DANE: Bund sichert nach Mail-Transport auch Webservice mittels DANE ab
Wiederum ohne Aufhebens hat der Bund auch Webserver mit der Sicherheitstechnik aufgerüstet, sodass sich deren Authentizität prüfen lässt. Nun kann man gespannt abwarten, wann Betreiber sicherheitskritischer Seiten nachziehen, beispielsweise Banken.
Der Bund hat die DANE-Technik, mittels der Gegenstellen bei TLS-verschlüsseltem Verkehr ihre Authentizität prüfen können, auf seine Domain bsi.bund.de ausgeweitet. So können nun zum Beispiel Browser beim Öffnen der Webseite mittels kostenlosen Erweiterungen sicherstellen, dass sie tatsächlich mit der angepeilten Seite kommunizieren, beispielsweise mit dem DNSSEC TLSA Validator, den es für alle gängigen Plattformen und Browser gibt (Internet Explorer, Firefox, Chrome, Opera und Safari).
Das DNS-Based Authentication of Named Entities beseitigt verschiedene Schwachstellen der Transportwegverschlüsselung TLS und erhöht so die Sicherheit bei der verschlüsselten Kommunikation (wie DANE funktioniert, beschreibt der Beitrag "Geleitschutz" aus der c't-Ausgabe 11/2014 eingehend; alternativ gibts den Artikel auch als kostenpflichtigen Download). Breite Aufmerksamkeit erhielt die noch junge Technik anlässlich der Diskussion um die Absicherung des E-Mail-Transports. Als erste Mail-Anbieter hatten der Mail-Anbieter Posteo und später auch Mailbox.org das Verfahren eingeführt.
Prinzipiell wäre auch eine Absicherung über das proprietäre Verfahren möglich, das die Initiative "E-Mail made in Germany" einsetzt. Fachleute wie Peter Koch vom DENIC kritisieren es aber, weil es die Entwicklung offener, umfassender Sicherheitskonzepte behindere. Statt Lösungen wie DANE, mit denen Mailverkehr über Netz- und Landesgrenzen hinweg sicherer gemacht werden könne, bekämen Nutzer laut Koch "etwas mehr Sicherheit für den Austausch innerhalb eines sehr überschaubaren Rahmens".
Die DANE-Implementierung hatte der Bund mit der Absicherung seiner beiden SMTP-Server mx1.bund.de und mx2.bund.de begonnen. Im Rahmen der Umstellungen wurde auch die zunächst auf dem Webserver bund.de eingesetzte, veraltete Verschlüsselungstechnik SSLv2 deaktiviert. Das Portal bund.de bündelt unter anderem Stellenangebote der Bundes-, Landes- und Kommunalverwaltung, Ausschreibungen, Leistungsangebote und andere Angebote des Bundes. Ob und wann die Hauptseite des Portals, bund.de, auf DANE aufgerüstet wird, ist noch offen.
Ein wichtiger, aber nur ein erster Schritt
Das BSI demonstriert damit, wie man die Sicherheitstechnik einsetzen kann. Erheblich mehr Sicherheitsgewinn können Nutzer erwarten, wenn auch Betreiber von sicherheitskritischen Diensten nachziehen, beispielsweise Bank-Unternehmen.
DANE ist freilich nicht so einfach aufzusetzen, denn es setzt DNSSEC voraus, das Verfahren zur kryptografisch abgesicherten Übertragung von DNS-Antworten. Erste Domain-Angebote mit DNSSEC gibt es immerhin schon mal, aber noch keine, die auch DANE einschließen. Nur wer seine Domain selbst verwaltet, kann beide im Prinzip zu eigenen Kosten selbst implementieren – entsprechendes Know-how vorausgesetzt. (dz)
