DNSSEC Day
25.11.2019, 15:41 Uhr
Steiniger Weg zur Adaption von DNSSEC in der Schweiz
Die Umsetzung des Security-Standards DNSSEC verläuft in der Schweiz noch harzig. Das möchte Switch ändern. Vorbild ist dabei die Niederlande.
Gehören als einer der beiden Gewinner des Swiss DNSSEC Pioneer Award von Switch zu den Pionieren der Sicherheitstechnik: Roger Kunz (links) und Christian Geissler (Mitte) von Firestorm
(Quelle: Jens Stark/NMGZ)
Phishing, Ransomware und Online-Trojaner gehören zu den grössten Bedrohungen für Schweizer Unternehmen und Privatanwender – und eines der grössten Einfallstore für all diese Angriffsformen ist nach wie vor der elektronische Briefkasten. Cyberkriminelle haben es unter anderem deshalb so einfach, uns via E-Mail anzugreifen, da wichtige IT-Security-Standards hierzulande noch nicht genug Verbreitung gefunden haben. Zu diesen gehört etwa DNSSEC, eine Erweiterung des Domain-Namen-Systems (DNS), die insofern für mehr Sicherheit sorgt, als sie die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherstellen kann. Ohne DNSSEC sowie weiterer teilweise verwandter Standards wie DMARC (Domain-based Message Authentication, Reporting and Conformance) und DANE (DNS-based Authentication of Named Entities) können Hacker recht einfach das aus den Anfängen des Internet stammende DNS missbrauchen und Anwender auf verseuchte Seiten umleiten oder eine falsche E-Mail-Adresse vorgeben (Spoofing).
Doch mit der Adaption von DNSSEC und vergleichbaren Normen sei es in der Schweiz noch nicht zum Besten bestellt, wie Michael Hausding, Experte für Domain-Missbrauch bei Switch, am Switch DNSSEC Day in Zürich monierte. So verfügten nur 4 Prozent der 1000 Top-.ch-Domains über DNSSEC und deren 5 Prozent verwendeten DMARC.
HTTPS als positives Beispiel
Dass Securtity-Standards sich doch innert nützlicher Frist durchzusetzen vermögen, zeigte Hausding sodann am Beispiel von HTTPS (Hypertext Transport Protocol Secure). Dieses besass 2013 in der Schweiz sowie weltweit lediglich eine Adaption von etwa 25 Prozent. Heute liegt die gleiche Quote bei 92 Prozent und kommt damit einer flächendeckenden Einführung gleich.
Mehrere Faktoren führten zu dieser Adaption. Als Auslöser nannte Hausding die Enthüllungen um die Schnüffeltätigkeit der NSA durch Edward Snowden. Diese hätten die Notwendigkeit aufgezeigt, dass man die Kommunikation im Netz verschlüsseln sollte.
Ein wichtiger Meilenstein sei sodann die Gründung von «Let's Encrypt» gewesen, einer freien, automatisierten und offenen Zertifizierungsstelle (CA). Mit deren Hilfe konnten Webseitenbetreiber gratis und mit wenig Aufwand HTTPS-Zertifikate erhalten. «Bereits 2014 hat Google beschlossen, dass Verschlüsseln wichtig ist und HTTPS als Punkt im Serach-Ranking eingeführt», berichtet Hausding weiter. Dies habe dazu geführt, dass Seiten, die viel Traffic benötigen und daher im Google-Ranking weit oben erscheinen müssen, auf HTTPS umstiegen.
Der dritte Schritt erfolgte dann zwei Jahre später, als die Adaptionsrate bei gut 70 Prozent lag und HTTPS folglich als «Best Practice» gelten konnte. Nun führten die Browser Firefox von Mozilla und Chrome von Google eine Kennzeichnung ein, die alle Webseiten, die kein HTTPS verwendeten automatisch als unsicher brandmarkten. «Dies hat dann dazu geführt, dass auch die letzten Webseiten in der Schweiz, welche die Technologie noch nicht eingeführt hatten, diese nun umsetzten», so Hausding.
In Bezug auf DNSSEC meinte Hausding sodann, dass bei HTTPS global an einem Strang gezogen worden sei und US-Grosskonzerne eine federführende Rolle eingenommen hätten. Beides sei beim sicheren DNS nicht der Fall. Hier läge eine sehr unterschiedliche Adaptionsrate vor.