Kooperation soll mehr Sicherheit ins Domaingeschäft bringen
Registries und Registrare wollen mit einer eigenen Arbeitsgruppe für mehr Sicherheit in der Branche sorgen. Kurze Informationswege und die Einbindung von externen Sicherheitsexperten sollen vor allem ein schnelles Eingreifen bei Ernstfällen ermöglichen.
Eine neue Arbeitsgruppe großer Registries und Registrare mit IT-Sicherheitsanbietern und Behörden soll für mehr Sicherheit im Domain Name System (DNS) sorgen. Public Internet Registry , der Betreiber der .org-Domain, und sein Backend-Provider Afilias hatten kürzlich die "Registry Internet Safety Group" (RISG) angekündigt, deren Ziele Afilias-CTO Ram Mohan zur Eröffnung der diesjährigen IT-Messe Systems vorstellte. Einerseits könnten Sicherheitsvorfälle rasch in der Gruppe kommuniziert werden, erkärte Mohan. Andererseits wolle man aber auch eigene Richtlinien für einen möglichst sicheren Betrieb im Geschäft mit der Registrierung von Domains entwickeln.
Bisher zählen neben Neustar als weiterer großer Registry (.biz und .us) die Länderdomain-Registries der Niederlande, Chinas und Großbritanniens zum RISG-Mitgliederkreis. Dazu gesellen sich eine Reihe großer Registrare aus den USA und die Sicherheitsfirmen Cyveillance, Symantec und Shinkuro sowie das FBI. Eine nationale Polizeibehörde aus Europa hat laut Mohan ebenfalls bereits Interesse angemeldet. Noch kommt die Mehrzahl der RISG-Mitglieder aus den USA. Allerdings fehlt ein großes US-Unternehmen auf der Liste: Registry-Marktführer VeriSign.
Beispiel für ein "Best Practice"-Verfahren ist laut Mohans Ausführungen die Förderung eines separaten Passwortschutzes für jede Domain eines Portfolios. Bislang würden die Passwörter häufig für alle von einem Kunden gehaltenen Domains verwendet. Damit ist jede Domain in Gefahr, wenn das Kundenkonto kompromittiert ist. Das Beispiel zeige auch, warum die neue Allianz über bestehende Institutionen hinausgehe. "Symantec oder Syveillance können ein Passwort durch ihre Systeme schicken, um zu sehen, ob es dort aufgetaucht ist", erklärt Mohan. Bei der Internet Corporation for Assigned Names and Numbers (ICANN) seien die Sicherheitsunternehmen dagegen nicht mit von der Partie.
Die zweite Funktion von RISG soll die einer Art CERT für die Registrybranche sein. Sobald bei einem der Partner ein aktueller Angriff auf das DNS festgestellt wird, soll die entsprechende Information an die Partner weitergeleitet werden. Attacken mittels Cache Poisoning – also der Fälschung von Daten im temporären Speicher von Webservern – könnten, so hoffen die Initiatoren, rascher bekämpft werden.
Erste Reaktionen auf die Ankündigung von RISG, das kürzlich bei einem Treffen des Council of European National Top Level Domain Registries (CENTR) vorgestellt wurde, waren vorsichtig. "Handelt es sich dabei um ein weiteres Gremium, das Standards setzt und Wettbewerber draußen hält?", fragte ein Beobachter. "Vielleicht ist es ein wenig 'Sicherheit per Pressemitteilung'", überlegte ein anderer, räumte aber ein, dass vielleicht selbst das hilfreich sein könnte. (Monika Ermert) / (vbr)
