Sicheres Internet DNSSEC soll Phishing unmöglich machen

Die Internet-Netzwerkverwaltung Icann hat auf dem Hackerkongress Black Hat ihre Domain-Absicherung DNSSEC präsentiert. Das neue, endlich einsatzbereite Verfahren soll den Internetverkehr sicherer machen und Phishern, Botherdern und anderen Cyberkriminellen das Leben erschweren.


Rod Beckstrom, Chef der Internet-Domainverwaltung Internet Corporation for Assigned Names and Numbers ( Icann), ist nicht unbedingt als Euphoriker bekannt. Auf der Black-Hat-Konferenz in Las Vegas aber ließ er seine Begeisterung spüren: Mit den Domain Name System Security Extensions, kurz DNSSEC genannt, soll es in Zukunft für Kriminelle viel schwieriger werden, mit gefälschten Internetseiten die Netz-Nutzer aufs Glatteis zu führen, sie dazu zu bringen, Viren herunterzuladen oder persönliche Informationen preiszugeben. Als DNSSEC Mitte Juli auf der Rootebene des Internet aktiviert wurde, habe man im Kreis der Ingenieure und Informatiker die Sektkorken knallen hören - und so etwas geschehe in diesen Kreisen nicht gerade häufig.

Die offen zur Schau gestellte Freude über den - so Beckstrom - "historischen Schritt" muss man Nicht-Informatikern und Nicht-Kriminellen erst einmal erklären: Es geht darum, auf der Ebene des Domain-Adresssystems eine Sicherung einzuführen, die effektiv verhindert, dass der Datenverkehr zwischen Netz-Nutzer und Webserver manipuliert wird.

Dazu wird der Adresse des Webservers quasi ein virtueller verschlüsselter Ausweis zugefügt, der Auskunft über Echtheit und Integrität übermittelter Daten geben kann. Webserver und Empfänger weisen sich gegenseitig aus, Seiten-Fälschungen werden zuverlässig erkannt. DNSSEC soll es also im Kern ermöglichen, jeder Internetadresse einen geheimen Identifizierungscode zu geben. Dieser Code sorgt dafür, dass der Nutzer zweifelsfrei erkennen kann, ob die Seite echt ist. Technisch soll es künftig möglich sein, auch Suchmaschinen so zu programmieren, dass sie dem Nutzer jederzeit mitteilen, ob eine gefundene Seite echt ist oder nicht.

Dinge wie die Online-Banking-Attacke, vor der am Mittwoch Bundeskriminalamt und Bundesamt für Sicherheit in der Informationstechnik warnten, würden damit wahrscheinlich unmöglich gemacht. Zumindest ist bisher keine Methode bekannt, mit der DNSSEC-gesicherte Domains manipuliert werden könnten.

DNSSEC: 20 Jahre Suche nach der richtigen Methodik

Damit dies so bleibt, präsentierte die Icann ihr DNSSEC-Programm und eine ganze Reihe von Tools zur Implementierung der Sicherheitsschlüssel auf Webservern auf der bekanntesten Hackerkonferenz Black Hat. DNSSEC-Verfechter Dan Kaminsky, selbst einst ein prominenter Hacker, lud dazu ein, einen Crack des neuen Sicherheitssystems zu probieren: Nur Bugs und Lecks, die man kennt, kann man auch beheben und stopfen.

Die Idee zu DNSSEC ist alles andere als neu, die Entwicklung lief seit rund 20 Jahren. Bereits seit längerer Zeit sind rund ein Dutzend Top-Level-Domains versuchsweise DNSSEC-gesichert, seit dem 15. Juli ist das System auf der Rootebene des Internet aktiv - auf den 13 Nameservern also, die die Grundstruktur des gesamten Internet bilden. Jetzt, hofft Icann-Chef Beckstrom, sollen innerhalb der nächsten zwölf Monate die Domains abgesichert werden, über die mindestens 50 Prozent des Internetverkehrs laufen. Mit der Aktivierung des neuen Systems sei das Internet zwar noch nicht sicher geworden, aber die Voraussetzungen bestünden nun, es zu einem erheblich sichereren Ort zu machen - DNSSEC kann man nicht einfach anschalten, seine Implementierung ist ein Prozess.

Bis diese Veränderung der Netzstrukturen flächendeckend greift, werden wohl noch Jahre vergehen. Bei der deutschen Domainverwaltung Denic läuft seit mehreren Monaten eine Testphase, die bis Anfang 2011 beendet sein soll. Die Einführung der Protokollerweiterung auf Ebene einer Top-Level-Domain wie .com, .net oder .de ist keine profane Sache: Verfahren und eingesetzte Werkzeuge müssen akribisch abgestimmt werden, um die Integrität des Absicherungsverfahrens zu gewährleisten.

pat/AFP

Mehr zum Thema


© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.