14.05.2009 | Redakteur: Stephan Augsten
Erweiterungen im Domain Name System sollen künftig dabei helfen, Cache-Poisoning-Angriffe zu verhindern. Hierbei kann ein Internet-Nutzer bereits beim Eintippen einer Web-Adresse auf eine betrügerische Seite umgelenkt werden. Urheber der Sicherheitsinitiative sind die Domain-Registrierungsstelle DENIC, der Verband der deutschen Internetwirtschaft eco und das Bundesamt für Sicherheit in der Informationstechnik.
Knapp ein Jahr ist es her, dass dem Security-Experten Dan Kaminsky der Machbarkeitsbeweis für sogenanntes Cache Poisoning gelungen ist. Bei einer solchen Attacke speist der Angreifer gefälschte Daten in den Cache eines Nameservers ein und leitet Client-Rechner dadurch auf manipulierte Webseiten um.
Sicherheitserweiterungen im Domain Name System (DNS) sollen die durch den Kaminsky-Report bekannt gewordenen Sicherheitslücken künftig schließen und Manipulationen erschweren. Die Organisationen DENIC, eco und das Bundesamt für Sicherheit in der Informationstechnik (BSI) starten in diesem Zusammenhang eine gemeinsame Initiative.
Hierfür stellt die DENIC eine spezielle Testumgebung bereit, in der operative und technische Erfahrungen gesammelt und geprüft werden können. Auf dieser Grundlage will man beurteilen, welche Auswirkungen die Domain Name Security Extensions (DNSSEC) auf die Sicherheit und Zuverlässigkeit im Internet haben.
Mithilfe der produktionsnahen Umgebung will die Initiative mögliche Schwachstellen und Probleme von DNSSEC frühzeitig identifizieren und ausmerzen. „Das Verfahren birgt große Chancen, erfordert aber umfangreiche Veränderungen auf allen Ebenen des Domain Name Systems“, erläutert Harald Summa, Geschäftsführer des eco-Verbands. „Es ist daher wichtig zu wissen, ob es sicher und zuverlässig funktioniert, bevor man es großflächig einführt“.
Auch Sabine Dolderer, CEO der DENIC, will mögliche Risiken im Betrieb von DNSSEC frühzeitig ausschließen und gleichzeitig die Akzeptanz prüfen: „Wir sind froh, das Verfahren mit breiter Unterstützung der Industrie und der Nutzer ausführlich testen zu können.“ DNSSEC ist laut Hartmut Isselhorst, zuständiger Abteilungsleiter des BSI, ein unverzichtbarer Bestandteil der Internet-Sicherheit: „Bei einem positiven Abschluss der notwendigen Tests wird DNSSEC daher für Netze der öffentlichen Verwaltung in Deutschland eingeführt werden.“
Zum Start der Testphase laden die Initiatoren alle interessierten Anbieter und Nutzer am Donnerstag, 2. Juli 2009, in die Räume der DENIC in Frankfurt ein. Auf der Internetseite der Domain-Registrierungsstelle finden sich weitere Informationen zu den DNSSEC-Tests und zum ersten Meeting.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2021896)
