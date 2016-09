Nur etwa ein Viertel der Unternehmen weltweit schützt das eigene IT-System mit einer Sicherheitssoftware; der Rest tut nichts für den Datenschutz. Zu diesem Ergebnis kommt der „DNS Security Survey 2016“, der im Auftrag des Softwareherstellers Efficient IP durchgeführt wurde. Doch für die betroffenen Unternehmen kann es bei DNS-Attacken schnell teuer werden: Ein erfolgreicher Angriff durch Cyber-Kriminelle kostet die Firmen häufig einen sechs- bis siebenstelligen Geldbetrag.

Mehr als zwei Drittel der 106 befragten Unternehmen aus Deutschland gaben im Rahmen der Studie an, schon einmal Opfer eines DNS-Angriffs gewesen zu sein. „Der Schutz der eigenen DNS-Infrastruktur wird von vielen deutschen Firmen noch sehr stiefmütterlich behandelt“, sagt Christian Felsing, IT-Sicherheitsexperte des Sparkassen Brokers. Das Thema rückt zwar auch in Deutschland immer stärker ins Bewusstsein der Unternehmer, noch werde laut Felsing aber zu wenig dafür unternommen.

Sinn und Zweck des "Domain Name System"

Doch welche Funktion hat das 1983 von Paul Mockapetris erschaffene Domain Name System überhaupt? „Das DNS gibt jedem Hostnamen im Netz eine spezifische IP-Adresse, die dann aufgerufen werden kann. Um eine bestimmte Internetseite zu erreichen, führt der vom Nutzer verwendete Browser eine sogenannte DNS-Query durch. Das bedeutet, er befragt einen Nameserver im Domain Name System, zu welcher IP-Adresse der entsprechende Webserver gehört“, erklärt IT-Experte Felsing. Anschließend sucht der Nameserver die passenden Einträge aus seiner Datenbank und sendet diese an das entsprechende Endgerät des Nutzers. Daraus kann dann die IP-Adresse entnommen werden, die dann angesteuert wird. „Im User Datagram Protocol wird allerdings häufig die Echtheit der Antwort nicht überprüft. Der Empfänger der IP-Adresse weiß dadurch nicht, ob die Antwort auch wirklich von dem betreffenden DNS-Server stammt oder nicht“, kritisiert Felsing vom Sparkassen Broker. So kann der Nutzer beispielsweise auf eine andere Website umgeleitet werden, ohne dass er es bemerkt.

DNSSEC verhindert Attacken

Attacken auf das Domain Name System können durch die Sicherheitstechnik DNSSEC verhindert werden. Die Domain Name System Security Extensions werden bereits seit 2005 verwendet; für Websites mit der deutschen Länderkennung „.de“ ist das Protokoll seit etwa fünf Jahren nutzbar. „DNSSEC ist eine Erweiterung des DNS. Ein Client kann dank DNSSEC überprüfen, ob die enthaltenen Informationen unverfälscht sind“, sagt Christian Felsing. Mit zwei verschiedenen Schlüsseln und einer entsprechenden Signatur werden die Daten des Domain Name Systems geschützt. Der Empfänger kann den Absender anhand der verwendeten Signaturen genau verifizieren. Die DNS-Daten gelten dabei erst als vertrauenswürdig, wenn auch tatsächlich die Verschlüsselungstests positiv verlaufen sind. Ist die Signatur nicht gültig, blockiert der DNS-Server des Providers die Antwort. DNSSEC ist dabei flexibel einsetzbar: Laut IT-Experte Christian Felsing lassen sich darüber beispielsweise das Online-Banking sowie der Mail- oder VoIP-Verkehr absichern.

Protokoll DANE

Das Protokoll DANE (DNS-based Authentification of Name Entries) ist eine weitere Technik, die auf DNSSEC basiert. DANE macht sich zunutze, dass im DNS ein sogenannter TLSA-Record abgelegt wird, in dem die verschiedenen Merkmale der jeweiligen TLS-Verbindung enthalten sind. Diese Signierung kann vom jeweiligen Browser abgefragt werden. Stimmt der digitale Fingerabdruck überein, wird die Verbindung hergestellt. Passen die Daten nicht, dann sollte die Verbindung verweigert werden. Generell sind DNSSEC und DANE hierzulande allerdings noch nicht weit verbreitet: In Deutschland nutzen momentan nur etwa 1,6 Prozent der Websites die Domain Name System Security Extensions. Im Bankenbereich setzt bisher nur der Sparkassen Broker auf die Sicherheitstechnik DANE.

Bildquelle: Thinkstock / iStock