Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist Typosquatting? Methoden von Domain-Angriffen & Prävention
Cybersecurity 101/Cybersecurity/Typosquatting

Was ist Typosquatting? Methoden von Domain-Angriffen & Prävention

Typosquatting-Angriffe nutzen Tippfehler aus, um Benutzer auf gefälschte Domains umzuleiten, die Zugangsdaten stehlen. Erfahren Sie mehr über die Angriffsmethoden und Präventionsstrategien für Unternehmen.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was ist Typosquatting?
Warum traditionelle Sicherheit bei Typosquatting versagt
Arten von Typosquatting-Angriffen
Wie funktioniert Typosquatting?
Typosquatting-Angriffe in der Praxis
Warum Typosquatting erfolgreich ist
Herausforderungen bei der Verteidigung gegen Typosquatting
Häufige Fehler bei der Typosquatting-Abwehr
Wie Sie Typosquatting erkennen, das auf Ihre Marke abzielt
Best Practices zur Vermeidung von Typosquatting
Stoppen Sie Typosquatting-Angriffe mit SentinelOne
Wichtige Erkenntnisse

Verwandte Artikel

  • Was ist Session Fixation? Wie Angreifer Benutzersitzungen kapern
  • Ethical Hacker: Methoden, Tools & Karrierepfad-Leitfaden
  • Was sind adversariale Angriffe? Bedrohungen & Abwehrmaßnahmen
  • Cybersecurity im öffentlichen Sektor: Risiken, Best Practices & Frameworks
Autor: SentinelOne | Rezensent: Dianna Marks
Aktualisiert: March 2, 2026

Was ist Typosquatting?

Sie tippen "gogle.com" statt "google.com" ein und drücken Enter. Innerhalb von Millisekunden sehen Sie eine Seite zur Erfassung von Zugangsdaten, die einen einfachen Tippfehler ausnutzt. Dieser eine Tastenfehler hat Angreifern gerade Zugriff auf Ihre Unternehmenszugangsdaten verschafft.

Typosquatting ist ein domänenbasierter Angriff, bei dem Bedrohungsakteure Domainnamen registrieren, die legitimen Websites sehr ähnlich sehen, indem sie häufige Tippfehler ausnutzen. Laut dem Internet Crime Report 2023 des FBI erzeugten  Phishing- und Spoofing-Angriffe (der Hauptanwendungsfall für typosquattete Domains) allein im Jahr 2023 298.878 Beschwerden.

Die offizielle Anleitung der CISA definiert Typosquatting als einen domänenbasierten  Social-Engineering-Angriff, bei dem Bedrohungsakteure "gefälschte Domains mit leicht veränderten Merkmalen legitimer Domains" durch Zeichenvariationen einrichten, um Benutzer zu täuschen. Angreifer nutzen häufige Tippfehler aus, indem sie Domains wie "gogle.com" (Zeichen ausgelassen), "googel.com" (Zeichen vertauscht) oder "googlr.com" (benachbarte Taste) registrieren, um überzeugende Phishing-Infrastrukturen zu schaffen.

Der Angriff ist erfolgreich, weil die menschliche Wahrnehmung sich von maschineller Präzision unterscheidet. Ihre Augen sehen "paypal.com" auf dem Bildschirm, aber der Browser löst "pаypal.com" mit einem kyrillischen 'а'-Zeichen (U+0430) auf, das identisch wie das lateinische 'a' (U+0061) dargestellt wird. Die Domain gehört Angreifern, nicht PayPal.

Typosquatting erfordert keine Social-Engineering-Geschichte. Angreifer warten einfach auf Tippfehler, die mit vorhersehbarer Häufigkeit statistisch auftreten. Im Unternehmensmaßstab mit Tausenden von Mitarbeitenden, die täglich auf Hunderte von SaaS-Plattformen zugreifen, werden diese Fehler zu Angriffsgelegenheiten, die in Volumen und nicht in Wahrscheinlichkeit gemessen werden.

Das Verständnis des Ausmaßes dieser Bedrohung wirft eine unmittelbare Frage auf: Warum stoppen bestehende Sicherheitskontrollen diese Angriffe nicht?

Typosquatting - Featured Image | SentinelOne

Warum traditionelle Sicherheit bei Typosquatting versagt

Typosquatting fungiert als Einstiegspunkt für mehrstufige Angriffsketten, die Ihre Perimeterverteidigung vollständig umgehen. Laut  CISA Advisory AA23-025A "leitet die im ersten Phishing-E-Mail verlinkte bösartige Domain der ersten Stufe periodisch auf andere Seiten für weitere Weiterleitungen und Downloads von RMM-Software um." Ihre Endpunktsicherheit sieht den Erstbefall nicht, weil Sie freiwillig zur bösartigen Domain navigiert haben.

Traditionelles URL-Filtering versagt, weil typosquattete Domains keine bösartige Reputationshistorie haben. DNS-Protokolle zeigen legitime, vom Benutzer initiierte Anfragen statt Command-and-Control-Muster. SSL-Zertifikate bestehen Validierungsprüfungen und zeigen vertrauenswürdige Schloss-Symbole an. Ihr Security-Stack sieht autorisiertes Benutzerverhalten, keine bösartige Aktivität – bis die Nutzlast ausgeführt wird.

Die Auswirkungen auf die Cybersicherheit gehen über den Diebstahl einzelner Zugangsdaten hinaus.  Forschung der Carnegie Mellon University dokumentierte, dass typosquattete Domains jährlich erhebliche Mengen fehlgeleiteter E-Mails über zentrale Mailserver-Infrastrukturen erhalten. Wenn Ihre Benutzer versehentlich Unternehmenskommunikation an typosquattete Versionen Ihrer eigenen Domain senden, fangen Angreifer Geschäftsgeheimnisse, Finanzdaten und strategische Kommunikation ab, ohne einen einzigen Sicherheitsalarm auszulösen.

Um sich gegen diese Angriffe zu verteidigen, müssen Sie zunächst die spezifischen Techniken verstehen, mit denen Angreifer täuschende Domains erstellen.

Arten von Typosquatting-Angriffen

Angreifer setzen verschiedene Techniken ein, um überzeugende Domain-Varianten zu generieren. Untersuchungen bestätigen, dass etwa 99 % der typosquatteten Domains Einzelzeichen-Modifikationen verwenden, was diese Muster vorhersehbar, aber dennoch effektiv macht.

  1. Zeichen ausgelassen entfernt einen Buchstaben: "gogle.com" statt "google.com". Dies nutzt schnelles Tippen aus, bei dem Finger Tasten überspringen.
  2. Zeichenverdopplung fügt zusätzliche Buchstaben hinzu: "googgle.com" zielt auf Doppeltipp-Fehler bei wiederholten Zeichen ab.
  3. Zeichenvertauschung vertauscht benachbarte Buchstaben: "googel.com" nutzt die natürliche Tendenz aus, Buchstabenreihenfolgen beim schnellen Tippen zu vertauschen.
  4. Benachbarte Tastenersetzung ersetzt Zeichen durch Nachbartasten auf der Tastatur: "googlr.com" (r neben e) zielt auf physische Tippfehler ab.
  5. Homograph-Angriffe ersetzen visuell identische Unicode-Zeichen. Laut  ICANN-Forschung dokumentierten Forscher 11.766 einzigartige IDN-Homographen über 20 Monate. Das kyrillische 'а' (U+0430) wird identisch wie das lateinische 'a' (U+0061) dargestellt, wodurch "pаypal.com" visuell nicht von der legitimen Domain zu unterscheiden ist.
  6. Doppelgänger-Domains lassen Punkte in Subdomains weg: "wwwgoogle.com" oder "aborofamerica.com" (fehlender Punkt nach "boa") fangen Traffic von Benutzern ab, die den Punkt zwischen Subdomain und Domain vergessen.
  7. Combosquatting fügt legitime klingende Wörter an: "google-login.com" oder "secure-paypal.com" erscheint wie eine offizielle Subdomain, gehört aber Angreifern.
  8. Falsche TLD-Substitution nutzt Verwirrung bei Domain-Endungen aus: Angreifer registrieren company.co, company.net und company.org, wenn Sie nur company.com besitzen.
  9. Bindestrich-Variationen fügen Bindestriche hinzu oder entfernen sie: "face-book.com" versus "facebook.com" zielt auf Unsicherheit bezüglich der Bindestrichplatzierung in Markennamen ab.
  10. Bitsquatting nutzt Hardware-Speicherfehler aus, die zufällig einzelne Bits in zwischengespeicherten Domainnamen umdrehen und Traffic auf Domains umleiten, die sich um ein Bit vom legitimen Ziel unterscheiden.

Jede dieser Techniken verfolgt das gleiche Ziel: Opfer auf eine bösartige Zielseite zu bringen. Aber die Registrierung einer täuschenden Domain ist nur der erste Schritt. So verwandeln Angreifer diese Domains in operative Bedrohungen.

Wie funktioniert Typosquatting?

Typosquatting-Angriffe folgen einem vierphasigen operativen Zyklus, der registrierte Domains in aktive Bedrohungen für Ihre Organisation verwandelt.

  1. Phase 1: Domain-Identifikation und -Registrierung. Angreifer verwenden Algorithmen, um Tippfehler-Varianten von hochwertigen Domains zu generieren. Sie identifizieren Marken mit hohem Traffic, wertvollen Zugangsdaten oder Finanztransaktionsmöglichkeiten und registrieren dann Hunderte von Varianten über mehrere TLDs hinweg.
  2. Phase 2: Infrastrukturaufbau richtet die bösartige Infrastruktur ein. Angreifer konfigurieren DNS-Einträge, die typosquattete Domains auf Webserver verweisen, die geklonte Login-Seiten,  Malware-Verteilungsplattformen oder Weiterleitungsketten hosten. Sie erhalten gültige SSL-Zertifikate und richten Mailserver ein, um fehlgeleitete E-Mails abzufangen.
  3. Phase 3: Traffic-Erfassung erfolgt über mehrere Kanäle. Direkte Navigationsfehler treten auf, wenn Sie URLs mit kleinen Tippfehlern manuell eingeben. E-Mail-Kampagnen aus kompromittierten Konten enthalten typosquattete Links, die im Nachrichtenkontext legitim erscheinen. Das  FBI warnte, dass "Bedrohungsakteure gefälschte Websites oft durch geringfügige Änderungen an legitimen Website-Domains erstellen, um sensible Informationen von Opfern zu sammeln."
  4. Phase 4: Monetarisierung nutzt je nach Zielsetzung des Angreifers verschiedene Strategien:
  • Credential Harvesting zielt auf SaaS-Plattformen ab, bei denen gestohlene Zugangsdaten Zugriff auf Unternehmensdaten gewähren
  • Malware-Verteilung liefert  Ransomware und Infostealer über Drive-by-Downloads
  • E-Mail-Abfang fängt fehlgeleitete Kommunikation mit sensiblen Geschäftsinformationen ab
  • Ad Fraud generiert Einnahmen durch erzwungene Weiterleitungen zu Werbenetzwerken
  • Markenimitation unterstützt Business-E-Mail-Compromise-Schemata

Forschung der Carnegie Mellon University dokumentierte, dass typosquattete Domains jährlich etwa 800.000 E-Mails über zentrale Infrastruktur erhalten.

Dieses operative Modell ist nicht theoretisch. Hochkarätige Vorfälle zeigen genau, wie diese Angriffe Organisationen in der Praxis beeinträchtigen.

Typosquatting-Angriffe in der Praxis

Dokumentierte Vorfälle zeigen, wie Typosquatting Organisationen unabhängig von Größe, Branche oder Sicherheitsniveau betrifft. Diese Fälle zeigen sowohl den direkten Schaden durch Angriffe als auch die daraus resultierenden Reputationsrisiken.

  • Google vs. Gooogle LLC (2022): Im Oktober 2022 reichte Google beim U.S. District Court for the Southern District of New York Klage gegen Gooogle LLC ein, ein Unternehmen, das Domains wie "gooogle.com" (mit zusätzlichem 'o') registrierte. Laut Gerichtsunterlagen verteilte die typosquattete Domain Malware und führte Phishing-Kampagnen gegen Google-Nutzer durch. Der Fall zeigte, dass selbst die weltweit bekanntesten Marken fortlaufenden Typosquatting-Bedrohungen ausgesetzt sind.
  • Equifax Typosquatting-Vorfall (2017): Im Zuge des massiven  Datenlecks von Equifax, das 147 Millionen Verbraucher betraf, leitete das Unternehmen selbst versehentlich Opfer des Lecks auf eine typosquattete Domain um. Der offizielle Twitter-Account von Equifax veröffentlichte Links zu "securityequifax2017.com" statt zur legitimen Seite "equifaxsecurity2017.com" für die Reaktion auf das Datenleck. Die typosquattete Domain, erstellt von einem Sicherheitsforscher, hätte von Angreifern genutzt werden können, um Zugangsdaten von verwirrten Opfern zu sammeln.

Diese Vorfälle verdeutlichen, wie Typosquatting Organisationen sowohl als Ziel als auch als potenziell unbeabsichtigte Ermöglicher von Angriffen auf ihre eigenen Kunden bedroht. Doch was macht diesen Angriffsvektor branchenübergreifend so effektiv?

Warum Typosquatting erfolgreich ist

Typosquatting nutzt grundlegende Vorteile der Angreifer aus, die diese Technik unabhängig von Ihren Sicherheitsinvestitionen durchgehend effektiv machen.

  • Menschliches Versagen ist statistisch garantiert. Das FBI dokumentierte 2023 298.878 Phishing-Beschwerden. Im Unternehmensmaßstab mit Tausenden von Mitarbeitenden, die täglich URLs eintippen, treten Tippfehler mit mathematischer Sicherheit auf. Angreifer benötigen keine ausgefeilten Exploits, wenn einfache Domainregistrierung organisch fehlgeleiteten Traffic aus vorhersehbarem menschlichem Verhalten abfängt.
  • Visuelle Wahrnehmung kann pixelidentische Zeichen nicht unterscheiden. Wenn Sie auf "pаypal.com" mit kyrillischem 'а' (U+0430) statt lateinischem 'a' (U+0061) blicken, verarbeitet Ihr visuelles System es als "paypal.com", weil die dargestellten Glyphen identisch sind. Laut ICANN-Forschung registrierten Angreifer Tausende einzigartige Homograph-Varianten, die diese biologische Einschränkung ausnutzen.
  • Vertrauensindikatoren werden zur Waffe. Angreifer erhalten gültige SSL-Zertifikate für typosquattete Domains innerhalb von Minuten von legitimen Zertifizierungsstellen. Das Schloss-Symbol, dessen Überprüfung Sie Ihren Nutzern beigebracht haben, vermittelt nun eine trügerische Sicherheit. Laut  ICANN-Dokumentation beweist das Zertifikat nur, dass die Verbindung verschlüsselt ist, nicht dass die Domain selbst legitim ist.
  • Angriffsdurchführung erfordert minimale Ressourcen. Domainregistrierung kostet unter 15 US-Dollar und ist in Minuten abgeschlossen. Kostenlose SSL-Zertifikate von Let's Encrypt bieten sofortige Legitimität. Phishing-Kits automatisieren die Bereitstellung von Credential-Harvesting-Seiten. Angreifer stehen vor keinen technischen Hürden und können Kampagnen im großen Maßstab mit minimalem Aufwand durchführen.

Diese Vorteile der Angreifer schaffen entsprechende Herausforderungen für Sicherheitsteams, die sich gegen Typosquatting verteidigen wollen.

Herausforderungen bei der Verteidigung gegen Typosquatting

Sicherheitsteams stehen strukturellen Einschränkungen gegenüber, die die Verteidigung gegen Typosquatting grundsätzlich erschweren – selbst bei ausreichenden Ressourcen und Tools.

  • Reputationsbasierte Erkennung kommt zu spät. Ihr Security-Stack verlässt sich auf Blocklisten und  Threat-Intelligence-Feeds, die bösartige Domains erst identifizieren, nachdem sie in Angriffen beobachtet wurden. Neu registrierte typosquattete Domains haben keine Reputationshistorie und umgehen Ihre Filter, bis die ersten Opfer bereits kompromittiert sind.
  • Variantenskala übersteigt Überwachungskapazität. Eine einzige Marke erzeugt Hunderte mathematisch möglicher typosquatteter Varianten über Zeichenmodifikationen, TLD-Alternativen und Combosquatting-Kombinationen. Die Überwachung jeder Permutation über jede TLD hinweg, kombiniert mit IDN-Homographen, übersteigt die praktische Kapazität menschlicher oder automatisierter Überprüfung.
  • Angriffsfläche geht über Webdomains hinaus. Angreifer setzen Typosquatting inzwischen in Softwarepaket-Repositorien (NPM, PyPI, RubyGems) und KI/ML-Modell-Repositorien (Hugging Face) ein. Ihre Domainüberwachung bietet keine Sichtbarkeit, wenn Entwickler versehentlich "requets" statt "requests" aus kompromittierten Paketmanagern installieren.
  • E-Mail-Abfang erzeugt keine Sicherheitsalarme. Wenn Mitarbeitende interne Kommunikation versehentlich an typosquattete Versionen Ihrer Domain senden, wird keine Erkennung ausgelöst. Angreifer betreiben zentrale Mailserver, die stillschweigend fehlgeleitete E-Mails mit Geschäftsgeheimnissen, Finanzdaten und strategischer Kommunikation sammeln.
  • Takedown-Prozesse sind langsamer als Angriffe. UDRP-Beschwerden und Missbrauchsmeldungen an Registrare benötigen Tage oder Wochen zur Bearbeitung. Angreifer registrieren Ersatzdomains schneller, als rechtliche Mechanismen sie entfernen können, was einen endlosen Zyklus schafft, in dem die Verteidigung der Offensive dauerhaft hinterherhinkt.

Diese strukturellen Herausforderungen führen oft dazu, dass Sicherheitsteams gängige Fehler machen, die die von Angreifern ausgenutzten Lücken sogar noch vergrößern.

Häufige Fehler bei der Typosquatting-Abwehr

Ihre Organisation macht wahrscheinlich Fehler bei der Implementierung von Typosquatting-Abwehrmaßnahmen, die ausnutzbare Lücken schaffen, auf die Angreifer gezielt abzielen.

  • Fehler 1: Annehmen, dass URL-Filtering ausreichenden Schutz bietet. Sie haben Web-Proxys und DNS-Filterdienste implementiert, die bekannte bösartige Domains blockieren. Diese Annahme ist falsch, weil typosquattete Domains als frisch registriert erscheinen und keine bösartige Reputationshistorie haben.
  • Fehler 2: Vernachlässigung der Implementierung von E-Mail-Authentifizierung. Sie haben für die Domains Ihrer Organisation kein DMARC mit Durchsetzungsrichtlinien (p=quarantine oder p=reject) implementiert. Ohne DMARC-Durchsetzung erreichen gefälschte Nachrichten die Posteingänge der Empfänger, während Ihr Markenruf durch Phishing-Kampagnen leidet, die Sie nicht versendet haben.
  • Fehler 3: Fokussierung ausschließlich auf Webdomains und Ignorieren der Software-Lieferkette. Ihr Sicherheitsteam überwacht Domainregistrierungen auf webbasierte Typosquatting-Angriffe, bietet aber keine Sichtbarkeit bei Paketmanager-Installationen auf Entwicklerarbeitsplätzen. Wenn Entwickler "requets" statt "requests" in einem pip install-Befehl eingeben, werden typosquattete Pakete direkt in Entwicklungsumgebungen installiert.
  • Fehler 4: Nutzer werden darauf trainiert, Schloss-Symbole zu überprüfen, ohne die Grenzen von Zertifikaten zu erklären. Ihr Security Awareness Training weist eine Lücke auf: Sie haben nicht erklärt, dass Angreifer problemlos gültige SSL-Zertifikate für typosquattete Domains erhalten. Das Zertifikat beweist Verschlüsselung, nicht Legitimität.
  • Fehler 5: Implementierung von Abwehrmaßnahmen ohne Wirksamkeitsmessung. Sie haben defensive Domainvarianten registriert und E-Mail-Authentifizierung konfiguriert, aber kein Monitoring implementiert, um zu messen, wie häufig Benutzer auf typosquattete Domains stoßen, die auf Ihre Organisation abzielen.

Diese Fehler zu vermeiden beginnt mit Sichtbarkeit. Sie können Bedrohungen nicht abwehren, von denen Sie nichts wissen.

Wie Sie Typosquatting erkennen, das auf Ihre Marke abzielt

Die Identifizierung typosquatteter Domains, bevor Angreifer sie nutzen, erfordert proaktives Monitoring über mehrere Datenquellen hinweg.

  • Certificate-Transparency-Monitoring bietet nahezu Echtzeit-Sichtbarkeit auf neu ausgestellte SSL-Zertifikate. Wenn Angreifer Zertifikate für Domains erhalten, die Ihrer Marke ähneln, erfassen CT-Protokolle das Ausstellungsereignis. Konfigurieren Sie Benachrichtigungen für Zertifikatsausstellungen, die Ihren Organisations- oder Produktnamen enthalten.
  • DNS-Analysen zeigen verdächtige Registrierungsmuster. Überwachen Sie Massenregistrierungen von Domains, die Ihrer Marke ähneln, über mehrere TLDs hinweg in kurzen Zeiträumen. Angreifer registrieren typischerweise Dutzende Varianten gleichzeitig, bevor sie Kampagnen starten.
  • WHOIS-Datenbanküberwachung verfolgt neue Domainregistrierungen, die Typosquatting-Mustern entsprechen. Kommerzielle Threat-Intelligence-Dienste generieren typosquattete Varianten algorithmisch und alarmieren, wenn passende Domains in Registrierungsdatenbanken erscheinen.
  • Typosquatting-Generierungsalgorithmen erstellen umfassende Variantenlisten mithilfe von Damerau-Levenshtein-Distanzberechnungen. Diese Tools generieren jede mögliche Einzelzeichen-Modifikation und gleichen sie mit aktiven DNS-Einträgen ab, um registrierte Bedrohungen zu identifizieren.
  • Web-Traffic-Analyse identifiziert, wenn Ihre Benutzer typosquattete Domains aufrufen. DNS-Abfrageprotokolle, Web-Proxy-Daten und Endpunkt-Telemetrie zeigen fehlgeleitete Traffic-Muster, die auf aktive Typosquatting-Kampagnen gegen Ihre Organisation hinweisen.

Erkennung allein reicht nicht aus. Sobald Sie Typosquatting-Bedrohungen identifizieren können, benötigen Sie systematische Abwehrmaßnahmen, die eine Kompromittierung von vornherein verhindern.

Best Practices zur Vermeidung von Typosquatting

Die Verteidigung gegen Typosquatting erfordert gestaffelte Kontrollen, die Schwachstellen auf Domain-, Netzwerk-, Endpunkt- und Organisationsebene gleichzeitig adressieren.

  • Implementieren Sie defensive Domainregistrierung mit risikobasierter Priorisierung. Laut  CIS-Empfehlung sollten Sie "in Erwägung ziehen, Varianten Ihrer Domains zu kaufen, um sich gegen häufige Tippfehler zu schützen." Registrieren Sie die vorhersehbarsten Typosquatting-Varianten in vier Hauptkategorien:
  1. Bindestrich-Variationen (company-name.com vs companyname.com)
  2. Homoglyph-Variationen mit Zeichenähnlichkeiten, insbesondere kyrillische Zeichen
  3. Häufige Rechtschreibfehler basierend auf Tastaturnähe
  4. Kritische TLD-Alternativen (.com, .net, .org, .co)
  • Setzen Sie E-Mail-Authentifizierung mit gestufter DMARC-Durchsetzung um. Konfigurieren Sie SPF-Einträge, implementieren Sie DKIM-Signierung und setzen Sie DMARC zunächst im Überwachungsmodus (p=none) ein. Nach Validierung legitimer Mailquellen Übergang zu Quarantäne- und dann Ablehnungsrichtlinien.
  • Konfigurieren Sie DNS-Sicherheitskontrollen mit verschlüsselter Auflösung. Setzen Sie DNSSEC ein, um DNS-Antworten kryptografisch zu validieren. Konfigurieren Sie schützende DNS-Dienste, die neu registrierte Domains blockieren, bis die Reputationsanalyse abgeschlossen ist.
  • Richten Sie kontinuierliches Domain-Monitoring mit autonomen Benachrichtigungen ein. Abonnieren Sie Domain-Registrierungsfeeds aus Certificate-Transparency-Protokollen, WHOIS-Datenbanken und kommerziellen Domain-Monitoring-Diensten. Überwachen Sie Combosquatting-Varianten, die Ihren Organisationsnamen mit gängigen Wörtern wie secure, login, portal, verify und account kombinieren.
  • Schaffen Sie Endpunktschutz, der Folgen nach dem Klick verhindert. Die Singularity Platform von SentinelOne bietet autonome Reaktionsfunktionen, die Endpunkte isolieren, wenn verdächtige Verhaltensweisen auftreten, und so die Ausführung von Malware und Credential Theft-Versuche stoppen, die auf Typosquatting-Kompromittierungen folgen.
  • Schulen Sie Benutzer in spezifischen Überprüfungstechniken. Schulen Sie Benutzer darin, URLs Zeichen für Zeichen manuell zu prüfen, bevor sie Zugangsdaten eingeben. Betonen Sie die Nutzung von Lesezeichen für häufig besuchte Seiten statt manueller URL-Eingabe.

Selbst mit diesen Kontrollen werden einige Typosquatting-Angriffe Ihre Benutzer erreichen. Wenn Prävention versagt, benötigen Sie Endpunktschutz, der die Folgen stoppt.

Stoppen Sie Typosquatting-Angriffe mit SentinelOne

Die  Singularity Platform von SentinelOne bietet Endpunktschutz gegen die bösartigen Aktivitäten, die folgen, wenn Benutzer typosquattete Domains aufrufen, und ergänzt domänenbasierte Abwehrmaßnahmen, die die anfängliche Navigation zu bösartigen Seiten verhindern.

Wenn bösartige Nutzlasten nach Credential-Harvesting-Versuchen auf Ihren Endpunkten bereitgestellt werden, liefert  Singularity Endpoint verhaltensbasierte KI, die Credential Theft in Echtzeit erkennt. Sie erleben 88 % weniger Störmeldungen als bei konkurrierenden Lösungen laut unabhängigen  MITRE ATT&CK-Bewertungen, sodass sich Ihr SOC auf echte Bedrohungen statt auf die Untersuchung von Fehlalarmen konzentrieren kann.

  • Beschleunigen Sie die Typosquatting-Incident-Response mit Purple AI. Laut  SentinelOne-Forschung beschleunigt Purple AI die Bedrohungserkennung und -behebung erheblich. Wenn Sie feststellen, dass Benutzer typosquattete Domains aufgerufen haben, fragt Purple AI Ihre Endpunktdaten in natürlicher Sprache ab und identifiziert sofort, welche Systeme die Domain aufgerufen haben und ob verdächtige Aktivitäten folgten. Ihr Untersuchungsworkflow verkürzt sich von Stunden auf Minuten. Statt manuell DNS-Protokolle, Web-Proxy-Daten und Endpunkt-Telemetrie über mehrere Plattformen zu korrelieren, fragen Sie Purple AI: "Welche Endpunkte haben typosquatted-domain.com in den letzten 7 Tagen aufgelöst und welche Prozesse wurden danach ausgeführt?" Purple AI liefert vollständige forensische Zeitachsen, die genau zeigen, was auf betroffenen Systemen passiert ist.
  • Erhalten Sie vollständige Sichtbarkeit der Angriffskette mit Storyline-Technologie, wenn Typosquatting als Einstiegspunkt für die Erstkompromittierung dient. Storyline erfasst jede Prozess-Erstellung, Netzwerkverbindung, Dateimodifikation und Registry-Änderung, die darauf folgt. Sie sehen den vollständigen Angriffsverlauf von der ersten Browser-Navigation über Credential Harvesting, laterale Bewegungen und Datenexfiltration in einer einzigen, einheitlichen Zeitachse.

Fordern Sie eine Demo von SentinelOne an, um den Endpunktschutz gegen Typosquatting-Angriffe zu stärken. Singularity Endpoint blockiert Malware-Ausführung, erkennt Credential Theft-Versuche in Echtzeit mit 88 % weniger Störmeldungen als konkurrierende Lösungen und stoppt die Angriffsfortschreitung durch verhaltensbasierte KI-Überwachung.

KI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage mit Echtzeit-Erkennung, maschineller Reaktion und vollständiger Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

Typosquatting macht sich vorhersehbare menschliche Tippfehler zunutze, erzeugte 2023 298.878 FBI-Beschwerden und ermöglicht Angriffe von Credential Theft bis Ransomware-Verteilung. Der Angriff ist erfolgreich, weil neu registrierte Domains keine bösartige Reputationshistorie haben und so traditionelle Sicherheitskontrollen umgehen, bis sie in aktiven Angriffen beobachtet werden.

Effektive Verteidigung erfordert gestaffelte Kontrollen: defensive Domainregistrierung, E-Mail-Authentifizierung (DMARC/SPF/DKIM), DNS-Sicherheit, kontinuierliches Monitoring und  Endpunktschutz. Wenn Typosquatting-Angriffe Benutzer kompromittieren, bietet die SentinelOne Singularity Platform verhaltensbasierte KI, die Credential Theft und Malware-Ausführung mit 88 % weniger Störmeldungen als konkurrierende Lösungen erkennt und eine schnelle Reaktion auf bösartige Aktivitäten nach domänenbasierter Kompromittierung ermöglicht.

FAQs

Typosquatting ist ein domänenbasierter Cyberangriff, bei dem Bedrohungsakteure Domainnamen registrieren, die legitimen Websites sehr ähnlich sehen, indem sie häufige Tippfehler ausnutzen. 

Angreifer erstellen Domains mit ausgelassenen Zeichen (gogle.com), Buchstabendrehern (googel.com), Fehlern durch benachbarte Tasten (googlr.com) oder visuell ähnlichen Zeichen aus anderen Alphabeten. Wenn Nutzer versehentlich auf diese Domains gelangen, stoßen sie auf Seiten zur Abfrage von Zugangsdaten, zur Verbreitung von Malware oder auf betrügerische Inhalte, die darauf ausgelegt sind, sensible Informationen zu stehlen.

Typosquatting nutzt Tippfehler aus, um Benutzer auf von Angreifern kontrollierte Domains umzuleiten, während Phishing Social-Engineering-Taktiken verwendet, um Benutzer zum Klicken auf bösartige Links zu bewegen. Typosquatting erfordert keine gezielte Nachricht; Angreifer registrieren einfach ähnlich aussehende Domains und warten auf organischen fehlgeleiteten Traffic. 

Beide Angriffsarten werden häufig kombiniert, wobei typosquattete Domains als Landingpages für Phishing-Kampagnen dienen.

Nein. Angreifer erhalten gültige SSL-Zertifikate für typosquattete Domains von legitimen Zertifizierungsstellen, wodurch in Browsern vertrauenswürdige Schloss-Symbole angezeigt werden. 

Zertifizierungsstellen prüfen nur, ob der Antragsteller die Domain kontrolliert, nicht deren Legitimität. HTTPS bestätigt die Verschlüsselung und Domainkontrolle, aber nicht, dass Sie die beabsichtigte Organisation erreicht haben.

Laut dem U.S. Department of Health and Human Services gehören das Gesundheitswesen und der Finanzsektor zu den am häufigsten angegriffenen Branchen für Social-Engineering-Angriffe einschließlich Typosquatting. 

SaaS- und Webmail-Plattformen stellen das am häufigsten angegriffene Segment nach Volumen dar. Finanzdienstleister sind besonders durch IDN-Homograph-Angriffe auf Bankzugangsdaten gefährdet.

Defensive Registrierung reduziert das Risiko, kann es jedoch nicht vollständig ausschließen. Eine einzelne Domain erzeugt Hunderte möglicher Varianten durch Zeichenersetzungen, alternative TLDs und Combosquatting-Kombinationen. 

Konzentrieren Sie die defensive Registrierung auf die wahrscheinlichsten Varianten: Ein-Zeichen-Auslassungen, häufige Vertauschungen und kritische TLD-Alternativen. Kombinieren Sie dies mit DNS-Filterung, E-Mail-Authentifizierung und Endpunktschutz für eine mehrschichtige Verteidigung.

Organisationen sollten unmittelbar nach der Identifizierung reagieren. Typosquattete Domains werden innerhalb weniger Stunden nach der Registrierung für Angriffe genutzt. Wenn Überwachungssysteme neu registrierte Domains erkennen, die Ihrem Namensschema entsprechen, analysieren Sie diese umgehend auf bösartige Nutzung. 

Bei bestätigtem Missbrauch implementieren Sie gleichzeitig DNS-Sperren, Webproxy-Filter und E-Mail-Gateway-Regeln und stellen Sie Löschanträge bei Hosting-Anbietern und Registraren.

Erfahren Sie mehr über Cybersecurity

Was ist Insecure Direct Object Reference (IDOR)?Cybersecurity

Was ist Insecure Direct Object Reference (IDOR)?

Insecure Direct Object Reference (IDOR) ist eine Zugriffskontrollschwäche, bei der fehlende Eigentumsprüfungen es Angreifern ermöglichen, durch Änderung eines URL-Parameters auf die Daten beliebiger Benutzer zuzugreifen. Erfahren Sie, wie Sie sie erkennen und verhindern können.

Mehr lesen
IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best PracticesCybersecurity

IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best Practices

IT- und OT-Sicherheit betreffen zwei Bereiche mit unterschiedlichen Risikoprofilen, Compliance-Anforderungen und betrieblichen Prioritäten. Erfahren Sie zentrale Unterschiede und Best Practices.

Mehr lesen
Was sind Air Gapped Backups? Beispiele & Best PracticesCybersecurity

Was sind Air Gapped Backups? Beispiele & Best Practices

Air Gapped Backups halten mindestens eine Wiederherstellungskopie außerhalb der Reichweite von Angreifern. Erfahren Sie, wie sie funktionieren, welche Typen es gibt, Beispiele und Best Practices für die Ransomware-Wiederherstellung.

Mehr lesen
Was ist OT-Sicherheit? Definition, Herausforderungen & Best PracticesCybersecurity

Was ist OT-Sicherheit? Definition, Herausforderungen & Best Practices

OT-Sicherheit schützt industrielle Systeme, die physische Prozesse in kritischen Infrastrukturen steuern. Behandelt Purdue-Modell-Segmentierung, IT/OT-Konvergenz und NIST-Richtlinien.

Mehr lesen
Resource Center - Prefooter | Experience the Most Advanced Cybersecurity Platform​

Experience the Most Advanced Cybersecurity Platform

See how the world's most intelligent, autonomous cybersecurity platform can protect your organization today and into the future.

Get Started Today
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch