Bevor irgendeine Anwendung eine Verbindung aufbaut, fragt sie das Domain Name System nach der passenden IP-Adresse. Diese Namensauflösung läuft milliardenfach am Tag und bleibt dabei fast unsichtbar. Genau das macht DNS zur Achillesferse der IT-Sicherheit: Wer die Auflösung manipuliert, lenkt Nutzer und Systeme um, ohne ein einziges Endgerät zu kompromittieren. Zugleich ist DNS ein präziser Frühwarnsensor, denn auch Schadsoftware muss Namen auflösen, bevor sie ihre Kommandoserver erreicht. DNS-Sicherheit nutzt beide Seiten dieser Medaille: Sie schützt die Auflösung vor Manipulation und macht verdächtige Anfragen sichtbar.
Was ist DNS-Sicherheit?
DNS-Sicherheit umfasst alle Maßnahmen, die das Domain Name System gegen Manipulation und Missbrauch absichern. Das Protokoll stammt aus einer Zeit, in der Vertrauen im Netz der Normalfall war: Antworten laufen im Klartext und werden vom Empfänger kaum geprüft. Daraus ergeben sich zwei Aufgabenfelder. Das erste betrifft die Integrität der Auflösung selbst, also die Gewissheit, dass eine Antwort echt ist und tatsächlich vom Verantwortlichen der Zone stammt. Das zweite betrifft die Kontrolle darüber, welche Auflösungen im eigenen Netz überhaupt stattfinden dürfen, damit Verbindungen zu bekannten Schadumgebungen gar nicht erst entstehen. Beide Felder zusammen ergeben ein belastbares Schutzniveau, denn Angriffe zielen mal auf die Antworten selbst, mal auf das Verhalten der anfragenden Systeme.
Wie funktionieren Angriffe auf das DNS?
Angreifer nutzen die offene Architektur des Systems auf mehreren Wegen aus:
- Spoofing und Cache Poisoning: Der Angreifer schiebt einem Resolver gefälschte Antworten unter, die dieser zwischenspeichert. Alle nachfolgenden Nutzer des Resolvers landen dann auf Systemen des Angreifers, etwa täuschend echten Login-Seiten.
- DNS-Hijacking: Statt einzelne Antworten zu fälschen, übernehmen Angreifer Registrar-Konten oder Router-Einstellungen und ändern Einträge dauerhaft. Die betroffene Domain leitet dann ganz offiziell auf fremde Server, oft samt gültigem Zertifikat.
- DNS-Tunneling: Schadsoftware codiert Daten in DNS-Anfragen und schleust sie an Firewalls vorbei, denn Port 53 ist praktisch überall geöffnet. Der verdeckte Kanal dient der Steuerung kompromittierter Systeme und dem Abfluss vertraulicher Daten.
- Domain-Generation-Algorithmen: Malware berechnet laufend neue Domainnamen für ihre Kommandoserver. Statische Blocklisten laufen dieser Dynamik strukturell hinterher.
- Angriffe auf die DNS-Infrastruktur: DDoS-Attacken gegen autoritative Nameserver machen ganze Domains unerreichbar, selbst wenn Webserver und Anwendungen fehlerfrei laufen.
Warum es wichtig ist
- Praktisch jede Anwendung hängt an der Namensauflösung, ein manipulierter oder ausgefallener Resolver trifft das gesamte Unternehmen auf einmal.
- Phishing wird erheblich gefährlicher, wenn selbst die korrekt eingetippte Adresse auf eine gefälschte Seite führt.
- Ein großer Teil der Schadsoftware nutzt DNS für Steuerung und Datenabfluss, häufig über Wochen unbemerkt.
- Endpunktschutz und Firewalls stufen getunnelten Verkehr oft als gewöhnliche Namensauflösung ein und lassen ihn passieren.
- Aufsichts- und Compliance-Vorgaben verlangen zunehmend nachweisbare Kontrolle über ausgehende Verbindungen, DNS ist dafür der früheste Ansatzpunkt.
- DNS-Telemetrie zeigt Infektionen oft früher als jede andere Datenquelle und verkürzt so die Reaktionszeit spürbar.
Typische Szenarien
- Ein Mitarbeiter öffnet eine Phishing-Mail, die Schadsoftware nachlädt. Der schützende Resolver blockiert die Auflösung der Kommandodomain, die Infektion bleibt wirkungslos und wird an das Sicherheitsteam gemeldet.
- Bei einem Dienstleister werden Zugangsdaten zum Domain-Registrar gestohlen. Ohne Registry-Lock und Monitoring zeigen die MX-Einträge plötzlich auf fremde Mailserver, der Mailverkehr fließt über die Angreifer.
- Ein Audit findet auffällige Mengen an TXT-Anfragen zu einer unbekannten Domain: DNS-Tunneling, über das seit Monaten Daten abfließen.
- Nach einem Ransomware-Verdacht zeigt die DNS-Auswertung, welche Systeme die Schaddomain aufgelöst haben, und beschleunigt die Eingrenzung des Vorfalls erheblich.
DNSSEC vs. DNS-Filterung: der Unterschied
DNSSEC signiert DNS-Einträge kryptografisch. Validierende Resolver prüfen damit, ob eine Antwort unverfälscht vom zuständigen Zonenbetreiber stammt. Das schützt wirksam vor gefälschten Antworten, bewertet aber keine Inhalte: Eine korrekt signierte Phishing-Domain bleibt erreichbar. DNS-Filterung, oft Protective DNS genannt, setzt genau dort an. Ein schützender Resolver gleicht jede Anfrage mit aktuellen Bedrohungsdaten ab und blockiert Auflösungen zu Schaddomains, bevor eine Verbindung entsteht. Die Mechanismen ersetzen einander also keineswegs: DNSSEC sichert die Echtheit der Antwort, Filterung entscheidet, ob ein Ziel vertrauenswürdig ist. Ausgereifte Sicherheitskonzepte kombinieren beides und ergänzen Protokollierung für die Analyse.
Wie KAEMI unterstützt
KAEMI verankert DNS-Schutz dort, wo er am meisten bewirkt: im Zugriffspfad aller Nutzer und Standorte. Als Bestandteil von SASE/SSE: Sicherer Zugriff filtert ein Secure Web Gateway jede Namensauflösung anhand aktueller Bedrohungsdaten, im Büro ebenso wie im Homeoffice. Ergänzend härten wir Ihre öffentliche Namensauflösung im Rahmen von Application Security , von DNSSEC bis zum Schutz der Registrar-Zugänge. So bleibt die Adressauflösung das, was sie sein soll: unauffällig und verlässlich. Dazu gehören Protokolle und Berichte, mit denen Ihr Team Vorfälle sauber nachvollziehen kann. Für eine Bestandsaufnahme Ihrer DNS-Angriffsfläche sprechen Sie uns einfach an.