Ohne funktionierendes Domain Name System (DNS) wäre das Internet, wie wir es heute kennen, undenkbar. Denn es ist im Speziellen für die Verarbeitung von Anfragen zur Namensauflösung zuständig, übersetzt also Domain-Namen in IP-Adressen, und erleichtert den Nutzern damit das Surfen im Netz. Gäbe es Paul Mockapetris’ Erfindung nicht, müsste man zum Aufrufen einer Webseite statt einer Domain immer die viel komplexere IP-Adresse eingeben. Doch kein Nutzer kann (und will) sich so viele Zahlenkombinationen merken. Domain-Namen sind da deutlich benutzerfreundlicher.
Das DNS liegt in den Händen der Internet Corporation for Assigned Names and Numbers (ICANN). Eben jene Institution weist auf ihrer Webseite nun auf die anhaltende und signifikante Bedrohungslage wichtiger Teile der DNS-Infrastruktur hin und fordert alle Domain-Inhaber zum Einsatz der Domain Name System Security Extensions (DNSSEC) auf.
Warum wird die ICANN jetzt aktiv?
Den Stein zum Rollen gebracht haben laut ICANN Berichte über böswillige Aktivitäten, die in der Vergangenheit auf das DNS abzielten. Am 9. Januar 2019 hatte zum Beispiel das Cyber-Security-Unternehmen FireEye über eine DNS-Hijacking-Kampagne globalen Ausmaßes mit iranischem Ursprung informiert. Diese zog nach Angaben der Experten über Europa, den Mittleren Osten, Nordafrika und Nordamerika hinweg. Doch auch schon Ende November 2018 konnte das Team hinter Cisco Talos DNS-Kaperungen im Libanon und den Vereinigten Arabischen Emiraten feststellen.
So gingen die Akteure vor: Sie hackten sich zuerst in die Konten von Webhostern und Registraren ein, um dort die DNS-Einträge verschiedener Unternehmen und Regierungsstellen abzuändern. Dies geschah vor dem Hintergrund, den Traffic gekaperter Domains auf die eigenen Server umzuleiten und so Man-in-the-middle-Angriffe – bei denen letzten Endes zahlreiche Login-Daten abgefangen wurden – zu ermöglichen. Die Krux daran: Da die Hijacker nach dem Ausspähen der Daten den Traffic wieder auf die rechtmäßigen Server weiterleiteten, blieb die Attacke für die Nutzer unbemerkt.
Diese groß angelegte DNS-Hijacking-Kampagne veranlasste sogar das Ministerium für Innere Sicherheit der Vereinigten Staaten im Januar 2019 dazu, US-Regierungsstellen und -Unternehmen zu alarmieren. Die ICANN zieht nun einen Monat später mit ihrer deutlichen Forderung nach DNSSEC nach. Geworben hatte die Institution allerdings schon längere Zeit für die wichtigen DNS-Sicherheitserweiterungen.
Wovor schützt DNSSEC genau?
Wie die ICANN selbst angibt, möchte sie als vertrauenswürdiger Partner wahrgenommen werden und gemeinsam mit anderen Internetakteuren die Sicherheit, Stabilität und Resilienz des DNS wahren. Es liegt also nahe, dass die Institution sich jetzt aktiv gegen die Gefahren des DNS Hijacking einsetzt.
Als geeignete Schutzmaßnahme gegen DNS Hijacking preist die ICANN die Verwendung von DNSSEC an. Die Technologie macht ihre Nutzer gegen DNS-Kaperungen immun, indem sie ihre betreffenden Daten digital signiert. Eine unbemerkte Änderung der eigenen DNS-Einträge wird durch DNSSEC infolgedessen unmöglich. Und auch für die Besucher deine Webseite hat die Einführung von DNSSEC einen klaren Vorteil: Du siehst dich in Zukunft nicht mehr Man-in-the-middle-Angriffen ausgesetzt und kannst sicher sein, beim Surfen auf deiner Webseite nicht auf bösartige Server weitergeleitet zu werden. Somit ist DNSSEC ein Gewinn für beide Seiten – Domain-Inhaber wie auch Internetnutzer.
In Kombination mit anderen Sicherheitsvorkehrungen, wie zum Beispiel dem Einsatz von SSL-Zertifikaten, sorgst du für bestmögliche Domain Security.
Wie ist der Status Quo in Bezug auf DNSSEC?
Wusstest du schon: Die DNSSEC-Technologie durchlebte ihre Anfänge bereits Ende der 90er-Jahre. Das könnte einen darauf schließen lassen, dass DNSSEC mittlerweile weit im World Wide Web verbreitet ist, oder? Die Realität sieht jedoch leider anders aus: Ende Februar 2019 hatten weltweit gerade einmal 18,9 % der Domains DNSSEC in Verwendung. Geht man nach Regionen hat Ozeanien die Nase mit 30,7 % vorne. Europa nimmt mit 24 % immerhin den zweiten Platz im Ranking ein, gefolgt von Amerika (23,2 %), Afrika (18,6 %) und Asien (15,6 %). Spitzenreiter im Länder-Ranking ist mit 92,5 % das westafrikanische Benin. In Deutschland setzen heute zumindest schon 46,4 % auf DNSSEC.
Quelle:APNIC
ICANN’s Forderung nach einem flächendeckenden DNSSEC-Einsatz ist also durchaus berechtigt. Denn nur mit Hilfe von DNSSEC können Unternehmen tatsächlich der Gefahr entgehen, Opfer von DNS Hijacking zu werden. Gleichzeitig schützen Domain-Inhaber die Besucher ihrer Webseite mittels DNSSEC vor unbemerkten Man-in-the-middle-Angriffen.
Überzeugt auch dich dieses Plus an Domain Security? In AutoDNS, dem Domain Management Tool von InterNetX, kannst du mit nur wenigen Klicks DNSSEC für zahlreiche (new) gTLDs und ccTLDs aktivieren.
