DNSSEC Day
25.11.2019, 15:41 Uhr
Steiniger Weg zur Adaption von DNSSEC in der Schweiz
Die Umsetzung des Security-Standards DNSSEC verläuft in der Schweiz noch harzig. Das möchte Switch ändern. Vorbild ist dabei die Niederlande.
Gehören als einer der beiden Gewinner des Swiss DNSSEC Pioneer Award von Switch zu den Pionieren der Sicherheitstechnik: Roger Kunz (links) und Christian Geissler (Mitte) von Firestorm
(Quelle: Jens Stark/NMGZ)
Phishing, Ransomware und Online-Trojaner gehören zu den grössten Bedrohungen für Schweizer Unternehmen und Privatanwender – und eines der grössten Einfallstore für all diese Angriffsformen ist nach wie vor der elektronische Briefkasten. Cyberkriminelle haben es unter anderem deshalb so einfach, uns via E-Mail anzugreifen, da wichtige IT-Security-Standards hierzulande noch nicht genug Verbreitung gefunden haben. Zu diesen gehört etwa DNSSEC, eine Erweiterung des Domain-Namen-Systems (DNS), die insofern für mehr Sicherheit sorgt, als sie die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherstellen kann. Ohne DNSSEC sowie weiterer teilweise verwandter Standards wie DMARC (Domain-based Message Authentication, Reporting and Conformance) und DANE (DNS-based Authentication of Named Entities) können Hacker recht einfach das aus den Anfängen des Internet stammende DNS missbrauchen und Anwender auf verseuchte Seiten umleiten oder eine falsche E-Mail-Adresse vorgeben (Spoofing).
Doch mit der Adaption von DNSSEC und vergleichbaren Normen sei es in der Schweiz noch nicht zum Besten bestellt, wie Michael Hausding, Experte für Domain-Missbrauch bei Switch, am Switch DNSSEC Day in Zürich monierte. So verfügten nur 4 Prozent der 1000 Top-.ch-Domains über DNSSEC und deren 5 Prozent verwendeten DMARC.
HTTPS als positives Beispiel
Dass Securtity-Standards sich doch innert nützlicher Frist durchzusetzen vermögen, zeigte Hausding sodann am Beispiel von HTTPS (Hypertext Transport Protocol Secure). Dieses besass 2013 in der Schweiz sowie weltweit lediglich eine Adaption von etwa 25 Prozent. Heute liegt die gleiche Quote bei 92 Prozent und kommt damit einer flächendeckenden Einführung gleich.
Mehrere Faktoren führten zu dieser Adaption. Als Auslöser nannte Hausding die Enthüllungen um die Schnüffeltätigkeit der NSA durch Edward Snowden. Diese hätten die Notwendigkeit aufgezeigt, dass man die Kommunikation im Netz verschlüsseln sollte.
Ein wichtiger Meilenstein sei sodann die Gründung von «Let's Encrypt» gewesen, einer freien, automatisierten und offenen Zertifizierungsstelle (CA). Mit deren Hilfe konnten Webseitenbetreiber gratis und mit wenig Aufwand HTTPS-Zertifikate erhalten. «Bereits 2014 hat Google beschlossen, dass Verschlüsseln wichtig ist und HTTPS als Punkt im Serach-Ranking eingeführt», berichtet Hausding weiter. Dies habe dazu geführt, dass Seiten, die viel Traffic benötigen und daher im Google-Ranking weit oben erscheinen müssen, auf HTTPS umstiegen.
Der dritte Schritt erfolgte dann zwei Jahre später, als die Adaptionsrate bei gut 70 Prozent lag und HTTPS folglich als «Best Practice» gelten konnte. Nun führten die Browser Firefox von Mozilla und Chrome von Google eine Kennzeichnung ein, die alle Webseiten, die kein HTTPS verwendeten automatisch als unsicher brandmarkten. «Dies hat dann dazu geführt, dass auch die letzten Webseiten in der Schweiz, welche die Technologie noch nicht eingeführt hatten, diese nun umsetzten», so Hausding.
In Bezug auf DNSSEC meinte Hausding sodann, dass bei HTTPS global an einem Strang gezogen worden sei und US-Grosskonzerne eine federführende Rolle eingenommen hätten. Beides sei beim sicheren DNS nicht der Fall. Hier läge eine sehr unterschiedliche Adaptionsrate vor.
Vorbild Niederlande
Als vorbildliches Beispiel, zumindest was die Adaptionsrate von DNSSEC anbelangt, gilt dagegen die Niederlande. Von den Internetadressen mit der Endung .nl sind heuer schon 54 Prozent mit DNSSEC unterwegs. Damit sind die Holländer weltweit führend.
Von den Niederländern gibt es somit einiges zu lernen, was die flächendene Einführung und Anwendung von DNSSEC bei den .nl-Domains anbelangt. Wie Michiel Henneke, Marketing-Manager der .nl-Registry SIDN (Stichting Internet Domeinregistratie Nederland) an der Switch-Veranstaltung ausführte, habe man die hohe Adaptionsrate mit mehreren Massnahmen erreicht.
So sei ein Rabatt für signierte Domain eingeführt worden. «Dies war so erfolgreich, dass wir das beispielsweise auch für IPv6 wiederholt haben», berichtet Henneke. Daneben habe man für grosse Registrare Beratung angeboten bei der Implementierung von DNSSEC. Zudem wurde ein grosser DNS-Softwareanbieter, die niederländsiche PowerDNS, finanziell gefördert. Darüber hinaus habe man bei der Legislative und bei der Regierung für entsprechende Gesetze und Verordnungen Lobby-Arbeit geleistet. Schliesslich wurde einiges in Öffentlichkeitsarbeit gesteckt.
Den Ball ins Rollen gebracht hat dann aber die Adaption von DNSSEC eines der grössten Registrare, der dies in der Folge als Wettbewerbsvorteil vermarktete. Die Konkurenz konnte nun nicht mehr hintenan stehen, zog nach und bot ähnliche Services an. Erfolg versprach auch die konsequente Bearbeitung von Inhabern von öffentlichen Domains wie Regierungsstellen und Gemeinden durch das niederländische Innenministerium. Diese wurden im Rahmen einer Verordnung dazu aufgefordert, auf DNSSEC umzusteigen oder zu erklären, warum sie dies nicht täten.
Diesen Bemühungen half sodann SIDN etwas nach, indem sie eine Liste an Medien verschickte, auf der die Domains der verschiedenen Ämter und staatlichen Institutionen vermerkt waren, welche Sicherheitsnormen wie DNSSEC implementiert hatten oder eben nicht. «Nach einem Jahr hatten alle säumigen institution, die auf der Liste erschienen waren, DNSSEC implementiert», fügte Henneke an.
Awards als erster Schritt
Positive Beispiele für DNSSEC-Implementation gibt es aber auch schon in der Schweiz. Immerhin hat Switch an der Veranstaltung auch zwei «Swiss DNSSEC Pioneer Awards» verliehen. Die erste der Auszeichnungen ging an den Webhoster Firestorm aus Tann im Kanton Zürich, der durch Roger Kunz und Christian Geissler entgegengenommen werden konnte. Die Firma habe ein System entwickelt, um alle Domainnamen ihrer Kunden digital zu signieren, hiess es als Begründung. Den zweiten Award erhielt Swisscom, die ein System zur Prüfung von DNSSEC-Signaturen entwickelt und implementiert hat.