DNSSEC-Test soll Probleme lösen helfen

Rund 50 Registrare und Netzwerkprovider wollen DNS Security Extensions (DNSSEC) testweise implementieren. Das ergab eine kleine Umfrage unter Interessenten des ersten DNSSEC-Tests, den die deutsche Registry DENIC, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der eco Verband am heutigen Donnerstag in Frankfurt gestartetet haben. Teilnehmer der Auftaktveranstaltung zeigten sich interessiert, aber auch skeptisch.

Experten versprechen sich von der durch Schlüsselabgleich realisierten Sicherheitserweiterung ein wirksames Mittel gegen Manipulation des Domain Name Systems (DNS), der zentralen Namensverwaltung des Internets. Ein Allheilmittel für Sicherheitsprobleme sei DNSSEC aber nicht. Zudem warnen Experten davor, dass die Komplexität der DNSSEC-Verfahren die Verfügbarkeit des DNS beeinträchtigen könnte. Vollständig marktreif sei das System noch nicht, sagte DENIC-Geschäftsführerin Sabine Dolderer.

Noch fehle es an guten Automatisierungstools für Signierung oder Re-Signierung, räumt Ralf Weber von Colt Telecom ein. Der Betrieb eines Validierungsservers könne daher für Provider ein einfacher Einstieg sein. Als harte Nuss betrachten die Experten auch den Umzug von signierten Domains von einem Provider zum anderen. Schließlich macht auch die Hardware, etwa die DSL-Box beim Endkunden, noch Scherereien. Von Tests in Großbritannien und Schweden, wo DNSSEC bereits eingeführt ist, weiß man, dass viele Heimrouter DNSSEC noch nicht beherrschen. Auch Windows Vista unterstützt DNSSEC noch nicht.

"Daher machen wir das Testbed, damit wir das hin bekommen", sagte Thorsten Dietrich vom BSI. Als eigenen Beitrag zum DNSSEC-Test will das BSI in den kommenden Monaten Router der deutschen Zugangsprovider auf ihre DNSSEC-Tauglichkeit und die Ipv6-Unterstützung prüfen. Das "DNSSEC Testbed für Deutschland" will mit allen Interessierten in einem "produktionsnahen Umfeld" den Betrieb eines per DNSSEC abgesicherten paralellen DNS testen. Dabei sollen Erfahrungen gesammelt werden, die Auskunft über die Auswirkungen dieser Umstellung auf die Sicherheit und die Zuverlässigkeit des Internets geben.

Mehrfach angesprochen wurde in Frankfurt auch die Wechselwirkung von DNSSEC mit DNS-Umleitungen, etwa die von Familienministerin Ursula von der Leyen (CDU) durchgedrückten Internetsperren. Technisch seien DNS-Umleitungen kein echtes Problem, insbesondere blieben die gesperrten Seiten unzugänglich. Die vom BSI positiv bewertete Integration von DNS-Resolvern in Engeräte auf Nutzerseite hätte zur Folge, dass diese dann die Stopp-Antworten als Manipulation erkennen und verwerfen würden. (Monika Ermert) / (Monika Ermert) / (vbr/c't)