DNS-Report zeigt: Unternehmen sind anfällig gegenüber Internetangriffen und Netzwerkausfall

(openPR) Verhaltene Einführung von DNSSEC gibt Anlass zu Besorgnis. Obwohl die Schwachstellen des Domain Name Systems (DNS) des weltweiten Internet seit Jahren bekannt sind und entsprechende Angriffe laufend berichtet werden, nehmen Organisationen mit einer Internetpräsenz die Bedrohungen nach wie vor nicht ernst genug. Zu diesem Ergebnis kommt die 6. Studie zum Thema Sicherheit von DNS-Infrastrukturen, die von Infoblox und der Measurement Factory vorgelegt wurde.

Der Report zeigt, dass trotz der in diesem Jahr um 340 Prozent gestiegenen Implementierungen von DNSSEC, einer Erweiterung von DNS, mittels der die Authentizität und Integrität von DNS-Transaktionen gewährleistet werden kann, die Zahl der insgesamt gesicherten Internetzonen lediglich bei 0,02 Prozent liegt. Dies indiziert, dass die meisten Unternehmen mit Internetpräsenzen gegenüber Angriffen gefährdet sind.

DNS-Server sind essentielle Elemente der Netzwerk-Infrastruktur, indem sie Domain-Namen wie "Yahoo.com" auf IP-Adressen wie "66.94.234.13" umsetzen und damit Internet-Anfragen zu der gewünschten Lokation dirigieren. Die Auflösung der Domainnamen ist notwendig für alle internetbezogenen Anfragen aus Web-Browsern, E-Mail oder E-Commerce bis hin zum Cloud-Computing. Wird das DNS-System einer Organisation durch Angriffe kompromittiert, können die Folgen verheerend sein. Sie reichen vom Ausfall der eigenen Webpräsenz, der Unmöglichkeit für Mitarbeiter, Web-Services zu nutzen oder - vielleicht am gefährlichsten - der Umleitung von Webanfragen oder E-Mails zu betrügerischen Seiten mit der Folge von Datenverlust, dem Diebstahl von Identitäten, Betrug beim Internethandel und vielem mehr.

"Die diesjährigen Ergebnisse in Verbindung mit kürzlich berichteten Netzausfällen etwa bei Rollingstone.com oder Comcast sollten allen Unternehmen mit einer Internetpräsenz ernsthaft zu denken geben", kommentierte Cricket Liu, Vice President of Architecture bei Infoblox und Autor verschiedenen Buchtitel. "Trotz der Jahre, in denen Schwachstellen des Domain Name Systems (DNS) beschrieben und entsprechende Netzausfälle in Verbindung mit DNS veröffentlicht wurden, nehmen viele Unternehmen die DNS-Sicherheit auf die leichte Schulter. Wir haben nicht annähernd erreicht, was erforderlich ist, um Hacker davon abzuhalten, verheerende Schäden anzurichten. 2011 muss das Jahr von DNSSEC werden."

Alarmierende DNSSEC-Statistiken

Der Report zeigt, dass selbst von den 0,02 Prozent der DNSSEC-gesicherten Internetzonen 23 Prozent bei der Validierung versagten, weil die Signaturen abgelaufen waren. Die Autoren kommen zu dem Schluss, dass DNSSEC weitestgehend automatisiert sein muss, um einen zufälligen Denial-of-Service zu vermeiden.

Weiterhin berichtet die Studie, dass fundamentale DNS-Funktionen wie TCP-Anfragen und Unterstützung für DNS-Extensions (EDNSO), die für den Einsatz von DNSSEC notwendig sind, nicht vollständig installiert wurden. Alle Zahlen geben Anlass zu der Besorgnis, dass noch erhebliche Anstrengungen notwendig sind, bevor DNSSEC Wirkung zeigt, und Unternehmen wie Internet gleichermaßen geschützt sind.

Zusätzliche ergab die Studie, dass die topologische Diversifizierung der maßgeblichen Name-Server eine fortwährende Aufgabe darstellt, weil 75 Prozent der Name-Server sich in einem einzigen autonomen System befinden. Dies bedeutet einen Single-Point-of-Failure. Angriffe oder Probleme mit der Router-Infrastruktur können die Verfügbarkeit der Internetpräsenz vieler Unternehmen gleichzeitig beeinträchtigen.

DNSSEC bietet Schutz - wenn es genutzt wird Die Schätzungen für Cybercrime sind weiterhin steigend. Eine Studie, die 2009 vom Internet Crime Complaint Center (IC3), einer Gemeinschaftsorganisation des FBI und des National White Collar Crime Center, durchgeführt wurde, kommt zu dem Ergebnis, das Beschwerden über Internetkriminalität im Vergleich zu 2008 um 22,3 Prozent zugenommen hatten. Dabei handelte es sich lediglich um berichtete Fälle. Die meisten Sicherheitsexperten stimmen darin überein, dass die Domain Name Security Extensions (DNSSEC), eine Sammlung von Spezifikationen der Internet Engineering Task Force (IETF), die beste Methode bieten, sich gegenüber Attacken auf DNS-Server zu schützen. DNSSEC implementiert eine automatisierte Infrastruktur, die es Systemen ermöglicht, die Authentizität von DNS-Informationen zu überprüfen und damit Versuche zu unterbinden, Nutzer auf alternative Websites zu leiten, um Kreditkarteninformationen oder Passwörter zu sammeln, E-Mails umzuleiten oder Anwendungen auf andere Weise zu kompromittieren.

Matt Larson, Vice President DNS Research bei VeriSign kommentiert: "DNSSEC ist ein notwendiges Werkzeug zum versiegeln von DNS-Schwachstellen und um Cache-Poisoning-Attacken zu entschärfen, die die Integrität von DNS-Systemen unterminieren. Besonders durch die bevorstehende Einbeziehung von Top-Level-Zonen wie .NET sowie .COM am Anfang des nächsten Jahres bietet DNSSEC den besten Schutz für alle Organisationen mit Internetpräsenz."

Auf Basis der Statistiken gibt es für Organisationen mit externen DNS-Servern eindeutige Aufgabenstellungen. Dazu gehören die Überprüfung DNS-Infrastruktur und die sofortige Einleitung notwendiger Maßnahmen auf Basis von Musterlösungen. Erforderlich ist die Ausweitung des eigenen Know-hows über DNSSEC sowie die Beschäftigung mit neuen technischen Lösungen für die Implementierung von DNSSEC sowie die Automatisierung der Verwaltung.