Eine ganz andere Gefahr liegt darin, dass bestimmte Infrastrukturdienste betriebsbereit gehalten werden müssen. Dazu zählt DNS. DNS arbeitet auf dem Prinzip einer verteilten Datenbank. Jeder DNS-Server muss sich darauf verlassen können, von den anderen korrekte Antworten zu bekommen. Fehler verbreiten sich in Sekundenschnelle auf viele andere Server.
Angriffe auf DNS-Server an zentraler Stelle, etwa auf die Root-Server oder Top-Level-Domains (TLD), können dazu führen, dass der reine IP-Datentransport zwar einwandfrei funktioniert, jedoch Domainnamen falsch oder gar nicht aufgelöst werden. Faktisch ist das mit einem Ausfall des Internets gleichzusetzen. Sicherheitsexperten wie Dan Kaminsky beschäftigen sich damit, DNS gegen mögliche Attacken zu schützen. In diesem Zusammenhang warnt die ICANN seit Jahren vor absichtlichen Eingriffen in die Integrität von DNS, wie es manche Provider, etwa T-Online und Kabel Deutschland, praktizieren.
Um DNS vor Ausfall und Überlastung zu schützen, kümmern sich mehrere Root-Nameserver, von denen sich sieben in den USA befinden, um eine Namensauflösung der TLDs. Jeder Root-Server darf maximal ein Drittel seiner Kapazität ausnutzen. Durch diesen Sicherheitsmechanismus werden eingehende Anfragen selbst dann noch reibungslos abgearbeitet, wenn zwei Drittel der Server ausfallen. Jeder der Root-Server ist mit einem Buchstaben von A bis M gekennzeichnet und über die URL buchstabe.root-servers.net erreichbar.
Scheinbar gibt es also 13 Root-Server. Durch Anycasting sind es aber faktisch mehr. Sechs der 13 IP-Adressen werden je nach Standort zu einem anderen Host geleitet. Diese Hosts besitzen jeweils eine identische Kopie der Root-Datenbank. An der Erreichbarkeit der Root-Server ändert sich damit nichts. Fällt eine Anycast-Instanz aus, werden die Pakete einfach an die nächste weitergeleitet. Die DNS-Server für die TLDs wie .de und .com sind nach denselben Prinzipien abgesichert.
Fazit
Gegen technische Ausfälle ist das Internet heutzutage sehr gut abgesichert. Dennoch gibt es Lücken, die beispielsweise dann auftreten, wenn ein durchtrenntes Kabel eine ganze Region von der Versorgung abschneidet oder zu erheblichen Einschränkungen führt. Diese Lücken lassen sich aber leicht schließen.
Anders sieht es aus bei Angriffen durch Cyberterroristen aus, deren Ziel es ist, möglichst das gesamte Netz auszuschalten, um nicht nur die virtuelle, sondern auch die reale Welt zu treffen. Knotenpunkte wie die IXPs und kritische Infrastrukturdienste, vor allem DNS, sind die möglichen Ziele solcher Angriffe.
Hier gilt es, weitere Maßnahmen zu treffen, damit die Schwachstellen geschlossen werden. Das kann durch weitere örtliche Dezentralisierung der IXPs geschehen oder auch durch den bewussten Einsatz von Routern mehrerer Hersteller, damit nicht ein Virus das gesamte Netz treffen kann. Kontraproduktiv sind hingegen alle Bestrebungen und Gesetze, die die Integrität von DNS bewusst untergraben, sei es aus finanziellen oder politischen Motiven.
Kontinuierliche Content Produktion und Markenaufbau sind essentieller Pfeiler von langfristigen Unternehmenserfolg. Das ist mittlerweile auch…
KI-Funktionen beschleunigen die Erholung des PC-Markts. Der Nettogewinn legt um 44 Prozent zu, der Umsatz…
Googles App-Entwickler-Kit dient der Tarnung des schädlichen Codes. Der Sicherheitsanbieter Jamf hält die Schadsoftware für…
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…