Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI-Sicherheits-Portfolio
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist Typosquatting? Methoden von Domain-Angriffen & Prävention
Cybersecurity 101/Cybersecurity/Typosquatting

Was ist Typosquatting? Methoden von Domain-Angriffen & Prävention

Typosquatting-Angriffe nutzen Tippfehler aus, um Benutzer auf gefälschte Domains umzuleiten, die Zugangsdaten stehlen. Erfahren Sie mehr über die Angriffsmethoden und Präventionsstrategien für Unternehmen.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis

Verwandte Artikel

  • Cybersecurity-Forensik: Arten und Best Practices
  • Die 10 größten Risiken für die Cybersicherheit
  • Risikomanagement: Rahmenbedingungen, Strategien und Best Practices
  • Was sind die Gesamtbetriebskosten (TCO) für Cybersicherheit?
Autor: SentinelOne | Rezensent: Dianna Marks
Aktualisiert: March 2, 2026

Was ist Typosquatting?

Sie tippen "gogle.com" statt "google.com" ein und drücken Enter. Innerhalb von Millisekunden sehen Sie eine Seite zur Erfassung von Zugangsdaten, die einen einfachen Tippfehler ausnutzt. Dieser eine Tastenfehler hat Angreifern gerade Zugriff auf Ihre Unternehmenszugangsdaten verschafft.

Typosquatting ist ein domänenbasierter Angriff, bei dem Bedrohungsakteure Domainnamen registrieren, die legitimen Websites sehr ähnlich sehen, indem sie häufige Tippfehler ausnutzen. Laut dem Internet Crime Report 2023 des FBI erzeugten  Phishing- und Spoofing-Angriffe (der Hauptanwendungsfall für typosquattete Domains) allein im Jahr 2023 298.878 Beschwerden.

Die offizielle Anleitung der CISA definiert Typosquatting als einen domänenbasierten  Social-Engineering-Angriff, bei dem Bedrohungsakteure "gefälschte Domains mit leicht veränderten Merkmalen legitimer Domains" durch Zeichenvariationen einrichten, um Benutzer zu täuschen. Angreifer nutzen häufige Tippfehler aus, indem sie Domains wie "gogle.com" (Zeichen ausgelassen), "googel.com" (Zeichen vertauscht) oder "googlr.com" (Tippfehler auf benachbarter Taste) registrieren, um überzeugende Phishing-Infrastrukturen zu schaffen.

Der Angriff ist erfolgreich, weil die menschliche Wahrnehmung sich von maschineller Präzision unterscheidet. Ihre Augen sehen "paypal.com" auf dem Bildschirm, aber der Browser löst "pаypal.com" mit einem kyrillischen 'а'-Zeichen (U+0430) auf, das identisch wie das lateinische 'a' (U+0061) dargestellt wird. Die Domain gehört Angreifern, nicht PayPal.

Typosquatting erfordert keine Social-Engineering-Geschichte. Angreifer warten einfach auf Tippfehler, die mit vorhersehbarer Häufigkeit statistisch auftreten. Im Unternehmensmaßstab mit Tausenden von Mitarbeitenden, die täglich Hunderte von SaaS-Plattformen nutzen, werden diese Fehler zu Angriffsgelegenheiten, die in Volumen und nicht in Wahrscheinlichkeit gemessen werden.

Das Verständnis des Ausmaßes dieser Bedrohung wirft eine unmittelbare Frage auf: Warum stoppen bestehende Sicherheitskontrollen diese Angriffe nicht?

Warum traditionelle Sicherheit bei Typosquatting versagt

Typosquatting fungiert als Einstiegspunkt für mehrstufige Angriffsketten, die Ihre Perimeterverteidigung vollständig umgehen. Laut  CISA Advisory AA23-025A "leitet die im ersten Phishing-E-Mail verlinkte bösartige Domain der ersten Stufe periodisch auf andere Seiten für weitere Weiterleitungen und Downloads von RMM-Software weiter." Ihre Endpunktsicherheit erkennt den Erstbefall nicht, weil Sie freiwillig zur bösartigen Domain navigiert haben.

Traditionelles URL-Filtering versagt, weil typosquattete Domains keine bösartige Reputationshistorie haben. DNS-Protokolle zeigen legitime, vom Benutzer initiierte Anfragen statt Command-and-Control-Muster. SSL-Zertifikate bestehen Validierungsprüfungen und zeigen vertrauenswürdige Schloss-Symbole an. Ihr Security-Stack sieht autorisiertes Benutzerverhalten, keine bösartige Aktivität – bis die Nutzlast ausgeführt wird.

Die Auswirkungen auf die Cybersicherheit gehen über den Diebstahl einzelner Zugangsdaten hinaus.  Forschung der Carnegie Mellon University dokumentierte, dass typosquattete Domains jährlich erhebliche Mengen fehlgeleiteter E-Mails über zentrale Mailserver-Infrastrukturen erhalten. Wenn Ihre Benutzer versehentlich Unternehmenskommunikation an typosquattete Versionen Ihrer eigenen Domain senden, fangen Angreifer Geschäftsgeheimnisse, Finanzdaten und strategische Kommunikation ab, ohne einen einzigen Sicherheitsalarm auszulösen.

Um sich gegen diese Angriffe zu verteidigen, müssen Sie zunächst die spezifischen Techniken verstehen, mit denen Angreifer täuschende Domains erstellen.

Arten von Typosquatting-Angriffen

Angreifer setzen verschiedene Techniken ein, um überzeugende Domain-Varianten zu generieren. Untersuchungen bestätigen, dass etwa 99 % der typosquatteten Domains Einzelzeichen-Modifikationen verwenden, was diese Muster vorhersehbar, aber dennoch effektiv macht.

  1. Zeichen ausgelassen entfernt einen Buchstaben: "gogle.com" statt "google.com". Dies nutzt schnelles Tippen aus, bei dem Finger Tasten überspringen.
  2. Zeichenverdopplung fügt zusätzliche Buchstaben hinzu: "googgle.com" zielt auf Doppeltipp-Fehler bei wiederholten Zeichen ab.
  3. Zeichenvertauschung vertauscht benachbarte Buchstaben: "googel.com" nutzt die natürliche Tendenz aus, Buchstabenreihenfolgen beim schnellen Tippen zu vertauschen.
  4. Substitution durch benachbarte Taste ersetzt Zeichen durch Nachbartasten auf der Tastatur: "googlr.com" (r neben e) zielt auf physische Tippfehler ab.
  5. Homograph-Angriffe ersetzen visuell identische Unicode-Zeichen. Laut  ICANN-Forschung dokumentierten Forscher 11.766 einzigartige IDN-Homographen über 20 Monate. Das kyrillische 'а' (U+0430) wird identisch wie das lateinische 'a' (U+0061) dargestellt, wodurch "pаypal.com" visuell nicht von der legitimen Domain zu unterscheiden ist.
  6. Doppelgänger-Domains lassen Punkte in Subdomains weg: "wwwgoogle.com" oder "aborofamerica.com" (fehlender Punkt nach "boa") fangen Traffic von Benutzern ab, die den Punkt zwischen Subdomain und Domain vergessen.
  7. Combosquatting fügt legitime klingende Wörter hinzu: "google-login.com" oder "secure-paypal.com" erscheint wie eine offizielle Subdomain, gehört aber Angreifern.
  8. Falsche TLD-Substitution nutzt Verwirrung bei Domain-Endungen aus: Angreifer registrieren company.co, company.net und company.org, wenn Sie nur company.com besitzen.
  9. Bindestrich-Variationen fügen Bindestriche hinzu oder entfernen sie: "face-book.com" versus "facebook.com" zielt auf Unsicherheit bezüglich der Bindestrichplatzierung in Markennamen ab.
  10. Bitsquatting nutzt Hardware-Speicherfehler aus, die zufällig einzelne Bits in zwischengespeicherten Domainnamen umdrehen und Traffic auf Domains umleiten, die sich um ein Bit von legitimen Zielen unterscheiden.

Jede dieser Techniken verfolgt das gleiche Ziel: Opfer auf eine bösartige Zielseite zu bringen. Aber die Registrierung einer täuschenden Domain ist nur der erste Schritt. So verwandeln Angreifer diese Domains in operative Bedrohungen.

Wie funktioniert Typosquatting?

Typosquatting-Angriffe folgen einem vierphasigen operativen Zyklus, der registrierte Domains in aktive Bedrohungen für Ihre Organisation verwandelt.

  1. Phase 1: Domain-Identifikation und -Registrierung. Angreifer verwenden Algorithmen, um Tippfehler-Varianten von wertvollen Domains zu generieren. Sie identifizieren Marken mit hohem Traffic, wertvollen Zugangsdaten oder finanziellen Transaktionsmöglichkeiten und registrieren dann Hunderte von Varianten über mehrere TLDs hinweg.
  2. Phase 2: Infrastrukturaufbau richtet die bösartige Infrastruktur ein. Angreifer konfigurieren DNS-Einträge, die typosquattete Domains auf Webserver verweisen, die geklonte Login-Seiten,  Malware-Verteilungsplattformen oder Weiterleitungsketten hosten. Sie erhalten gültige SSL-Zertifikate und richten Mailserver ein, um fehlgeleitete E-Mails abzufangen.
  3. Phase 3: Traffic-Abgriff erfolgt über mehrere Kanäle. Direkte Navigationsfehler entstehen, wenn Sie URLs mit kleinen Tippfehlern manuell eingeben. E-Mail-Kampagnen aus kompromittierten Konten enthalten typosquattete Links, die im Nachrichtenkontext legitim erscheinen. Das  FBI warnte, dass "Bedrohungsakteure gefälschte Websites oft durch geringfügige Änderungen an legitimen Website-Domains erstellen, um sensible Informationen von Opfern zu sammeln."
  4. Phase 4: Monetarisierung nutzt je nach Zielsetzung des Angreifers verschiedene Strategien:
  • Credential Harvesting zielt auf SaaS-Plattformen ab, bei denen gestohlene Zugangsdaten Zugriff auf Unternehmensdaten ermöglichen
  • Malware-Verteilung liefert  Ransomware und Infostealer über Drive-by-Downloads
  • E-Mail-Abfang fängt fehlgeleitete Kommunikation mit sensiblen Geschäftsinformationen ab
  • Ad Fraud generiert Einnahmen durch erzwungene Weiterleitungen zu Werbenetzwerken
  • Markenimitation unterstützt Business-E-Mail-Compromise-Schemata

Forschung der Carnegie Mellon University dokumentierte, dass typosquattete Domains jährlich etwa 800.000 E-Mails über zentrale Infrastrukturen erhalten.

Dieses operative Modell ist nicht theoretisch. Hochkarätige Vorfälle zeigen genau, wie diese Angriffe Organisationen in der Praxis beeinflussen.

Typosquatting-Angriffe in der Praxis

Dokumentierte Vorfälle zeigen, wie Typosquatting Organisationen unabhängig von Größe, Branche oder Sicherheitsniveau betrifft. Diese Fälle zeigen sowohl den direkten Schaden durch Angriffe als auch die daraus resultierenden Reputationsrisiken.

  • Google vs. Gooogle LLC (2022): Im Oktober 2022 reichte Google eine Klage beim U.S. District Court for the Southern District of New York gegen Gooogle LLC ein, ein Unternehmen, das Domains wie "gooogle.com" (mit zusätzlichem 'o') registrierte. Laut Gerichtsunterlagen verteilte die typosquattete Domain Malware und führte Phishing-Kampagnen gegen Google-Nutzer durch. Der Fall zeigte, dass selbst die weltweit bekanntesten Marken fortlaufenden Typosquatting-Bedrohungen ausgesetzt sind.
  • Equifax Typosquatting-Vorfall (2017): Nach dem massiven  Datenleck von Equifax, das 147 Millionen Verbraucher betraf, leitete das Unternehmen selbst versehentlich Opfer des Datenlecks auf eine typosquattete Domain um. Der offizielle Twitter-Account von Equifax veröffentlichte Links zu "securityequifax2017.com" statt zur legitimen Seite "equifaxsecurity2017.com" für die Reaktion auf das Datenleck. Die typosquattete Domain, erstellt von einem Sicherheitsforscher, hätte von Angreifern genutzt werden können, um Zugangsdaten von verwirrten Opfern zu sammeln.

Diese Vorfälle zeigen, wie Typosquatting Organisationen sowohl als Ziel als auch als potenziell unbeabsichtigte Ermöglicher von Angriffen auf ihre eigenen Kunden bedroht. Aber was macht diesen Angriffsvektor branchenübergreifend so effektiv?

Warum Typosquatting erfolgreich ist

Typosquatting nutzt grundlegende Vorteile der Angreifer aus, die diese Technik unabhängig von Ihren Sicherheitsinvestitionen durchgehend effektiv machen.

  • Menschliches Versagen ist statistisch garantiert. Das FBI dokumentierte 2023 298.878 Phishing-Beschwerden. Im Unternehmensmaßstab mit Tausenden von Mitarbeitenden, die täglich URLs eintippen, treten Tippfehler mit mathematischer Sicherheit auf. Angreifer benötigen keine ausgefeilten Exploits, wenn einfache Domainregistrierung organisch fehlgeleiteten Traffic aus vorhersehbarem menschlichem Verhalten abfängt.
  • Visuelle Wahrnehmung kann pixelidentische Zeichen nicht unterscheiden. Wenn Sie auf "pаypal.com" mit kyrillischem 'а' (U+0430) statt lateinischem 'a' (U+0061) blicken, verarbeitet Ihr visuelles System es als "paypal.com", weil die dargestellten Glyphen identisch sind. Laut ICANN-Forschung registrierten Angreifer Tausende einzigartiger Homograph-Varianten, die diese biologische Einschränkung ausnutzen.
  • Vertrauensindikatoren werden zur Waffe. Angreifer erhalten gültige SSL-Zertifikate für typosquattete Domains innerhalb von Minuten von legitimen Zertifizierungsstellen. Das Schloss-Symbol, dessen Überprüfung Sie Ihren Nutzern beigebracht haben, vermittelt nun eine falsche Sicherheit. Laut  ICANN-Dokumentation beweist das Zertifikat nur, dass die Verbindung verschlüsselt ist, nicht dass die Domain legitim ist.
  • Angriffsdurchführung erfordert minimale Ressourcen. Domainregistrierung kostet unter 15 US-Dollar und ist in Minuten abgeschlossen. Kostenlose SSL-Zertifikate von Let's Encrypt bieten sofortige Legitimität. Phishing-Kits automatisieren die Bereitstellung von Credential-Harvesting-Seiten. Angreifer stehen vor keinen technischen Hürden und können Kampagnen im großen Maßstab mit minimalem Aufwand durchführen.

Diese Vorteile der Angreifer schaffen entsprechende Herausforderungen für Sicherheitsteams, die sich gegen Typosquatting verteidigen wollen.

Herausforderungen bei der Verteidigung gegen Typosquatting

Sicherheitsteams stehen vor strukturellen Einschränkungen, die die Verteidigung gegen Typosquatting grundsätzlich erschweren – selbst bei ausreichenden Ressourcen und Tools.

  • Reputationsbasierte Erkennung kommt zu spät. Ihr Security-Stack verlässt sich auf Blocklisten und  Threat Intelligence-Feeds, die bösartige Domains erst nach deren Beobachtung in Angriffen identifizieren. Neu registrierte typosquattete Domains haben keine Reputationshistorie und umgehen Ihre Filter, bis die ersten Opfer bereits kompromittiert sind.
  • Variantenskala übersteigt Überwachungskapazität. Eine einzelne Marke erzeugt Hunderte mathematisch möglicher typosquatteter Varianten über Zeichenmodifikationen, TLD-Alternativen und Combosquatting-Kombinationen. Die Überwachung jeder Permutation über jede TLD hinweg, kombiniert mit IDN-Homographen, übersteigt die praktische Kapazität menschlicher oder automatisierter Überprüfung.
  • Angriffsfläche geht über Webdomains hinaus. Angreifer setzen Typosquatting inzwischen in Softwarepaket-Repositories (NPM, PyPI, RubyGems) und AI/ML-Modell-Repositories (Hugging Face) ein. Ihre Domainüberwachung bietet keine Sichtbarkeit, wenn Entwickler versehentlich "requets" statt "requests" aus kompromittierten Paketmanagern installieren.
  • E-Mail-Abfang erzeugt keine Sicherheitsalarme. Wenn Mitarbeitende interne Kommunikation versehentlich an typosquattete Versionen Ihrer Domain senden, wird keine Erkennung ausgelöst. Angreifer betreiben zentrale Mailserver, die stillschweigend fehlgeleitete E-Mails mit Geschäftsgeheimnissen, Finanzdaten und strategischer Kommunikation sammeln.
  • Takedown-Prozesse sind langsamer als Angriffe. UDRP-Beschwerden und Missbrauchsmeldungen an Registrare benötigen Tage oder Wochen zur Bearbeitung. Angreifer registrieren Ersatzdomains schneller, als rechtliche Mechanismen sie entfernen können, was einen endlosen Zyklus schafft, in dem die Verteidigung der Offensive dauerhaft hinterherhinkt.

Diese strukturellen Herausforderungen führen oft dazu, dass Sicherheitsteams gängige Fehler machen, die die von Angreifern ausgenutzten Lücken sogar noch vergrößern.

Häufige Fehler bei der Typosquatting-Abwehr

Ihre Organisation macht wahrscheinlich Fehler bei der Implementierung von Typosquatting-Abwehrmaßnahmen, die ausnutzbare Lücken schaffen, auf die Angreifer gezielt abzielen.

  • Fehler 1: Annahme, dass URL-Filtering ausreichenden Schutz bietet. Sie haben Web-Proxys und DNS-Filterdienste implementiert, die bekannte bösartige Domains blockieren. Diese Annahme ist falsch, weil typosquattete Domains als neu registriert erscheinen und keine bösartige Reputationshistorie haben.
  • Fehler 2: Vernachlässigung der Implementierung von E-Mail-Authentifizierung. Sie haben DMARC mit Durchsetzungsrichtlinien (p=quarantine oder p=reject) für Ihre Domains nicht implementiert. Ohne DMARC-Durchsetzung erreichen gefälschte Nachrichten die Posteingänge der Empfänger, während Ihr Markenruf durch Phishing-Kampagnen leidet, die Sie nicht versendet haben.
  • Fehler 3: Fokussierung ausschließlich auf Webdomains und Ignorieren der Software-Lieferkette. Ihr Sicherheitsteam überwacht Domainregistrierungen auf webbasierte Typosquatting-Angriffe, bietet aber keine Sichtbarkeit bei Paketmanager-Installationen auf Entwicklerarbeitsplätzen. Wenn Entwickler "requets" statt "requests" in einem pip install-Befehl eingeben, werden typosquattete Pakete direkt in Entwicklungsumgebungen installiert.
  • Fehler 4: Schulung der Nutzer zur Überprüfung von Schloss-Symbolen ohne Erklärung der Zertifikatsgrenzen. Ihr Security Awareness Training weist eine Lücke auf: Sie haben nicht erklärt, dass Angreifer problemlos gültige SSL-Zertifikate für typosquattete Domains erhalten. Das Zertifikat beweist Verschlüsselung, nicht Legitimität.
  • Fehler 5: Implementierung von Abwehrmaßnahmen ohne Wirksamkeitsmessung. Sie haben defensive Domainvarianten registriert und E-Mail-Authentifizierung konfiguriert, aber kein Monitoring implementiert, um zu messen, wie häufig Nutzer auf typosquattete Domains stoßen, die auf Ihre Organisation abzielen.

Diese Fehler zu vermeiden beginnt mit Sichtbarkeit. Sie können Bedrohungen nicht abwehren, die Sie nicht kennen.

Wie Sie Typosquatting erkennen, das auf Ihre Marke abzielt

Die Identifizierung typosquatteter Domains, bevor Angreifer sie nutzen, erfordert proaktives Monitoring über mehrere Datenquellen hinweg.

  • Certificate Transparency Monitoring bietet nahezu Echtzeit-Sichtbarkeit auf neu ausgestellte SSL-Zertifikate. Wenn Angreifer Zertifikate für Domains erhalten, die Ihrer Marke ähneln, erfassen CT-Protokolle das Ausstellungsereignis. Konfigurieren Sie Benachrichtigungen für Zertifikatsausstellungen, die Ihren Organisations- oder Produktnamen enthalten.
  • DNS-Analysen zeigen verdächtige Registrierungsmuster. Überwachen Sie Massenregistrierungen von Domains, die Ihrer Marke ähneln, über mehrere TLDs hinweg in kurzen Zeiträumen. Angreifer registrieren typischerweise Dutzende Varianten gleichzeitig, bevor sie Kampagnen starten.
  • WHOIS-Datenbanküberwachung verfolgt neue Domainregistrierungen, die Typosquatting-Mustern entsprechen. Kommerzielle Threat Intelligence-Dienste generieren typosquattete Varianten algorithmisch und alarmieren, wenn passende Domains in Registrierungsdatenbanken erscheinen.
  • Typosquatting-Generierungsalgorithmen erstellen umfassende Variantenlisten mithilfe von Damerau-Levenshtein-Distanzberechnungen. Diese Tools generieren jede mögliche Einzelzeichen-Modifikation und gleichen sie mit aktiven DNS-Einträgen ab, um registrierte Bedrohungen zu identifizieren.
  • Web-Traffic-Analyse erkennt, wenn Ihre Nutzer typosquattete Domains aufrufen. DNS-Abfrageprotokolle, Web-Proxy-Daten und Endpunkt-Telemetrie zeigen fehlgeleitete Traffic-Muster, die auf aktive Typosquatting-Kampagnen gegen Ihre Organisation hinweisen.

Erkennung allein reicht nicht aus. Sobald Sie Typosquatting-Bedrohungen identifizieren können, benötigen Sie systematische Abwehrmaßnahmen, die eine Kompromittierung von vornherein verhindern.

Best Practices zur Typosquatting-Prävention

Die Verteidigung gegen Typosquatting erfordert gestaffelte Kontrollen, die Schwachstellen auf Domain-, Netzwerk-, Endpunkt- und Organisationsebene gleichzeitig adressieren.

  • Implementieren Sie defensive Domainregistrierung mit risikobasierter Priorisierung. Laut  CIS-Empfehlung sollten Sie "in Erwägung ziehen, Varianten Ihrer Domains zu kaufen, um sich gegen häufige Tippfehler zu schützen." Registrieren Sie die vorhersehbarsten Typosquatting-Varianten in vier Hauptkategorien:
  1. Bindestrich-Variationen (company-name.com vs companyname.com)
  2. Homoglyph-Variationen mit Zeichenähnlichkeiten, insbesondere kyrillische Zeichen
  3. Häufige Rechtschreibfehler basierend auf Tastaturnähe
  4. Kritische TLD-Alternativen (.com, .net, .org, .co)
  • Setzen Sie E-Mail-Authentifizierung mit gestufter DMARC-Durchsetzung um. Konfigurieren Sie SPF-Einträge, implementieren Sie DKIM-Signierung und setzen Sie DMARC zunächst im Überwachungsmodus (p=none) ein. Nach Validierung legitimer Mailquellen wechseln Sie zu Quarantäne- und dann zu Ablehnungsrichtlinien.
  • Konfigurieren Sie DNS-Sicherheitskontrollen mit verschlüsselter Auflösung. Setzen Sie DNSSEC ein, um DNS-Antworten kryptografisch zu validieren. Konfigurieren Sie schützende DNS-Dienste, die neu registrierte Domains blockieren, bis eine Reputationsanalyse abgeschlossen ist.
  • Richten Sie kontinuierliches Domain-Monitoring mit autonomen Benachrichtigungen ein. Abonnieren Sie Domain-Registrierungsfeeds aus Certificate Transparency Logs, WHOIS-Datenbanken und kommerziellen Domain-Monitoring-Diensten. Überwachen Sie Combosquatting-Varianten, die Ihren Organisationsnamen mit gängigen Wörtern wie secure, login, portal, verify und account kombinieren.
  • Schaffen Sie Endpunktschutz, der Folgen nach dem Klick verhindert. Die Singularity Platform von SentinelOne bietet autonome Reaktionsfunktionen, die Endpunkte isolieren, wenn verdächtige Verhaltensweisen auftreten, und so die Ausführung von Malware und Credential Theft-Versuche stoppen, die auf Typosquatting-Kompromittierungen folgen.
  • Schulen Sie Nutzer in spezifischen Überprüfungstechniken. Schulen Sie Nutzer darin, URLs Zeichen für Zeichen manuell zu prüfen, bevor sie Zugangsdaten eingeben. Betonen Sie die Nutzung von Lesezeichen für häufig besuchte Seiten statt manueller URL-Eingabe.

Selbst mit diesen Kontrollen werden einige Typosquatting-Angriffe Ihre Nutzer erreichen. Wenn Prävention versagt, benötigen Sie Endpunktschutz, der die Folgen stoppt.

Stoppen Sie Typosquatting-Angriffe mit SentinelOne

Die  Singularity Platform von SentinelOne bietet Endpunktschutz gegen die bösartigen Aktivitäten, die folgen, wenn Nutzer typosquattete Domains aufrufen, und ergänzt domänenbasierte Abwehrmaßnahmen, die die anfängliche Navigation zu bösartigen Seiten verhindern.

Wenn bösartige Nutzlasten nach Credential-Harvesting-Versuchen auf Ihren Endpunkten ausgeführt werden, liefert  Singularity Endpoint verhaltensbasierte KI, die Credential Theft in Echtzeit erkennt. Sie erleben 88 % weniger Störgeräusche als bei konkurrierenden Lösungen laut unabhängigen  MITRE ATT&CK-Bewertungen, sodass sich Ihr SOC auf echte Bedrohungen statt auf die Untersuchung von Fehlalarmen konzentrieren kann.

  • Beschleunigen Sie die Typosquatting-Incident Response mit Purple AI. Laut  SentinelOne-Forschung beschleunigt Purple AI die Bedrohungserkennung und -behebung erheblich. Wenn Sie feststellen, dass Nutzer typosquattete Domains aufgerufen haben, fragt Purple AI Ihre Endpunktdaten in natürlicher Sprache ab und identifiziert sofort, welche Systeme die Domain aufgerufen haben und ob verdächtige Aktivitäten folgten. Ihr Untersuchungsworkflow verkürzt sich von Stunden auf Minuten. Statt manuell DNS-Protokolle, Web-Proxy-Daten und Endpunkt-Telemetrie über mehrere Plattformen zu korrelieren, fragen Sie Purple AI: "Welche Endpunkte haben typosquatted-domain.com in den letzten 7 Tagen aufgelöst und welche Prozesse wurden danach ausgeführt?" Purple AI liefert vollständige forensische Zeitachsen, die genau zeigen, was auf betroffenen Systemen passiert ist.
  • Erhalten Sie vollständige Sichtbarkeit der Angriffskette mit Storyline-Technologie, wenn Typosquatting als Einstiegspunkt für die Erstkompromittierung dient. Storyline erfasst jede Prozess-Erstellung, Netzwerkverbindung, Dateimodifikation und Registry-Änderung, die darauf folgt. Sie sehen den gesamten Angriffsverlauf von der ersten Browser-Navigation über Credential Harvesting, laterale Bewegungen und Datenexfiltration in einer einzigen, einheitlichen Zeitachse.

Fordern Sie eine Demo von SentinelOne an, um den Endpunktschutz gegen Typosquatting-Angriffe zu stärken. Singularity Endpoint blockiert die Ausführung von Malware, erkennt Credential Theft-Versuche in Echtzeit mit 88 % weniger Störgeräuschen als konkurrierende Lösungen und stoppt die Angriffsfortschreitung durch verhaltensbasierte KI-Überwachung.

KI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage mit Echtzeit-Erkennung, maschineller Reaktion und vollständiger Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

Typosquatting nutzt vorhersehbare menschliche Tippfehler aus, erzeugte 2023 298.878 FBI-Beschwerden und ermöglicht Angriffe von Credential Theft bis Ransomware-Verteilung. Der Angriff ist erfolgreich, weil neu registrierte Domains keine bösartige Reputationshistorie haben und so traditionelle Sicherheitskontrollen umgehen, bis sie in aktiven Angriffen beobachtet werden.

Effektive Verteidigung erfordert gestaffelte Kontrollen: defensive Domainregistrierung, E-Mail-Authentifizierung (DMARC/SPF/DKIM), DNS-Sicherheit, kontinuierliches Monitoring und  Endpunktschutz. Wenn Typosquatting-Angriffe Nutzer kompromittieren, bietet die Singularity Platform von SentinelOne verhaltensbasierte KI, die Credential Theft und Malware-Ausführung mit 88 % weniger Störgeräuschen als konkurrierende Lösungen erkennt und eine schnelle Reaktion auf bösartige Aktivitäten nach domänenbasierter Kompromittierung ermöglicht.

FAQs

Typosquatting ist ein domänenbasierter Cyberangriff, bei dem Bedrohungsakteure Domainnamen registrieren, die legitimen Websites sehr ähnlich sehen, indem sie häufige Tippfehler ausnutzen. 

Angreifer erstellen Domains mit ausgelassenen Zeichen (gogle.com), Buchstabendrehern (googel.com), Fehlern durch benachbarte Tasten (googlr.com) oder visuell ähnlichen Zeichen aus anderen Alphabeten. Wenn Benutzer versehentlich auf diese Domains gelangen, stoßen sie auf Seiten zur Abfrage von Zugangsdaten, zur Verbreitung von Malware oder auf betrügerische Inhalte, die darauf ausgelegt sind, sensible Informationen zu stehlen.

Typosquatting nutzt Tippfehler aus, um Benutzer auf von Angreifern kontrollierte Domains umzuleiten, während Phishing Social-Engineering-Taktiken verwendet, um Benutzer zum Klicken auf bösartige Links zu bewegen. Typosquatting erfordert keine gezielte Nachricht; Angreifer registrieren einfach ähnlich aussehende Domains und warten auf organischen fehlgeleiteten Traffic. 

Beide Angriffsarten werden häufig kombiniert, wobei typosquattete Domains als Landingpages für Phishing-Kampagnen dienen.

Nein. Angreifer erhalten gültige SSL-Zertifikate für typosquattete Domains von legitimen Zertifizierungsstellen, wodurch in Browsern vertrauenswürdige Schloss-Symbole angezeigt werden. 

Zertifizierungsstellen prüfen nur, ob der Antragsteller die Domain kontrolliert, nicht deren Legitimität. HTTPS bestätigt die Verschlüsselung und Domainkontrolle, nicht, dass Sie die beabsichtigte Organisation erreicht haben.

Laut dem U.S. Department of Health and Human Services gehören das Gesundheitswesen und der Finanzsektor zu den am häufigsten angegriffenen Branchen für Social-Engineering-Angriffe einschließlich Typosquatting. 

SaaS- und Webmail-Plattformen stellen das am häufigsten angegriffene Segment nach Volumen dar. Finanzdienstleister sind besonders durch IDN-Homograph-Angriffe auf Bankzugangsdaten gefährdet.

Defensive Registrierung reduziert das Risiko, kann es jedoch nicht vollständig ausschließen. Eine einzelne Domain erzeugt Hunderte möglicher Varianten durch Zeichenersetzungen, alternative TLDs und Combosquatting-Kombinationen. 

Konzentrieren Sie die defensive Registrierung auf die wahrscheinlichsten Varianten: Ein-Zeichen-Auslassungen, häufige Vertauschungen und kritische TLD-Alternativen. Kombinieren Sie dies mit DNS-Filterung, E-Mail-Authentifizierung und Endpunktschutz für eine mehrschichtige Verteidigung.

Organisationen sollten unmittelbar nach der Identifizierung reagieren. Typosquattete Domains werden innerhalb weniger Stunden nach der Registrierung für Angriffe genutzt. Wenn Überwachungssysteme neu registrierte Domains erkennen, die Ihrem Namensschema entsprechen, analysieren Sie diese umgehend auf bösartige Nutzung. 

Bei bestätigtem Missbrauch implementieren Sie gleichzeitig DNS-Sperren, Webproxy-Filter und E-Mail-Gateway-Regeln und stellen Sie Löschanträge bei Hosting-Anbietern und Registraren.

Erfahren Sie mehr über Cybersecurity

26 Ransomware-Beispiele erklärt im Jahr 2025Cybersecurity

26 Ransomware-Beispiele erklärt im Jahr 2025

Entdecken Sie 26 bedeutende Ransomware-Beispiele, die die Cybersicherheit geprägt haben, darunter die neuesten Angriffe aus dem Jahr 2025. Erfahren Sie, wie sich diese Bedrohungen auf Unternehmen auswirken und wie SentinelOne helfen kann.

Mehr lesen
Was ist Smishing (SMS-Phishing)? Beispiele und TaktikenCybersecurity

Was ist Smishing (SMS-Phishing)? Beispiele und Taktiken

Mehr lesen
Checkliste für Sicherheitsaudits: 10 Schritte zum SchutzCybersecurity

Checkliste für Sicherheitsaudits: 10 Schritte zum Schutz

Entdecken Sie die Grundlagen von Sicherheitsaudit-Checklisten, von ihrer Bedeutung und häufigen Lücken bis hin zu Best Practices und wichtigen Schritten für den Erfolg. Verstehen Sie Audit-Arten und Beispiele und erfahren Sie, wie Sie die Auditergebnisse Ihres Unternehmens verbessern können.

Mehr lesen
Was ist eine Sicherheitsfehlkonfiguration? Arten und PräventionCybersecurity

Was ist eine Sicherheitsfehlkonfiguration? Arten und Prävention

Erfahren Sie, wie sich Sicherheitsfehlkonfigurationen auf Webanwendungen und Unternehmen auswirken können. Dieser Leitfaden enthält Beispiele, reale Vorfälle und praktische Maßnahmen zur Verbesserung der Cybersicherheit.

Mehr lesen

Experience the Most Advanced Cybersecurity Platform​

See how the world's most intelligent, autonomous cybersecurity platform can protect your organization today and into the future.

Get Started Today
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Deutsch
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen