DomainFactory-Kunde waren, sollten diese Punkte längst abgehakt sein. Falls nicht, holen Sie sie nach. Und falls Sie diese Checkliste nicht wegen DomainFactory lesen, sondern wegen eines anderen aktuellen Vorfalls: die Schritte sind identisch.

1. Passwort beim betroffenen Dienst sofort ändern. Klingt selbstverständlich, wird aber regelmäßig aufgeschoben. Der erste Schritt ist der wichtigste.

2. Kein Passwort mehrfach verwenden. Wenn Sie das DomainFactory-Passwort auch anderswo genutzt haben, müssen Sie es überall ändern. Angreifer probieren erbeutete Zugangsdaten systematisch bei anderen Diensten aus (Credential Stuffing). Ein Passwort-Manager löst dieses Problem dauerhaft. Wir nutzen intern Bitwarden, aber jede ernsthafte Lösung ist besser als Passwörter im Kopf oder in einer Tabelle. Mehr zur modernen Passwortstrategie im Beitrag Passwörter der Zukunft.

3. Zwei-Faktor-Authentifizierung (2FA) aktivieren. Selbst wenn ein Passwort kompromittiert wird, schützt 2FA den Account. Beim betroffenen Dienst einschalten, aber auch bei E-Mail, Microsoft 365, Google und allen anderen kritischen Zugängen. Das gilt besonders für Unternehmensaccounts.

4. E-Mail-Adresse auf haveibeenpwned.com prüfen. Have I Been Pwned ist ein kostenloser Dienst des Sicherheitsforschers Troy Hunt. Sie geben Ihre E-Mail-Adresse ein und sehen sofort, bei welchen bekannten Datenlecks sie aufgetaucht ist. DomainFactory ist dort erfasst. Der Dienst ist seriös und gibt keine E-Mail-Adressen weiter.

5. Kontoauszüge prüfen. Bei einem Leak mit IBAN-Daten ist ein Blick auf die letzten Transaktionen keine Paranoia, sondern Routine. Unbekannte Lastschriften sofort bei der Bank melden und zurückbuchen lassen.

6. Phishing-Bewusstsein schärfen. Mit vollständigen Stammdaten können Angreifer täuschend echte Mails schreiben. E-Mails, die zur Passwortänderung auffordern oder einen Link mitschicken, immer direkt über die bekannte Website prüfen, nie über den Link in der Mail.

Was man aus dem DomainFactory-Fall lernen kann

Der Vorfall zeigt ein Muster, das sich wiederholt: Die eigentliche Schwachstelle war kein spektakulärer Zero-Day, sondern ein Konfigurationsfehler bei einer Systemumstellung. Fünf Monate lang niemand war es aufgefallen.

Für Unternehmen bedeutet das: Änderungen an produktiven Systemen brauchen ein Vier-Augen-Prinzip und Überprüfung der exponierten Schnittstellen. Für Einzelpersonen bedeutet es, dass Passwörter der schwächste Punkt in der Kette bleiben, solange sie wiederverwendet werden.

Der Beitrag Die häufigsten Passwörter Deutschlands zeigt, wie verbreitet unsichere Passwörter noch heute sind.

Wie Netzleiter solche Situationen für Unternehmen handhabbar macht

Datenlecks bei externen Dienstleistern lassen sich nicht vollständig verhindern, aber die Auswirkungen lassen sich begrenzen. Für Unternehmen mit mehreren Mitarbeitenden empfehlen wir:

Zentrales Identitätsmanagement (Entra ID / Microsoft 365): Ein Mitarbeitender verlässt das Unternehmen oder ein Dienst ist betroffen, Zugänge werden zentral gesperrt oder rotiert, nicht einzeln.
Passwort-Manager für Teams: Keine geteilten Passwörter mehr per E-Mail oder Haftzettel.
Regelmäßige Credential-Überprüfung: Abgleich von Unternehmens-E-Mail-Domains gegen bekannte Leak-Datenbanken.

Fragen dazu beantwortet unser Team unter 040 25 499 500 oder support@netzleiter.com.