VeriSign führt sicheres DNS für .com und .net bis 2011 ein

16.11.200918:27Martin Unger
Mailen
Drucken

Das US-amerikanische Unternehmen VeriSign kündigt auf seiner Website an, dass es das Domain Name System (DNS) bis Anfang 2011 schrittweise durch das sichere DNSSEC ersetzen will. Seit August letzten Jahres ist klar, dass sich das bisherige System leicht manipulieren lässt und so Kriminellen Angriffe leicht macht.

Das Domain Name System wird dazu verwendet, Web-Adressen wie beispielsweise verbraucher-sicher-online.de in numerische Internet-Adressen (so genannte IP-Adressen) zu übersetzen. Mit Hilfe dieser numerischen Adressen wird dann der Server der gewünschten Website kontaktiert.

Seit längerem ist bekannt, dass das DNS nicht sehr sicher ist. Aber erst im August 2008 hat IT-Sicherheitsspezialist Dan Kaminsky aufgezeigt, wie leicht sich das System manipulieren lässt. Kaminsky konnte zeigen, dass durch eine kleine Manipulation an einem DNS-Server die Nutzer nach der Eingabe einer korrekten Website-Adresse zu einer falschen Internet-Adresse umgeleitet wurden.

Auf diese Weise ist es möglich, einen Nutzer etwa nach der Eingabe von verbraucher-sicher-online.de in der Adresszeile seines Browsers, auf einen durch den Kriminellen gewählten Server umzuleiten. Dadurch werden beispielsweise Phishing-Attacken stark vereinfacht und sehr viel gefährlicher, da der Nutzer nicht mehr festzustellen kann, dass er sich auf einer gefälschten Seite befindet.

VeriSign hat nun angekündigt, durch die Einführung des DNSSEC-Protokolls solche Angriffe in Zukunft unmöglich zu machen. Dazu sollen bis 2011 zunächst die Adressbereiche .edu, .com und .net abgesichert werden. Dass die Behebung der Sicherheitslücke so lange dauert, wurde von Pat Kane, Vize-Präsident der Abteilung „Naming Services“ von VeriSign, gegenüber ZDNet durch technische Schwierigkeiten und die Größe der Adressbereiche begründet: ".net allein enthält mehr als 12 Millionen Domain-Namen. Unsere Hauptaugenmerk liegt auf der sicheren Implementierung von DNSSEC, schließlich beeinflusst es das Domain Name System, eines der Kernstücke des Internets“.

Für den .de-Adressbereich haben die Verwaltungsorganisation Denic eG, der Verband der deutschen Internetwirtschaft e.V. und das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen zunächst die Einführung einer Testumgebung beschlossen. Die Tests sollen laut Projektplan ebenfalls bis Anfang 2011 abgeschlossen sein. Im zweiten Quartal 2011 soll es dann ein Treffen aller Beteiligten geben (Registrare, Provider, Behörden etc.), bei dem über das weitere Vorgehen entschieden wird.