Homograph-Angriffe: Wenn ein Buchstabe nicht der ist, der er scheint
Homograph-Angriffe nutzen visuell ähnliche Unicode-Zeichen zur Imitation legitimer Domains. Ein kyrillisches Zeichen kann optisch wie sein lateinisches Pendant aussehen — die Domain im Browser ist nicht von der echten Marke zu unterscheiden. Browser-Schutz und Awareness-Training reichen allein nicht. CT-Log-Monitoring ist die proaktive Verteidigung, die neue Imitations-Domains erkennt, bevor sie aktiv werden.
Was sind Homograph-Angriffe?
Homograph-Angriffe nutzen visuell ähnliche Unicode-Zeichen aus anderen Schriftsystemen zur Imitation legitimer Domains. Ein kyrillisches Zeichen kann visuell wie sein lateinisches Pendant aussehen — eine Domain mit ausgetauschtem Buchstaben ist von der echten Marke optisch nicht zu unterscheiden. Der Unicode Technical Report 39 dokumentiert die Sicherheits-Implikationen und unterscheidet Single-Script-, Mixed-Script- und Whole-Script-Confusables. Klassisches Beispiel: „paypal.com“ mit kyrillischem „a“ sieht im Browser identisch aus.
Im MITRE ATT&CK-Framework wird die Technik als Variante von T1566.002 (Spearphishing Link) eingeordnet, weil sie typischerweise als Trägermechanismus für Phishing-Links dient. Wolf-Agents kombiniert zwei Schutz-Schichten: Das Email Security Check bewertet DMARC-Härte gegen direkte Marken-Imitation. Das CT-Log-Monitoring alarmiert proaktiv bei neuen TLS-Zertifikaten für ähnliche Domains, bevor eine Phishing-Kampagne anläuft.
Homograph-Angriffe in einem Satz
Homograph-Angriffe sind Domain-Imitation auf rein visueller Ebene. DNS und Browser akzeptieren die Domain als legitim, nur das Auge wird getäuscht. Verteidigung erfordert deshalb CT-Log-Monitoring (proaktiv neue Imitations-Domains erkennen) plus Awareness-Training (Hover-Test, Punycode-Decoder) plus FIDO2-MFA (Origin-gebunden als Backstop).
Wie funktioniert ein Homograph-Angriff?
Der Angreifer wählt aus den Confusables-Listen des Unicode TR39 ein Zeichen aus, das visuell identisch zu einem Buchstaben der Ziel-Marke ist, registriert die Domain in Punycode-Form (xn--…) und stattet sie mit einem kostenlosen Let's-Encrypt-Zertifikat aus. Browser zeigen die Domain je nach Konfiguration in Unicode oder Punycode. Eine perfekt nachgebaute Phishing-Seite mit Login-Formular schließt die Kette.
Confusable-Zeichen auswählen
Aus Unicode-TR39-Confusables-Liste: kyrillische Buchstaben für lateinische, griechische für lateinische, andere Schriftsystem-Äquivalente. Single-Script-Mismatch ist häufiger als Mixed-Script, weil Browser Mixed-Script seit Jahren in Punycode anzeigen.
Domain registrieren
IDN-Registrierung über Standard-Registrar. Punycode-Form (xn--…) wird im DNS gespeichert, Unicode-Form für die Anzeige im Browser.
TLS-Zertifikat plus Phishing-Site
Let's-Encrypt-Zertifikat (kostenlos), perfekt nachgebaute Login-Seite. Der Browser zeigt das grüne Schloss, alles wirkt legitim — die kryptografische Vertrauenskette ist intakt, nur die Domain ist gefälscht.
Email-Versand mit Link
Phishing-Email mit Link zur Homograph-Domain. Der User hovert über den Link, sieht die echte Marke (in Unicode-Anzeige) und klickt. URL-Defense kann den Link blocken, wenn die Domain schon bekannt ist — bei frischen Domains greift erst das CT-Log-Monitoring.
Homograph-Imitation Vergleich — Latin vs Cyrillic + Punycode + Browser-Schutz
Multimodaler Side-by-Side-Vergleich: 3 Beispiele (paypal.com / microsoft.com / google.com) mit Latin (PASS grün) gegen Cyrillic-Imitation (FAIL rot). Unicode-Markierung U+0430 (kyrillisches a) / U+043E (kyrillisches o). Punycode-Auflösung (xn--pypal-4ve.com). 3 Browser-Schutz-Layer (Chrome UTS #46+#39, Firefox Highly Restrictive Profile, Safari Skeleton-Matching).
Homograph-Trends und Browser-Schutz
Homograph-Angriffe sind seit den frühen 2000ern dokumentiert. Unicode TR39 wurde als Reaktion entwickelt, Browser haben über die Jahre Schutz-Schichten eingebaut. Trotzdem ist die Technik weiter wirksam — Browser-Schutz fokussiert auf Mixed-Script-Domains, Single-Script-Mismatch und neue Confusables bleiben Lücken.
Wordfence Homograph-Phishing-Reports
Wordfence dokumentierte mehrere Homograph-Kampagnen gegen WordPress-Admin-Konten. Apple Safari hatte 2017 eine bekannte Lücke, die durch reine kyrillische Domains umgangen wurde — Mixed-Script-Heuristiken griffen nicht, weil die Domain technisch nur ein Schriftsystem nutzte.
BSI-Empfehlungen zu CT-Log-Monitoring
Das BSI empfiehlt seit Jahren das aktive Monitoring von Certificate Transparency Logs für Marken-Schutz. CT-Logs sind die einzige zuverlässige proaktive Quelle für neue Domain-Registrierungen mit TLS-Zertifikat — jedes Zertifikat einer öffentlich vertrauenswürdigen CA wird dort protokolliert.
Chrome, Firefox, Safari IDN-Schutz-Updates
Die großen Browser-Anbieter haben über die Jahre IDN-Schutz verbessert. Der Schutz ist nicht vollständig: Single-Script-Mismatch und neue Confusables bleiben Lücken, weshalb Awareness-Training und CT-Log-Monitoring weiter notwendig sind.
Browser-Policy 2025 — UTS #46 + UTS #39 als Standard
Aktuelle Browser-Strategien (Stand 2025): Chrome führt UTS-#46-Konversion, UTS-#39-Skeleton-Matching gegen Top-Domains, Identifier-Status-Checks, Script-Mixing-Validation und Invisible-Character-Detection in einem mehrstufigen Filter durch. Firefox nutzt das „Highly Restrictive“ Profile aus UTS #39 — Latin mit Cyrillic oder Greek im selben Label ist nie erlaubt. Eine TLD-Whitelist bestimmt zudem die Anzeige-Strenge. Safari pflegt eine konservative Script-Whitelist. Trotzdem bleiben Single-Script-Mismatches und neue Confusables Angriffslücken — CT-Log-Monitoring ist deshalb weiter unverzichtbar. Quellen: Unicode TR39 Security Mechanisms, Mozilla IDN Display Algorithm.
Wie erkenne ich Homograph-Domains?
Homograph-Erkennung läuft auf drei Ebenen: CT-Log-Monitoring proaktiv (neue Zertifikate für ähnliche Domains), Browser-Punycode-Anzeige reaktiv (beim Klick auf den Link) und Awareness-Training (Hover-Test, URL kopieren und prüfen). Wolf-Agents Stack Detection nutzt CT-Logs zur Erkennung neuer Hosting-Provider für vermeintliche eigene Domains — beides sind Frühwarn-Signale für eine geplante Imitations-Kampagne.
CT-Log-Monitoring
- Certstream Live-Stream (offen, kostenlos)
- Google CT-Search via transparencyreport.google.com
- crt.sh-Datenbank-Suche mit SQL-Like-Filter
- Wolf-Agents Stack Detection mit CT-Integration
- Cloudflare Nimbus und andere CT-Logs
Browser-Anzeige
- Chrome und Edge: Punycode bei Mixed-Script
- Firefox-Konfiguration:
about:config→network.IDN_show_punycode - Safari: Punycode bei verdächtigen Domains
- Awareness: Hover-Test, URL kopieren und prüfen
- Punycode-Decoder-Tools im Verdachtsfall
Wolf-Agents-USP für Homograph
Wolf-Agents CT-Log-Monitoring alarmiert proaktiv bei neuen Zertifikaten für Domains, die Ihrer Marke ähnlich sind — die Stack-Detection erkennt zusätzlich neue Hosting-Provider für vermeintlich eigene Subdomains. Beide Signale zusammen geben Ihnen Vorlauf-Zeit, bevor eine Imitations-Domain operativ wird.
Wie schütze ich mich vor Homograph-Angriffen?
Homograph-Schutz ist mehrschichtig: CT-Log-Monitoring proaktiv (neue Imitations-Domains erkennen), Browser-Punycode reaktiv beim Klick, DMARC-Härtung gegen Imitation der eigenen Domain, FIDO2-MFA als Origin-gebundener Backstop, Awareness-Training mit konkreten Beispielen. Keine Schicht allein reicht — zusammen reduzieren sie die Erfolgswahrscheinlichkeit eines Homograph-Angriffs deutlich.
CT-Log-Monitoring
Wolf-Agents Stack Detection mit Certstream-Integration. Alternativ eigenes Monitoring über crt.sh und Domain-Pattern-Matching gegen Ihre Marken-Namen.
Browser-Punycode
Firefox erzwingt Punycode-Anzeige per Konfiguration (about:config). Chrome, Safari, Edge zeigen Punycode bei Mixed-Script automatisch.
DMARC p=reject
Verhindert direkte Imitation Ihrer Header-From-Domain. Schützt vor Marken-Schaden, weil Angreifer nicht zusätzlich Ihre Original-Domain spoofen können.
FIDO2-MFA
Hardware-MFA macht Credential-Diebstahl wertlos. NIS2 Art. 21 Abs. 2 lit. j. Origin-gebunden — funktioniert NICHT auf Homograph-Domains, weil der Hardware-Schlüssel die fremde Origin erkennt.
Defensiv-Registrierungen
Kritische Homograph-Varianten Ihrer Marke selbst registrieren — typische Confusable-Buchstaben (kyrillisch a/o/e, griechisch o/i/u) abdecken. Reduziert die Angriffsoberfläche.
Awareness-Training
Konkrete Übungen: Hover-Test bei jedem Link, URL-Kopier-Routine ins Adressfeld, Punycode-Decoder-Bookmark für den Verdachtsfall. Mitarbeiter erkennen Imitations-Domains nur, wenn sie das Pattern kennen.
Was tun bei einem Homograph-Vorfall?
Bei erfolgreicher Homograph-Phishing-Eingabe: Konto-Reset wie bei klassischem Phishing. Bei Marken-Imitation zusätzlich Take-Down-Request bei Registrar/Hoster, ICANN-Beschwerde (URS oder UDRP), Strafanzeige bei der zuständigen ZAC. CT-Log-Monitoring nach Vorfall erweitern, um Folge-Domains des gleichen Akteurs zu erkennen.
- Konto-Reset bei Credential-Eingabe auf Homograph-Domain. Passwort, Sessions, MFA-Geräte, OAuth-App-Berechtigungen.
- Homograph-Domain dokumentieren mit Punycode, Whois, Hosting-Provider. Screenshots der Phishing-Page für die Beweissicherung.
- Take-Down-Request bei Registrar und Hosting-Provider. Bei Cloud-Hosting auch beim CDN-Anbieter — Cloudflare und Akamai haben Abuse-Workflows für Phishing-Domains.
- ICANN-Beschwerde bei Cybersquatting-Pattern: URS (Uniform Rapid Suspension) für offensichtliche Fälle, UDRP-Verfahren für komplexere Streitigkeiten.
- Strafanzeige bei deutschem Tatort: ZAC der Bundesländer. Internationale Vorfälle über das BKA.
- CT-Log-Monitoring erweitern — nach Vorfall die Watch-Liste für ähnliche Domains aktivieren, damit Folge-Domains des gleichen Akteurs sofort erkannt werden.
Homograph-Schutz nach NIS2 lit. g und j
Homograph-Angriffe fallen unter NIS2 Art. 21 Abs. 2 lit. g (Cyberhygiene und Schulung) und lit. j (MFA als Backstop). Bei Marken-Inhaberschaft greift zusätzlich lit. a (Risikoanalyse-Konzepte) — CT-Log-Monitoring gehört zum Marken-Risiko-Inventar. DSGVO Art. 32/33 bei Datenpannen.
NIS2 lit. g
Cyberhygiene und Schulung. Awareness-Training mit konkreten Homograph-Beispielen, Punycode-Decoder als Standard-Tool im Verdachtsfall.
NIS2 lit. j MFA
MFA für privilegierte Konten. FIDO2-Hardware-Schlüssel sind Origin-gebunden und schützen auch bei erfolgreichem Homograph-Klick — der zweite Faktor antwortet nicht auf die fremde Domain.
DSGVO Art. 32 und 33
Technische Maßnahmen plus 72-Stunden-Meldung bei Datenpannen aus erfolgreichem Homograph-Phishing.
Der Wolf-Agents Email Security Check bewertet DMARC-Härte. Die Wolf-Agents Plattform mit CT-Log-Integration alarmiert proaktiv bei neuen Zertifikaten für ähnliche Domains — der prüfbare Marken-Schutz-Nachweis nach §38 BSIG-Sorgfaltspflicht.
Wie steht Ihre Domain bei Homograph-Angriffe?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.
Häufig gestellte Fragen
Was sind Homograph-Angriffe?
Homograph-Angriffe nutzen visuell ähnliche Unicode-Zeichen aus anderen Schriftsystemen zur Imitation legitimer Domains. Ein kyrillisches Zeichen kann visuell wie ein lateinisches Pendant aussehen. Eine Domain mit ausgetauschtem Buchstaben ist von der echten Marke optisch nicht zu unterscheiden. Der Unicode Technical Report 39 dokumentiert die Sicherheits-Implikationen.
Wie funktioniert ein IDN-Homograph-Angriff?
Der Angreifer registriert eine Domain mit IDN-Encoding (Punycode-Form). Im Browser wird die Domain in Unicode dargestellt, optisch identisch zur echten Marke. Der Angreifer hostet eine Phishing-Page mit perfekt nachgebautem Login. DNS und Browser-Trust-Anker funktionieren normal.
Wie kann ich Homograph-Angriffe gegen meine Marke erkennen?
Certificate Transparency Logs sind die wichtigste Quelle. Jede TLS-Zertifikatsausstellung wird in öffentlichen Logs protokolliert. Tools wie Certstream, Domain Watch oder Wolf-Agents Stack Detection monitoren diese Logs auf Domain-Patterns, die Ihrer Marke ähneln.
Wie schützen Browser vor Homograph-Imitation?
Moderne Browser zeigen IDN-Domains in Punycode-Form, wenn die Domain Mixed-Script verwendet. Chrome nutzt die Unicode-TR39-Confusables-Liste. Bei reinen Single-Script-Domains kann der Schutz umgangen werden. User-Awareness bleibt wichtig — eine technische Heuristik ersetzt das geschulte Auge nicht.
Welche NIS2-Buchstaben greifen bei Homograph-Schutz?
NIS2 Art. 21 Abs. 2 lit. g verlangt Awareness-Training, das Domain-Imitations-Patterns einschließt. Lit. j (MFA) ist als Backstop wichtig: FIDO2-MFA ist Origin-gebunden und schützt auch bei erfolgreichem Homograph-Klick, weil der Hardware-Schlüssel nicht auf eine fremde Domain antwortet.
Was leistet Wolf-Agents gegen Homograph-Angriffe?
Wolf-Agents CT-Log-Monitoring (Certstream-Integration) erkennt neue Zertifikate für ähnliche Domains und alarmiert proaktiv. Stack Detection identifiziert neue Hosting-Provider für vermeintlich eigene Subdomains. Auf der Authentifizierungs-Schicht hilft DMARC mit p=reject gegen direkte Marken-Imitation.