:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Verschlüsselung DNSSEC behebt DNS-Schwachstellen
Bereits seit 1983 existiert das Domain Name System (DNS), das im Internet User und Server verbindet. Das System wird seit mehr als 30 Jahren verwendet, bietet Hackern aber aufgrund von Sicherheitslücken einige Angriffsfläche. Die Domain Name System Security Extensions, kurz DNSSEC, schließen diese Lücken.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Das von Internetpionier Paul Mockapetris in den frühen 1980er Jahren entwickelte Domain Name System (DNS) wird noch immer für das Surfen im Internet genutzt. Dabei wurde das DNS in einer Zeit geschaffen, in der Hacker noch keine große Gefahr darstellten. In den vergangenen 30 Jahren hat sich dies allerdings grundlegend geändert: Angriffe aus dem Internet sind mittlerweile leider ein fester Bestandteil der digitalen Welt geworden. So wurde Wikileaks-Gründer Julian Assange bereits 1991 wegen Hackings als Straftäter verurteilt.
Im Jahr 2012 infizierte die Schadsoftware „DNS-Changer“ weltweit mehr als vier Millionen Computer und richtete einen Schaden von vielen Millionen Dollar an. Und lukrative Ziele gibt es immer mehr: In einer digitalisierten Welt, in der vom Lebensmittelkauf bis hin zu finanziellen Dienstleistungen alles über das World Wide Web abgewickelt werden kann, wird Internetsicherheit immer wichtiger. Doch welches System kann für mehr Sicherheit sorgen?
Funktionsweise und Schwachstellen des Domain Name Systems
Das Domain Name System (DNS) löst den Hostnamen, also den Namen eines Computers in einem System, in eine IP-Adresse auf. Um eine bestimmte Website im Netz zu erreichen, führt der Browser eine sogenannte DNS-Query durch. Dabei befragt er einen Nameserver des Domain Name Systems, auf welche IP-Adresse der entsprechende Webserver hört. Der Nameserver sucht anschließend aus seiner Datenbank die zugehörigen Einträge, die Ressource Records heraus. In der DNS-Response werden die Ressource Records abschließend an das entsprechende Endgerät gesendet. Dieses kann aus der Antwort die IP-Adresse entnehmen und diese dann ansteuern.
Im User Datagram Protocol (UDP), über welches diese Kommunikation Im Regelfall abläuft, klafft allerdings eine erhebliche Sicherheitslücke. Denn das UDP überprüft nicht die Authentizität der Antwort. Der Empfänger am anderen Ende der Leitung hat dadurch keine Gewissheit, ob die DNS-Antwort auch tatsächlich vom befragten DNS-Server stammt und ob sie vertrauenswürdig ist. Wenn sich ein Angreifer in die Kommunikation zwischen DNS-Server und Client einschaltet, kann er mithilfe einer manipulierten IP-Adresse den Empfänger auf eine falsche Website umleiten. Durch ein gefälschtes https-Zertifikat ist der Hacker in der Lage, eine verschlüsselte Verbindung zu dem nichtsahnenden User aufzubauen: Dieser hat dann kaum noch eine Möglichkeit, den Angriff zu bemerken.
Das Ziel der Angreifer ist dabei häufig, die DNS-Dienste zu manipulieren. Darunter fallen beispielsweise DOS/DDOS-Attacken, Cache Poisoning oder Man-in-the-Middle-Angriffe. Hacker nutzen die Technik allerdings auch, um DNS-Unternehmen auszuspionieren: Dabei sammeln sie Daten, die sich dann anschließend wieder zu Geld machen lassen.
Die Domain Name System Security Extensions schützen das DNS
Erfolgreiche Angriffe auf das Domain Name System können exorbitante Schäden auslösen, da unter Umständen der gesamte Datenverkehr über den Angreifer umgeleitet wird. Die Sicherheitstechnik Domain Name System Security Extensions (DNSSEC) kann hier den nötigen Schutz gewährleisten. In seiner aktuellen Version liegt das System bereits seit März 2005 vor; in regelmäßigen Abständen werden jedoch Updates entwickelt. Für Domains mit der Endung „de“ ist DNSSEC seit 2011 verfügbar. Wie der Name schon sagt, erweitert die Sicherheitstechnik DNSSEC das Domain Name System. Dabei werden die DNS-Daten vom Domain-Administrator mit einer eingebetteten Signatur und zwei kryptografischen Schlüsseln abgesichert. Zu diesem Zweck werden zusätzliche DNS-Ressource Records generiert, die bei einer Anfrage mitversendet werden. Aufgrund der eingebetteten Signaturen kann der Empfänger den Absender verifizieren. Fallen beide Überprüfungen positiv aus, gelten die DNS-Daten als valide, sprich vertrauenswürdig. Enthält der Angreifer keine gültige Signatur, wird die Antwort vom DNS Server des Providers ganz einfach blockiert. Die Technologie ist dabei in verschiedenen Bereichen sinnvoll einsetzbar: Mithilfe von DNSSEC können beispielsweise das Online-Banking ebenso wie der Mail- oder VoIP-Verkehr erfolgreich abgesichert werden.
Will man als Unternehmen auf DNSSEC umsteigen, sollte man folgendes beachten: Als Anbieter benötigt man eine Name-Infrastruktur und einen Domain Registrar, die die Sicherheitstechnik unterstützen. Wichtig ist außerdem, dass die DNS-Server des Internetproviders eine DNSSEC-Validierung unterstützen. Ansonsten kann man auch die entsprechenden Google-Nameserver 8.8.8.8, 8.8.4.4 bzw. 2001:4860:4860::8888 und 2001:4860:4860::8844 in der Firewall bzw. dem Router eintragen, sofern dieser DNSSEC unterstützt. Falls der Router DNSSEC nicht unterstützt, sollte das Gerät unbedingt ersetzt werden. Ein entsprechender DNSSEC-Service kann vom Domain-Inhaber bei Akamai oder InternetX erworben werden. Das ist zu Beginn zwar etwas kostspieliger, dafür entfallen jedoch mögliche Probleme mit der Administration. Generell ist es allerdings auch möglich, DNSSEC selbst in Betrieb zu nehmen. Dafür sollte man jedoch über ein entsprechendes technisches Know-How verfügen. Ist die DNSSEC erst einmal installiert, fällt nur noch wenig Wartungsaufwand an.
Deutschland hat bei der Einführung von DNSSEC noch Nachholbedarf
Obwohl es DNSSEC schon seit 2005 gibt, sind hierzulande der Sparkassen Broker und die Postbank die einzigen Anbieter aus dem Bankensektor, die DNSSEC in der täglichen Abwicklung vollumfänglich einsetzen. Daran lässt sich erkennen, dass Deutschland beim Einsatz dieser Sicherheitstechnik noch Nachholbedarf hat – auch gegenüber unserer europäischen Nachbarn.
In den Niederlanden sind bereits mehr als 50 Prozent der Domains signiert; Schweden signiert seine DNS-Daten bereits seit 2007. Diese Länder gehen also in puncto Datensicherheit mit gutem Beispiel voran. Auch wenn in der IT-Sicherheit die Grundregel gilt, dass es keine unmöglichen Angriffe gibt, kann der Sicherheitsstandard DNSSEC nahezu komplett verhindern, dass DNS-Daten manipuliert werden. Die Technologie ‒ als elementarer Sicherheitsfaktor ‒ sollte daher flächendeckend eingeführt werden. Denn in der digitalisierten Welt liegt es im Interesse aller, dass sensible Daten Hackern nicht auf dem Silbertablett serviert werden.
Über den Autor
Christian Felsing ist IT-Sicherheitsbeauftragter des Sparkassen Brokers. Der zentrale Online-Broker der Sparkassen ist eines der ersten Finanzinstitute in Deutschland, das DNSSEC anwendet.
(ID:44240794)
:quality(80)/p7i.vogel.de/wcms/fa/17/fa171cc3b3b2ffb0420b93af71c49ef9/0109001068.jpeg "Das Wachstum des Internets der Dinge geht immer weiter. Umso wichtiger ist es, dass Schwachstellen in IoT-Geräten geschlossen und Cyberangriffe abgewehrt werden. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")