06.07.2015

DNSSEC-Day: Warum Datenschützer aktiv werden müssen

Wenn unter anderem das BSI mit einem DNSSEC-Day die Akzeptanz und Verbreitung von DNSSEC erhöhen möchte, sollten Datenschützer aufhorchen: Das für das Internet so zentrale Domain-Name-System (DNS) ist nicht sicher genug, personenbezogene Daten könnten abgefangen werden.

Beim Website Defacement werden Inhalte verändert

Es geht nicht nur um Technik

Am 30.06.15 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit der deutschen Registrierungsstelle für Domains (DENIC) und Heise einen DNSSEC-Day veranstaltet. An vielen Datenschutzbeauftragten dürfte dies nahezu unbemerkt vorüber gegangen sein. Das ist bedauerlich und sollte sich nun ändern.

Zugegeben, DNSSEC klingt sehr technisch, und es kann auch nicht die Aufgabe der oder des Datenschutzbeauftragten eines Anwenderunternehmens sein, etwas für die Unterstützung von DNSSEC zu tun. Trotzdem sollten Sie als DSB den DNSSEC-Day zum Anlass nehmen, um die Internetnutzer im Unternehmen auf ein großes Problem für den Online-Datenschutz aufmerksam zu machen.

Daten können umgelenkt und abgefangen werden

Um die Gefahren für den Datenschutz im Internet vor Augen zu haben, reicht es, die Aufgabe des DNS und von DNSSEC zu kennen und zu wissen, dass DNSSEC erst eine geringe Verbreitung erreicht hat, was unter anderem das BSI zu dem DNSSEC-Day bewogen hat. Das DNS (Domain Name System) übersetzt die von einem Nutzer in den Browser eingegebene Internetadresse in eine IP-Adresse, unter der der entsprechende Internetserver dann gefunden wird. Dazu ist die Zuordnung zwischen Internetadresse (Domain) und IP-Adresse im DNS hinterlegt.

Bei falscher Zuordnung landet der Nutzer nicht auf der gewünschten Webseite, sondern auf einer anderen, womöglich gefälschten Webseite. Dann würden die personenbezogenen Daten, die der Nutzer an die Webseite übergibt, auch an einer anderen Stelle landen. Eine Manipulation an dem DNS (bzw. an DNS-Servern) würde es also Datendieben erlauben, Daten umzulenken und abzufangen, ohne dass sich der Nutzer dessen bewusst ist.

DNS braucht mehr Sicherheit

Ob die Informationen, die ein DNS-Server liefert, echt sind oder nicht, ob also die Zuordnung zwischen Webadresse und IP-Adresse stimmt, lässt sich im klassischen DNS nicht ohne Weiteres feststellen. Hier kommt DNSSEC als Domain Name System Security Extensions ins Spiel:

  • DNSSEC macht es möglich, die DNS-Informationen digital zu signieren.
  • Unterstützen die beteiligten Stellen im Internet DNSSEC, lässt sich überprüfen, ob der richtige DNS-Server die Zuordnung vorgenommen hat.
  • Manipulationen und Versuche, die Daten auf diesem Weg umzulenken, werden so sichtbar, da dann die digitale Signatur nicht stimmt.

Die bisherige Verbreitung von DNSSEC in Deutschland ist jedoch gering, so das BSI im Rahmen der Ankündigung zum DNSSEC-Day.

Echtheit der Webseiten stärker hinterfragen

Sie sollten nun den DNSSEC-Day zum Anlass nehmen, die Internetnutzer in Ihrem Unternehmen verstärkt auf die möglichen Manipulationen im Internet und an den Webseiten hinzuweisen. Dazu müssen Sie nicht auf Details zu DNS und DNSSEC eingehen. Wohl aber sollten Sie darauf hinweisen, dass zum Beispiel das BSI auf Schwächen bei so grundlegenden Diensten wie DNS hinweist, die Manipulationen im Datenverkehr des Internets möglich machen.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)