Autonomes Besiegeln
DNS-Sicherheit: Automatischer Schutz für Jedermann-Domains
Die Sicherheitstechnik DNSSEC leistet zwar einen wichtigen Beitrag zum Schutz des Internetverkehrs, aber deren Einrichtung ist aufwendig, weshalb sie den weitaus meisten Domains fehlt. Ein Berliner Team ergänzt nun die DNS-Spezifikation, sodass der Schutz automatisch einfließen kann.
Große Teile des Domain Name System (DNS) sind ungeschützt, weshalb Angreifer mit Techniken wie DNS-Spoofing oder DNS-Cache-Poisoning den Datenverkehr von Surfern manipulieren und umleiten können. Eigentlich sollen DNS-Server einen PC oder ein Smartphone darüber informieren, unter welcher IP-Adresse sie einen Server wie meine-bank.de oder mein-nas.de erreichen können. Doch die DNS-Pakete gehen überwiegend ungesichert übers Internet, sodass Angreifer gefälschte DNS-Antworten einschleusen können. So lässt sich der Verkehr von Opfern unbemerkt umleiten, um zum Beispiel private Kommunikation mitzulesen und digitale Identitäten oder Vermögen zu stehlen.
Dagegen helfen die DNS Security Extensions (DNSSEC) der Internet Engineering Task Force effizient – wenn man sie denn auf breiter Front verwenden würde. Doch weil die Einrichtung und der Betrieb aufwendig sind, installieren die Technik hauptsächlich die Betreiber der DNS-Root-Zone und der Top-Level-Domains.