Was ist DNSSEC?
DNSSEC ist eine Erweiterung des Domain Name Systems (DNS), die dazu dient, die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherzustellen. DNSSEC ist eine Art von Versicherung, die garantiert, dass Internetbenutzer nur auf der Webseite landen, welche sie auch aufgerufen haben.

Warum ist DNSSEC wichtig?
DNS ist nicht sicher! Das DNS-Protokoll verschlüsselt keine Daten. Dies ist auch mit DNSSEC nicht vorgesehen. DNS soll eine schnelle und effiziente Namensauflösung sicherstellen. Allerdings muss die Datenintegrität der DNS-Antworten gewährleistet sein. Dies war in der Vergangenheit nicht immer der Fall. DNSSEC ist eine Erweiterung des DNS-Protokolls, die nach aktuellem Wissensstand den besten Schutz gegen Cache-Poisoning-Attacken bietet.

Was ist das Ziel von DNSSEC?
Stellen Sie sich vor, jemand schafft es unbemerkt Änderungen in Ihrem Telefonverzeichnis vorzunehmen. Haben Sie eine Chance festzustellen, ob die vorhandenen Nummern falsch sind? Nein! Im Internet ist ein solches Szenario genauso möglich. Falls es einem Angreifer gelingt, zum Beispiel falsche Daten in den Server Ihres Providers einzuschleusen (Cache Poisoning), würden Sie beim Aufruf von www.devoteam.ch auf einer anderen Webseite landen. Stellen Sie sich besser nicht vor, was passieren könnte, wenn es sich bei der gefälschten Webseite um die Ihrer Bank handelt.

Ist die Implementierung von DNSSEC schwierig?
Die Implementierung selbst ist nicht schwierig. Allerdings ist es notwendig, die neuesten DNS-Server-Versionen einzusetzen. Schwierig ist jedoch der manuelle Unterhalt von DNSSEC-signierten Zonen, da jede Änderung ein «re-signing» der Zone erfordert. Die grösste Herausforderung ist dabei das Keymanagement. Heute stehen aber bereits Produkte zur Verfügung, die die komplette Verwaltung und den Unterhalt von DNSSEC-signierten Zonen automatisieren. Nebst der technischen Sicht müssen auch organisatorische Punkte berücksichtigt werden.

Welche Vorteile habe ich mit DNSSEC?
Als DNS-Verantwortlicher haben Sie die Gewissheit, das Möglichste gemacht zu haben, um die eigene Firma und deren Kunden vor Cache-Poisoning-Attacken und deren Folgen zu schützen, als Internetbenutzer zukünftig mehr Sicherheit!

Muss ich DNSSEC zwingend einführen?
Aus rein technischer Sicht momentan nicht. DNSSEC ist vollständig kompatibel mit dem bestehenden DNS. Eine mit DNSSEC-signierte Zone enthält einfach zusätzliche Informationen, d.h. die Zone wird grösser. Bei Banken und anderen Firmen, wie Online-Shops, welche Webplattformen mit sensitiven Daten betreiben, muss die Frage jedoch klar mit Ja beantwortet werden. Die Antwort darauf hängt letztendlich auch damit zusammen, wie sich DNSSEC in den nächsten Jahren verbreiten wird.

Was kann DNSSEC nicht?
DNSSEC verschlüsselt keine Daten. Alle DNS Ressource Records sind unverschlüsselt einsehbar. DNSSEC schützt auch nicht vor DOS- oder DDOS-Attacken.

Was muss ich als nächstes tun?
Unser Beratungspaket bietet die Möglichkeit, DNSSEC zu verstehen, zeigt mögliche Lösungen auf und veranschaulicht was es bedeuten würde, DNSSEC in Ihrer Umgebung einzuführen. Dies vor allem mit Blick auf externe DNS-Server, welche auf dem Internet sichtbar sind. Sie erfahren mehr über den Betrieb einer DNSSEC-Lösung und erhalten neben wichtigen Informationen auch eine Beurteilung des nötigen Aufwandes.