IT-Sicherheit

Die Schweiz ist IT-Entwicklungsland bei DNSSEC –
Ein Umdenken ist nötig

Das Domain Name System (DNS) ist das eigentliche Telefonbuch des Internets. Dieses wird durch die Domain Name System Security Extension (DNSSEC) um wichtige Sicherheitsmechanismen ergänzt. In der Parlamentsdebatte zum Geldspielgesetz behauptet die zuständige Bundesrätin, dass sich DNSSEC «offenbar nicht durchgesetzt hat». Für die Schweiz mag dies tatsächlich (noch) zutreffen. International setzt sich die Technologie jedoch bereits durch – nur die Schweiz ist noch Entwicklungsland. Wir fordern ein Umdecken in der (Internet-)Wirtschaft und der Politik.

«Phishing» – portal gda, CC BY-NC-SA

DNSSEC

Um sich im Internet zu bewegen, werden – wie z.B. in der Adresszeile des Browsers – eingängliche Domainnamen verwendet. Diese werden via Domain Name System (DNS) in maschinenverständliche IP-Adressen übersetzt, die dann zur eigentlichen Website führen. Dabei funktionieren die auflösenden DNS-Server (Resolver) wie ein verteiltes Telefonbuch, wobei der Name ausreicht, um die genaue Adresse ausfindig zu machen.

Domain Name System Security Extension (DNSSEC) ist ein neuerer Internetstandard, der das DNS um Sicherheitsmechanismen erweitert. Damit wird gewährleistet, dass Einträge im DNS nicht gefälscht werden können. DNSSEC wurde als Mittel gegen Cache Poisoning entwickelt – und soll verhindern, dass Seitenanfragen unbemerkt zu einer anderen IP-Adresse und somit zu einem anderen Server umgeleitet werden können, um bspw. einen Phishing-Angriff durchzuführen. Es ist aber auch das Fundament für zusätzliche Sicherheitserweiterungen, wie z.B. DANE, das die Sicherheit speziell beim verschlüsselten Transport von E-Mails erhöht.

DNSSEC besteht aus zwei Komponenten:

  1. Signierung: Domain Namen werden mit einer digitalen Signatur versehen, die eine Überprüfung erlaubt, ob eine DNS-Antwort manipuliert worden ist.
  2. Validierung: Die von den Benutzern verwendeten und von den Internetanbietern betriebenen DNS-Resolver überprüfen die Signatur.

DNSSEC und Netzsperren

Die Validierung funktioniert standardmässig und grossflächig nur, wenn die Internetanbieter mitmachen und entsprechende DNS-Resolver anbieten. Angeordnete Netzsperren behindern genau dies: Der Internetanbieter muss auf eine DNS-Anfrage für eine gesperrte Domain mit der IP-Adresse einer Webseite, welche den Sperrhinweis beinhaltet, antworten. Besitzt die Website aber eine gültige DNSSEC-Signatur, so hat der Internetanbieter gleichzeitig zu signalisieren, dass seine Antwort auf die DNS-Anfrage falsch ist, und muss dadurch eine Verbindung verunmöglichen.

In der Parlamentsdebatte zum Geldspielgesetz behauptet die zuständige Bundesrätin Simonetta Sommaruga, dass sich DNSSEC «offenbar nicht durchgesetzt hat». Für die Schweiz mag dies (noch) zutreffen, da aktuell weniger als ein Prozent der .ch-Domain-Namen signiert scheinen. Tschechien (.cz) und die Niederlande (.nl) führen jedoch die Statistik mit ungefähr 50% signierter Domain-Namen an. International setzt sich die Technologie also durch – nur die Schweiz ist noch Entwicklungsland.

Auf der Seite der Provider sieht es genauso düster aus. Von den «grossen» Schweizer Internetanbieter validieren gerade mal Init7 und Salt auf den angebotenen Resolvern. Die Swisscom hatte die Funktion eine kurze Zeit eingeschaltet; scheint aber momentan nicht bereit, dies weiter zu verfolgen.

Fragen zu DNSSEC von Nationalrat Balthasar Glättli an den Bundesrat

Solange die grossen Provider nicht validieren, ist es jedoch schwer, Hoster davon zu überzeugen, die Domain Namen mit Signaturen zu versehen (die niemand überprüft). Hier könnte und müsste die Politik einsetzen. Nationalrat Balthasar Glättli hat im Nachgang zur Geldspiel-Debatte den Bundesrat entsprechendes gefragt:

Experten des EJPD konstatierten in der Geldspielgesetzdebatte, dass sich DNSSEC nicht durchgesetzt habe. DNSSEC ist ein wichtiges Instrument gegen Internetkriminalität (wie Phishing). Bei DNSSEC hat die Schweiz eine Verbreitung von 8 Prozent (EU 21 Prozent, global 15 Prozent) (bei der Validierung; Anmerkung der Redaktion).

  1. Anerkennt der Bundesrat die Unabdingbarkeit der Integrität von Internetkommunikation und DNSSEC als Mittel dazu?
  2. Was unternimmt der Bund zur Bekämpfung von Cyberkriminalität?
  3. Mit welchen Mitteln könnte die Verbreitung gefördert werden?

Die enttäuschende Antwort

Die Antwort von Bundesrat Ueli Maurer ist nicht nur enttäuschend nichtssagend – sondern wiederum auch falsch. So setzt der Bund entgegen Maurers Aussage bei seinen Domains (admin.ch, parlament.ch) kein DNSSEC sein. Selbst die Glücksspielindustrie macht es besser: Allein die Zone für Schweden (.se) enthält 2’784 signierte Domainnamen, die den Begriff «casino» enthalten.

Ein sichereres Internet durch Einsatz von DNSSEC

Die Digitale Gesellschaft fordert gemeinsam mit ISOC Switzerland, dass sämtliche Schweizer Internetanbieter die Validierung von DNSSEC standardmässig auf allen ihren DNS-Resolvern anbieten. Der Bundesrat ist angehalten, ein sicheres Internet zu fördern, indem alle Domänen, die sich im Besitz der Schweizerischen Eidgenossenschaft befinden, signiert werden.