In der ersten Juli-Woche wurde bei .at-Domains die 10.000er-Marke an DNSSEC-signierten Domains überschritten. Die Sicherheitserweiterung DNSSEC gibt es für .at-Domains zwar schon seit 2012, sie erfreute sich aber – im Gegensatz zu anderen Ländern – hierzulande bisher mäßiger Beliebtheit. Warum sich das aktuell ändert, erklärt Arsen Stasic, der beim Zentralen Informatikdienst der Universität Wien für den Betrieb der .at-Zone mitverantwortlich ist.

„Ich denke, es sind mehrere Gründe, warum DNSSEC-signierte Domains unter .at nun zunehmen“, erklärt Arsen Stasic vom Zentralen Informatikdienst der Universität Wien, der die Entwicklung von Beginn an beobachtet. Wurden in den ersten Jahren im Schnitt 300 bis 400 Domains pro Halbjahr signiert, waren es von Ende Dezember 2018 bis Ende Mai 2019 immerhin schon über 1.700 und allein im Monat Juni um die 1000 Domains, die zusätzlich abgesichert wurden und zum Erreichen der 10.000-er Marke beitrugen.

Größeres Sicherheitsbewusstsein und Awareness in Fachkreisen
Stasic ist überzeugt, dass ein Umdenken in der Branche stattfindet: „Der Trend geht eindeutig dahin, alle Protokolle zu verschlüsseln – man denke an E-Mail, https bei Webseiten und vieles mehr. Das Domain Name System ist ungesichert und ein Angreifer sucht sich meist eine einfache Schwachstelle, dies ist oftmals DNS.“ So unlängst geschehen bei zahlreichen Fällen von DNS-Hijacking, die große mediale Aufmerksamkeit erhielten und wo führende Security-Experten den Einsatz von DNSSEC und Security-Lock bei Domains empfohlen. „DNSSEC ist zwar keine Verschlüsselung des Protokolls, garantiert aber mit Hilfe von digitalen Signaturen die Echtheit und Vollständigkeit von DNS-Antworten und ist somit ein wichtiger erster Schritt zur Absicherung“, so Stasic. Er hält Fachvorträge im GovCERT-Umfeld zu diesem Thema und stellt wachsendes Interesse im IT-Umfeld fest. Auch mit dem Irrglauben, dass DNSSEC technisch extrem komplex und aufwändig umzusetzen sei, möchte Stasic ausräumen: „Selbst wenn Provider DNSSEC nicht selbst umsetzen wollen, gibt es inzwischen eine Reihe von Anbietern, wo man es einfach und unkompliziert dazubestellen kann.“

Vermehrtes Augenmerk auf Security-Features für Domains
Ins selbe Horn stößt auch Katharina Hackl, Leiterin des nic.at Kundenservice. Sie hat mit ihrem Team in den letzten Monaten einige Aktivitäten unternommen, um Registrare und Endkunden von der Wichtigkeit von Security-Features für Domains zu überzeugen und sieht nun, dass das Engagement Früchte trägt: „Unser R&D Team hat mit der sogenannten „DNS Magnitude“ ein System entwickelt, um die Wichtigkeit von Domains zu messen. Wir haben InhaberInnen und auch Registrare von Domains mit hoher Magnitude kontaktiert und sie auf die Möglichkeit der zusätzlichen Domain-Absicherung hingewiesen.“ nic.at bietet mehrere Security-Features an: Neben DNSSEC-Signierung ist auch das Security-Lock ein wirksamer Mechanismus, um DNS-Hijacking zu verhindern. „Wer sein DNS noch ausfallsicherer machen möchte, kann dies mit unserem Anycast-Produkt RcodeZero DNS tun. Dort ist DNSSEC automatisch inkludiert, somit kann der Registrar alles an uns Profis outsourcen“, so Hackl.

Ausländische Registrare als Treiber, einheimischer Registrar auf Platz 1
Im Vergleich zu anderen Ländern, in denen DNSSEC von Anfang an stark propagiert und gefördert wurde, hinkt Österreich mit nicht einmal 1 Prozent DNSSEC-signierten Domains noch deutlich nach. Das erklärt auch, warum gerade ausländische Registrare für den aktuellen Zuwachs verantwortlich sind, meint Stasic: „Einige Top Level Domains fördern DNSSEC massiv, daher verwundet es nicht, dass unter den Top fünf DNSSEC Registraren für .at vier internationale Registrare vertreten sind. Wenn ein Registrar DNSSEC eingeführt hat, kann das Service relativ einfach auf andere TLDs ausgeweitet werden.“
Trotzdem liegt der in Linz ansässige ISP World4You mit über 2100 signierten Domains im heimischen DNSSEC-Ranking an erster Stelle. Dort wird den Kunden DNSSEC als zusätzliche Domainsicherung kostenlos angeboten und empfohlen, um den Web-Auftritt „vertrauenswürdiger und sicherer“ zu machen. Dieses Argument ist für die Kunden meist ausreichend um DNSSEC zu bestellen, auch wenn sie die technischen Hintergründe und Funktionsweisen nicht kennen. Für World4You war die Entscheidung für DNSSEC ein logischer Schritt, da der ISP bei technischen Entwicklungen prinzipiell vorne mit dabei sein will – speziell, wenn es um Sicherheitsthemen geht und ein zusätzlicher Kundennutzen entsteht. Durch die Implementierung in der eigenen Domain-Verwaltungssoftware können sowohl Support Agents als auch Kunden DNSSEC schnell und problemlos per Klick aktivieren, was den raschen Zuwachs erst ermöglicht hat.

Nächster Schritt: Vollständige Verschlüsselung des DNS
Seit längerem wird in der IETF (Internet Engineering Task Force) an der Verschlüsselung des DNS gearbeitet, zwei Protokolle stehen derzeit zur Auswahl: DNS over HTTPS (DoH) und DNS over TLS (DoT). nic.at R&D Leiter Alexander Mayrhofer ist bei der Entwicklung an vorderster Front dabei und hat sogar ein Protokoll-Detail standardisiert, das nun bei den Google Nameservern und in Android 9 zum Einsatz kommt.