Piraten an Bord?

Hacker kapern gerne Domain-Namen renommierter Organisationen. DNSSEC ist technisch einfach umzusetzen und ein wichtiges Abwehrmittel.

Text: Cornelia Puhze, publiziert am 26.06.2019

Die weltweite DNS-Hijacking-Kampagne Anfang Jahr machte einmal mehr deutlich, wie empfindlich die Internetinfrastruktur und wie begehrt geistiges Eigentum sind. Eine mit DNSSEC geschützte Domain hätten die Hacker in den meisten Fällen nicht so einfach angreifen können, und die Angriffe wären vor allem viel schneller erkannt worden. Die Internet Corporation for Assigned Names and Numbers (ICANN) empfiehlt deshalb dringend die Verwendung von DNSSEC für alle Domains. Die Schweiz gehört mit 4% Verbreitung zu den Schlusslichtern in Europa was die Adaption betrifft. Das ist erstaunlich, denn die technische Umsetzung ist inzwischen so unkompliziert, dass in vielen Fällen ein Klick genügt.

Domain-Piraten lieben renommierte Datenfrachter

Einen bekannten Domain-Namen zu kapern ist ein lukratives Geschäft für Cyberkriminelle, auch Hochschuldomains versprechen fette Beute. Sie verlocken mit Zugang auf hochsensible Daten von Forschungsprojekten, Innovationen kurz vor der Patentierung, oder persönliche Datensätze zahlreicher User. Ausserdem eignet sich eine bekannte, glaubwürdige Domain hervorragend zum Spammen oder Phishen.

Je nach Grösse des Angriffs will man sich den monetären Schaden oder den Reputationsverlust lieber nicht bis ins Detail ausmalen. Deshalb wäre es wichtig, dass IT-Hochschuldienste DNSSEC höher auf die Prioritätenliste setzen.

«Best Practice und ein Sicherheitsbaustein mehr»

Als eine der ersten Hochschulen in der Schweiz, hat die Universität Bern im Dezember 2017 DNSSEC aktiviert. Ein guter Entscheid meint Thushjandan Ponnudurai vom Informatikdienst heute, denn der Prozess war erstaunlich einfach und generiert nach Implementierung praktisch keinen Aufwand. «Für uns war klar, DNSSEC ist Best Practice und ein Sicherheitsbaustein mehr, damit Studierende, Mitarbeitende und Forschende vor Angriffen aus dem Internet geschützt werden,» erinnert sich der Projektleiter an die damalige Motivation zur Umsetzung. «Ausserdem ist DNSSEC eine Basistechnologie für weitere Massnahmen, um den Datenverkehr abzusichern, wie zum Beispiel die DNS-based Authentication of Named Entities (DANE).» DANE überprüft beispielsweise die Echtheit einer verschlüsselten Mailkommunikation.

Auch die Hochschule Luzern signiert und validiert ihre Domains mit DNSSEC seit diesem Jahr. «Security hat bei uns einen hohen Stellenwert,» so Daniel Eisenlohr von IT Services, «mit DNSSEC haben wir eine weitere Hürde für potentielle Angreifer in unsere Sicherheitsarchitektur eingebaut.» Geplant war die Implementierung seit längerem, aber es fehlten die Ressourcen. Die effektive Umsetzung sei dann schneller und einfacher als erwartet verlaufen. Ein Lernender benötigte für die Planung und Implementierung, basierend auf vorhandenen Recherchen, zwei Wochen. «Bei der Umstellung selbst konnten wir auf die DNS-Spezialisten von SWITCH zurückgreifen, was für uns sehr hilfreich war,» berichtet Daniel Eisenlohr.

DNSSEC auf Knopfdruck

SWITCH berät IT-Hochschuldienste bei der Planung und Implementierung von DNSSEC, ein Team von DNS-Spezialisten steht bei Problemen gerne zur Verfügung. Je nach DNS-Server lässt sich DNSSEC inzwischen mit einem Knopfdruck aktivieren, dank Child Delegation Signer (CDS).

Die Registry von SWITCH hat bewusst auf diese Automatisierung hingearbeitet, denn dies verhalf in den letzten Jahren auch HTTPS zum grossen Durchbruch. Seit CDS anfangs Jahr für .ch und .li Domänen aktiviert wurde, sind deutlich mehr Domains mit DNSSEC gesichert in der Schweiz. Damit leistet SWITCH einen wichtigen Beitrag, das Datenmeer sicherer zu machen und dafür zu sorgen, dass Internetuser nicht auf einer gekaperten Webseite landen. In der Verantwortung sind aber genauso die Domainhalter, DNSSEC konsequent als Hürde gegen Piraten zu aktivieren.

Was muss ich tun, um DNSSEC zu nutzen?

Als Internetnutzer müssen Sie nichts unternehmen. Wenn der Anbieter Ihres Internetzugangs DNSSEC unterstützt, erfolgen alle Überprüfungen der Unterschriften auf dessen DNS-Servern.

Wenn Sie als Halter Ihren Domain-Namen mit DNSSEC schützen möchten, können Sie einen Registrar/Hoster wählen, der Ihren Domain-Namen mit DNSSEC signiert. Manche .ch-Registrare ermöglichen dies mit nur einem Klick.

Weitere Informationen

Weitere Beiträge