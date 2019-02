DNS-Hijacking: ICANN fordert DNSSEC

Die Technologie ist altbekannt, wird aber nur von einer Minderheit der Domains eingesetzt. Gerade auch in der Schweiz.

Die für das DNS-System zuständige Internetagentur ICANN glaubt an eine anhaltende und signifikante Bedrohung für "Herzstücke der DNS-Infrastruktur", wie sie in einer Medienmitteilung schreibt . Dies könnte allgemein das Vertrauen ins Internet schwächen.Die ICANN erklärt zwar nur ungenau, dass es dabei um Manipulationen am DNS-System gehe, auf die man aufmerksam geworden sei, verlinkt aber auf einen Bericht über die gegenwärtig stattfindenden Angriffe auf Behörden via DNS-Hijacking.Beim DNS-Hijacking verschaffen sich Angreifer die Login-Daten von Domain-Besitzern, zum Beispiel für Domain-Registrare, wo sie dann direkt an der Quelle DNS-Einträge zu bestimmten Domänen ändern können. Dies macht schwer entdeckbare Man-in-the-middle-Angriffe möglich, indem Besucherauf Webseiten der Angreifer umgeleitet werden.Um solches zu verhindern, fordert die ICANN nun eine grossflächige Einführung der DNSSEC-Technologie für alle Domains. Dies werde zwar nicht alle Security-Probleme des Internets lösen. Die Technologie sollte es aber ermöglichen, dass Internuser wirklich auf den Seiten landen, wo sie hinwollen, ohne fehlgeleitet werden zu können.DNSSEC ist schon seit rund 20 Jahren bekannt. Diese Erweiterung des DNS-Protokolls ermöglicht es, dass Domain-Inhaber ihre DNS-Einträge digital signieren. Damit soll verhindert werden, dass Angreifer DNS-Einträge verändern können, auch wenn sie die entsprechenden Login-Daten besitzen. Für eine Änderung braucht es einen DNSSEC-Signierschlüssel, der sich, zumindest theoretisch, nur im Besitz des legitimen Domaininhabers befinden sollte.Gemäss Zahlen von APNIC verwenden aktuell weltweit nur knapp 20 Prozent aller Domains DNSSEC. In der Schweiz sind es sogar nur 11 Prozent. Zum Vergleich: In Italien mit 4 und Österreich mit 6 Prozent sind es noch einmal deutlich weniger. Deutschland ist uns dagegen mit 52 Prozent weit voraus. Der Spitzenreiter in Europa ist Norwegen mit 87 Prozent DNSSEC-Domains. (hjm)