ICANN-Chef eckt mit DNS-Sicherheitswarnung an
Mit seiner Warnung vor einer akuten Gefährdung des Domain Name Systems zieht sich ICANN-Chef Rod Beckstrom den Unmut der Domainbetreiber zu. Die fürchten, die Regierungen könnten die falsche Schlüsse ziehen.
Der Chef der Netzverwaltung Internet Corporation for Assigned Names and Numbers (ICANN), Rod Beckstrom, warnt vor Angriffen auf das Domain Name System (DNS) und zieht sich damit die Kritik Domainbetreiber zu. Das DNS erlebe aktuell Angriffswellen in nie da gewesenem Ausmaß, Ausfälle seien jederzeit möglich, warnte Beckstrom die Regierungsvertreter auf dem 37. ICANN-Treffen in Nairobi. Der ICANN-CEO unterstrich damit die Notwendigkeit der von der ICANN gestarteten Initiativen für mehr Sicherheit, darunter ein globales Eingreifteam (CERT) für das DNS. Die Warnungen kamen allerdings insbesondere bei den Betreibern der Länderadresszonen ziemlich schlecht an. Der Sprecher der Gruppe der Länderdomain-Betreiber (ccTLDs), Chris Disspain von der australischen Registry auDA, verurteilte Beckstroms Mahnungen als "alarmistisch" und gar als "Aufhetzung".
Auch die Länderregistries (ccNSO) sehen derzeit keineswegs eine besondere Gefahrensituation. Distributed Denial of Service Attacken (dDoS) seien im Gegenteil leicht zurückgegangen, sagte ICANN-Direktor Steve Crocker unter Verweis auf eine Stellungnahme des US-Unternehmens NeuStar. Auch Kurtis Lindkvist vom schwedischen Root-Betreiber netnod meldete "keine besonderen Vorkommnisse". Besonders geärgert haben sich die bei der ICANN organisierten Länderadressregistries, zu denen auch die Denic gehört, dass Beckstrom mit dem vermeintlichen Horror-Szenario direkt zu den Regierungen gegangen ist.
Die ccTLD-Manager befürchten laut Disspain, dass Beckstroms Warnung die Regierungen zu falschen Schlussfolgerungen veranlassen könnte. Im schlimmsten Fall könnte sich dies auch auf den Betrieb der Länderdomains auswirken. Die ccTLD-Manager befürchten wohl von oben dekretierte Vorschriften. Auf jeden Fall sei Beckstroms Rede Wasser auf die Mühlen derer, die mit dem ICANN-Selbstregulierungskonzept nicht einverstanden seien, warnte Disspain. Einzelne Regierungen wollten die DNS-CERT-Idee von vornherein blockieren, begründete Beckstrom seinen Vorstoß unter Verweis auf Informationen aus gut unterrichteten Kreisen.
Das von der ICANN vorgeschlagene globale Computer Emergency Response Team für DNS-Betreiber (DNS CERT) soll laut Entwurf (PDF-Datei) eine durchgehend erreichbare Anlaufstelle sein sowie verschiedene Monitoring- und Warn-Dienste übernehmen. Bei Angriffen auf das DNS soll das CERT koordinieren und bei Bedarf auch direkte Unterstützung für betroffene Anbieter leisten. Im Großen und Ganzen sind das die Aufgaben eines klassischen CERT. Lindkvist gab daher zu bedenken, dass die Gesamtschau der bestehenden CERTs auf Bedrohungen im Netz ein spezielles DNS-CERT möglicherweise unnötig mache.
Auch Crocker, Chef des ICANN-Gremiums für Sicherheit (SSAC), ermahnte den CEO, sich auf die gemeinsame Behebung verschiedener Schwachstellen des DNS zu konzentrieren anstatt vollmundige Sicherheitswarnungen auszusprechen. Für das kommende ICANN-Treffen in Brüssel hatte Crocker zuvor eine Schwerpunkt-Sitzung zu konkreten Fortschritten bei DNSSEC angekündigt. Bis zum Ende des Jahres werden laut Crockers Statistik (PDF-Datei) mindestens 19 Länderregistries das zur Authentifizierung von DNS-Antworten eingesetzte Protokoll voll implementiert haben.
Für .org kündigte Jim Galvin den offiziellen DNSSEC-Start für Juni an, allerdings bieten vorerst wohl nur zwei Provider auch die Signierung ihrer Domains an. Noch offen ist, wie der Transfer (PDF) signierter Domains sicher über die Bühne gehen kann. Aber auch ein Bug in Bind (PDF), der für erhebliche Probleme mit veraltetem Schlüsselmaterial sorgt, ist noch zu beheben. (vbr)
