DNS-Sicherheit: Bedrohungen verstehen und Domains schützen

Das Domain Name System übersetzt Namen in Adressen und ist damit ein zentraler Vertrauensanker des Internets. Genau deshalb ist es ein lohnendes Ziel. Dieser Artikel ordnet die wichtigsten Bedrohungen sachlich ein und zeigt, mit welchen etablierten Mitteln Domaininhaber ihre DNS-Infrastruktur absichern. Es geht nicht um Panik, sondern um nachvollziehbare Schutzmaßnahmen.

Wie Angriffe auf DNS ansetzen

Angriffe auf DNS lassen sich grob in drei Felder einteilen. Sie unterscheiden sich darin, an welcher Stelle der Angreifer eingreift: an der Antwort unterwegs, an den hinterlegten Einträgen oder am sichtbaren Transport der Abfrage.

Bedrohung	Was passiert	Schutz
DNS-Spoofing / Cache-Poisoning	Ein Resolver erhält eine gefälschte Antwort und speichert eine falsche IP	DNSSEC, Quell-Port-Randomisierung, vertrauenswürdige Resolver
DNS-Hijacking	Nameserver oder Registrar-Konto werden manipuliert	Zwei-Faktor am Konto, Registry-Lock, regelmäßige Kontrolle der Einträge
Mitlesen unverschlüsselter Abfragen	Der Klartext-Verkehr verrät, welche Domains abgefragt werden	DNS-over-HTTPS, DNS-over-TLS

DNS-Spoofing und Cache-Poisoning

Beim DNS-Spoofing antwortet ein Angreifer schneller oder überzeugender als der echte Nameserver und schiebt dem fragenden Resolver eine gefälschte Antwort unter. Akzeptiert der Resolver diese Antwort, speichert er eine falsche Zuordnung. Geschieht das auf einem rekursiven Resolver, der viele Nutzer bedient, spricht man von Cache-Poisoning: Die vergiftete Antwort wird so lange ausgeliefert, bis ihre TTL abläuft.

Die Folge ist heikel, denn die URL im Browser bleibt korrekt, während die dahinterliegende Adresse auf einen fremden Server zeigt. Klassisches DNS bietet von sich aus keine Möglichkeit, die Echtheit einer Antwort zu prüfen. Genau diese Lücke schließt DNSSEC.

Wichtig für die richtige Einordnung: Cache-Poisoning ist technisch anspruchsvoll und durch Schutzmechanismen der Resolver heute deutlich erschwert. Moderne Resolver würfeln den Quell-Port jeder Abfrage zufällig und prüfen die Transaktions-Kennung, sodass ein Angreifer die passende gefälschte Antwort kaum rechtzeitig erraten kann. Das senkt die Erfolgswahrscheinlichkeit erheblich, hebt das Risiko aber nicht vollständig auf. DNSSEC ergänzt diese Maßnahmen, indem es die Echtheit überprüfbar macht, statt sich allein auf die Schwierigkeit des Ratens zu verlassen.

DNS-Hijacking

DNS-Hijacking setzt nicht an der einzelnen Antwort an, sondern an der Quelle der Einträge. Ein Angreifer, der Zugriff auf das Registrar-Konto erlangt, kann die hinterlegten Nameserver einer Domain austauschen und damit den gesamten Verkehr umleiten. Das Konto ist häufig der schwächste Punkt, denn ein schwaches Passwort oder eine gut gemachte Phishing-Mail genügen, um die Kontrolle zu übernehmen.

Wer das Registrar-Konto kontrolliert, kontrolliert die Domain. Der beste DNS-Eintrag nützt nichts, wenn das Konto dahinter offensteht.

Eine Variante zielt auf das Heimnetz: Manipulierte Router oder untergeschobene Resolver-Einstellungen leiten Abfragen auf einen vom Angreifer kontrollierten Server. Auch hier ist die hinterlegte Konfiguration der Angriffspunkt, nicht die einzelne Antwort.

Besonders heimtückisch ist, dass ein gelungenes Hijacking lange unbemerkt bleiben kann. Da die offiziellen DNS-Antworten weiterhin konsistent ausgeliefert werden, nur eben von den falschen Servern, fällt der Wechsel im Alltag oft erst auf, wenn E-Mails nicht mehr ankommen oder Zertifikate auf einmal nicht mehr passen. Eine regelmäßige, dokumentierte Kontrolle der hinterlegten Nameserver ist deshalb die wirksamste Früherkennung. Vergleichen Sie die aktuell gemeldeten NS-Einträge mit einem festgehaltenen Sollzustand, dann fällt jede Abweichung sofort auf.

Das Risiko unverschlüsselter Abfragen

Klassisches DNS überträgt Anfragen und Antworten im Klartext. Wer den Netzwerkverkehr beobachten kann, etwa in einem offenen WLAN oder beim Netzbetreiber, sieht damit, welche Domains abgefragt werden. Das ist weniger eine direkte Manipulation als ein Vertraulichkeitsproblem, denn die abgefragten Namen verraten viel über das Surfverhalten.

DNS-over-HTTPS, kurz DoH, verpackt die Abfragen in regulären HTTPS-Verkehr, sodass sie unterwegs nicht mehr mitgelesen werden können. DNS-over-TLS, kurz DoT, erreicht dasselbe Ziel über einen eigenen verschlüsselten Kanal. Unser DNS-Lookup selbst fragt über DNS-over-HTTPS ab, sodass Ihre Prüfungen verschlüsselt laufen. Eine ausführliche Einordnung finden Sie unter DNS-over-HTTPS verstehen.

Schutzmaßnahmen im Überblick

Die genannten Bedrohungen lassen sich mit einer überschaubaren Zahl etablierter Maßnahmen deutlich entschärfen. Wichtig ist, dass sie an unterschiedlichen Stellen ansetzen und sich ergänzen.

DNSSEC: signierte Einträge

DNSSEC versieht DNS-Daten mit kryptografischen Signaturen. Ein prüfender Resolver kann damit verifizieren, dass eine Antwort tatsächlich vom zuständigen Nameserver stammt und unterwegs nicht verändert wurde. Manipulierte oder gefälschte Antworten fallen bei der Prüfung durch und werden verworfen. DNSSEC schützt also gezielt gegen Spoofing und Cache-Poisoning. Wie Sie die Signaturen prüfen, zeigt die DNSSEC-Anleitung.

DNS-over-HTTPS und DNS-over-TLS

Diese beiden Verfahren verschlüsseln den Transport der Abfragen. Sie verhindern das Mitlesen und erschweren eine Manipulation auf dem Übertragungsweg. Wichtig ist die Abgrenzung zu DNSSEC: Verschlüsselung schützt den Weg, DNSSEC schützt die Echtheit der Daten. Beide Ebenen ergänzen sich und ersetzen einander nicht.

Starke Registrar-Konten und Registry-Lock

Gegen Hijacking hilft vor allem ein gut abgesichertes Konto. Zwei-Faktor-Authentifizierung, einzigartige Passwörter und Wachsamkeit gegenüber Phishing bilden die Grundlage. Für besonders wichtige Domains bietet sich zusätzlich ein Registry-Lock an, der Änderungen nur nach einem manuellen Freigabeverfahren zulässt und damit auch ein kompromittiertes Konto ausbremst.

Wie die Schutzebenen zusammenspielen

Es lohnt sich, die Maßnahmen entlang des Weges einer DNS-Abfrage einzuordnen, denn jede setzt an einer anderen Stelle an. Am Ursprung, also bei den hinterlegten Einträgen im Registrar-Konto, schützen Zwei-Faktor und Registry-Lock vor unbefugten Änderungen. Auf dem Weg der Antwort sorgt DNSSEC dafür, dass eine Manipulation auffällt, weil die Signatur dann nicht mehr passt. Und beim Transport der Abfrage verhindern DNS-over-HTTPS und DNS-over-TLS das Mitlesen.

Dieses gestaffelte Vorgehen ist bewusst gewählt, denn keine Einzelmaßnahme deckt alle Stellen ab. DNSSEC etwa schützt die Echtheit der Daten, sagt aber nichts darüber aus, ob die Abfrage unterwegs mitgelesen wurde. Umgekehrt verschlüsselt DNS-over-HTTPS den Transport, prüft aber nicht, ob die hinterlegten Einträge selbst legitim sind. Erst das Zusammenspiel ergibt ein stimmiges Bild.

Für Betreiber kritischer Dienste ist zudem die Reihenfolge der Einführung relevant. DNSSEC sollte sorgfältig aktiviert und getestet werden, da eine fehlerhafte Signaturkette eine Domain für prüfende Resolver unerreichbar machen kann. Planen Sie die Aktivierung mit ausreichend Vorlauf und prüfen Sie die Signaturen anschließend gezielt nach, bevor Sie sich darauf verlassen.

Was Domaininhaber konkret tun können

Aus den Bedrohungen ergibt sich eine kompakte, abarbeitbare Liste. Sie erfordert kein Spezialwissen, sondern vor allem Sorgfalt.

1. Aktivieren Sie Zwei-Faktor-Authentifizierung für das Registrar-Konto und den DNS-Anbieter.
2. Schalten Sie DNSSEC für Ihre Zone ein, sofern Registrar und Nameserver es unterstützen.
3. Nutzen Sie für eigene Abfragen einen Resolver mit DNS-over-HTTPS oder DNS-over-TLS.
4. Prüfen Sie für geschäftskritische Domains, ob ein Registry-Lock verfügbar ist.
5. Kontrollieren Sie die hinterlegten Einträge regelmäßig auf unerwartete Änderungen.

Eine solche Kontrolle muss nicht aufwendig sein. Mit einem Lookup über mehrere Eintragstypen sehen Sie auf einen Blick, welche Nameserver die Domain bedienen und welche IP-Adressen für die wichtigsten Namen hinterlegt sind. Halten Sie diesen Sollzustand einmal schriftlich fest, etwa in einer kleinen Tabelle, dann wird die spätere Prüfung zur Routine von wenigen Minuten. Für Unternehmen mit mehreren Domains empfiehlt sich ein fester Turnus, etwa eine monatliche Sichtprüfung, ergänzt um eine sofortige Kontrolle nach jeder beabsichtigten Änderung.

Achten Sie bei der Kontrolle besonders auf drei Dinge: unerwartete Nameserver in den NS-Records, fremde oder unplausible IP-Adressen in den A- und AAAA-Records sowie veränderte MX-Records, die auf eine Umleitung der Mailzustellung hindeuten könnten. Gerade die Mailzustellung ist ein beliebtes Ziel, weil sich darüber Passwort-Rücksetzungen für weitere Konten abfangen lassen. Wer SPF, DKIM und DMARC sauber pflegt, erschwert solche Angriffe zusätzlich.

Sicherheit als Zusammenspiel

Keine einzelne Maßnahme deckt alle Angriffsflächen ab. DNSSEC sichert die Echtheit der Antworten, verschlüsselte Resolver schützen die Vertraulichkeit des Transports, ein starkes Konto und ein Registry-Lock bewahren die Kontrolle über die Einträge. Erst zusammen ergeben sie ein belastbares Schutzniveau. Wer diese Bausteine kombiniert und seine Einträge im Blick behält, reduziert das Risiko erheblich, ohne in Aktionismus zu verfallen. Tiefer in die Grundlagen führt der Artikel Was ist DNS?, während DNS-Propagation und TTL zeigt, wie Änderungen sauber ausgerollt werden. Für die E-Mail-Sicherheit lohnt zudem ein Blick auf SPF, DKIM und DMARC.