28. Februar 2011 - DNS-Einträge zukünftig kryptographisch gesichert

DNSSEC wird in der .de-Zone eingeführt

Manipulierte Nameserver und umgeleitete Seitenaufrufe (Pharming) könnte es in Zukunft bei .de-domains nicht mehr geben. Die DNS-Erweiterung DNSSEC, bei der die DNS-Einträge mittels kryptographischer Verfahren auf ihre Gültigkeit geprüft werden, wird Ende Mai vom Test- in den Produktivbetrieb übergehen.

Datenschutzbeauftrager und Administrator (Bild: vasabii / iStock / Thinkstock)

Die DENIC wird zum 1. Juni 2011 DNSSEC in der .de-Zone einführen. Webseiten-Aufrufe sind in Zukunft besser gegen Manipulationen geschützt. Webseitenbetreiber stellen damit sicher, dass Besucher nicht mehr so leicht auf gefälschte Seiten umgeleitet werden können.

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet, ist die Testphase für die DNSSEC-Initiative der zentralen Registrierungsstelle für .de-Domains, DENIC, dem BSI und dem eco – Verband der deutschen Internetwirtschaft – erfolgreich abgeschlossen. Das BSI empfiehlt deshalb die Einführung von DNSSEC als wesentliche Maßnahme zur Verbesserung der Internet-Sicherheit.

Sichere Authentifizierung von Domain-Namen

Mit der Einführung von DNSSEC durch die DENIC unterstützen zukünftig 69 Top-Level-Domains die DNSSEC-Erweiterungen, darunter auch neun der zehn weltweit größten Top-Level-Domains. Inzwischen haben auch zahlreiche Domainregistrare Interesse an einer Umsetzung von DNSSEC signalisiert.

Als Bestandteil der DNSSEC-Initiative betreibt das BSI die Domain .bund.de bereits seit April 2010 erfolgreich mit DNSSEC. Zudem wurde im Rahmen einer Studie die Kompatibilität gängiger Heimrouter-Modelle mit DNSSEC untersucht.

Checkliste für Ihre Datenschutz-Schulung: Sensibilisierung für DNS-Risiken

Laut einer Umfrage des eco-Verbands planen 44 Prozent der deutschen Registrare innerhalb der nächsten 12 Monate die Einführung von DNSSEC. Damit können Inhaber von Internetdomains zukünftig ihre Domains im Rahmen einer DNSSEC-Umsetzung signieren.

DNSSEC signiert Nameserver

Im Domain Name System (DNS) wird ein vom Nutzer eingegebener Domainname in eine vom Computer verarbeitbare IP-Adresse umgewandelt. Derzeit erfolgt der Transport der DNS-Informationen unverschlüsselt. Deswegen können beispielsweise auf dem Transportweg Veränderungen vorgenommen und Nutzer auf manipulierte Seiten gelenkt werden.

DNSSEC signiert die Nameserver-Einträge digital und stellt somit sicher, dass die Information unverändert beim Nutzer ankommt und zudem der Absender der Informationen sicher authentifiziert werden kann. Allerdings kann das Verfahren nicht verhindern, dass möglicherweise unzutreffende Informationen selbst signiert oder die Nutzer auf höherer Ebene irregeführt werden.

Wie Sie oder Ihre IT effektiv gegen IT-Risiken vorgehen, lesen Sie in „IT-Know-how für den Datenschutzbeauftragten“

Hier erhalten Sie auf das Wesentliche komprimierte und leicht verständliche Informationen, an welchen Stellen die datenschutzrechtlichen Problemzonen Ihrer EDV liegen. Und darüber, wie Sie selbst – oder Ihre IT – aufgedeckte Risiken minimieren.

Weitere Informationen …

 

28.02.2011 (BSI/BM)

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln