Eine kritische Infrastruktur im Fokus

1. Die Geschichte des Domain Name System

Das Domain Name System entstand aus einer technischen Notwendigkeit. Mit dem Wachstum des Arpanet in den 1970er Jahren wurde die zentrale Verwaltung von Hostnamen über eine manuelle Textdatei (hosts.txt) unhaltbar. Benutzer mussten ihre lokalen Systeme manuell mit dieser Datei aktualisieren, was zu Inkonsistenzen und Skalierungsproblemen führte. Die Dezentralisierung des DNS-Konzeptes ermöglichte es dem Internet exponentiell zu wachsen, ohne an zentrale Verwaltungsprozesse gebunden zu sein.

Im Jahr 1984 realisierten UC-Berkeley-Studenten die erste Unix-Implementierung, BIND (Berkeley Internet Name Domain), die bis heute der weltweit am häufigsten verwendete DNS-Server ist. Moderne Erweiterungen wie die NOTIFY-Mechanismen und Incremental Zone Transfer (IXFR) ab den 1980er Jahren ermöglichten dynamische Aktualisierungen und verbesserten die Effizienz der DNS-Replikation.

2. DNS-Sicherheitsbedrohungen: Cache-Poisoning und DDoS-Attacken

Die herkömmliche DNS-Implementierung nutzt das unverschlüsselte UDP-Protokoll und verfügt über keine wesentlichen Authentifizierungsmechanismen, was zu erheblichen Sicherheitslücken führt.

Cache-Poisoning Angriffe gehören zu den gravierendsten Bedrohungen, bei denen Angreifer DNS-Response-Einträge manipulieren, um so falsche IP-Adressen in den Resolver-Cache einzuschleusen. Mit verfälschtem Cache leitet das System bei jeder Anfrage den Benutzer zur manipulierten Domäne um, oftmals zu Phishing-Seiten oder Malware-Servern.

Im Oktober 2025 wurden kritische Schwachstellen in BIND 9[1] (CVE-2025-40778, CVE-2025-40780) offengelegt, die es Angreifern ermöglichen, genau solche Poisoning-Attacken durchzuführen. Angreifer verwenden neben Cache-Poisoning auch DNS für Distributed Denial-of-Service (DDoS)-Attacken, indem sie DNS-Server mit großen Anfragemengen überlasten. Auch DNS-Spoofing, DNSSEC-Validation-Bypass und Hijacking-Angriffe bleiben ständige Bedrohungen.

3. DNSSEC: Authentizität und Integrität durch Kryptografie

DNSSEC (Domain Name System Security Extensions) adressiert das Authentizitätsproblem, indem es digitale Signaturen auf Basis der Public-Key-Kryptografie nutzt. Das System schafft eine Vertrauenskette, die von den Root-Nameservern bis zu einzelnen Domänen reicht. Jede DNS-Zone wird mit einem privaten Schlüssel signiert, was dem Empfänger ermöglicht, die Signatur zu prüfen. Ist die Überprüfung erfolgreich, kann eine DNS-Antwort nicht manipuliert werden, ohne dass die Fälschung auffällt. DNSSEC bietet speziellen Schutz gegen Cache-Poisoning und DNS-Spoofing-Angriffen, da manipulierte Datensätze die Signatur-Validierung fehlschlagen lassen.

Ein wichtiger Punkt ist jedoch die Deployment-Realität, denn nur ein kleiner Teil der DNS-Zonen ist DNSSEC signiert und viele Resolver führen keine Überprüfung durch.

4. Verschlüsselte DNS-Protokolle: DoT und DoH

Neben Authentizität ist Vertraulichkeit ein entscheidender Faktor, denn Angreifer haben die Möglichkeit unverschlüsselte DNS-Anfragen abzufangen und zu analysieren. Zwei moderne Protokolle lösen diese Herausforderung, nämlich DNS over TLS (DoT) und DNS over HTTPS (DoH).

DoT verwendet TCP auf Port 853 mit TLS-Verschlüsselung und sorgt für eine dedizierte, sichere Verbindung.

DoH hingegen kapselt DNS-Anfragen innerhalb eines HTTP-Requests auf Port 443, wodurch der DNS-Traffic wie gewöhnlicher HTTPS-Traffic aussieht.

Dadurch lassen sich DNS-Anfragen nicht mehr vom regulären Webverkehr unterscheiden, ist es schwieriger bei DoH den Datenverkehr zu blockieren oder zu analysieren. DoH ist zudem resistenter gegen Zensurmechanismen in Ländern mit restriktiver Internetüberwachung.

DoT hingegen bietet bessere Leistung und ist einfacher zu monitoren. Ein integriertes Zero Trust DNS (ZTDNS)-Modell[2] wie bei Microsoft Windows 11 geht sogar noch einen Schritt weiter! Es blockiert alle Netzwerkverbindungen, deren IP-Adressen nicht über einen verschlüsselten, vertrauenswürdigen DNS-Service aufgelöst werden. So wird verhindert, dass Malware sich mit Command-and-Control-Servern verbindet, selbst wenn die direkten IP-Adressen bekannt sind.

5. State-of-the-Art: Mehrstufige DNS-Schutzstrategien

Moderne DNS-Sicherheit basiert auf einem mehrschichtigen Ansatz. Zunächst sollten DNS-Server gehärtet werden und es sollten nur notwendigste Dienste aktiv sein.

Der Zugriffe auf Verwaltungsschnittstellen sollte auf autorisierte Nutzer beschränkt werden, und es ist wichtig, Multi-Faktor Authentifizierung (MFA) für administrative Benutzerkonten zu erzwingen bzw. durchzusetzen.

Regelmäßige Systemupdates sind unerlässlich, sowie der Einsatz von DNS-Filtern und Threat-Intelligence-Feeds, um DNS-Anfragen an bekannte, schädliche Domains automatisch zu blockieren.

Letztendlich ist kontinuierliches Monitoring von DNS-Traffic entscheidend, um Anomalien in Abfragemengen oder unerwartete Zonentransfer-Versuche rechtzeitig zu erkennen. Eine Kombination aus DNSSEC-Validierung, DoH/DoT-Verschlüsselung, Malware-Filtering und einer echter Zero-Trust-Implementierung stellen einen modernen, zeitgemäßen Architekturansatz dar.