Das Internet soll sicherer werden. Denic, eco und BSI wollen ein neues Sicherheitssystem testen. Symbolbild: pixelio.de/Gerd Altmann

Mehr Sicherheit im Internet, das ist das Ziel einer gemeinsamen Kampagne der Internetorganisationen Denic, eco Verband der Internetwirtschaft und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Mit Sicherheitserweiterungen im so genannten Domain Name System (DNS) sollen mögliche Sicherheitslücken geschlossen werden. Der Kaminsky-Report hatte nachgewiesen, das es im Netz gravierende Schwächen und Manipulationsmöglichkeiten gibt. So besteht die Gefahr, dass bei Eingabe einer Internetadresse der Nutzer auf eine betrügerische Seite umgeleitet wird. Innerhalb einer von DENIC bereitgestellten Testumgebung sollen nun operative und technische Erfahrungen gesammelt und geprüft werden. Ziel ist ein Urteil darüber, welche Auswirkungen die Domain Name Security Extensions (DNSSEC) auf die Sicherheit und Zuverlässigkeit im Internet haben. "Das Verfahren birgt große Chancen, erfordert aber umfangreiche Veränderungen auf allen Ebenen des Domain Name Systems. Es ist wichtig zu wissen, ob es sicher und zuverlässig funktioniert, bevor man es großflächig einführt ", erklärte Harald A. Summa, Geschäftsführer des eco-Verbandes. "Wir sind froh, das Verfahren mit breiter Unterstützung der Industrie und der Nutzer ausführlich testen zu können, um mögliche Risiken im Betrieb von DNSSEC frühzeitig auszuschließen und die Akzeptanz prüfen zu können", so Sabine Dolderer, Vorstandschefin der DENIC. DNSSEC wird hierzu in einer produktionsnahen Umgebung getestet, um Schwachstellen und Probleme zu identifizieren und Lösungen zu finden. Dr. Hartmut Isselhorst, zuständiger Abteilungsleiter des BSI, begrüßt die Durchführung der Tests: "Wir halten die Einführung von DNSSEC auch im internationalen Rahmen für einen unverzichtbaren Bestandteil zur Sicherheit des Internets. Daher wird bei einem positiven Abschluss der notwendigen Tests DNSSEC für Netze der öffentlichen Verwaltung in Deutschland eingeführt werden", so der BSI-Experte. Starten soll die erste Testphase am 2. Juli dieses Jahres, hieß es dazu weiter.

Im Domain Name System (DNS) werden die vom Nutzer eingegebenen Domains in eine von Computer verarbeitbare IP-Adresse umgewandelt. Das ist damit eine Art "Telefonbuch des Internet". Derzeit erfolgt der Transport der DNS-Informationen - also welche Domain in welche IP-Adresse aufzulösen ist - unverschlüsselt. Deswegen können auf dem Transportweg bzw. durch Cache-Poisoning in den Resolving-Nameservern Veränderungen vorgenommen und Nutzer auf manipulierte Seiten gelenkt werden. DNSSEC signiert die Nameserver-Einträge digital und stellt somit sicher, dass die Information unverändert beim Nutzer ankommt und zudem der Absender der Informationen sicher authentifiziert werden kann. Allerdings kann das Verfahren nicht verhindern, dass möglicherweise unzutreffende Informationen selbst signiert oder die Nutzer auf höherer Ebene irregeführt werden. Der Kaminsky-Report berichtete im Juli 2008 über Schwachstellen im Domain Name System (DNS), die eine Verfälschung der im Cache eines DNS-Servers gespeicherten Einträge ermöglicht. Damit kann ein Angreifer die Kontrolle über die Namensauflösung für bestimmte Hosts oder Domains erlangen und darauf aufbauend weitere Angriffe durchführen, erläuterten die Internetexperten abschließend.

Den Kaminsky-Report finden Sie als Präsentation unter: www.doxpara.com.

Weitere Informationen zum ersten Meeting finden sich unter: www.denic.de.