Wie veraltete Subdomains Top-Unis in Pornografie-Scams verwickeln

Anfang April 2026 entdeckte der Sicherheitsforscher Alex Shakhov von SH Consulting ein erschreckendes Muster: Dutzende Subdomains hochangesehener Universitäten wie der University of California, Berkeley, der Columbia University oder der Washington University in St. Louis führten plötzlich auf pornografische Inhalte oder betrügerische Webseiten. Betroffen waren nicht nur harmlose Unterseiten, sondern auch scheinbar seröse Bereiche wie statistische Institute oder Verwaltungsseiten. Besonders tückisch: Manche der manipulierten Links täuschten sogar Systemwarnungen vor – etwa den angeblichen Befall mit Malware – um Nutzer in die Falle zu locken.

Die Analyse von Shakhov zeigt, dass die Angriffe auf ein grundlegendes Versäumnis zurückgehen: die unzureichende Verwaltung von DNS-Einträgen. Universitäten erstellen regelmäßig Subdomains für Projekte, Veranstaltungen oder temporäre Dienste. Doch wenn diese nicht mehr benötigt werden, bleiben die zugehörigen CNAME-Einträge oft jahrelang aktiv. Kriminelle nutzen diese Lücken, indem sie die verwaisten Subdomains registrieren und mit schädlichen Inhalten füllen. Experten verknüpfen die Angriffe mit der Hackergruppe Hazy Hawk, die bereits seit Jahren ähnliche Taktiken einsetzt.

Der DNS-Fehler, der alles auslöst

Jede Subdomain wie causal.stat.berkeley.edu oder conversion-dev.svc.cul.columbia.edu funktioniert nur, weil ein DNS-CNAME-Eintrag existiert. Dieser verweist auf den Server, der die Inhalte hostet. Wird die Subdomain deaktiviert – etwa weil ein Projekt endet oder ein Dienst umzieht – bleibt der Eintrag oft unangetastet. Der Fehler liegt in der mangelnden Dokumentation und automatisierten Überprüfung solcher Einträge.

Sobald der CNAME-Eintrag veraltet ist, können Angreifer die freie Subdomain registrieren. Innerhalb kürzester Zeit platzieren sie dort pornografische Inhalte, Betrugsseiten oder Phishing-Links. Shakhovs Untersuchung ergab, dass mindestens 34 Universitäten betroffen sind, wobei Google in seinen Suchergebnissen bereits tausende manipulierte Seiten identifiziert hat. Besonders perfide: Einige der betrügerischen Seiten imitierten offizielle Warnungen vor Malware, um Nutzer zum Kauf fragwürdiger „Reinigungs-Tools“ zu bewegen.

Warum selbst Elite-Unis verwundbar sind

Die Liste der betroffenen Institutionen liest sich wie ein Who’s Who der globalen Hochschullandschaft:

• University of California, Berkeley (berkeley.edu, stat.berkeley.edu)
• Columbia University (columbia.edu, cul.columbia.edu)
• Washington University in St. Louis (washu.edu, provost.washu.edu)
• Weitere bekannte Namen wie Harvard, MIT oder Stanford könnten ebenfalls betroffen sein – eine vollständige Überprüfung steht noch aus.

Der Fall offenbart ein strukturelles Problem: Selbst mit hochmodernen IT-Infrastrukturen scheitern Organisationen an grundlegenden Haushaltsaufgaben. Die Ursache liegt oft in der Komplexität moderner IT-Landschaften – unzählige Dienste, veraltete Protokolle und fehlende automatisierte Überwachungstools machen es Administratoren schwer, den Überblick zu behalten. Laut Shakhov hätten bereits einfache Maßnahmen wie regelmäßige DNS-Audits oder automatisierte Erinnerungen bei Subdomain-Deaktivierungen das Ausmaß der Angriffe begrenzen können.

Wie Angreifer Hazy Hawk die Fäden zieht

Sicherheitsexperten der Firma Infoblox haben die Aktivitäten der Gruppe Hazy Hawk seit 2024 genau analysiert. Die Hacker nutzen ein kombiniertes Arsenal an Techniken, um verwaiste Subdomains zu kapern:

• Schnelle Domain-Registration: Sobald ein CNAME-Eintrag inaktiv wird, registrieren sie die Subdomain innerhalb von Minuten.

• Content-Manipulation: Sie ersetzen harmlose Inhalte durch pornografische Seiten, Betrugslinks oder Phishing-Seiten.

• SEO-Exploits: Die manipulierten Seiten werden gezielt mit Suchbegriffen optimiert, um in Google-Ergebnissen hoch zu ranken.

Die Gruppe agiert dabei sehr gezielt: Statt wahllos Angriffe zu starten, konzentrieren sie sich auf hochwertige Domains mit hoher Autorität – wie Universitätsseiten. Dadurch erhöhen sie die Glaubwürdigkeit ihrer betrügerischen Inhalte und steigern die Klickraten.

Was Universitäten und Unternehmen jetzt tun müssen

Die Vorfälle bei den Top-Unis sind kein Einzelfall. Ähnliche Angriffe gab es bereits bei Regierungsbehörden, Unternehmen und sogar Krankenhäusern. Um sich zu schützen, empfehlen Experten folgende Maßnahmen:

• Automatisierte DNS-Überwachung: Tools wie DNSSEC oder CNAME-Monitoring-Dienste können verwaiste Einträge automatisch erkennen.

• Regelmäßige Audits: IT-Teams sollten mindestens vierteljährlich alle aktiven und inaktiven Subdomains prüfen.

• Schnelle Reaktion: Bei Deaktivierung einer Subdomain muss der zugehörige CNAME-Eintrag innerhalb von 24 Stunden gelöscht werden.

• Mitarbeiterschulungen: Mitarbeiter müssen für das Risiko sensibilisiert werden, dass auch scheinbar harmlose Links gefährlich sein können.

Die Universität Berkeley hat auf die Enthüllungen reagiert und bereits mehrere hundert betroffene Subdomains gesperrt. Dennoch bleibt die Frage: Wie viele weitere Domains schlummern noch im Verborgenen – und warten darauf, von Kriminellen missbraucht zu werden? Angesichts der zunehmenden Digitalisierung und der wachsenden Bedrohung durch Cyberkriminalität wird eine proaktive Sicherheitspolitik für alle Organisationen zur Pflicht.