DeNIC will sicherer werden

Der deutsche Domain-Verwalter DeNIC stellte heute in Frankfurt eine Roadmap zur Sicherung der Domain-Datenbank gegen unberechtigte Änderungen vor. Damit reagierte der Registrar auf einen c't-Artikel, der eine Sicherheitslücke offengelegt hatte. Bis vor kurzem war es möglich, mit einer fingierten E-Mail die .de-Domain-Einträge zu ändern und sogar Domains auf andere Webserver umzuleiten. Als erste Reaktion auf die Veröffentlichung hatte das DeNIC einen einfachen Passwortschutz eingeführt.

Langfristig will der Registrar E-Mails an seine Robots aber nur noch annehmen, wenn sie mit einer zertifizierten PGP-Signatur versehen sind. Das soll sicherstellen, dass nur autorisierte DeNIC-Mitglieder Änderungen an der Domain-Datenbank durchführen können. Ab morgen wird zunächst ein Testlauf für die Authentifizierung mit PGP starten. Das DeNIC stellt seinen Mitgliedern dafür eine Testumgebung zur Verfügung, die keine Verbindung zur Domain-Datenbank hat. Läuft alles planmäßig, soll noch vor Weihnachten eine Signaturübergabe an den Robot möglich sein.

Im Gespräch mit heise online betonte DeNIC-Geschäftsführerin Sabine Dolderer, dass die Mitglieder vorerst nicht gezwungen werden, sich in den E-Mails mit einer PGP-Signatur auszuweisen: "Da gibt es noch zu viele Fehlerquellen." So würden E-Mails auf dem Weg zum Robot oftmals so verändert, dass dieser die Signatur nicht mehr einwandfrei erkennen könne. Im Sinne der Verfügbarkeit wolle man das Ergebnis der Testphase abwarten. Eventuell werde man die PGP-Signatur ab Februar 2002 für obligatorisch erklären.

Dolderer versicherte, dass ihr bislang kein Fall bekannt sei, bei dem in den letzten Jahren die von c't offengelegte Sicherheitslücke genutzt worden sei. "Wer daraus hätte Kapital schlagen wollen, müsste schon über eine enorme kriminelle Energie verfügen", sagte Dolderer. Man könne dem DeNIC aber mit Recht vorwerfen, die vom Koordinationszentrum RIPE vorgeschlagene PGP-Lösung nicht weiter entwickelt und implementiert zu haben. (Holger Bleich) / (ad)