Wie vertrauliche Daten im Netz sicher unterwegs sind|Sicherheitssystem DNSSEC

Domain_Name_System_FotoliaFür jeden Internet-User ist es ein Albtraum, wenn seine vertraulichen Kontodaten in die falschen Hände gelangen. Deshalb werden gerade im Zeitalter der Digitalisierung Sicherheits-Standards immer wichtiger, um sensible Informationen im Internet zu schützen. Das Sicherheitssystem Domain Name System Security Extensions, kurz DNSSEC, soll genau diesen Schutz gewährleisten.

In kürzester Zeit hat die Digitalisierung sämtliche Lebensbereiche verändert ‒ beispielsweise das Bankengeschäft: Junge FinTech-Unternehmen wickeln mittlerweile eine Vielzahl von Finanzdienstleistungen komplett digital ab. Auch das Online-Banking ist für das Gros der Internetnutzer längst zur Selbstverständlichkeit geworden. Viele unterschätzen allerdings die Gefahren, die im Netz lauern können. Das World Wide Web hat sich mittlerweile zu einem lukrativen Betätigungsfeld für Betrüger entwickelt: So hätten Cyberkriminelle im März dieses Jahres um ein Haar die Zentralbank von Bangladesch um knapp eine Milliarde Dollar erleichtert. Der Schwindel fiel jedoch in letzter Sekunde auf. Dieser Extremfall zeigt einmal mehr, dass klaffende Sicherheitslücken im Internet gewieften Hackern immer wieder erlauben, ihren dunklen Machenschaften nachzugehen. So hat auch das Domain Name System (DNS), das im Internet die Computer an die entsprechenden Server weiterleitet, seine Schwächen.

Anzeige
Schwachstelle des DNS: Authentizität der Antwort wird nicht überprüft

Das Domain Name System wurde bereits 1983 von dem amerikanischen Internetpionier Paul Mockapetris entwickelt – in einer Zeit, in der man sich um Hacker noch keine Gedanken machen musste. Doch was genau macht eigentlich das DNS? Es hat die Aufgabe, den Hostnamen, also den Namen eines Computers in einem System, in eine IP-Adresse aufzulösen. Der Internet-Browser erreicht eine spezifische Webseite, indem er zunächst einen Nameserver des DNS befragt, auf welche IP-Adresse der Webserver hört. Dieser Vorgang wird in der Fachsprache als DNS-Query bezeichnet. Der Nameserver fischt daraufhin aus seiner Datenbank ‒ auch als Zonendatei bekannt ‒ die zugehörigen Einträge heraus (Ressource Records) und sendet sie an den Client, also an das entsprechende Endgerät. Dieser Vorgang nennt sich DNS-Response. Aus dieser Antwort entnimmt der Client die IP-Adresse und steuert sie dann an. Im Regelfall läuft die gerade beschriebene Kommunikation zwischen Client und Nameserver über das User Datagram Protocol (UDP) ab ‒ und genau hier klafft eine empfindliche Sicherheitslücke: Denn die Authentizität der Antwort wird nicht vom Protokoll überprüft. Der Empfänger kann sich also nicht sicher sein, ob eine DNS-Antwort tatsächlich vom befragten DNS-Server stammt und ob sie vertrauenswürdig ist. Ein Angreifer, der sich in die Kommunikation zwischen DNS-Server und Client einhackt, ist somit in der Lage, den Empfänger aufgrund einer manipulierten IP-Adresse auf eine falsche Website umzuleiten. Mithilfe eines gefälschten https-Zertifikats kann er eine verschlüsselte Verbindung zu seinem Opfer implementieren: Der Angegriffene hat somit kaum noch eine Chance, die Attacke zu bemerken. Wenn der ahnungslose Nutzer dann seine vertraulichen Kontodaten eingibt, kann das mitunter schwerwiegende Folgen haben.

Sicherheits-Standard DNSSEC schließt Sicherheitslücken

Domain Name System Security Extensions ‒ kurz DNSSEC ‒ bezeichnet eine Reihe von Internet-Sicherheitsstandards, die das Domain Name System erweitern. Damit soll das sogenannte Cache-Poisoning ‒ zu Deutsch Vergiftung des Temporärspeichers ‒ verhindert werden. Ein böswilliger Angreifer versucht dabei mithilfe manipulierter Anfragen den DNS Cache des Providers dazu zu bringen, den von ihm gewünschten DNS-Eintrag im Cache zwischenzuspeichern. Nutzt der DNS-Server des Providers DNSSEC, wird dieser die Signatur der Antwort gegen den öffentlichen Schlüssel der betreffenden Domain prüfen. Wenn der Angreifer keine gültige Signatur trägt, verwirft der DNS-Server des Providers die gefälschte Antwort. Mit der Sicherheitstechnik können der Mail- und VoIP-Verkehr, aber auch das Online-Banking abgesichert werden. DNSSEC arbeitet neben der eingebetteten Signatur mit zwei kryptografischen Schlüsseln. Anhand derer werden die DNS-Daten gegen Fälschungen geschützt. Gleichzeitig wird der Ersteller der Daten authentisiert. Anhand der Signatur und der kryptografischen Schlüssel kann überprüft werden, ob die DNS-Antwort valide, also vertrauenswürdig, ist. „Die Manipulation der DNS-Daten wird durch DNSSEC sehr stark erschwert“, erklärt Christian Felsing, IT-Sicherheitsbeauftragter des Sparkassen Brokers. Der zentrale Online-Broker der Sparkassen ist eines der ersten Finanzinstitute in Deutschland, das DNSSEC anwendet, um zu verhindern, dass Angreifer beispielsweise Handelsaufträge der Kunden manipulieren.

Umstieg auf DNSSEC: Nach Installation praktisch kein Wartungsaufwand

Laut Felsing benötigt man als Anbieter beim Umstieg auf DNSSEC in erster Linie einen Domain Registrar und eine Nameserver-Infrastruktur, die das Sicherheitssystem unterstützen. Als User sollte man darauf achten, dass der Internetprovider DNS-Server bereitstellt, die eine solche Validierung unterstützen. „Ansonsten kann man auch einfach die Google Nameserver 8.8.8.8 und 8.8.4.4 in seiner Firewall bzw. im Router eintragen, sofern dieser DNSSEC unterstützt. Falls dies nicht der Fall ist, sollte das Gerät unbedingt ausgetauscht werden“, meint Felsing. Dem Sicherheitsexperten zufolge muss auf Anbieter-Seite für die Installation des DNSSEC-Protokolls ein gewisses technisches Knowhow vorhanden sein, um es fachgerecht in Betrieb nehmen zu können. Ist das System dann aber erst einmal installiert, gibt es praktisch keinen Wartungsaufwand mehr. „Und wenn man die Installation von DNSSEC selbst übernimmt, hat man praktisch keine Mehrkosten“, so der Sicherheitsexperte.

Deutschland hinkt bei DNSSEC noch hinterher

Die Markteinführung von DNSSEC in seiner aktuellen Version erfolgte bereits 2005. Für die Domain „.de“ ist das Sicherheitssystem aber erst seit 2011 verfügbar. Allerdings sind der Sparkassen Broker und die Postbank bisher die einzigen Anbieter in Deutschland, die DNSSEC im Bankenbereich einsetzen. Dass ein Großteil der deutschen Finanzdienstleister ihre Domains noch nicht signiert, stellt laut Felsing ein großes Sicherheitsproblem dar: „DNSSEC ist in unserer digitalisierten Welt ein elementarer Sicherheitsfaktor, der flächendeckend verwendet werden sollte.“ Doch wieso DNSSEC in Deutschland noch so wenig verbreitet ist, kann auch der IT-Experte nicht beantworten.

Im europäischen Ausland sieht die Sache schon anders aus: So sind die Niederlande beim DNSSEC-System weltweit Vorreiter. Dort werden schon beinahe 50 Prozent der Domains signiert – Tendenz steigend. In Deutschland wurde im Jahr 2015 mit einem besonderen Event auf das Sicherheitssystem aufmerksam gemacht: So veranstaltete das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit weiteren Partnern im Sommer 2015 den „DNSSEC-Day“. Verschiedene IT-Experten erklärten hier unter anderem den Nutzen der Technik aus Sicht von Anwendern und behandelten Praxisfragen von Administratoren. Eine Reihe von Screencast-Einspielungen führten zudem in die Details der Technik ein.

Die Veranstaltung ist der erste Schritt in die richtige Richtung: Denn DNSSEC kann einen wichtigen Beitrag dazu leisten, Cyberkriminellen Manipulationen im Internet deutlich zu erschweren.

Michael Steiger, freier Journalist aus Mainz

www.brunomedia.de

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.