DET.4.7 — Auslaufen von Domains

KANN Security level: erhöht Effort 5 BSI-Stand-der-Technik-Kernel

Statement (Anforderung)

Detektion für Webserver KANN das Auslaufen von Domains überwachen.

Guidance (Erläuterung)

Wenn Registrierungsfristen und Verlängerungszeiträume nicht im Blick behalten werden, könnte eine Domain aus Versehen verfallen und damit einhergehend Erreichbarkeitsprobleme, Vertrauensverluste oder gar Sicherheitslücken entstehen. Als Beispiele können Domains dienen, die für Webauftritte, E‑Mail-Systeme oder API-Endpunkte genutzt werden. Ebenso kann es sich um Subdomains handeln, die für interne Tools, Testumgebungen oder automatisierte Monitoringdienste registriert sind. Auch Domains, die nur der Weiterleitung auf Hauptpräsenzen dienen oder die für Zertifikatsverwaltung (z. B. ACME-Challenges) verwendet werden, können unter diese Überwachung fallen. Jede dieser Anwendungsfälle kann potenziell betroffen sein, wenn die Registrierung unbemerkt abläuft. Hilfreich ist hierfür ein zentrales Inventar aller genutzten Domains in dem Registrierungsdaten (Ablaufdatum, Registrar, Kontaktemail) erfasst werden. Automatisierte Scripts oder Aufgabentickets können eingerichtet werden, die in festgelegten Abständen (z. B. 60, 30 und 7 Tage vor Ablauf) eine Benachrichtigung auslösen. Auch Monitoring-Plattformen mit DNS-Plugins können verwendet werden, um Fristen zu prüfen und Erinnerungen zu generieren. Zusätzlich kann eine Prozessbeschreibung definiert werden, in der Verantwortlichkeiten und Eskalationswege bei nahendem Domainablauf festgehalten sind, um schnelle Entscheidungen und Verlängerungen zu ermöglichen.

Statement properties

Name	Value
target_object_categories	Webserver
documentation	Detektions-Konzept
result	das Auslaufen von Domains
action_word	überwachen
modal_verb	KANN

Control properties

Name	Value
alt-identifier	631793e6-cc3f-49cf-a6aa-f7672688f007
sec_level	erhöht
effort_level	5

Raw OSCAL JSON (complete control)

{
  "class": "BSI-Stand-der-Technik-Kernel",
  "id": "DET.4.7",
  "parts": [
    {
      "id": "DET.4.7_stm",
      "name": "statement",
      "props": [
        {
          "name": "target_object_categories",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
          "value": "Webserver"
        },
        {
          "name": "documentation",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
          "value": "Detektions-Konzept"
        },
        {
          "name": "result",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "das Auslaufen von Domains"
        },
        {
          "name": "action_word",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
          "value": "überwachen"
        },
        {
          "name": "modal_verb",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
          "value": "KANN"
        }
      ],
      "prose": "Detektion für Webserver KANN das Auslaufen von Domains überwachen."
    },
    {
      "id": "DET.4.7_gdn",
      "name": "guidance",
      "prose": "Wenn Registrierungsfristen und Verlängerungszeiträume nicht im Blick behalten werden, könnte eine Domain aus Versehen verfallen und damit einhergehend Erreichbarkeitsprobleme, Vertrauensverluste oder gar Sicherheitslücken entstehen. Als Beispiele können Domains dienen, die für Webauftritte, E‑Mail-Systeme oder API-Endpunkte genutzt werden. Ebenso kann es sich um Subdomains handeln, die für interne Tools, Testumgebungen oder automatisierte Monitoringdienste registriert sind. Auch Domains, die nur der Weiterleitung auf Hauptpräsenzen dienen oder die für Zertifikatsverwaltung (z. B. ACME-Challenges) verwendet werden, können unter diese Überwachung fallen. Jede dieser Anwendungsfälle kann potenziell betroffen sein, wenn die Registrierung unbemerkt abläuft.  Hilfreich ist hierfür ein zentrales Inventar aller genutzten Domains in dem Registrierungsdaten (Ablaufdatum, Registrar, Kontaktemail) erfasst werden. Automatisierte Scripts oder Aufgabentickets können eingerichtet werden, die in festgelegten Abständen (z. B. 60, 30 und 7 Tage vor Ablauf) eine Benachrichtigung auslösen. Auch Monitoring-Plattformen mit DNS-Plugins können verwendet werden, um Fristen zu prüfen und Erinnerungen zu generieren. Zusätzlich kann eine Prozessbeschreibung definiert werden, in der Verantwortlichkeiten und Eskalationswege bei nahendem Domainablauf festgehalten sind, um schnelle Entscheidungen und Verlängerungen zu ermöglichen."
    }
  ],
  "props": [
    {
      "name": "alt-identifier",
      "value": "631793e6-cc3f-49cf-a6aa-f7672688f007"
    },
    {
      "name": "sec_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
      "value": "erhöht"
    },
    {
      "name": "effort_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
      "value": "5"
    }
  ],
  "title": "Auslaufen von Domains"
}

View JSON API Download JSON