Wie sich Unternehmen vor Angriffen auf die DNS-Infrastruktur schützen können
Das Domain Name System (DNS) wird oft das „Telefonbuch“ des Internets genannt. Es übersetzt die abstrakten, numerische IP-Adressen in benutzerfreundliche Domainnamen. Da praktisch jeder Online-Dienst auf das DNS angewiesen ist, ist es ein beliebtes Ziel für Cyberkriminelle und sogar staatlich geförderte Angreifer. Diese Bedrohungsakteure missbrauchen die DNS-Infrastruktur, um den Datenverkehr umzuleiten, Organisationen zu imitieren und auf diese Weise Daten zu stehlen und Dienste zu stören. Um sich vor DNS-Missbrauch zu schützen, müssen sich Unternehmen vor allem zwei Fragen stellen: Wie gehen Angreifer vor und welche Methoden verwenden sie? Und welche Strategien können zur Abwehr eingesetzt werden?
Häufige DNS-Angriffsszenarien
Bei Angriffen auf das DNS werden verschiedene Methoden eingesetzt, um Domains zu manipulieren und Nutzerinnen und in die Irre zu führen. Dabei geht es oft darum, legitime Anfragen umzuleiten, falsche Identitäten vorzutäuschen oder Sicherheitslücken in der DNS-Infrastruktur auszunutzen. Dazu zählen:
DNS-Hijacking (Domain Hijacking)
Beim DNS-Hijacking ändert ein Angreifer unrechtmäßig die DNS-Einträge einer Ziel-Domain, sodass legitime Websites auf vom Angreifern kontrollierte Server verweisen. So erhalten sie die Kontrolle über den „Telefonbucheintrag“ einer Seite und täuschen Seitenbesucher, indem sie sie mit einer falschen IP-Adresse verbinden. Das kann etwa durch BGP-Hijacking von DNS-Datenverkehr geschehen, oder indem das Konto des Domain-Registrars oder der DNS-Server der Zielseite kompromittiert werden.
Ein gutes Beispiel dafür ist der Angriff der Syrian Electronic Army (SEA) im Jahr 2013. Die „Hacktivistengruppe“ verschaffte sich durch das Spear-Phishing eines Mitarbeiters des Domain-Registrars Zugang zu den Webseiten großer Medien. Dabei wurden DNS-Einträge unter anderem für die Domain der New York Times und von Twitter geändert und die Webseiten kurzzeitig auf Defacement-Seiten umgeleitet. Obwohl der Spuk nur von kurzer Dauer war, zeigt der Vorfall gut, wie ein solcher Angriff viele Organisationen auf einmal gefährden kann.
DNS-Cache-Poisoning (DNS-Spoofing)
DNS-Cache-Poisoning ist ein Art von Angriff, bei dem der Cache eines Resolvers so manipuliert wird, dass er eine gefälschte DNS-Antwort speichert. Auf diese Weise werden für eine Domain falsche IP-Adressen ausgegeben.
Im Gegensatz zum Hijacking, das die autoritative Kontrolle über eine Domain ins Visier nimmt, zielt das Cache-Poisoning auf die rekursiven DNS-Resolver ab, auf die sich Benutzer verlassen. Angreifer versuchen, eine gefälschte DNS-Aufzeichnung in den Cache eines Resolvers einzuschleusen, sodass alle Anfragen zu dieser Domain an die vom Angreifer gewählte IP-Adresse geleitet werden.
Domain-Spoofing und Phishing
Domain-Spoofing beschreibt Angriffe, bei denen Nutzer darüber getäuscht werden, mit welcher Domain sie tatsächlich interagieren. Angreifer registrieren dafür Domains, die den originalen Unternehmensdomains ähneln. Nutzer sollen dabei möglichst nicht merken, dass sie sich nicht auf der gewünschten Seite befinden. So müssen Angreifer nicht in die echte Domain “einbrechen”, sondern nutzen Nachahmungen (wie z.B. „micros0ft.com“ anstelle von „microsoft.com“), um Fake-Log-ins zu hosten oder betrügerische E-Mails zu versenden.
Diese Strategie ist insbesondere im Zuge von Phishing stark verbreitet und dient als Ausgangspunkt für zahlreiche Sicherheitsverletzungen und finanzielle Betrügereien. Ein bekannter Fall ist die Datenpanne von Anthem Inc. im Jahr 2015, bei der mit einer Phishing-E-Mail fast 79 Millionen Datensätze gestohlen wurden.
Typosquatting und Domainübernahme
Typosquatting geht über den einfachen Diebstahl von Zugangsdaten hinaus. Die Methode wird häufig genutzt, um Malware bereitzustellen oder Water-Hole-Angriffe zu erleichtern. Dafür registrieren Angreifer Tippfehler-Domains, die echten Domains ähneln. Anschließend warten sie darauf, dass Nutzer die URL falsch eingeben. Ein schädlicher Akteur könnte zum Beispiel eine Domain wie „adlobe.com“ (anstatt „adobe.com“) nutzen, um Nutzer dazu zu bringen, einen trojanisierten Installer herunterzuladen.
Eine verwandte Methode ist die Domainübernahme. Dabei nutzen Angreifer Expired Domains aus oder übernehmen Subdomains, die nicht mehr vom ursprünglichen Dienst beansprucht werden. So können Angreifer Phishing-Seiten auf offiziellen Subdomains hosten oder alte E-Mail-Adressen missbrauchen. Das sorgt für ernste Sicherheitsrisiken.
Wie können sich Unternehmen vor Domain- und DNS-Missbrauch schützen?
Mit gezielten Maßnahmen können Unternehmen das Risiko von DNS- und Domain-Missbrauch erheblich reduzieren.
Domain-Registrar- und DNS-Konto-Zugänge sichern:
Natürlich gilt auch hier: Einzigartige Passwörter und die Zwei-Faktor-Authentifizierung (2FA) sorgen bei allen Konten für Sicherheit. Die Maßnahmen erschweren es Angreifern erheblich, über gestohlene Zugangsdaten auf Domain-Einstellungen zuzugreifen. Wenn möglich, sollten außerdem Optionen zum „Domain Lock“ verwendet werden, die unautorisierte Änderungen verhindern, selbst wenn Angreifer in der Lage sind, sich einzuloggen.
DNS Security Extensions (DNSSEC) implementieren:
DNSSEC bietet eine zusätzliche kryptografische Verifizierungsebene und stellt sicher, dass DNS-Antworten nicht gefälscht werden können. Mit einer entsprechenden Implementierung werden Nutzer vor manipulierten DNS-Antworten geschützt. Zusätzlich sinkt das Risiko von Spoofing- und Hijacking-Szenarien.
DNS-Infrastruktur stärken:
Zum einen sollten autoritative Server so konfiguriert werden, dass sie wirklich nur die Anfragen für die Domains bearbeiten, für die sie zuständig sind. Arbeiten sie stattdessen fälschlicherweise als rekursive Resolver, die alle Anfragen annehmen, erhöht das das Angriffspotential. Außerdem muss DNS-Software stetig aktualisiert werden, um bekannte Sicherheitslücken zu schließen. Auch der Einsatz von redundanten DNS-Servern sollte in Betracht gezogen werden, da so Domains auch während technischer Probleme verfügbar bleiben.
Kontinuierliches Monitoring und Threat Intelligence:
Cyber Threat Intelligence spielt im Zusammenhang mit dem DNS eine wichtige Rolle. DNS-Verkehrsmuster sollten etwa stetig überwacht werden, damit Anomalien frühzeitig auffallen. Zusätzlich können Dienste eingesetzt werden, die neu registrierte Domains scannen und auf Ähnlichkeiten mit bestehenden Marken hinweisen.
Strenge interne Richtlinien und Schulungen:
Die Domain-Verwaltung sollte zentralisiert erfolgen und regelmäßigen Audits unterliegen. Damit auch Mitarbeitende ein Bewusstsein für Phishing-Risiken und verdächtige Domains entwickeln können, müssen außerdem regelmäßige Schulungen stattfinden.
Erweiterte Schutzmaßnahmen:
DNS-Firewalls können eingesetzt werden, um bedrohliche Domains zu identifizieren und zu blockieren. Fortschrittliche E-Mail Security Gateways können Domain-Spoofing effektiv verhindern, in dem sie unerwünschte E-Mails blockieren. Das sichert die Kommunikation und reduziert das Risiko von Angriffen über gefälschte E-Mail-Domains erheblich.
DNS-Sicherheit im Fokus
Der Missbrauch von Domains und DNS ist kein geringfügiges Problem. Im Fall der Fälle kann ein entsprechender Vorfall zu weitreichenden Datendiebstählen, Unterbrechungen im Betrieb oder erheblichen finanziellen Verlusten führen. Gerade deshalb dürfen Unternehmen DNS-Sicherheit nicht auf die leichte Schulter nehmen. Stattdessen sind kontinuierliche Überwachung und Optimierung gefragt – wie bei jedem anderen kritischen Aspekt der allgemeinen Netzwerk- und Cybersicherheitsstrategie. Das erfordert eine Kombination aus technischen Kontrollen, aufmerksamen Prozessen und Benutzerschulungen.
Weiterführende Links
- Angriff der Syrian Electronic Army (SEA)
- Datenpanne Anthem Inc
- Übernahme von Expired Domains
- Übernahme von Subdomains
- BGP-Hijacking
- Spear-Phishing
- Defacement
- Typosquatting
- Water-Hole-Angriffe
- DNSSEC
- Cyber Threat Intelligence
- E-Mail Security Gateways
- Blog: Die Zukunft der Domainverwaltung
- Blog: Die beliebtesten Domainendungen 2024