Der österreichische Cybersecurity-Spezialist
Risikomonitor legt mit der Swiss Digital Infrastructure Study 2026 die laut eigener Aussage bisher umfangreichste Analyse eines nationalen Domain-Ökosystems weltweit vor. Untersucht wurde ein Datensatz mit 3'306'952 .ch-Domains, der neben den rund 2,5 Millionen bei Switch registrierten aktiven Domains auch historische Anträge umfasst, die in Archivdatenbanken geprüft werden konnten.
Zunächst liefert die Studie drei Hauptergebnisse. Über 550'000 Schweizer Websites, das entspricht 16,6 Prozent aller .ch-Domains, sind kritisch exponiert und weisen Sicherheitslücken mit einem CVSS Score vom 9.0 oder höher auf, darunter vier bestätigte Apache-Schwachstellen, über die Angreifer aus der Ferne ohne Authentifizierung Code ausführen können. Die Untersuchung zeigt zudem, dass selbst Legacy-CVEs von 2008 bis heute ungepatcht sind, unter anderem eine OpenSSL-Schwachstelle, die rund 629'000 Domains betrifft.
Die Schweizer Digitalinfrastruktur ist gemäss der Untersuchung zu einem ordentlichen Teil, nämlich zu 42 Prozent, in ausländischer Hand, etwa bei Hyperscalern wie AWS. Schweizer Websites liegen zu 17 Prozent in den USA, zu 15 Prozent in Deutschland und zu 7 Prozent in Israel – dies werfe Fragen zur digitalen Souveränität und zu jurisdiktionellen Risiken auf, Letzteres vor allem im Kontext des US Cloud Act, der US-Behörden Zugriff auf Daten bei US-Hostern weltweit ermöglicht, dies unabhängig vom Serverstandort.
Rund 58 Prozent der .ch-Domains werden jedoch bei Schweizer Anbietern gehostet – aber hier spielt das Klumpenrisiko: Allein Hostpoint hält mit rund 780'000 Domains 23,6 Prozent des Markts. Die drei grössten Anbieter – Hostpoint, Infomaniak und Metanet – vereinen mehr als die Hälfte des gesamten Domainraums, womit eine einzige Schwachstelle in einer der Plattformen hunderttausende Websites gleichzeitig betreffen kann. Zum Vergleich: Österreich verzeichnet 65,96 Prozent national gehostete Domains, und auch die Niederlande liegen mit 59,58 Prozent vor der Schweiz, was das inländische Hosting von Domains betrifft.
Nicht nur bei den hiesigen Hosting-Anbietern, auch beim Technologie-Stack des Schweizer .ch-Ökosystems stellt die Studie eine starke Konzentration fest. So sind 49,2 Prozent der erkannten CMS-Installationen, respektive 1'660'074 Websites, Wordpress-basiert. Mit 12 Prozent der Wordpress-Installationen verzichtete zudem ein nicht unerheblicher Teil der Wordpress-Sites im Jahr 2025 auf Updates. jQuery 3.7.1 ist auf über 1'027'052 Domains anzutreffen, und Apache unter Linux oder Unix dominieren als Server-Stack klar.
Eklatante Mängel verzeichnet die Studie bei der Barrierefreiheit. Nur 2,81 Prozent der Schweizer Websites erfüllen die entsprechenden Anforderungen. Der regulatorische Handlungsdruck wachse hier erheblich, nicht zuletzt aufgrund der laufenden Revision des Behindertengleichstellungsgesetzes und wegen des EU Accessibility Act.
Studien dieser Art scheinen tatsächlich Seltenheit zu sein. Als bisher umfangreichste vergleichbare Untersuchung auf Domain-Ebene nennt
Risikomonitor den Princeton Web Census, durchgeführt 2016 von Englehardt & Narayanan. Damals wurden rund eine Million Websites auf Tracking- und Sicherheitsverhalten untersucht, was als internationale Referenz in der Web-Sicherheitsforschung gilt. Risikomonitor positioniert die eigene Untersuchung der Schweizer Domain-Landschaft demgegenüber als stark ergänzt – erstmals sei mit der Swiss Digital Infrastructure Study 2026 eine vollständige IT-Sicherheitsanalyse mit CVE-Exposition, Infrastrukturkonzentration und Patch Governance auf nationaler Ebene einbezogen worden.
(ubi)
