Besuchen Sie uns auf der Public IT Security (PITS) am 12. und 13. Juni 2024 im Hotel Adlon in Berlin. Die PITS ist die führende Veranstaltung für IT-Fachleute im öffentlichen Sektors.
Dieses Jahr ist die Messe ganz dem Thema „Security Performance Management“ gewidmet. Der aktuelle Bericht der ENISA – Agentur der Europäischen Union für Cybersicherheit –zur Bedrohungslandschaft im Bereich der Cybersicherheit klassifiziert u.a.
DDoS-Attacken
Ransomware & Malware
Phishing, Desinformation
als derzeit bedeutsamste Bedrohungen.
In Reaktion auf diese Bedrohungen treten zeitnah umfassende EU-Richtlinien zur Online-Sicherheit in Kraft: die NIS2 im Oktober 2024, DORA im Januar 2025, RED im August 2025 und den AI Act Mitte 2026.
Angesichts des bedrohlichen Cyberkontexts und der rechtlichen Lage ist es für Unternehmen und öffentliche Verwaltungen unumgänglich geworden, sich online zu schützen und die Einhaltung der EU-Vorschriften sicher zu stellen. Wie kann dabei vorgegangen werden?
Cybersicherheit fängt bei der Domain an: Webseiten, Apps, Emails, VPN, SSO sind vom vulnerablen Domain Name System (DNS) abhängig. Die Nichterreichbarkeit strategischer Domains hat schwerwiegende Folgen für Unternehmen und Verwaltungen. Die Wahl eines professionellen B2B-Domain-Registrars mit eigenem CERT und erhöhter DNS Sicherheits-Einstellungen wie DNSSEC, DDoS-Filterung, Failover, Anycast Infrastruktur, Verwaltung Sub- und Reverse-Zonen, DMARC, ständiges Monitoring mit Alerts ist in der aktuellen Situation wichtiger denn je.
Nameshield präsentiert auf der PITS 2024 sein umfassendes Angebot als führender Dienstleister für die öffentliche Verwaltung im EU-Nachbarland Frankreich erstmals dem deutschen Publikum. Lernen Sie an unserem Stand (Standfläche 9), wie Nameshield die Sicherheit und Verfügbarkeit der Webpräsenz strategisch hochrelevanter öffentlicher Einrichtungen wie dem Elysée-Palast, der Nationalen Sicherheitsagentur für Informationssysteme (ANSSI, Partner vom BSI), dem Ministerium für Bildung und Hochschulen, sowie von www.paris.fr sicherstellt.
Auf der Veranstaltung treffen sich IT-Verantwortliche aus verschiedenen Organisationen, Behörden, Unternehmen und der Wissenschaft, um sich über neue Trends und Strategien im Bereich der IT-Sicherheit auszutauschen. Seit über einem Jahrzehnt ist PITS eine zentrale Plattform für den Wissensaustausch und die Diskussion über aktuelle Entwicklungen im Bereich der Cybersicherheit. Vereinbaren Sie bereits jetzt einen Termin mit Ihrem Nameshield-Berater vor Ort!
Treffen Sie unser Team an Standfläche 9 und tauschen Sie sich über bewährte Verfahren zum Schutz und zur Verwaltung von Domainnamen im öffentlichen Sektor aus.
In Köln fand vom 22. bis 24. April der Certified Senders Alliance Summit zum Thema „Trust fuels the future » statt. Und es gab Grund zum Feiern: bereits seit 20 Jahren hat sich die Initiative das Thema sichere E-Mail auf die Fahnen geschrieben
Die Unternehmenskommunikation hat sich in den letzten 20 Jahren mit dem Aufstieg der sozialen Netzwerke stark verändert: Instagram hat heute monatlich insgesamt mehr als 2 Milliarden Nutzer, YouTube mehr als 2,5 Milliarden und Facebook mehr als 3 Milliarden. Obwohl diese Plattformen weitgehend in die Kommunikationsstrukturen der Unternehmen integriert sind, ist die Nutzung von E-Mails zur Kundenkommunikation nach wie vor von hoher Relevanz – unter anderem aufgrund der Vielfältigkeit ihrer Einsatzgebiete wie z.B. Versand von Mailings, Newslettern, Rechnungen oder auch Auftragsbestätigungen . Daten von Statista zeigen einen Anstieg des Gesamtvolumens an E-Mails um 4,3 % im Jahr 2023 im Vergleich zum Vorjahr mit fast 347,3 Milliarden E-Mails, die täglich weltweit verschickt werden. Ein weiterer Fakt ist, dass eine Person im Durchschnitt etwa 121 E-Mails pro Tag erhält; eines scheint sicher: Die E-Mail wird nicht so schnell verschwinden.
Gartner weist jedoch darauf hin, dass die Sorge um die Sicherheit von E-Mails zunimmt, da kaum ein Unternehmen von Sicherheitsvorfällen verschont bleibt. Phishing-Attacken durch bösartige Links oder Anhänge werden immer ausgefeilter und verursachen Daten- und Umsatzverluste. Ausgehend von dieser Feststellung bringt die CSA jedes Jahr Experten des E-Mail-Ökosystems zusammen, um sich über bewährte Verfahren und Lösungen auszutauschen, welche die Qualität des Kanals verbessern und so das Vertrauen auf Kundenseite in die E-Mail verbessern. Die Veranstaltung ist um eine Reihe von Workshops, Sessions, Konferenzen und Masterclasses herum organisiert.
Nameshield war als Gold-Sponsor auf der Jubiläumsausgabe des CSA Email Summits dabei. Im Rahmen ihres Workshops im DNS TRACK stellten unsere Experten Joëlle Samaké und Arnaud Witterheim heraus, dass es keine E-Mail-Sicherheit ohne sichere Domainnamen und eine robuste und leistungsfähige DNS-Infrastruktur gibt. Die Sicherheit von E-Mails hängt daher von der Wahl des Domainnamenanbieters und den Cybersicherheitslösungen ab, die er seinen Kunden anbieten kann. Dazu zählt der Einsatz des DMARC-Protokolls, das die Nutzer vor betrügerischen E-Mails schützt. Die personalisierten Marken-Top Level Domains, die sogenannten Dot Brands, sind ein weiterer Hebel, um im Hinblick auf die nächste Runde neuer generischer Domainendungen, die für April 2026 geplant ist, Vertrauen in die eigene Marke zu schaffen.
Für weitere Informationen zu unseren Lösungen wenden Sie sich bitte an Ihren Nameshield-Berater.
Seit 20 Jahren hat sich die CSA (Certified Senders Alliance) die Stärkung des Vertrauens in den Kommunikationskanal E-Mail auf die Fahnen geschrieben. Brücken bauen zwischen E-Mail Versendern und E-Mail Anbietern war von Anfang an das zentrale Ziel der CSA – der Jubiläums-Summit dieses Jahr wird die Erfolgsfaktoren der Zukunft unter dem Motto ‚Trust Fuels the Future‘ untersuchen.
Nameshield ist als Gold-Sponsor der Veranstaltung mit dabei – unser Team würde sich sehr freuen, Sie dort zu treffen. Sichern Sie sich marktführendes Know-How mit den Erkenntnissen von CSA und den sich entwickelnden Best Practices. Wir sind besonders gespannt auf die Diskussion rund um die Implementierung von DMARC, das sich gerade zu einem neuen Standard entwickelt. Nameshield stellt seinen Newsletter-Abonnenten drei Gutscheine im Wert von 100 € zur Verfügung. Bei Interesse wenden Sie sich bitte an Ihren Ansprechpartner bei Nameshield – first come, first served!
Treffen Sie ein internationales Netzwerk von Marken, Agenturen, E-Mail-Dienstleistern und Mailbox-Anbietern zum dynamischen Informationsaustausch im gut vernetzten E-Mail-Ökosystem! Der CSA Email Summit ist nicht nur eine Veranstaltung, sondern Ihr Weg, Ihr volles Potenzial in der sich ständig weiterentwickelnden Landschaft der kommerziellen E-Mail auszuschöpfen.
Der CSA Email Summit wird von verschiedenen Branchenverbänden unterstützt und bietet eine solide Plattform für Gespräche, welche wertvolle Einblicke in die Zukunft des E-Mail-Marketings erlauben. Lernen Sie von Branchenexperten in Workshops, Sessions, Kurzvorträgen und Masterclasses, um Ihre Fachkenntnisse zu erweitern.
Bitte kontaktieren Sie das Nameshield-Team für weitere Informationen und um einen Termin auf dem Summit zu vereinbaren!
Als Reaktion auf die explosionsartige Zunahme von weltweit gemeldeten Phishing-Angriffen wird die nächste Version der Standards für die Kreditkartenindustrie (PCI DSS v4.0) die Implementierung des DMARC-Protokolls vorschreiben, um den E-Mail-Verkehr sicherer zu machen.
Hier finden Sie alles, was Sie darüber wissen sollten.
Was ist PCI DSS und wer ist davon betroffen?
Dieses Akronym steht für eine Reihe von Sicherheitsstandards, die entwickelt wurden, um den Schutz von Informationen im Zusammenhang mit Kreditkarten zu gewährleisten. Diese Standards wurden vom Payment Card Industry Security Standards Council (PCI SSC) geschaffen. Die Organisation vereint die wichtigsten Unternehmen der Kreditkartenbranche wie Visa, MasterCard, American Express, Discover und JCB.
Das Hauptziel des PCI DSS ist es, die Sicherheit von Transaktionen mit Kreditkarten zu gewährleisten und die sensiblen Daten der Karteninhaber, wie Kartennummern, Ablaufdaten und Geheimzahl, zu schützen.
Die Einhaltung des PCI DSS ist für alle Organisationen erforderlich, die Kreditkarteninformationen verarbeiten, speichern oder weitergeben.
In seiner aktuellen Version basiert der Standard auf den folgenden Kriterien:
Einrichtung und Verwaltung eines sicheren Netzwerks und Systems
Schutz der Daten des Karteninhabers
Aufrechterhaltung eines Programms zum Schwachstellenmanagement
Umsetzung strenger Maßnahmen zur Zugangskontrolle
Regelmäßige Überwachung und Tests der Netzwerke
Aufrechterhaltung einer Richtlinie zur Informationssicherheit
E-Mails nicht betroffen von den Maßnahmen – bis März 2025
Wie Sie bemerkt haben, werden E-Mails in den Kriterien, die der PCI DSS-Standard in seiner aktuellen Version definiert, nicht eindeutig erwähnt. Da E-Mails jedoch der Hauptvektor für Online-Betrügereien sind, war es höchste Zeit, sie vollständig in den Mittelpunkt zu stellen und einen starken Aktionsplan zum Schutz von Händlern und ihren Kunden zu definieren.
In diesem Zusammenhang wird sich der PCI DSS-Standard bald weiterentwickeln und den Einsatz einer strengen DMARC-Richtlinie („p=reject“ oder „p=quarantine“) vorschreiben, damit Anti-Spam-Software E-Mails, die von Ihrem Domainnamen aus ohne Ihre Genehmigung verschickt werden, effektiver herausfiltern kann.
Ab März 2025 werden PCI DSS-Prüfer die korrekte Konfiguration der Protokolle SPF, DKIM und DMARC bei ihren Audits berücksichtigen.
Die Experten von Nameshield stehen Ihnen gerne zur Verfügung, um Sie bei der Einführung dieses Protokolls zu unterstützen.
Google und Yahoo haben kürzlich bedeutende Änderungen an ihren Anforderungen für die Authentifizierung von E-Mails angekündigt. Diese Anpassungen zielen darauf ab, die Sicherheit der Online-Kommunikation zu erhöhen, was in der heutigen Zeit der Cyberkriminalität eine große Herausforderung darstellt.
Die beiden Branchenriesen legen den Schwerpunkt auf die Einführung fortschrittlicher Authentifizierungsprotokolle, insbesondere DMARC(Domain-based Message Authentication, Reporting and Conformance). DMARC baut auf den bestehenden Standards SPF und DKIM auf und bietet eine robuste Methode, um die Authentizität von E-Mails zu überprüfen und das Risiko von Identitätsdiebstahl und Phishing zu verringern.
Um diese neuen Anforderungen umzusetzen, werden Google und Yahoo ihre Algorithmen anpassen, um E-Mails von Domains zu priorisieren, die DMARC korrekt implementiert haben. Dadurch soll die Zustellbarkeit authentifizierter E-Mails verbessert werden, wodurch das Vertrauen der Nutzer in die Sicherheit ihrer Posteingänge gestärkt wird.
Die neuen Richtlinien gelten ab dem 1. Februar 2024 für alle Absender, die mehr als 5.000 E-Mails pro Tag versenden. Sie unterstreichen das Engagement von Google und Yahoo im Kampf gegen Online-Bedrohungen, insbesondere gegen Phishing, eine gängige Methode von Cyberkriminellen, um Nutzer zu täuschen und an ihre sensiblen Informationen zu gelangen. Durch die Einführung strengerer Anforderungen an die E-Mail-Authentifizierung erhöhen diese Unternehmen den Schutz der Nutzer vor bösartigen Angriffen.
Für Domaininhaber und Akteure der digitalen Welt ist es nun entscheidend, diese neuen Richtlinien einzuhalten, um zur Schaffung eines sichereren und geschützteren Internets für alle beizutragen.
Die Experten von Nameshield stehen Ihnen gerne zur Verfügung, um Sie bei der Einführung dieses Protokolls zu unterstützen.
In der Welt der Websites und Domainnamen kommt es häufig vor, dass man die Verwendung eines Domainnamens – etwa in der Adresszeile des Webbrowsers – auf einen anderen umleiten möchte, um auf eine Website zuzugreifen. Ein Beispiel:
a-great-website.com auf www.a-great-website.com weiterleiten.
www.to-be-redirected.com auf www.a-great-website.com weiterleiten.
Es ist jedoch nicht immer ganz einfach zu verstehen, wie das alles funktioniert und wie man beim Einrichten dieser Weiterleitungen vorgehen muss. Muss ich die Weiterleitung auf der Ebene der DNS-Zone einrichten? Auf der Ebene meines Webservers? Auf beiden? Wahlweise das eine oder das andere?
Dieser Artikel soll die Unterscheidung zwischen DNS- und HTTP-Weiterleitung näher erläutern und aufzeigen, wie diese beiden Protokolle zusammenarbeiten.
Anmerkung: Im Folgenden wird nicht zwischen HTTP und HTTPS (durch ein Zertifikat gesichertes HTTP-Protokoll) unterschieden. Für das Thema, das uns hier interessiert, macht dies keinen Unterschied.
Den Unterschied zwischen DNS und HTTP richtig verstehen
DNS und HTTP sind zwei Protokolle, die beide für das reibungslose Funktionieren des Internets unerlässlich sind, aber nicht die gleiche Rolle spielen.
Nehmen wir als Beispiel einen Benutzer, der auf die Website blog.nameshield.com zugreifen möchte. Er gibt daher blog.nameshield.com in die Adresszeile seines bevorzugten Browsers ein.
Bevor der Browser eine Anfrage senden kann, um den Inhalt der Homepage der Website zu erhalten, muss er wissen, an welche IP-Adresse er diese Anfrage senden soll. Hier kommt das DNS ins Spiel. Der Browser sendet also eine DNS-Anfrage (unter Verwendung des DNS-Protokolls) an einen Resolver: „Gib mir die IP-Adresse, die mit blog.nameshield.com verknüpft ist“. Im Gegenzug erhält er eine IP-Adresse (81.92.84.102), die bei einem autoritären DNS-Server konfiguriert wurde. Man spricht von der Auflösung der Domain blog.nameshield.com.
Der Browser kann dann die HTTP-Request (unter Verwendung des HTTP-Protokolls) an den HTTP-Server (oder Webserver) senden, dessen IP-Adresse er soeben erhalten hat: „Gib mir den Inhalt der Webseite blog.nameshield.com„. Im Gegenzug erhält er den Inhalt der Seite, die er anzeigen soll.
Das DNS-Protokoll bietet Datensatztypen, die es ermöglichen, eine Domain auf eine andere „umzuleiten“: insbesondere den Typ CNAME. Auch wenn man leicht von DNS-„Umleitung“ spricht, ist der Begriff „Alias“ angemessener. Dieses leitet nicht im eigentlichen Sinne um, sondern zeigt an, dass die Domain, die man auflöst, ein Alias einer anderen Domain ist. Man muss dann diese andere Domain auflösen, um die gesuchte IP-Adresse zu erhalten.
Nehmen wir ein Beispiel: Man möchte eine Weiterleitung von www.to-be-redirected.com auf die Website www.a-great-website.com einrichten. Wenn wir die DNS-Zone von to-be-redirected.com mit einem CNAME-Eintrag wie diesem konfigurieren: www.to-be-redirected.com CNAME www.a-great-website.com, läuft das darauf hinaus, dass wir sagen: „Sie möchten die IP-Adresse wissen, die mit www.to-be-redirected.com verbunden ist ? Nun, suchen Sie die IP-Adresse, die mit www.a-great-website.com verbunden ist und Sie werden Ihre Antwort erhalten.“ Eine zweite DNS-Anfrage wird gesendet, um www.a-great-website.com aufzulösen und die IP-Adresse zu erhalten. Der Browser wird zwar über die IP-Adresse des HTTP-Servers verfügen, der uns interessiert (der Server, der die Webseite www.a-great-website.com hostet), aber das ändert nichts am Inhalt der vom Browser gesendeten HTTP-Anfrage: „Gib mir den Inhalt der Webseite www.to-be-redirected.com„.
Es ist wichtig zu beachten, dass die vom Browser gesendete HTTP-Anfrage den Namen der Website (oder Host – hier www.to-be-redirected.com) enthält, auf die man zugreifen möchte. Ein und derselbe Server (und damit eine IP-Adresse) kann nämlich Dutzende verschiedener Websites beherbergen. Er wird nur auf HTTP-Anfragen positiv reagieren, die einen Host enthalten, für den er konfiguriert ist. Es reicht also nicht aus, die IP-Adresse des Webservers zu kennen, Sie müssen ihm auch eine HTTP-Anfrage senden, auf die er antworten kann. Eine Anfrage http://www.to-be-redirected.com an einen Server zu senden, der nur für die Beantwortung von http://www.a-great-website.com konfiguriert ist, wird nicht funktionieren!
Auch das HTTP-Protokoll bietet ein System von Weiterleitungen (hier ist in der Tat von Weiterleitungen die Rede). Ein HTTP-Server kann so konfiguriert werden, dass er einen Host an einen anderen weiterleitet. Wenn er beispielsweise HTTP-Anfragen „Gib mir den Inhalt der Webseite www.to-be-redirected.com“ erhält, antwortet er „Diese Ressource wird an http://www.a-great-website.com weitergeleitet“. Dann nimmt der Browser die verschiedenen Schritte wieder auf:
DNS-Auflösung von www.a-great-website.com
Senden einer Anfrage http://www.a-great-website.com an die erhaltene IP-Adresse
Anzeige der erhaltenen Webseite
Wie können DNS und HTTP-Weiterleitungen gut zusammenarbeiten ?
Fassen wir noch einmal zusammen:
Das DNS dient dazu, einen Domainnamen aufzulösen, um eine IP-Adresse zu erhalten.
HTTP-Anfragen werden an eine IP-Adresse gesendet und enthalten den Host der Website, auf die man zugreifen möchte.
HTTP-Server können je nach Host in der Anfrage unterschiedliche Inhalte zurückliefern: eine von ihnen gehostete Webseite, eine Weiterleitung, für die sie konfiguriert wurden, oder einen Fehler, wenn ihnen der Host unbekannt ist.
Um eine Umleitung (immer noch mit unserem Beispiel) korrekt zu betreiben, benötigen Sie also:
Einen DNS-Eintrag in der Zone to-be-redirected.com, um den Host www mit der IP-Adresse eines Webservers zu verknüpfen und
Einen Webserver, auf dem eine Weiterleitung von http://www.to-be-redirected.com nach http://www.a-great-website.com eingerichtet werden muss.
Wie Nameshield Sie unterstützen kann ?
Nameshield bietet einen Dienst für HTTP- (und HTTPS-) Weiterleitungen an, der die Einrichtung dieser Weiterleitungen vereinfacht und den Sie nutzen können, sobald sich Ihre ursprüngliche Domain in der technischen Verwaltung von Nameshield befindet. Gehen Sie einfach zur Schnittstelle für die technische Konfiguration Ihres Domainnamens und dann zur Registerkarte „HTTP-Weiterleitungen“. Dort können Sie eine neue Umleitung auf den Host Ihrer Wahl erstellen, indem Sie verschiedene Parameter angeben (z. B. die Weitergabe von Verzeichnissen und oder von Parametern der Anfrage). Unser System übernimmt dann automatisch die folgenden Aufgaben:
Die DNS-Zone zu ändern, um Datensätze (A/JJJJ oder CNAME, je nachdem, was zutrifft) hinzuzufügen, die auf die IP-Adresse des Nameshield-HTTP-Weiterleitungsservers verweisen. In der Konfigurationsoberfläche der Zone gibt es ein eigenes Symbol, mit dem diese automatisch hinzugefügten Datensätze leicht unterschieden werden können.
Richten Sie eine neue Weiterleitung auf unserem HTTP-Weiterleitungsserver (der über eine Anycast-Architektur verfügt, wenn Sie ein Premium-Angebot nutzen) gemäß den geforderten Parametern ein.
Danach ist Ihre Weiterleitung funktionsfähig und Sie müssen nichts weiter tun. Bei Ihrem Webhoster sind keine Änderungen erforderlich.
Wenn Sie das Ziel einer bestehenden HTTP-Weiterleitung ändern möchten, müssen Sie nur von derselben Schnittstelle aus die bestehende Weiterleitung ändern (Sie müssen sie nicht löschen, um eine neue Weiterleitung zu erstellen). Am DNS müssen keine Änderungen vorgenommen werden, da der Host bereits auf unseren HTTP-Weiterleitungsserver weiterleitet. Unser System wird sich darum kümmern, die Konfiguration des HTTP-Servers zu ändern und Ihre neue Weiterleitung wird innerhalb weniger Minuten wirksam.
Wenn Sie Fragen zu diesem Artikel haben, wenden Sie sich bitte an Ihre/n Kundenbetreuer/in.
Nameshield führt als Experte der Themen Domainsicherheit und Online Brand Protection regelmäßig Studien zur aktuellen Lage in diesen Bereichen durch, so auch bei unserer aktuellen DMARC-Studie.
Da Finanzinstitute und deren Kunden ein attraktives Ziel für Angreifer sind und mit dem DMARC-Standard ein zuverlässiger Schutz vor Phishing E-Mails möglich ist, haben wir uns in der aktuellen Studie gefragt, wie weit deutsche Banken bei der Umsetzung bereits fortgeschritten sind. Um eine Vergleichsbasis zu haben, wurde das europäische Bankenumfeld in die Analyse miteinbezogen.
Basierend auf unserer über 30-jährigen Erfahrung auf dem Gebiet der Domain- und E-Mail-Sicherheit kann Nameshield in dem Report auch erste Handlungsempfehlungen geben. Der vollständige Report steht hier für Sie zum Downloadbereit. Fragen Sie auch gerne eine personalisierte Auswertung und Beratung bei uns an.
Treffen Sie Nameshield vom 10. bis 12. Oktober in Nürnberg bei einer neuen Ausgabe der it-sa, dem unumgänglichen Treffen der IT-Sicherheitsbranche!
Als „Home of IT Security“ steht die it-sa sowohl für ein umfassendes Informationsangebot als auch für Networking und Wissensaustausch zu den Themen Datenschutz und IT-Sicherheit.
Auf dem dreitägigen Programm stehen Vorträge, Workshops, Diskussionsrunden, One-to-One-Termine und Möglichkeiten zum Networking…
Treffen Sie uns vor Ort: Halle 7, Stand 7-214, in Kooperation mit eco, dem Verband für Internetwirtschaft.
Tauschen Sie sich mit unserem Team aus und finden Sie heraus, inwieweit unsere globalen Lösungen Ihre Anforderungen an die DNS-Sicherheit erfüllen. Entdecken Sie unser Produkt für eine Hochverfügbarkeit Ihrer strategischen Domains: „DNS Bastion„.
Das Internet ist aus der heutigen Welt nicht mehr wegzudenken und ist die Basis vielfältigster Anwendungen: Webseitenauftritte, E-Mail-Kommunikation, Messengerdienste, Take-Away-Food-Bestellungen und Home-Office sind da noch die offensichtlichsten, da der Anwender direkt mit ihnen zu tun hat.
Heutzutage kommunizieren aber auch Autos, Handys und IoT-Geräte über das Internet, sei es um Softwareupdates zu laden, Sensordaten zu melden oder auch automatisiert Ersatzteile nachzuordern.
Aus diesem Grund hat so gut wie jede Firma strategisch wichtige Domains, die von Kunden, Mitarbeitern oder Geräten zu gewissen Zwecken aufgerufen werden kann.
Da Domainnamen (z.B. „nameshield.de“) leichter zu merken sind als IP-Adressen (z.B. in diesem Fall „81.92.80.55“) wurde 1983 das Domain Name System (DNS) entworfen und kam ab 1984 zum Einsatz. Es ist vergleichbar mit einem verteilten Telefonbuch und übersetzt zwischen Domainnamen und IP-Adressen. Diesen Vorgang bezeichnet man als „Auflösung“, die IP-Adresse wird dann von einem befugten DNS-Server geliefert.
Im Jahr der Einführung waren aber lediglich 1.000 Rechner an das Netzwerk angeschlossen, die häufig mit wissenschaftlicher Motivation betrieben wurden. Entsprechend ging man beim Entwurf des DNS und des Internets von freundlich-gesonnenen Netzwerkteilnehmern aus. Das hat sich ein wenig geändert: Derzeit schätzt man eine Anzahl von mehr als 5 Milliarden „menschlichen“ Internetnutzern weltweit, zusätzlich kommen unzählige Geräte hinzu. Durch dieses Wachstum wurde die virtuelle Welt auch attraktiver für Betrüger, Aktivisten und Erpresser und die Anforderungen an das Internet und das dahinterliegende DNS haben sich geändert.
Neben Basisfunktionen sind von funktionaler Seite vor allem folgende Punkte wichtig:
1. Verfügbarkeit: Eine hohe Verfügbarkeit ist notwendig, damit Website, E-Mails, Apps, VPN, SSO und andere Schlüsselservices reibungslos erreichbar sind und funktionieren. Ein Ausfall des DNS-Servers mit seiner Übersetzungsfunktion führt zu Datenverlust, finanziellem Schaden, Kundenabgang, Handlungsunfähigkeit von Remote-Arbeitern und Imageverlust.
2. Latenzzeit: Egal von welchem Ort man auf eine Domain zugreift und eine Domainauflösung initiiert, soll dies heutzutage zügig geschehen. Hohe Latenzen führen zu starken Einschränkungen oder auch Fehlern in Anwendungen. Beispielsweise ist ein Telefonat mit deutlichen Verzögerung in der Leitung nicht mehr sinnvoll durchführbar. Ein anderes Beispiel ist das rund 6.000 Kilometer lange, auf dem Meeresboden verlegte, Kabel, das die Finanzplätze London und New York 5 Millisekunden schneller als sein Vorgänger kommunizieren lässt und somit zu erheblichen Vorteilen beim Börsenhandel führen.
Aus dem Blickwinkel der IT-Sicherheit ergeben sich zudem weitere Anforderungen:
3. Schutz gegenüber administrativen Risiken: Sollte ein unbefugter Zugriff auf die Konfiguration des DNS-Servers stattfinden, können relevante Daten wie IP-Adressen oder MX-Records geändert werden. Dadurch kann ein Angreifer beispielsweise legitime Domainanfragen auf eine von ihm kontrollierte IP-Adresse umleiten und so Internetnutzer auf Betrugsseiten schicken.
4. Schutz gegenüber technischen Risiken:
DDoS-Attacken: Mithilfe von Botnetzen können „Distributed Denial of Service“-Attacken (kurz DDoS) ausgeführt werden. Hierbei schicken zeitgleich hunderte bis zehntausende Bots geschickt formulierte Anfragen, die den DNS-Server überlasten, der dann wiederum keine Antworten mehr an legitim anfragende Clients geben kann. Über eine geschickte „reflection attack“ kann sogar noch eine weitere Partei mit hineingezogen werden.
DNS cache poisoning: Auf dem Weg zum DNS-Server sind Resolver vorgeschaltet. Diese werden vom Endclient kontaktiert, um eine URL aufzulösen. Der Resolver besitzt einen temporären Speicher (cache), um Domaindaten zwischenzuspeichern und muss deshalb nicht unbedingt bei jeder Anfrage des Endclients eine Verbindung zum DNS-Server herstellen. Dies reduziert die benötigte Bandbreite, gerade wenn man bedenkt, wie häufig Domains wie beispielsweise „google.de“ aufgerufen werden. Beim DNS cache poisoning wird versucht, diesen temporären Speicher mit falschen DNS-Daten zu füllen, sodass bis zur nächsten Anfrage am DNS-Server (sobald der temporäre Speicher gelöscht ist) gefälschte Informationen hinterlegt werden. Dadurch können Clients wieder auf Betrugsseiten umgeleitet werden.
DNS-Spoofing: Das DNS-Protokoll sieht erstmal keine Verschlüsselung und keinen Integritätsschutz von Anfragen und Antworten vor. Das heißt, dass Dritte die Kommunikation mithören können. In einem weiteren Schritt können sie sich dann als DNS-Server ausgeben und gefälschte Antworten mit falschen Informationen senden, die dann wiederum auf eine Betrugsseite führen können.
DNS-tunneling: DNS-requests werden normalerweise ständig und in hoher Anzahl aus dem Firmennetzwerk verschickt. Dabei werden sie sehr selten durch eine Firewall blockiert. Hacker nutzen dies aus, um Daten aus dem Firmennetzwerk zu extrahieren, ohne zu viel Aufmerksamkeit auf sich zu ziehen. Dazu registrieren sie eine Domain (bspw. „hacker.com“) und lassen den infizierten Firmenrechner DNS-Abfragen an diese Domain schicken. Dabei werden in jeder DNS-Abfrage zu extrahierende Daten mitgeschickt. Sobald alle Daten per DNS-Request übermittelt wurden, müssen die Angreifer diese dann nur noch aus den verschiedenen Abfragen zusammensetzen.
Um diese Funktionen und Sicherheitsanforderungen zu gewährleisten, sollte ein DNS-System durchdacht aufgesetzt werden. Beispielsweise gibt der IT-Grundschutz vor, dass DNS-Server redundant ausgelegt werden müssen und laufend überwacht werden müssen, um die Leistungskapazität der Hardware rechtzeitig anpassen zu können.
Auch Nameshield betreibt für seine Kunden DNS-Server, dabei geht das Produkt „DNS Bastion“ noch einen Schritt weiter, um die oben genannten Herausforderungen zu meistern. DNS Bastion ist vorgesehen für strategisch wichtige Domains und besteht aus fünf Säulen:
Integrität, Verfügbarkeit, Monitoring, Analyse und Alert
Eine kleine Beschreibung soll zeigen, was damit jeweils gemeint ist und wie damit die Anforderung abgedeckt werden können.
1. Integrität: Die Integrität soll vor allem gegenüber administrativen Risiken schützen. Beispielsweise beinhaltet DNS Bastion die Funktion „Registry Lock“, um unauthorisierte, ungewollte und unbeabsichtigte Änderungen der Domain zu verhindern. Weitere Funktionen beinhalten unter anderem Multifaktor-Authentifizierung und IP-Filterung, um nur mit valider Berechtigung und von einem bestimmten IP-Bereich Änderungen vornehmen zu können.
2. Verfügbarkeit: Durch ein Dual Anycast Netzwerk mit 80 Standorten und einem zweifachen DDoS-Schutz kann eine hohe Verfügbarkeit (99,999%), eine geringe Latenzzeit und ein Schutz vor DDoS-Attacken gewährleistet werden. Zusätzliche Funktionen wie DNSSEC und TSIG sind ein wirksames Mittel gegen DNS Spoofing und DNS Cache Poisoning. Mit DNSSEC kann die anfragende Partei verifizieren, dass die übermittelten DNS-Informationen identisch sind mit denen, die vom Ersteller der Zone autorisiert wurden. Dazu werden die DNS-Records digital signiert und damit Authentizität und Integrität der DNS-Antwort sichergestellt.
3. Monitoring: Kontinuierliches internes und externes Monitoring des Domainnamens sowie detaillierte Traffic-Statistiken ermöglichen eine umfangreiche Überwachung der Domain und des DNS. Zeitgleich steht ein Supportteam 24/365 bereit.
4. Analyse: Im monatlichen Intervall wird ein Bericht verschickt, in dem wichtige Daten und Parameter des DNS untersucht werden. Neben einer tiefgründigen DNS-Traffic-Analyse wird die Zonenkonfiguration bewertet. Zusätzlich werden die RFC-Compliance und ANSSI-Empfehlungen berücksichtigt. All diese Informationen unterstützen bei einer konformen Einrichtung und Betrieb von DNS und Domain.
5. Alert: Durch die vorher genannten Sicherheitsfunktionen kann die Attraktivität als Angriffsziel reduziert werden. Dennoch können Angreifer eine Attacke versuchen. Um dies schnellstmöglich festzustellen und handeln zu können, erkennt DNS Bastion Anomalien in DNS-Traffic sowie bei Zugriffsversuchen auf die Nameshield Schnittstelle. In diesem Fall wird automatisch ein Alert sowie ein Vorfallsbericht verschickt. Die zügige Erkennungs- und Warnfunktion hilft dabei handlungsfähig zu bleiben.
Gerne helfen wir bei der Identifikation der strategischen Domains und ihrem anschließenden Schutz.
Phishing-Attacken werden immer zahlreicher und aggressiver – erfahren Sie bei uns wie Sie verhindern können, dass E-Mail-Adressen Ihrer Firma Ausgangspunkt solcher Attacken werden.
Am 22.03. beim ICEBREAKER werden wir über das folgende Thema diskutieren: Domains und DMARC – Aktuelle Trends und Herausforderungen im Bereich der IT-Security
Die Rethink! IT Security ist der führende IT Security Summit für CISOs und IT Security Entscheider aus dem deutschsprachigen Raum. Lernen Sie aktuelle Herausforderungen, Technologien, Trends und Best Practice im Bereich der IT und Cybersecurity kennen!
Für unsere Kunden haben wir eine begrenzte Anzahl kostenfreier Tickets. Sprechen Sie uns unter salesgermany@nameshield.net an.
Wir freuen uns, Sie auf unserem Stand zu begrüßen und haben dort eine kleine Überraschung für Sie vorbereitet, um ihre Nerven im Falle eines Vorfalls beruhigen zu können.
