VeriSign will Gefahr von Cyberattacken verringern
Kurz nach den Attacken auf das Domain Name System hat VeriSign Investitionen angekündigt, um das Netz fit für zukünftige Anforderungen zu machen und die Sicherheit zu erhöhen.
Nur zwei Tage nach den jüngsten Attacken auf verschiedene Knotenpunkte des Domain Name System (DNS) kündigte der Betreiber von zwei der 13 Root Name Server, VeriSign, ein Upgrade seiner Systeme unter dem Namen "Titan" an. Der Ex-Monopolist, der auch die Registries für .com und .net sowie weiterer Top-Level-Domains (TLD) betreibt, will sich die Aufrüstung seiner Systeme bis 2010 insgesamt 100 Millionen Dollar kosten lassen. Das teilte VeriSigns CEO Stratton Sclavos auf der RSA-Konferenz in San Francisco mit. Durch Titan soll VeriSigns Kernnetz fit gemacht werden für die nächste Generation des mobilen Internets, in dem Milliarden von Menschen zu jeder Zeit und von den verschiedensten Endgeräten aus kommunizieren, sagte Sclavos. Cyberattacken würden in den kommenden zwei Jahren nach VeriSigns Einschätzung jeweils um 50 Prozent in ihrer Zahl und ihrem Ausmaß zunehmen.
Als Kernelemente der geplanten Aufrüstung nennt VeriSign den Aufbau zusätzlicher Server an 100 verschiedenen Orten weltweit. Damit sollen die Antwortzeiten für .com und .net-Anfragen auch durch die geographische Nähe verkürzt werden. Die Kapazität von derzeit 400 Milliarden Anfragen pro Tag soll durch das verteilte Serversystem auf vier Billionen erhöht werden, teilte VeriSign in einer ausführlichen Pressemitteilung mit. Die Bandbreite in den Serversystemen soll von 20 GBit/s auf 200 GBit/s wachsen. In den USA und Europa sollen neue Network Operations Center aufgebaut werden, wo genau die neuen NOCs stehen sollen, ist allerdings noch nicht bekannt. Weiterhin will das Unternehmen 10-mal so viel Registrierungs- und Nameserver wie derzeit installieren. Schließlich sollen neueste Monitoring Dienste dabei helfen, den .com- und .net-Datenverkehr besser gegen Attacken zu schützen, wie es sie diese Woche gab. Oft ließen sich schon vor den Angriffen Anomalien beobachten. Neue DNS-Sicherheitsprotokolle, damit ist wohl DNSSec gemeint, sollen ebenfalls der Sicherheit dienen.
Im Prinzip befürchteten viele Experten große "Amplifier Attacks", sagte Hans-Peter Dittler, Geschäftsführer der Braintec Netzwerk Consulting, beim heute gestarteten Treffen der deutschsprachigen Registries (DomainPulse). Der Hackerangriff vom Dienstag sei allerdings vergleichsweise harmlos gewesen, auch wenn zwei Root Name Server unter der Last zusammenbrachen. Laut Dittler kann eine derart "schlichte" DDoS-Attacke dem durch viele Anycast-Instanzen jetzt weit verzweigten Root Server System nicht mehr so viel anhaben, wie das noch 2002 der Fall war. "Nur so mit Dreck zu werfen, reicht nicht", erklärte Dittler. Beim F-Root-Server, einem der Vorreiter bei Anycast, zeigte sich klar, dass nur einzelne Anycast-Instanzen sehr betroffen waren, andere dagegen völlig ohne Probleme weitergearbeitet hätten.
Die Investitionen von VeriSign wurden beim Domainpulse in ersten Reaktionen kritisch begutachtet. Um sie wirklich einschätzen zu können, müssten Zeitplan und konkrete Einzelmaßnahmen betrachtet werden, sagte Elmar Knipp vom deutschen Registrar Knipp Medien und Kommunikation GmbH. Mehrere Jahre habe die Registrargemeide immer wieder nachgefragt, wo genau die von VeriSign vertraglich vereinbarten 200 Millionen Dollar investiert worden seien. VeriSign hatte sich, so Knipp, im Rahmen der Verhandlungen um eine Trennung vom hauseigenen Registrar Network Solutions zu dieser Investition verpflichtet.
Unklar bleibt unterdessen die Frage, warum der Neustar UltraService (früher UltraDNS) ein so zentrales Ziel der Attacken war. Das Unternehmen hüllt sich nach wie vor in Schweigen . Doch meldeten eine Reihe von ccTLDs, die Kunden von UltraServices sind, dass ihre Systeme betroffen gewesen seien. (Monika Ermert) / (vbr)
