DNSSEC: Sicherheitsupdate für das Netz
Wer heute eine Website aufruft, kann nicht immer sicher sein, dass er tatsächlich das sieht, was der Eigner der Website ins Netz gestellt hat. Durch Lücken im Internet-Adresssystem (DNS) können Angreifer die Anfragen von Nutzern umlenken. Nun soll das DNS mit Verschlüsselungstechnik abgesichert werden. Eine gewaltige Herausforderung an Technik und Verwaltung.
Ohne die Zuordnung im Domain Name System (DNS) wäre das Surfen mit Hilfe von Domain-Namen wie futurezone.ORF.at nicht möglich. Das DNS sorgt beispielsweise dafür, dass die Namen von Websites den Nummern der Computersysteme zugeordnet werden, auf denen die Websites laufen. Weil der Zuordnungsprozess jedoch während des Website-Aufrufs verändert werden kann, können etwa Phishing-Attacken den Datentransfer beim Online-Banking zu einer Bankwebsite auf eine andere Site umleiten. Über diese Sicherheitslücke können sich die Hightech-Bankräuber vom Nutzer völlig unbemerkt Zugang zu Bankkonten verschaffen - vorausgesetzt freilich, die User fallen auf das Phishing herein und geben ihre Zugangsdaten auf der gefälschten Website ein.
"Diese DNS-Sicherheitslücke ist seit etwa eineinhalb Jahren bekannt, und es soll schon einige Vorfälle gegeben haben", weiß Joe Waldron, Produktmanager beim Internet-Dienstleister Verisign, der unter anderem die wichtigen Top-Level-Domains .com und .net managt. Zahlen kennt Waldron allerdings nicht: "Wir wissen nicht, wie oft solche Angriffe bereits erfolgt sind, da es dafür keine guten Berichtmechanismen gibt." Das Problem gilt jedoch als so ernst, dass Experten bereits seit den 90ern versuchen, das Internet an dieser Stelle sicherer zu machen. Sie entwickelten dafür das Protokoll DNS Security Extensions (DNSSEC), das jetzt nun endlich eingeführt werden soll.
Signierte Root-Server
DNSSEC signiert Domain-Name-Systemdaten über ein Public-Key-Verfahren mit einem öffentlichen und einem privaten kryptografischen Schlüssel. Ein Abgleich des öffentlichen Schlüssels des Domain-Name-Servers mit dem öffentlichen Schlüssel einer Website zeigt, ob die fragliche Website echt ist. Auf diese Weise kann DNSSEC auch zeigen, ob ein Domain-Name überhaupt existiert. Dieses Protokoll garantiert, dass die vom Domain-Name-System übermittelten Daten echt und unverfälscht sind. Die Entwickler von Browsern könnten dann in einem weiteren Schritt dafür sorgen, dass der Browser das dann Nutzern etwa auch mit einem grünen Domain-Logo als echt anzeigt.
Die Internet-Server werden bei der Einführung von DNSSEC schrittweise signiert. Zunächst werden die zentralen Root-Server signiert. Die Vorbereitungen sind hier bereits angelaufen. Ab Dezember werden die Root-Server intern signiert, ab Jänner 2010 wird der Prozess nach außen geöffnet. Erst vor wenigen Tagen stellte Verisign gemeinsam mit der Internet-Verwaltung ICANN und der US-amerikanischen Telekommunikations- und Internet-Behörde NTIA die Sicherheitsbestimmungen für die Einführung von DNSSEC auf der obersten Verwaltungsebene des Internets vor. So wird es etwa für den Masterschlüssel sieben Verantwortliche geben. Alle zwei bis fünf Jahre soll dieser Schlüssel neu erzeugt werden. Dafür werden mindestens fünf der Schlüsselverantwortlichen persönlich anwesend sein müssen.
"Unvorhersehbare Risiken"
Kleinere Top-Level-Domains wie .se für Schweden und .org für nicht-kommerziell ausgerichtete Organisationen stellten ihre Zonen bereits auf DNSSEC um. Ende 2010, Anfang 2011 soll es endlich auch für die größten Top-Level-Domains so weit sein: Verisign will dann auch die Zonen für die .com- und .net-Domains absichern. Dieser Wechsel zu DNSSEC werde "das gesamte Internet-Ökosystem betreffen", meint der technische Direktor von Versign, Ken Silva. So müssen nicht nur die Registrare, sondern auch die Internet-Service-Provider wie die Browser-Hersteller entsprechende Implementationen vornehmen.
"Die Umstellung auf DNSSEC ist eine fundamentale Änderung", sagt Waldron gegenüber ORF.at, "die Öffentlichkeit muss darüber so gut wie möglich informiert werden." Fehler können nämlich dazu führen, dass die betroffenen Bereiche nicht mehr erreichbar sind. In "Boot Camps" versucht Verisign nun, Registrare, Provider und größere Domain-Nutzer mit den DNSSEC-Werkzeugen vertraut zu machen.
Angst hat Verisign-Manager Waldron vor allem vor "unvorhersehbaren Risiken", die er durch eine "methodische und vorsichtige" Vorgehensweise so weit wie möglich eliminieren will. Daher wird es bis zur Umstellung noch zahlreiche Testläufe geben. Derzeit arbeitet Verisign gemeinsam mit dem US-Handelsministerium daran, DNSSEC für die Top-Level-Domain .edu einzuführen, die in den USA von Universitäten und Bildungseinrichtungen genutzt wird. Die Erfahrungen, die hier mit der im Vergleich zu .com und .net wesentlich kleineren Top-Level-Domain gemacht werden, wertet Verisign sorgfältig aus.
Schwierigkeiten für Registrare
"Die Signierung der Root-Zone ist sicher ein wichtiger Schritt", sagt Robert Schischka, Technischer Geschäftsführer der österreichischen Registry nic.at, auf Anfrage von ORF.at. Allerdings gebe es noch zahlreiche Fragen bei der Einführung von DNSSEC: "Die Probleme liegen dabei eher aufseiten der Verwaltungsprozesse. Da sind noch zahlreiche Fragen offen. Wenn ein Provider den Schlüssel für eine bestimmte Domain hat, könnte es zu Problemen beim Umzug kommen, was wiederum dazu führen könnte, dass die Kunden stärker an einen bestimmten Provider gebunden sind. Solche Fragen muss man vertraglich lösen." Auf technischer Seite habe sich gezeigt, dass das System durch DNSSEC komplexer werde und es aufseiten der Registry auch schwieriger werde, es bei Pannen neu aufzusetzen. Schischka: "Es gibt mehr Single Points of Failure. Man tauscht etwas Sicherheit auf der einen Seite gegen etwas Stabilität auf der anderen."
Auch die Nachfrage nach DNSSEC sei bisher noch "bescheiden", so Schischka, "in Schweden ist man bisher sicher am weitesten, aber auch dort hat man nur einige Tausend gesicherte Domains registriert". Mit ein Grund dafür sei, dass das angesprochene Cache-Poisoning als Angriffsmethode aus der Mode gekommen sei. "Der Trend geht zur Malware, die den Browser angreift", so Schischka, "damit kann man auch andere Sicherheitsmechanismen aushebeln." DNSSEC mache zwar das DNS sicherer, schütze aber letztlich auch nicht vor gut gemachten Phishing-Sites: "Ein Verbrecher könnte beispielsweise die Domain einer Bank mit möglichst unauffällig eingebautem Tippfehlern sichern lassen und die User noch besser täuschen als bisher. Das wäre dann Qualitätsphishing."
DNSSEC vs. "Zensursula"
Auch staatlich angeordnete Manipulationen am DNS werden durch DNSSEC erschwert, worauf nic.at in ihrem jüngsten Positionspapier zum Thema hinweist. Die in Deutschland geplanten Netzsperren gegen Kinderpornosites würden nach Einführung von DNSSEC nicht mehr funktionieren.
Denn auch sie funktionieren über eine Umleitung der Anfrage des Nutzers von der gesperrten Site auf ein "Internet-Stoppschild". Diese Umleitung aber würde bei aktiviertem DNSSEC nur noch eine Fehlermeldung im Browser generieren.
Problem Benutzerschnittstelle
Schwierig sei auch, dem Nutzer die Funktionsweise von DNSSEC zu vermitteln. "Man überlegt, ob man das im Browser sichtbar machen soll, wie bei SSL. Aber schon da sind die User schnell überfordert, wenn noch ein Sicherheitspop-up aufgeht", so Schischka. Außerdem könne DNSSEC zum Problem werden, wenn sich die Root-Zone aufgrund der neuen Top-Level-Domains vergrößere: "In den USA und in Europa haben wir die Bandbreite, um die entsprechenden Update-Zyklen mitmachen zu können. In Afrika gibt es wichtige Knotenpunkte, die noch nicht so gut angebunden sind."
Schischka rechnet damit, dass zuerst jene Branchen ihre Domains sichern werden, die von Phishing-Attacken besonders betroffen sind, wie etwa Banken und Versicherungen. Beim Roll-out auf der .at-Domain gehe man "konservativ" vor, sagt Schischka, "dazu sind ausgiebige Feldversuche mit verschiedenen Kombinationen von Equipment nötig." Eine Einführung von DNSSEC auf .at-Domains erwartet er "frühestens Ende 2010, Anfang 2011", also etwa zeitgleich mit den .com- und .net-Domains.
(Christiane Schulzki-Haddouti/futurezone)
