Network Solutions fordert mehr Sicherheitschecks bei Registries

Der US-Registrar Network Solutions (NSI) warnt vor Sicherheitslücken bei großen Registries, insbesondere der von VeriSign betriebenen .com-Registry, und zieht dabei sogar die "Terrorkarte". In dem Bericht DNS: A System in Crisic. Considerable Security Issues arising from ICANN proposed Registry Agreements fordert Network Solutions eine bessere Aufsicht durch die Internet Corporation for Assigned Names and Numbers (ICANN).

"Das DNS fungiert als Backbone des gesamten Internets und ist daher ein bevorzugtes Ziel von Hackern, Kriminellen und Terroristen", heißt es in der Studie. Deren Autor, der Bankensicherheitsexperte Jerry Archer, sagte bei einem Pressegespräch, ICANN habe bei der derzeit diskutierten Verlängerung der Registry-Verträge eine gute Möglichkeit, ein neues Kapitel in Bezug auf die Sicherheit des Domain Name System aufzuschlagen. "Sicherheit sollte bei den neuen Verträgen nicht erst nachträglich eine Rolle spielen. ICANN sollte wenigstens eine minimale Aufsichtsrolle zur Minderung von Sicherheitsrisiken wahrnehmen."

Konkret fordert der Bericht kontinuierliche Rückmeldungen zum Sicherheitsstatus durch die Registries an ICANN und laufende Penetrationstests. ICANN soll diese Informationen nicht nur prüfen, sondern selbst die Produktionssites der Registries testen und ein Monitoring von Vorfällen im Netz weltweit installieren. Als konkrete Bedrohung nennt die Studie allerdings lediglich die DoS-Attacken auf die zentralen 13 Rootserver, die im November 2002 zu einem Ausfall von 9 der 13 zentralen Server führten, und die Umleitung von DNS-Anfragen zu 1000 .com-Seiten durch Cache-Poisoning 2005. Das Angriffsszenario vom vergangenen Jahr sei allerdings schon seit Jahren bekannt, so der Bericht.

NSI-CEO Champ Mitchell sagte, Archers Bericht unterstreiche noch einmal, warum der zwischen ICANN und VeriSign ausgehandelte Registry-Vertrag, der übrigens als Vorbild für alle anderen Registry-Verträge gilt, seines Erachtens eine "schlechte Idee" sei. Zwar würden Verbraucher in den kommenden sechs Jahren mit insgesamt bis zu 1,3 Milliarden US-Dollar mehr belastet, die Sicherheitsrisiken würden aber nicht geringer werden. Der neue Vertrag verzichte nicht nur auf Sicherheitsauflagen, sondern sehe auch eine fast bedingungslose Verlängerung des Vertrags nach Ablauf vor. ICANN verzichte damit darauf, durch die Herstellung von Wettbewerb auch im Registry-Markt für mehr Vielfalt und entsprechende Anstrengungen für mehr Sicherheit zu sorgen. "ICANN hat durch die neuen Verträge mit den Registry-Betreibern virtuelle Monopole geschaffen und weigert sich nun, diese Monopole auch zu regulieren", heißt es im Bericht.

Während eine Reaktion der ICANN auf den Bericht noch aussteht, wehrte sich VeriSign sofort gegen die Vorwürfe und unterstrich, dass dort sehr wohl ständig Sicherheitschecks gemacht würden. Die Registry habe in den vergangenen sieben Jahren keinerlei Ausfallzeiten gehabt. Bei der Attacke auf die Rootserver 2002 hätten die Server von VeriSign zu zwei der vier online verbliebenen Server gehört. Der Bericht sei wohl mehr dazu gedacht, den Kongress zu beeinflussen. Dort stehen in den kommenden Wochen noch einmal mehrere Anhörungen zum com-Vertrag an. Das Handelsministerium, das dem Vertrag zustimmen muss, läßt sich mit dieser Entscheidung ungewöhnlich viel Zeit. NSIs Policy Director Jon Nevett kündigt auch an, das Department of Homeland Security mit den Ergebnissen der Studie vertraut zu machen. Dann könnte ICANN und VeriSign noch einmal eine weitere Anhörung ins Haus stehen. (Monika Ermert) / (anw)