Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Domain_Name_System_FotoliaFür jeden Internet-User ist es ein Albtraum, wenn seine vertraulichen Kontodaten in die falschen Hände gelangen. Deshalb werden gerade im Zeitalter der Digitalisierung Sicherheits-Standards immer wichtiger, um sensible Informationen im Internet zu schützen. Das Sicherheitssystem Domain Name System Security Extensions, kurz DNSSEC, soll genau diesen Schutz gewährleisten.

In kürzester Zeit hat die Digitalisierung sämtliche Lebensbereiche verändert ‒ beispielsweise das Bankengeschäft: Junge FinTech-Unternehmen wickeln mittlerweile eine Vielzahl von Finanzdienstleistungen komplett digital ab. Auch das Online-Banking ist für das Gros der Internetnutzer längst zur Selbstverständlichkeit geworden. Viele unterschätzen allerdings die Gefahren, die im Netz lauern können. Das World Wide Web hat sich mittlerweile zu einem lukrativen Betätigungsfeld für Betrüger entwickelt: So hätten Cyberkriminelle im März dieses Jahres um ein Haar die Zentralbank von Bangladesch um knapp eine Milliarde Dollar erleichtert. Der Schwindel fiel jedoch in letzter Sekunde auf. Dieser Extremfall zeigt einmal mehr, dass klaffende Sicherheitslücken im Internet gewieften Hackern immer wieder erlauben, ihren dunklen Machenschaften nachzugehen. So hat auch das Domain Name System (DNS), das im Internet die Computer an die entsprechenden Server weiterleitet, seine Schwächen.

Schwachstelle des DNS: Authentizität der Antwort wird nicht überprüft

Das Domain Name System wurde bereits 1983 von dem amerikanischen Internetpionier Paul Mockapetris entwickelt – in einer Zeit, in der man sich um Hacker noch keine Gedanken machen musste. Doch was genau macht eigentlich das DNS? Es hat die Aufgabe, den Hostnamen, also den Namen eines Computers in einem System, in eine IP-Adresse aufzulösen. Der Internet-Browser erreicht eine spezifische Webseite, indem er zunächst einen Nameserver des DNS befragt, auf welche IP-Adresse der Webserver hört. Dieser Vorgang wird in der Fachsprache als DNS-Query bezeichnet. Der Nameserver fischt daraufhin aus seiner Datenbank ‒ auch als Zonendatei bekannt ‒ die zugehörigen Einträge heraus (Ressource Records) und sendet sie an den Client, also an das entsprechende Endgerät. Dieser Vorgang nennt sich DNS-Response. Aus dieser Antwort entnimmt der Client die IP-Adresse und steuert sie dann an. Im Regelfall läuft die gerade beschriebene Kommunikation zwischen Client und Nameserver über das User Datagram Protocol (UDP) ab ‒ und genau hier klafft eine empfindliche Sicherheitslücke: Denn die Authentizität der Antwort wird nicht vom Protokoll überprüft. Der Empfänger kann sich also nicht sicher sein, ob eine DNS-Antwort tatsächlich vom befragten DNS-Server stammt und ob sie vertrauenswürdig ist. Ein Angreifer, der sich in die Kommunikation zwischen DNS-Server und Client einhackt, ist somit in der Lage, den Empfänger aufgrund einer manipulierten IP-Adresse auf eine falsche Website umzuleiten. Mithilfe eines gefälschten https-Zertifikats kann er eine verschlüsselte Verbindung zu seinem Opfer implementieren: Der Angegriffene hat somit kaum noch eine Chance, die Attacke zu bemerken. Wenn der ahnungslose Nutzer dann seine vertraulichen Kontodaten eingibt, kann das mitunter schwerwiegende Folgen haben.

Sicherheits-Standard DNSSEC schließt Sicherheitslücken

Domain Name System Security Extensions ‒ kurz DNSSEC ‒ bezeichnet eine Reihe von Internet-Sicherheitsstandards, die das Domain Name System erweitern. Damit soll das sogenannte Cache-Poisoning ‒ zu Deutsch Vergiftung des Temporärspeichers ‒ verhindert werden. Ein böswilliger Angreifer versucht dabei mithilfe manipulierter Anfragen den DNS Cache des Providers dazu zu bringen, den von ihm gewünschten DNS-Eintrag im Cache zwischenzuspeichern. Nutzt der DNS-Server des Providers DNSSEC, wird dieser die Signatur der Antwort gegen den öffentlichen Schlüssel der betreffenden Domain prüfen. Wenn der Angreifer keine gültige Signatur trägt, verwirft der DNS-Server des Providers die gefälschte Antwort. Mit der Sicherheitstechnik können der Mail- und VoIP-Verkehr, aber auch das Online-Banking abgesichert werden. DNSSEC arbeitet neben der eingebetteten Signatur mit zwei kryptografischen Schlüsseln. Anhand derer werden die DNS-Daten gegen Fälschungen geschützt. Gleichzeitig wird der Ersteller der Daten authentisiert. Anhand der Signatur und der kryptografischen Schlüssel kann überprüft werden, ob die DNS-Antwort valide, also vertrauenswürdig, ist. „Die Manipulation der DNS-Daten wird durch DNSSEC sehr stark erschwert“, erklärt Christian Felsing, IT-Sicherheitsbeauftragter des Sparkassen Brokers. Der zentrale Online-Broker der Sparkassen ist eines der ersten Finanzinstitute in Deutschland, das DNSSEC anwendet, um zu verhindern, dass Angreifer beispielsweise Handelsaufträge der Kunden manipulieren.

Umstieg auf DNSSEC: Nach Installation praktisch kein Wartungsaufwand

Laut Felsing benötigt man als Anbieter beim Umstieg auf DNSSEC in erster Linie einen Domain Registrar und eine Nameserver-Infrastruktur, die das Sicherheitssystem unterstützen. Als User sollte man darauf achten, dass der Internetprovider DNS-Server bereitstellt, die eine solche Validierung unterstützen. „Ansonsten kann man auch einfach die Google Nameserver 8.8.8.8 und 8.8.4.4 in seiner Firewall bzw. im Router eintragen, sofern dieser DNSSEC unterstützt. Falls dies nicht der Fall ist, sollte das Gerät unbedingt ausgetauscht werden“, meint Felsing. Dem Sicherheitsexperten zufolge muss auf Anbieter-Seite für die Installation des DNSSEC-Protokolls ein gewisses technisches Knowhow vorhanden sein, um es fachgerecht in Betrieb nehmen zu können. Ist das System dann aber erst einmal installiert, gibt es praktisch keinen Wartungsaufwand mehr. „Und wenn man die Installation von DNSSEC selbst übernimmt, hat man praktisch keine Mehrkosten“, so der Sicherheitsexperte.

Deutschland hinkt bei DNSSEC noch hinterher

Die Markteinführung von DNSSEC in seiner aktuellen Version erfolgte bereits 2005. Für die Domain „.de“ ist das Sicherheitssystem aber erst seit 2011 verfügbar. Allerdings sind der Sparkassen Broker und die Postbank bisher die einzigen Anbieter in Deutschland, die DNSSEC im Bankenbereich einsetzen. Dass ein Großteil der deutschen Finanzdienstleister ihre Domains noch nicht signiert, stellt laut Felsing ein großes Sicherheitsproblem dar: „DNSSEC ist in unserer digitalisierten Welt ein elementarer Sicherheitsfaktor, der flächendeckend verwendet werden sollte.“ Doch wieso DNSSEC in Deutschland noch so wenig verbreitet ist, kann auch der IT-Experte nicht beantworten.

Im europäischen Ausland sieht die Sache schon anders aus: So sind die Niederlande beim DNSSEC-System weltweit Vorreiter. Dort werden schon beinahe 50 Prozent der Domains signiert – Tendenz steigend. In Deutschland wurde im Jahr 2015 mit einem besonderen Event auf das Sicherheitssystem aufmerksam gemacht: So veranstaltete das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit weiteren Partnern im Sommer 2015 den „DNSSEC-Day“. Verschiedene IT-Experten erklärten hier unter anderem den Nutzen der Technik aus Sicht von Anwendern und behandelten Praxisfragen von Administratoren. Eine Reihe von Screencast-Einspielungen führten zudem in die Details der Technik ein.

Die Veranstaltung ist der erste Schritt in die richtige Richtung: Denn DNSSEC kann einen wichtigen Beitrag dazu leisten, Cyberkriminellen Manipulationen im Internet deutlich zu erschweren.

Michael Steiger, freier Journalist aus Mainz

www.brunomedia.de

GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security