Engagiert für ein sicheres DNS in der Schweiz

Das Domain Namen System (DNS) ist ein grundlegender Bestandteil des Internets und erlaubt es Internetnutzenden mit Domain-Namen, Dienste im Internet zu adressieren. Aus diesem Grund ist .ch eine kritische Infrastruktur der Schweiz, die SWITCH in besonderem Masse schützt.

Text: Michael Hausding, publiziert am 05.07.2021

Für Nutzende des Internets ist es unabdingbar, dass Web- oder E-Mail-Dienste jederzeit erreichbar sind. Dazu braucht es zwei essentielle Bestandteile des DNS: Das ist erstens das autoritative DNS, in dem die zu einem Domain-Namen gehörenden Internetadressen publiziert werden. Zweitens braucht es den rekursiven Resolver, der für die Nutzenden alle Domain-Namen im Internet auflöst und nutzbar macht. Beide Teile werden dabei nicht von einer zentralen Instanz betrieben, sondern sind in einem hierarchischen und verteilten System organisiert.

Autoritative Name-Server

SWITCH ist seit 2002 vom BAKOM mit dem Betrieb des autoritativen Teils für die Top Level Domain (TLD) .ch beauftragt. Dieser Teil weist einem .ch-Domain-Namen einen autoritativen Name-Server zu, der meist von einem Hosting Anbieter betrieben wird. Es gibt weltweit schätzungsweise mehr als 10 Millionen solcher Server, die für die insgesamt über 366 Millionen Domain-Namen antworten. Etwas mehr als 2 Millionen dieser Domain-Namen sind unterhalb von .ch zu erreichen.

Die Aufgaben von SWITCH im autoritativen Bereich des DNS umfassen den sicheren und stabilen Betrieb der Infrastruktur für die Registrierung von .ch-Domain-Namen, den Betrieb der globalen rekursiven Name-Server für .ch sowie die Bekämpfung von Cybercrime auf .ch-Domain-Namen.

DNS Security Extension (DNSSEC)

Das DNS wurde vor 30 Jahren ohne Fokus auf Sicherheit entworfen. Standards, die dessen Integrität und Vertraulichkeit absichern, wurden erst nachträglich entwickelt. Ein wichtiger Standard, der die Korrektheit der DNS-Antworten zum Ziel hat, ist DNSSEC. SWITCH hat DNSSEC 2010 für .ch eingeführt. Da DNSSEC heute allerdings erst bei 8 Prozent aller .ch-Domain-Namen zur Anwendung kommt, hat das BAKOM SWITCH mit einem DNS-Resilienzprogramm beauftragt, das als Ziel hat, Ende 2026 60 Prozent aller .ch-Domain-Namen mit DNSSEC abzusichern und weitere Sicherheitsstandards zu fördern.

Bekämpfung von Cybercrime

Cybercrime ist ein weltweites Phänomen und eine ernst zu nehmende Bedrohung. Leider macht sie auch vor .ch-Domain-Namen nicht Halt. SWITCH bekämpft im Auftrag des BAKOM Missbrauch auf .ch-Webseiten. Seit über 10 Jahren werden Halter von .ch-Domain-Namen, deren Webseiten von Hackern für Phishing oder Malware missbraucht werden, von SWITCH informiert und in der Behebung unterstützt. Seit einigen Jahren ist auch zu beobachten, dass eine grosse Anzahl von .ch-Domain-Namen ausschliesslich für Missbrauch registriert werden. Die Registrierung eines .ch-Domain-Namens erfordert weiterhin keine Überprüfung der Identität des Halters. Neu ist aber, dass die Registrierungsstelle bei Verdacht auf eine missbräuchliche Registrierung die Möglichkeit hat, einen Domain-Namen so lange nicht zu aktivieren (Deferred Delegation), bis die Überprüfung der Identität des Halters abgeschlossen ist.

Rekursive Name-Server

Damit das DNS als System zuverlässig funktioniert, braucht es neben den autoritativen Name-Servern auch die rekursiven Resolver. Sie übernehmen die Aufgabe, die weltweit verteilte Information auf den autoritativen Name-Servern aufzusuchen und den Nutzenden die Internetadresse für einen Domain-Namen zu liefern. Diese rekursiven Resolver wurden in der Vergangenheit meist von den Internet-Zugangsprovidern oder innerhalb von Unternehmensnetzen betrieben.

Die zunehmenden Anforderungen an rekursive Resolver, wie die Sicherheitsstandards DNSSEC, DoH, DoT und Qname Minimization sowie das Filtern von Phishing und Malwareangriffen, machen den Betrieb aufwendiger und komplexer. Daher ist global ein Trend zu beobachten, dass diese Resolver nicht länger von den ISPs betrieben werden, sondern von grossen, global agierenden Cloud-Providern, die ihren Sitz meist in den USA haben. Daher hat SWITCH neu auch den Auftrag, sichere und zuverlässige Resolver in der Schweiz zu fördern. Dies geschieht einerseits mit der Stiftung Quad9, die mit Hilfe von SWITCH Anfang Jahr in die Schweiz umgezogen ist. Quad9 ist eine datenschutzkonforme Alternative zu US-basierten Cloud-Resolvern. Zusätzlich fördert SWITCH den genauso wichtigen verteilten Betrieb der Resolver Schweizer ISPs mit Know-how Transfer der freien Verfügbarkeit der CH-Zone und einem DNS-Heads Meetup.

Mit der zunehmenden Bedrohungslage sind auch die Anforderungen an SWITCH gestiegen, um die Sicherheit und Stabilität des Internets in der Schweiz zu gewährleisten. Das Computer Emergency Response Team von SWITCH hat sich in den vergangenen 25 Jahre zu einem schweizweit führenden, unabhängigen Kompetenzzentrum für Informationssicherheit entwickelt, das diese verantwortungsvollen Aufgaben mit höchster Expertise wahrnimmt.

Über den Autor
Michael   Hausding

Michael Hausding

Michael Hausding studierte Informatik an der TU Darmstadt und MTEC an der ETH Zürich. Seit 2008 arbeitet er als Sicherheitsexperte im Team von SWITCH-CERT und ist auf DNS- und Domain-Missbrauch spezialisiert.

E-Mail
Weitere Beiträge