Sicherheit muss sich durchsetzen
Von Uli Ries
Es gibt bereits eine ganze Reihe bekannter DNS-Server, die DNSSEC (Domain Name System Security Extensions) beherrschen. Dazu gehören die in Windows Server 2003, Windows Server 2008 R2 integrierten DNS-Dienste genauso wie der im Internet allgegenwärtige DNS-Server Bind 9. Trotzdem geht der Umstieg von DNS auf DNSSEC nur schleppend vorwärts. Wahrscheinlicher Grund: DNSSEC stellt Administratoren und Internet Provider in der Praxis vor erheblich komplexere Probleme als die bisher geläufige, seit den 1980er-Jahren bekannte Variante.
Um einen DNSSEC-kompatiblen Eintrag in einem Nameserver zu bewerkstelligen, sind nämlich mindestens acht verschiedene Schritte notwendig. Außerdem sind erforderliche Aufgaben wie das Erzeugen von Schlüsseln und das Signieren von Daten für die meisten DNS-Experten ein komplett unbekanntes Feld. Erschwerend kommt hinzu, dass bei jeder Änderung der vorhandenen DNS-Einträge einige dieser acht Schritte erneut absolviert werden müssen.
Bastelei im Testbetrieb
Anders als das ungesicherte DNS skaliert DNSSEC also kaum bis gar nicht. Zuviel Handarbeit ist noch notwendig. Solange der weitgehend automatische Betrieb von DNSSEC-Maschinen unmöglich ist, wird sich die Technik daher nicht durchsetzen – so sieht es Dan Kaminsky. Er ist der Hacker, der 2008 das fatale Sicherheitsloch im klassischen DNS-Konzept entdeckte.
Sofort nach Kaminskys Veröffentlichung begann die Diskussion, wie das jahrzehntealte und seit jeher nicht geschützte Domain Name System abzusichern sei. DNS war ja nie dafür gemacht, Angriffen und Cyberkriminellen zu widerstehen. Dr. Paul Mockapetris, der 1983 das DNS-Konzept erdachte, sagt: „Es gibt keine Schwäche im Sicherheitskonzept von DNS – denn DNS hat einfach kein Sicherheitskonzept. DNS wurde nicht dafür gemacht, sich gegen Angriffe zu stellen. Jede Sicherheitsfunktion hätte es noch komplexer gemacht und viele Leute forderten damals von mir, ich solle DNS eher noch vereinfachen.“ Mockapetris schätzt heute, dass bis 2012 nur 50 % aller Internet Provider weltweit auf DNSSEC bauen werden.
Die schnelle Lösung
Alles begann im Sommer 2008. Damals veröffentlichte der amerikanische White-Hat-Hacker Dan Kaminsky Details zu dem nach ihm benannten Kaminsky-Bug in DNS. Die von ihm entdeckte Schwachstelle (DNS Cache Poisoning) konnte seinerzeit nicht vollständig aus der Welt geschafft werden, da hierzu größere Änderungen an DNS nötig gewesen wären. Diese hätten eventuell Konflikte mit bestehenden DNS-Clients mit sich gebracht – und damit das Internet zum Erliegen.
Angesichts des immensen Zeitdrucks, unter dem eine Lösung gefunden werden musste, blieb keine Zeit zum Testen solcher eher komplexen Problemlösungen. Also verständigten sich die über 70 von Kaminsky alarmierten IT-Firmen und Internet Provider – darunter Cisco, HP und Microsoft – auf eine schnell zu adaptierende Soforthilfe. Den eigentlichen Design-Bug in DNS behoben die Firmen aber nicht. Außerdem ist auch die installierte Sofortlösung prinzipiell angreifbar: Experten gehen davon aus, dass Cybergangster, die Zugriff auf eine Gigabit-schnelle Internet-Anbindung haben, die von den Herstellern erdachte Lösung binnen weniger Stunden aushebeln können.
Die DENIC, die für die .de-Domains zuständige Organisation, betreibt seit Anfang Januar 2010 eine signierte Version der .de-Zone in einer Testumgebung. Somit sind derzeit sowohl herkömmliche, als auch per DNSSEC gesicherte Domain-Abfragen möglich. Nach eigener Auskunft will die DENIC Anfang 2011 entscheiden, ob und wie es mit DNSSEC hierzulande weitergeht.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Praktische Strategien
Auch wenn DNSSEC heute schon flächendeckend im Einsatz wäre: Die größere Sicherheit der Technik wird nicht Schluss machen mit heute bekannten Online-Plagen wie Spam, Phishing und Malware. Diese Schädlinge missbrauchen keine Schwäche im DNS, sondern nutzen andere Schlupflöcher. DNSSEC stopft immerhin das von Kaminsky entdeckte Loch – und sichert damit sämtliche Internet-Dienste. Denn ohne DNS könnten weder E-Mail, noch VoIP, noch Datenbankzugriffe oder komplexe Dienste wie SaaS (Software as a Service) oder IaaS (Infrastructure as a Service) funktionieren, und Cloud Computing wäre bei erfolgreichen DNS-Cache-Poisoning-Attacken ebenso am Ende wie simples Surfen im Netz. DNSSEC geht aber nicht gegen Cyberschädlinge vor.
Trotzdem meinen Experten, dass selbst das heute bekannte DNS ein probates Mittel ist, um Cyberkriminelle in die Schranken zu weisen. So könnten z.B Internet Provider all jene Domain-Namen und IP-Adressen blockieren, hinter denen sich nachweislich C&C-Server (Command & Control) verstecken. Diese Server steuern die Millionen von Zombie-PCs, aus denen die heute grassierenden Botnetze aufgebaut sind. Erreichen die Zombies keine Befehle des C&C-Servers mehr, sind die Schädlinge zur Untätigkeit verdammt. Auch Phishing-Attacken lassen sich per DNS auskontern: Die entsprechend durch Black- oder Whitelists instruierten DNS-Server der Provider könnten binnen kürzester Zeit die Kunden der jeweiligen Provider vor dem Zugriff auf Phishing-Domains schützen. Somit ließen sich auch für Drive-by-Infektionen genutzte Webserver außer Gefecht setzen.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing