:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Sicherheitsanforderungen an die Web-Infrastruktur steigen Schutz für das Domain Name System (DNS) des Internets
Mit mehr als 250 Millionen Domains und fast zweieinhalb Milliarden Nutzern ist das Internet ein wichtiger Teil unseres Lebens. Scott Courtney, VP Infrastructure Engineering bei Verisign, erklärt, wie diese Infrastruktur sicher und zuverlässig funktioniert.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Das Internet wächst explosionsartig. Mehr Aspekte des täglichen Lebens als sich die meisten Nutzer je hätten vorstellen können hängen vom Internet ab. Um nur ein Beispiel zu nennen: Allein im Jahr 2011 wurden fast acht Billionen US-Dollar im Onlinehandel umgesetzt.
Zusätzlich steigen die technischen Anforderungen an die Infrastruktur mit Trends wie Cloud Computing, dem Internet der Dinge, Big Data und der Umstellung auf IPv6. Obwohl wir uns so sehr auf das Internet verlassen, fehlt oft das Verständnis dafür, wie diese Infrastruktur organisiert ist und wie die wachsende Zahl an Sicherheitsbedrohungen abgewendet werden kann.
Wachsende Anforderungen an die Internet-Infrastruktur
Die Zahl der Funktionen, die in der einen oder anderen Weise auf dem Internet basieren, nimmt stetig zu. Gemeinsame Protokolle bilden die Basis für das Wachstum dieses Netzwerks und stellen sicher, dass alle Teilnehmer in der Lage sind, zu kommunizieren und Informationen auszutauschen. Das Transmission Control Protocol (TCP) und das Internet Protocol (IP) definieren die Regeln für das Senden und Empfangen der meisten Informationen im Internet. Damit verknüpft ist das Domain Name System (DNS).
DNS – das Telefonbuch des Internets
Das DNS-System ist ein hierarchisch organisiertes System zur Identifizierung aller mit dem Internet verbundenen Geräte. Es besteht aus einem komplexen Netz von Root- und Name-Servern und übersetzt die nutzerfreundlichen Domainnamen wie „www.verisigninc.com“ in numerische IP-Adressen, die Webseiten eindeutig identifizieren.
Jeder Domainname wird von einer sogenannten Domain Name Registry zur Verfügung gestellt. Eine Registry verwaltet alle Domainnamen einer Top-Level-Domain wie „.com“ oder „.net“ und erstellt die Zonendateien, in denen die Webseiten ihren IP-Adressen zugeordnet sind. Wenn ein Domainname im Browser eingegeben wird, verbindet sich der Browser zuerst mit einem Domain Name Server, der den eingegebenen Domainnamen in die zugehörige IP-Adresse übersetzt. Mit dieser eindeutigen Adresse kann der Browser dann die angeforderte Webseite aufrufen. Diese Anfrage wird „DNS Lookup“ genannt und dauert üblicherweise weniger als eine Zehntelsekunde.
Anforderungen an den Betrieb von Top-Level-Domains
Als Registry für “.com” und weitere Top-Level-Domains leitet Verisign Internet-Nutzer auf die Seiten, die sie aufgerufen haben. Bei zurzeit durchschnittlichen 77 Milliarden DNS-Lookups täglich für alle von Verisign verwalteten Top-Level-Domains muss dieser essentielle Dienst ohne Unterbrechung funktionstüchtig sein.
Verisigns Infrastruktur aus 75 DNS-Servern weltweit und den zwei von Verisign betriebenen Root-Servern, die die Namen und IP-Adressen aller DNS-Server von Top-Level-Domains bereitstellen, wird dabei von vielen verschiedenen Sicherheitsmechanismen geschützt.
Angreifern einen Schritt voraus
Ohne Zweifel ist der Aufwand für den störungsfreien Hochleistungsbetrieb der Internet-Infrastruktur hoch, doch ein Ausfall hätte schwerwiegende Konsequenzen. Wenn das Internet oder auch nur die Infrastruktur einer einzigen Registry für einen längeren Zeitraum gestört wäre, wäre eine ganze Reihe von Funktionen nicht mehr verfügbar - vom Zugriff auf die vielen Nachrichten- und Informationsseiten, die unser tägliches Leben prägen, bis zur Kommunikation mit Familie, Freunden und Geschäftspartnern. Eine Unterbrechung anderer Datenübertragungen wie Notfall-Benachrichtigungssysteme oder der Börsenhandel über das Internet hätte sogar noch weit schwerwiegendere Konsequenzen.
Um Störfälle zu vermeiden verfügt das DNS-System über eine Vielzahl an Redundanzen und Schutzmaßnahmen. Dazu gehören unter anderem Anwendungen auf Hardware-, Betriebssystem- und Middleware-Ebene sowie die Verbindung mit mehreren Stromversorgern und Netzanbietern. Im Gesamtsystem sorgen diese Schutzmaßnahmen für weltweit gleichbleibende Leistung und die Integrität der Daten zu jeder Zeit. Auch die Echtzeit-Aktualisierung des DNS-Systems beim Hinzufügen neuer Domainnamen ist dadurch möglich.
Da Firmen, öffentliche Institutionen und Privatpersonen immer mehr wichtige Funktionen und Informationen ins Internet verlagern, schaffen sie aber auch mehr und mehr Angriffsmöglichkeiten für Cyber-Kriminelle. Dies beginnt bei Diebstahl und reicht über Erpressung bis hin zu Industriespionage und Sabotage. Heutzutage gehören zu den häufigsten Angriffstypen Distributed Denial of Service, Advanced Persistent Threats und die Ausnutzung von Eingabefehlern beispielsweise durch Typosquatting und Phishing.
Die häufigsten Störungen
DDoS-Angriffe (Distributed Denial of Service) nehmen in Häufigkeit und Umfang zu. Es gibt unterschiedliche Varianten von DDoS-Angriffen, doch im Allgemeinen beschreibt der Begriff die Nutzung einer Vielzahl von Rechnern (wie kompromittierte PCs oder Server), um eine Webseite oder einen Service über Kapazität zu beanspruchen, sodass das Angebot für weitere Nutzer nicht mehr erreichbar ist. Neben direkten Angriffen auf Webseiten oder Dienstleistungen kann auch das DNS-System Ziel eines DDoS-Angriffs werden.
Mit Advanced Persistent Threats (APT) werden gezielte, andauernde Angriffe auf bestimmte Einrichtungen bezeichnet. Diese Art von Angriff hat in den letzten Jahren besonders zugenommen, da immer mehr wichtige Informationen über das Internet erreichbar sind. Das Hauptziel eines APT-Angriffs ist üblicherweise, langfristig Zugriff auf ein Zielnetzwerk zu erhalten, um geistiges Eigentum, persönliche Daten sowie finanzielle oder strategische Informationen zu erhalten.
Nicht zuletzt nimmt auch die Anzahl von so genannten „Typosquatting“-Domainnamen zu. Damit nutzen böswillige Akteure Tippfehler der Internetnutzer bei Domainnamen aus. Anstatt nach der Eingabe von fehlerhaften Domainnamen auf einer Fehlermeldung zu landen, werden die Nutzer auf eine Kopie der richtigen Website umgeleitet. Geben sie dort ihre persönlichen Daten ein, machen sie sich angreifbar für Malware oder Phishing.
Bereit für die Zukunft
Vermutlich werden diese und andere Angriffe in den nächsten Jahren zunehmen. Um die Internetnutzer auch weiterhin zu schützen, gibt es verschiedene Möglichkeiten: DDoS Protection beispielsweise schützt Unternehmen und blockiert schädlichen Datenverkehr bereits in der Cloud, noch bevor er das Firmennetzwerk erreichen kann. Außerdem wurden Domain Name System Security Extensions (DNSSEC) für .com und .net implementiert. DNSSEC stellt sicher, dass die Daten, die Nutzer im Internet aufrufen, aus der angegebenen Quelle stammen und nicht während der Übertragung böswillig verändert wurden (Man-in-the-middle-Angriffe).
Zusätzlich arbeitet Verisign gemeinsam mit anderen Organisationen daran, das DNS-Protokoll sicherer zu machen. Eine dieser Entwicklungen ist die Verbesserung des DANE-Protokolls (DNS-based Authentication of Named Entities), das basierend auf DNSSEC die Verschlüsselung der Datenübertragung ermöglicht. Mit diesem Verfahren können kryptographische Authentifizierungen ausgetauscht werden, die beispielsweise die Verschlüsselung und elektronische Signatur von E-Mails ermöglichen.
Eine der großen Herausforderungen beim Betrieb von DNS-Infrastruktur ist es, mit der Entwicklung der Sicherheitsrisiken Schritt zu halten. Um weiterhin sichere und verlässliche Konnektivität anbieten zu können, muss das DNS-System als Ganzes gesehen werden: Die Sicherstellung der Funktionalität wird auch in Zukunft nicht an Bedeutung verlieren, aber die gefragten Services werden sich nicht mehr nur auf Backend-Unterstützung beschränken. Daneben werden zusätzliche Angebote für den Frontend-Bereich erforderlich sein, damit das DNS-System den Anforderungen des Internets der Zukunft gewachsen ist und weiterhin die zuverlässige Infrastruktur der vernetzten Welt bleibt.
Über den Autor
Scott Courtney ist VP Infrastructure Engineering bei Verisign
(ID:42333142)
:quality(80)/p7i.vogel.de/wcms/ac/e6/ace600a66b6df728ffb1be3a9bf8be64/0107990544.jpeg "Mithilfe von Shadow Domains können Cyberkriminelle lange Zeit unauffällig operieren. (Bild: © – BillionPhotos.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/17/fa171cc3b3b2ffb0420b93af71c49ef9/0109001068.jpeg "Das Wachstum des Internets der Dinge geht immer weiter. Umso wichtiger ist es, dass Schwachstellen in IoT-Geräten geschlossen und Cyberangriffe abgewehrt werden. (Bild: metamorworks - stock.adobe.com)")