Es beginnt oft mit einer harmlos erscheinenden, gut gemeinten Idee: „Wir brauchen schnell eine Testumgebung für das neue WordPress-Design.“ Also wird die Subdomain test.meine-seite.de angelegt. Kurz darauf folgt eine Landingpage für die Sommerkampagne, dann ein Staging-Bereich für das CRM-Update – und zur Sicherheit bleibt der alte Shop unter archiv-2023.meine-seite.de noch ein paar Monate online. Kannst Du Dir ausmalen, wo sich hier Risiken anbahnen?
Drei Jahre später offenbart der Blick in Deine Domainverwaltung ein undurchsichtiges Geflecht von test.dev.staging.beta.neu.meine-seite.de. Niemand weiß mehr genau, welcher Dienst dort läuft oder wer eigentlich das Passwort hierfür hat. Doch was hier nach „digitaler Leiche im Keller“ aussieht, die man vielleicht einfach ignorieren möchte, ist in Wahrheit ein handfestes Risiko für Deine Sicherheit, Dein und Deine DSGVO-Konformität.
Was genau passiert hier technisch?
Technisch gesehen ist jede Subdomain ein eigener Record in Deiner DNS-Zonendatei. Während eine klare Struktur (wie blog.deine-domain.de) sinnvoll ist, führen tiefe Verschachtelungen oder unkontrollierter Wildwuchs schnell zu einer unübersichtlichen Infrastruktur.
Ein häufig übersehener Ursprung des Problems sind dabei Wildcard-DNS-Einträge (wie z.B. *.meine-seite.de). Entwickler richten sie einmal ein, um schnell neue Subdomains verfügbar zu machen …und vergessen sie daraufhin. Das Ergebnis ist eine offene Infrastruktur, bei der theoretisch jede beliebige Subdomain auflöst, ohne dass jemand den Überblick behält, welche davon tatsächlich genutzt wird.
Subdomain vs. Unterverzeichnis (Subfolder) – Was macht mehr Sinn?
Aus SEO-Sicht wurde die Frage „Subdomain oder Subfolder?“ lange Zeit heiß diskutiert. Googles offizielle Position hier ist heute, dass eng verwandte Subdomains wie blog.example.com in der Regel ähnlich behandelt werden wie Unterverzeichnisse. Entscheidend ist also weniger die Struktur an sich, sondern die Qualität und Konsistenz des Inhalts.
Dennoch gibt es praktische Argumente für Unterverzeichnisse: meine-seite.de/shop/ ist in einer zentralen Umgebung einfacher zu sichern, braucht kein separates SSL-Zertifikat und erfordert keinen zusätzlichen DNS-Eintrag. Für die meisten KMUs reicht daher eine Handvoll klar definierter Subdomains (www, blog, shop, cdn). Alles darüber hinaus lässt sich meist als Unterverzeichnis lösen.
Weiterlesen: Eigene Domain, Subdomain oder Unterverzeichnis: Die richtige Domain-Strategie
Drei versteckten Risiken im Subdomain-Dschungel
1. Sicherheitsrisiko Subdomain Takeover
Die gefährlichste Falle steckt in der Übernahme von Subdomains, die per CNAME-Eintrag auf externe Dienste wie GitHub Pages, Heroku, Fastly oder ein altes Ticket-System verweisen. A-Records, die auf eigene Server zeigen, sind hier nicht betroffen.
Das Problem entsteht, wenn Du den Vertrag beim Drittanbieter kündigst, aber den DNS-Eintrag in Deinem Portfolio stehen lässt. Angreifer können sich beim Drittanbieter ein Konto mit exakt diesem Namen erstellen und so Deine Subdomain übernehmen mit der Folge, dass unter Deiner vertrauenswürdigen Domain plötzlich Schadcode oder Phishing-Content ausgespielt wird.
Tipp: Das BSI (Bundesamt für Sicherheit in der Informationstechnik) thematisiert verwaiste DNS-Einträge in seinen Empfehlungen zur Absicherung von Webanwendungen. Außerdem kannst Du mit Tools wie can-i-take-over-xyz oder subjack Deine eigene(n) Domain(s) binnen weniger Minuten auf anfällige CNAME-Einträge prüfen.
2. SEO-Verlust durch Duplicate Content & Crawling-Budget
Verwaiste Test-Subdomains enthalten häufig Kopien der Live-Seite oder veraltete Inhalte. Das führt zu Duplicate Content und ist damit ein echtes SEO-Problem. Unabhängig von der Größe Deiner Website muss Google dann entscheiden, welche Version die „echte“ ist, und bevorzugt im Zweifelsfall die falsche.
Für Websites mit mehreren hundert oder tausenden indizierten Seiten kommt ein weiteres Problem hinzu: das Crawling-Budget. Wenn ein Google-Bot seine Zeit damit verbringt, verwaiste Testumgebungen zu indizieren, fehlt ihm diese Kapazität für neue, relevante Inhalte.
3. Compliance & DSGVO: Die Leichen im Keller
Auf alten Test-Subdomains liegen oft noch Datenbank-Dumps oder Kopien der Live-Seite aus vergangenen Jahre – im schlimmsten Fall inklusive echter Kundendaten. Da diese Testseiten selten mit Sicherheitsupdates versorgt werden, sind sie ein leichtes Ziel für automatisierte Schwachstellen-Scanner.
Dabei ist ein Datenleck via einer vergessenen Subdomain ein massiver DSGVO-Verstoß. Das Prinzip der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) verlangt, dass personenbezogene Daten nur so lange und in dem Umfang gespeichert werden, wie es für den ursprünglichen Zweck notwendig ist. Eine vergessene Test-Instanz mit echten Kundendaten verletzt dieses Prinzip grundlegend und kann Bußgelder nach sich ziehen.
Praxis-Leitfaden: Der Subdomain-Frühjahrsputz
So bringst Du Ordnung in Deine Infrastruktur:
- Inventur – Liste in der DNS-Verwaltung Deiner Hauptdomains alle aktiven A- und CNAME-Records auf. Für eine vollständige Übersicht kannst Du zusätzlich ein Tool wie SecurityTrails oder Subfinder nutzen. Beide zeigen Dir auch Subdomains auf die Du vielleicht längst vergessen hast.
- Klassifizierung – Stelle Dir für jeden Eintrag drei Fragen – Falls eine Antwort „Nein“ lautet, dann markiere den Eintrag sofort für eine Löschung!
- Wird diese Seite aktiv für mein Geschäft genutzt?
- Ist der Inhalt aktuell?
- Ist die Seite technisch abgesichert (SSL, Updates)?
- Lösch-Routine – Bevor Du den DNS-Eintrag entfernst, sichere eventuell noch benötigte Daten lokal. Deinstalliere anschließend die CMS-Instanz, lösche die Datenbank und entferne erst dann den Subdomain-Eintrag sowie die dazugehörigen SSL-Zertifikate.
Prüfe außerdem beim nächsten Projekt, ob nicht ein Unterverzeichnis (meine-seite.de/projekt) ausreicht. Das ist pflegeleichter, SEO-freundlicher und zentral zu sichern.
Best Practice für den Umgang mit Subdomains
Ein sauberes DNS ist wie ein gepflegtes Fundament für Dein Haus. Für die meisten KMUs reicht hier eine klare Grundstruktur:
| Zweck | Empfehlung |
|---|---|
| Hauptseite | www.meine-seite.de |
| Blog / News | meine-seite.de/blog/ (Unterverzeichnis) |
| Shop | meine-seite.de/shop/ oder shop.meine-seite.de |
| Entwicklung | dev.meine-seite.de (mit Ablaufdatum) |
| Staging | staging.meine-seite.de (mit Ablaufdatum) |
Etabliere im Team klare Benennungsregeln und lege für jede Test-Subdomain ein „Ablaufdatum“ fest, zum Beispiel als Kommentar im DNS-Panel oder als Ticket im Projektmanagement-Tool.
Deine Aufgabe für heute: Prüfe Deine DNS-Verwaltung auf Subdomains, die Du seit 12 Monaten nicht mehr angefasst hast. Lösche diese konsequent oder richte eine saubere 301-Weiterleitung auf Deine Hauptseite ein, um eventuelle Linkkraft zu erhalten.
Schreibe einen Kommentar