Ist Ihr Unternehmen gegen DNS-Hijacking gesichert?

Von 26. Oktober 2020Domains

DNS-Hijacker sind nach wie vor eine große Bedrohung, die vom keinem Unternehmen, das sich auf seine Online-Präsenz verlässt, ignoriert werden kann. Obwohl die primären Ziele von Cyberattacken aufgrund des hohen Gewinnpotenzials Finanzinstitute sind, sollten andere Unternehmen nicht unvorbereitet getroffen werden, da es sie nicht nur einen Reputationsverlust, sondern auch Einnahmen kosten kann.

Was ist DNS-Hijacking?

Das Domain Name System (DNS) ist, wie der Name schon sagt, ein System, das die Kommunikation zwischen einem Computer und dem Internet ermöglicht. Mit einfachen Worten: Das DNS wandelt eine lesbare, Internetadresse, wie z.B. www.example.com, in eine Kette von Zahlen um, die IP-Adresse genannt wird und die dann von einem Computer verwendet wird, um sich zu identifizieren und mit anderen Geräten zu kommunizieren. Während dieser Identifizierung kann es zu Angriffen kommen, die eine sogenannte „Man-in-the-Middle“-Vorgehensweise verwenden: Ein Benutzer wird zu einer anderen IP-Adresse mit bösartigem Inhalt umgeleitet. Infolgedessen wird der gesamte Datenverkehr, der für die kompromittierte Webseite bestimmt ist, erfasst und an die Angreifer umgeleitet, einschließlich Kreditkarten-, E-Mail und VPN-Details. Die Bedrohung löste eine Reaktion der ICANN aus, die allen Registranten empfahl, DNSSEC anzuwenden.

Der 2020 Global DNS Threat Report enthüllt einige alarmierende Statistiken: 79% der Organisationen weltweit haben einen Angriff auf ihre Domains erlebt, wobei die durchschnittlichen Kosten eines solchen Angriffs auf 924.000 USD geschätzt werden. Trotz des wachsenden Prozentsatzes von Unternehmen, die die Bedeutung des Schutzes des DNS-Systems erkennen (77% im Jahr 2020, verglichen mit 64% im Vorjahr), wurden immer noch 75% der DNS-basierten Angriffe nicht durch automatisierte Sicherheitsmaßnahmen verhindert. Das häufigste Ergebnis waren lange Ausfallzeiten von kritischen Anwendungen. Andere Auswirkungen waren jedoch kompromittierte Webseiten, Rufschädigung oder sogar die Offenlegung sensibler Informationen und dadurch letztlich Umsatzeinbußen.

Ein weiterer Bericht über DNS-Hijacking beunruhigte die Domain-Besitzer im August 2019, als eine Reihe von Angriffen auf die Kernstruktur des Internets aufgedeckt wurde, die von einer Gruppe mit dem Spitznamen „Sea Turtle“ koordiniert worden waren. Mindestens 40 Einrichtungen in 13 verschiedenen Ländern waren betroffen, vor allem in Nordafrika und im Nahen Osten, darunter Organisationen für nationale Sicherheit, Außenministerien, Energieversorger, DNS-Registrierungsstellen, Internetdienstanbieter und Telekommunikationsunternehmen. Die überraschende Komplexität dieser Bedrohungen lag darin, dass die Angriffe zunächst auf Domains von Unternehmen abzielten, die Dienstleistungen für die eigentlichen Opfer erbrachten, und die Angreifer auf diese Weise in der Lage waren, diese Domains in Ihre Gewalt zu bringen. Hinzu kommt, dass die Hacker ihre Aktionen nicht stoppten oder abschwächten, obwohl die Angriffe an die Öffentlichkeit kamen. Eine solch gewagte und massive Invasion in das DNS wirft die Frage auf, wie der globale Datenschutz aufrechterhalten werden kann und ob das System noch stabil genug ist, um vertrauenswürdig zu sein.

Verschiedene Möglichkeiten zum Schutz vor Domain-Hijacking

Das in den frühen 80er Jahren entwickelte Domainnamensystem war damals mit keinerlei Sicherheitsmaßnahmen ausgestattet. Unternehmen weigerten sich, in die Online-Präsenz zu investieren, solange die Daten ihrer Kunden und geschäftliche Insiderinformationen potenziellen Dieben, Betrügern oder sogar der Konkurrenz ausgesetzt waren. Um das wirtschaftliche Potenzial des Internets voll auszuschöpfen, mussten erst einige Sicherheitsstandards implementieren wurden. Im Laufe der Jahre wurden viele Schutzmechanismen und Protokolle in das DNS-Netz eingeführt, von der Verschlüsselung bis hin zu Authentifizierungsmethoden.

DNSSEC
DNSSEC ist ein Sicherheitsmerkmal, das DNS-Daten authentifiziert. Wenn Ihr lokaler DNS-Server DNSSEC unterstützt, sind Domains mit bei aktivierter Funktionalität davor geschützt, auf eine Phishing-Website, wie z. B. eine Bank oder einen Online-Shop, umgeleitet zu werden, die Passwörter und Zahlungskartendaten erpresst. Auch wenn diese Methode nicht vor allen Arten von Angriffen auf die Domänenstruktur schützt, blockiert sie doch den „Man-in-the-Middle“-Typ, indem sie eine zusätzliche Ebene der Antwortverifizierung des Servers anwendet.

REGISTRAR LOCK
Dies ist eine Art von Sicherheitscode, der von der Registrierungsstelle auf eine Domäne angewendet werden kann und das „Einfrieren“ von Domänennamen-Daten ermöglicht. Er schützt den Domänenbesitzer vor unerwünschten und unbefugten Änderungen am Domänennamen. Wenn der „Lock“ verwendet wird, verbietet er jede Änderung des Domainnamens, einschließlich einer Übertragung oder Löschung des Domainnamens. Sie macht es auch unmöglich, die Domain-WHOIS-Daten zu ändern.

REGISTRY LOCK
Ein von der Registrierungsstelle bereitgestelltes Authentifizierungssystem, das die Informationen über Domänennamen sperrt. Die Registry-Sperre ist denjenigen Benutzern gewidmet, die die Sicherheit ihrer Domainnamen sehr schätzen. Sie reduziert das Risiko von Domain-Hijacking, sei es technisch oder administrativ. Die Entsperrung eines Domänennamens ist ein hochsicherer manueller Prozess, der nur nach einer gründlichen Authentifizierung per E-Mail oder Telefon durchgeführt werden kann.

DNS über HTTPS (DoH)
Das DoH erhöht die Sicherheit, indem es das Risiko des Ausspionierens der Online-Aktivitäten von Benutzern minimiert. Durch die Verschlüsselung der Nachrichten, die zwischen dem Server und dem Computer eines Benutzers verschickt werden, erschwert das DoH einem „Man-in-the-Middle“ die Verfolgung Ihrer Online-Aktivitäten und sie möglicherweise auf eine Website um, die Malware oder Spionage- und Phishing-Software enthält, umleiten will. Es schützt Ihre Kommunikation mit dem DNS durch die Einführung eines HTTPS-Protokolls zum Senden von Anfragen, im Gegensatz zu unverschlüsselten und transparenten Informationen, die vom DNS selbst gesendet werden.

DNS über TLS (DoT)
Genau wie DNS über HTTPS ist DoT eine weitere Methode zur Verschlüsselung der Kommunikation zwischen Ihrem Gerät und dem antwortenden Server. Es verwendet Algorithmen, die einen Klartext in eine verschlüsselte Nachricht umwandeln, die von Dritten nicht gelesen werden kann. Die Daten werden bei der Übertragung verschlüsselt, wie der Name Transport Layer Security (TLS) angibt, und können daher von Angreifern nicht manipuliert werden. Wenn Ihre Internetverbindung per TLS, häufiger als SSL bezeichnet, gesichert ist. erscheint in der Browseradresse ein Symbol mit einem Vorhängeschloss.

ANYCAST DNS
Im Gegensatz zu Unicast ermöglicht Anycast die Kommunikation mit vielen Servern über dieselbe IP-Adresse, was den gesamten Prozess wesentlich schneller macht. Je nach seiner Geolokalisierung wird die Anfrage des Benutzers vom nächstgelegenen verfügbaren Server beantwortet, wodurch die Leistung verbessert und optimiert wird. Dieser Sicherheitsmechanismus verhindert Distributed Denial-of-Service-Angriffe (DDoS), die auftreten, wenn ein Webserver mit Anfragen an die Ziel-IP-Adresse „geflutet“ wird, was zu einer Überlastung des Systems und in der Folge zu einer Unterbrechung des Dienstes führt. Anycast DNS schützt den Benutzer vor DDoS-Angriffen, indem es den Datenverkehr auf mehrere Server verteilt, so dass ein einzelner Server nicht mit der Anzahl der Anfragen überlastet wird.

EBRAND berät Sie über den besten Weg zur Sicherung Ihrer Domain. Unsere Experten helfen Ihnen, Ihre Marke online zu schützen und stellen sicher, dass Ihre Daten privat bleiben. Gehen Sie kein Risiko ein und lassen Sie sich von uns durch Domain-Sicherheitsdienste führen, von der Durchführung von Schwachstellen-Tests bis zur Anwendung der besten verfügbaren Schutzmechanismen für Ihre Domain.

Alexander Waegner
Managing Director bei EBRAND Services S.A.
EBRAND Services AG, Munich
Austria, Germany, Switzerland (German), UK