Mehr als 98% der .DE Domains sind nicht oder unzureichend geschützt
Lesern einschlägiger Branchennews wird es kaum entgangen sein: es gibt eine neue Form von Sicherheitsbedrohung und diese kommt aus einer Richtung, die bisher nur sehr wenige Unternehmen auf dem Radar hatten: das Domain Name System (DNS).
Von derzeit über 16,2 Mio. registrierten .DE Domains sind nach Angabe der zuständigen Registrierungsstelle gerade einmal 220.658 mit einem Standardschutz abgesichert, der dem heutigen Stand der Technik entspricht. (Quelle: aktuelle Statistik der DENIC eG, Stand Juni 2019)
Integrität und Verfügbarkeit sind neben der Vertraulichkeit bekannter maßen die wesentlichen Schutzziele der Informationssicherheit. Diese gelten auch für das Domain Name System des Internets. Und da Jede aktiv genutzt Domain quasi ein Bestandteil des DNS ist, besteht auch für jede aktiv genutzte Domain und ihre DNS-Einstellungen ein entsprechender ernst zu nehmender Schutzbedarf.
Authoritäten des Internets sprechen von einer bisher nie dagewesenen Bedrohungslage
Die aktuelle Bedrohungssituation nimmt Ausmaße an, welche die ICANN (als höchste Instanz zur Vergabe und Koordination von Adressen und Nummern im Internet) und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktiv Warnungen und Maßnahmenkataloge zur Prävention herausgeben lässt. Die ICANN selbst fühlte sich aus aktuellem Anlass dazu berufen TLD-Registrierungsstellen, Registrare und auch DNS-Resolver dringend aufzufordern, alle verwalteten Domains schnellstmöglich mit konkreten Maßnahmen abzusichern und somit die Anfragen und Antworten im DNS wieder sicherer zu gestalten. Doch auch nationale und internationale Sicherheitsbehörden haben Warnungen herausgegeben und Verordnungen erlassen.
- ICANN Warnung zu veröffentlichten Berichten über Angriffe auf das Domain Name System
Link: https://www.icann.org/news/announcement-2019-02-15-en - BSI Empfehlung: Zunahme von DDoS Angriffen durch DNS-Reflection
Link: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_042.pdf?__blob=publicationFile&v=6 - Dringliche Verordnung des US Department of Homeland Security (Ministerium für Innere Sicherheit der Vereinigten Staaten)
Link: https://cyber.dhs.gov/ed/19-01/ - Warnung der Britischen Security Behörde NCSC
Link: https://www.ncsc.gov.uk/news/alert-dns-hijacking-activity
Die ersten Angriffswellen bestätigen die akute Gefährdungslage
Die Ereignisse der jüngsten Vergangenheit machen die Ernsthaftigkeit und das potenzielle Schadensausmaß deutlich:
Die Entwicklerplattform github.com wurde Opfer des weltweit größten bisher gemessenen DDoS-Angriffs mit knapp 1,4 Terabit pro Sekunde. Ein paar Tage später soll, den Berichten von mehreren Sicherheitsfirmen zufolge, eine bisher unbenannte US-Firma mit ganzen 1,7 Terabit pro Sekunde beschossen worden sein.
Im bereits im April wurde bekannt, dass Hacker nach einem Großangriff auf öffentliche Institutionen auch die Verwaltungsstelle der Top-Level-Domains Griechenlands (.gr) angriffen. Mittels DNS Hijacking sollten Daten ausgespäht und Man in the middle Angriffe möglich werden.
Doch auch deutsche Unternehmen und Behörden sind bereits Opfer von Angriffen geworden. So kam es beispielsweise zu einem ernsten Zwischenfall, bei dem die DNS-Infrastruktur einer deutschen Firma für Angriffe auf Firmen und Regierungsstellen im Nahen Osten missbraucht wurde. Durch DNS-Manipulationen wurden versteckte Angriffe und Datendiebstahl möglich - über Monate! Aufgeflogen sind die Angreifer nur durch einen Schusselfehler, welcher tiefere Investigationen nach sich zog und letztlich die kriminellen Machenschaften enttarnten.
Maßnahmen zur Wahrung der DNS-Sicherheit
Die Sicherheit der uns anvertrauten Domains ist uns sehr wichtig, deshalb legen wir unseren Kunden das Thema Sicherheit immer wieder und eindringlich nahe. Mit dem Wissen um die potenziellen Gefahren können auch Sie geeignete und wirksame Maßnahmen ergreifen, die dem aktuellen Stand der Technik entsprechen. Machen Sie es Angreifern so schwer wie möglich und schützen Sie sich davor, Opfer eines Angriffes zu werden.
Diese Art von Angriffen lassen sich nur schwer abwehren. Das bedeutet, wertvolle Informationen können gestohlen werden, selbst wenn ein Angreifer niemals direkten Zugriff auf das Netzwerk Ihres Unternehmens hat. Andererseits kann auch ein Totalausfall der gekoppelten Systeme, Datenverlust und daraus resultierende Reputationsschäden die Folge sein.
Schützen Sie Ihre Organisation vor diesen Gefahren:
- Aktivieren Sie die Multi-Faktor Authentisierung in Ihrem Domain-Administrationsportal. Wir empfehlen die Verwendung des sicheren U2F-Standards.
- Verwenden Sie ausfallsichere Anycast-DNS zum Schutz Ihrer Nameservereinstellungen. Die klassische Unicast-Architektur bietet keinen hinreichenden Schutz vor DDoS Angriffen.
- Aktivieren Sie DNS-Security Funktionen und setzen Sie sicherheitsrelevante DNS-Records. So erschweren Sie man in the middle Angriffe, Phishing und Spoofing wirkungsvoll.
- Überprüfen Sie Nameservereinstellungen auf aktuelle und historische Veränderungen. Untersuchen Sie auch, ob Angreifer Zugriff auf Ihre Umgebung erhalten haben.
- Schulen und sensibilisieren Sie alle beteiligten Personen. Unwissenheit oder fehlende Awareness stellen hier die größten internen Risiken dar.
Dies sind jedoch nur einige technische und organisatorische Maßnahmen zur Absicherung Ihrer Domains. Damit einher geht auch die Frage nach Ihrem Domain Risikomanagement.
Haben Sie sich schon ausreichend mit diesem oft unterschätzten Thema befasst?
In unserem Whitepaper Domain Risikomanagement klären wir auf. Wir ist die aktuelle Risikolage? Welche rechtlichen Anforderungen gibt es? Welche Gefahren gibt es? Auf über 20 Seiten komprimierten Wissens werden Irrtümer entmystifiziert und mit aktuellen Fällen belegt.
Sorgen Sie dafür, dass Sie nicht zu den eingangs erwähnten 98% gehören!