Wer sollte das lesen: DNS-Betreiber, Teams für Internetinfrastruktur, Betreiber von TLD-Registries, technische Verantwortliche bei ISPs, Domain-Registrare, Compliance-Teams.
Das Domain Name System (DNS) ist für die meisten Internetnutzer unsichtbar, aber für alle unverzichtbar. Wenn Sie einen Domainnamen in einen Browser eingeben, übersetzt DNS diesen in die IP-Adresse des Servers, den Sie erreichen möchten. Das geschieht in Millisekunden, milliardenfach pro Tag, weltweit. Trotz seiner entscheidenden Rolle wurde DNS oft als administratives Detail betrachtet, wichtig, aber nicht im Mittelpunkt der Sicherheit. Die NIS2-Richtlinie ändert dies. Die Richtlinie erkennt DNS als grundlegende Infrastruktur an und unterwirft DNS-Betreiber strengen Sicherheitsanforderungen. Dieser Beitrag erläutert, warum NIS2 DNS als kritisch einstuft, wie die Richtlinie auf DNS-Betreiber angewendet wird und was Sicherheitsbereitschaft in der Praxis bedeutet.
Die Bedeutung von DNS für die Stabilität und Sicherheit des Internets kann nicht überschätzt werden. Wenn DNS kompromittiert wird, kann ein Angreifer Nutzer von legitimen Websites auf betrügerische Seiten umleiten, den Datenverkehr zu Banken oder Behörden abfangen oder ganze Sektoren durch das Vergiften von DNS-Einträgen stören. Ein DNS-Ausfall großen Ausmaßes muss nicht böswillig sein, um Schaden anzurichten. Eine Fehlkonfiguration, ein Softwarefehler oder ein verteilter Denial-of-Service-Angriff können DNS außer Betrieb setzen und große Teile des Internets unerreichbar machen. Der Dyn-Cyberangriff von 2016, der Schwachstellen in der DNS-Infrastruktur ausnutzte, hat gezeigt, dass selbst kurze DNS-Ausfälle wichtige Dienste weltweit lahmlegen können.
Erwägungsgrund 32 der NIS2-Richtlinie erkennt dies an: „Die Aufrechterhaltung und Bewahrung eines zuverlässigen, widerstandsfähigen und sicheren Domain Name System (DNS) sind Schlüsselfaktoren für die Wahrung der Integrität des Internets und unverzichtbar für seinen kontinuierlichen und stabilen Betrieb, von dem die digitale Wirtschaft und Gesellschaft abhängen. Daher sollte diese Richtlinie für Top-Level-Domain (TLD)-Namensregistries und DNS-Dienstanbieter gelten, die als Einheiten zu verstehen sind, die öffentlich zugängliche rekursive Domainnamenauflösungsdienste für Internet-Endnutzer oder autoritative Domainnamenauflösungsdienste zur Nutzung durch Dritte bereitstellen.“ Die Richtlinie gilt nicht für Root-Nameserver, die einer separaten Governance unterliegen. Im Übrigen ist der Geltungsbereich jedoch umfassend: Jede Organisation, die öffentlich zugängliche DNS-Infrastruktur betreibt, fällt unter NIS2.
Wer ist von den DNS-Anforderungen der NIS2 betroffen?
Die Richtlinie definiert zwei Kategorien von DNS-Betreibern, die unter NIS2 fallen:
- Top-Level-Domain (TLD)-Namensregistries: Dies sind die Betreiber von Domain-Endungen wie .eu, .de, .com, .org. Eine TLD-Registry führt die autoritativen Einträge für alle Domains unter dieser Endung. Sie verwaltet die Datenbank, delegiert Domains an Registrare und kümmert sich um die technische Infrastruktur, die den Betrieb des restlichen DNS-Systems ermöglicht.
- DNS-Dienstanbieter: Dies sind Einheiten, die entweder öffentlich zugängliche rekursive Domainnamenauflösungsdienste (die Systeme, die Domainnamen für Endnutzer auflösen) oder autoritative Domainnamenauflösungsdienste (die Systeme, die definitive Antworten für bestimmte Domains an andere DNS-Server liefern) bereitstellen. Große Internetdienstanbieter, Cloud-Anbieter und spezialisierte DNS-Unternehmen betreiben üblicherweise diese Dienste.
Der Geltungsbereich ist bewusst weit gefasst, da DNS eine grundlegende Schicht ist. Selbst ein kleiner DNS-Dienstanbieter, der einige tausend Nutzer bedient, ist eingeschlossen, weil eine Kompromittierung auf dieser Ebene diese Nutzer betreffen und sich potenziell darüber hinaus ausbreiten könnte. Im Gegensatz dazu schließt die Richtlinie ausdrücklich Root-Nameserver aus, die unter unterschiedlichen Governance-Strukturen verwaltet werden und einer anderen Aufsichtsebene unterliegen.
Für TLD-Registries bedeutet dies, dass Sie auch dann unter NIS2 fallen, wenn Sie eine kleinere TLD betreiben, die vielleicht eine geografische Region oder eine bestimmte Gemeinschaft bedient. Sie müssen Sicherheitsmaßnahmen umsetzen, erhebliche Vorfälle melden, auf Cyberbedrohungen reagieren und sich Sicherheitsaudits unterziehen. Dies ist ein grundlegender Wandel für viele Registries, die zuvor nur in geringem Maße regulatorische Berührungspunkte mit Cybersicherheitsanforderungen hatten.
Für DNS-Dienstanbieter umfasst der Geltungsbereich globale Akteure wie Cloudflare, Google Public DNS und Quad9, aber auch kleinere Anbieter. Jeder ISP, der seinen Kunden DNS-Auflösung anbietet, jeder Anbieter verwalteter DNS-Dienste und jeder Cloud-Anbieter, der DNS als Teil seines Dienstleistungsportfolios anbietet, fällt in den Geltungsbereich.
Warum ist DNS so kritisch?
DNS ist aus mehreren Gründen kritisch, die NIS2 implizit anerkennt:
- Universelle Abhängigkeit: Nahezu jede Internetkommunikation beginnt mit einer DNS-Abfrage. E-Mail, Webbrowsen, Cloud-Dienste, IoT-Geräte, alles hängt davon ab, dass DNS korrekt funktioniert. Anders als spezialisiertere Infrastrukturen wird DNS allgegenwärtig eingesetzt.
- Vertrauensanker: Nutzer vertrauen darauf, dass sie das beabsichtigte Ziel erreichen, wenn sie einen Domainnamen eingeben. Dieses Vertrauen ist fragil. Wenn DNS unbemerkt kompromittiert wird, merken Nutzer möglicherweise nicht, dass sie mit einer bösartigen Version einer Website interagieren. Phishing-Angriffe nutzen häufig DNS-Schwachstellen aus, indem sie Domainnamen kapern oder ähnlich aussehende Domains verwenden, die DNS nicht verhindert.
- Last der Widerstandsfähigkeit: Das Internet hat die DNS-Widerstandsfähigkeit zu einer gemeinsamen Verantwortung gemacht. Wenn ein großer DNS-Anbieter ausfällt, verlieren Millionen von Nutzern den Internetzugang. Es gibt Rückfallmechanismen (Nutzer können zu einem anderen DNS-Anbieter wechseln), doch erfordern diese eine Aktion der Nutzer. In der Zwischenzeit ist die Störung real.
- Angriffsfläche: Da DNS so weit verbreitet ist, ist es ein verlockendes Angriffsziel. Angreifer können DNS-Caches vergiften, Datenverkehr umleiten oder Denial-of-Service-Angriffe gegen die DNS-Infrastruktur durchführen. Die erforderliche technische Raffinesse ist geringer als bei vielen anderen Angriffen; der Ertrag, gemessen an Reichweite und Auswirkung, ist enorm.
- Auswirkungen auf die Lieferkette: DNS ist tief in die Lieferketten kritischer Sektoren integriert. Finanzinstitute verlassen sich auf DNS, um Kundenverkehr zu ihren Servern zu leiten. Gesundheitssysteme nutzen DNS, um Patientenakten zu erreichen. Stromnetze nutzen DNS für die Betriebskommunikation. Ein DNS-Ausfall kaskadiert in Ausfälle über diese Sektoren hinweg.
NIS2-Sicherheitsanforderungen für DNS-Betreiber
NIS2 unterwirft DNS-Betreiber demselben Rahmen für das Cybersicherheitsrisikomanagement wie andere wichtige Einrichtungen. Artikel 21 der Richtlinie verlangt von wichtigen Einrichtungen, technische, organisatorische und operative Maßnahmen zur Steuerung von Cybersicherheitsrisiken umzusetzen. Die konkreten Anforderungen hängen vom Kontext ab, umfassen jedoch:
- Zugangskontrolle und Authentifizierung: Beschränkung, wer DNS-Einträge ändern, die Konfiguration anpassen oder auf die DNS-Infrastruktur zugreifen kann. Multi-Faktor-Authentifizierung für Administratoren. Rollenbasierte Zugriffskontrolle, sodass Mitarbeiter nur auf das zugreifen können, was sie benötigen.
- Verschlüsselung: Einsatz von Verschlüsselung für DNS-Anfrageantworten, insbesondere DNSSEC (Domain Name System Security Extensions), das DNS-Einträge kryptografisch signiert, sodass Clients überprüfen können, ob sie nicht manipuliert wurden. Verschlüsselung während der Übertragung für administrative Kommunikation und Datenübertragung.
- Protokollierung und Überwachung: Aufzeichnung aller DNS-Abfragen und Änderungen an DNS-Einträgen. Erkennung von Anomalien, wie plötzlichen Spitzen beim Abfragevolumen, verdächtigen Mustern bei Eintragsänderungen oder ungewöhnlichen administrativen Anmeldungen.
- Erkennung und Reaktion auf Vorfälle: Erkennen, wann DNS angegriffen oder kompromittiert wurde. Verfahren zur schnellen Reaktion, einschließlich Isolierung betroffener Infrastruktur, Wiederherstellung aus sauberen Sicherungen und Benachrichtigung der Kunden.
- Verteilte Infrastruktur: Geografische Platzierung von DNS-Servern, sodass ein Ausfall an einem Ort nicht den gesamten Dienst lahmlegt. Verwendung von Anycast-Routing, damit Nutzer zum nächstgelegenen funktionierenden Server geleitet werden. Aufrechterhaltung von Redundanz über mehrere Internet-Knotenpunkte und Carrier hinweg.
- DDoS-Abwehr: Schutz der DNS-Infrastruktur vor verteilten Denial-of-Service-Angriffen. Dies umfasst Ratenbegrenzung, Datenverkehrsfilterung und Kapazitätsplanung, sodass der normale Datenverkehr auch während Angriffen bedient wird.
- Software- und Firmware-Updates: Aktualisierung der DNS-Software, damit bekannte Schwachstellen behoben werden. Testen von Updates in Staging-Umgebungen, bevor sie in der Produktion bereitgestellt werden, damit Updates keine neuen Probleme verursachen.
- Lieferkettenmanagement: Bewertung der Sicherheit von Anbietern, die DNS-Software, Hardware oder Dienste liefern. Sicherstellen, dass Anbieter grundlegende Sicherheitsstandards erfüllen und umgehend auf Schwachstellen reagieren.
Meldepflichten für DNS-Betreiber
Artikel 23 der NIS2-Richtlinie verpflichtet wesentliche und wichtige Einrichtungen, einschließlich DNS-Betreiber, erhebliche Vorfälle unverzüglich und in jedem Fall innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls zu melden. Ein erheblicher Vorfall ist ein Vorfall, der „eine schwerwiegende Betriebsstörung der Dienste oder finanzielle Verluste für die betroffene Einrichtung verursacht hat oder verursachen kann“ oder „andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.“
Was qualifiziert sich für einen DNS-Betreiber als erheblich? Ein DNS-Dienst, der über Stunden vollständig ausfällt oder schwerwiegend beeinträchtigt ist, würde sich eindeutig qualifizieren. Ein erfolgreicher Cyberangriff, der DNS-Einträge kompromittiert hat, würde sich wahrscheinlich qualifizieren, selbst wenn er rasch erkannt und behoben wurde, da die Gefahr besteht, dass Nutzer auf betrügerische Seiten umgeleitet werden. Ein Angriff, der ohne Auswirkungen auf die Nutzer erkannt und blockiert wird, würde sich wahrscheinlich nicht qualifizieren. Der Betreiber muss anhand fachlichen Urteilsvermögens und dokumentierter Kriterien bewerten.
Die Meldepflicht schafft Transparenz über DNS-Sicherheitsvorfälle. Mitgliedstaaten und Koordinierungsstellen wissen, wann DNS-Vorfälle auftreten, wie sie behandelt wurden und ob sie weitergehende Auswirkungen hatten. Dadurch können Behörden Muster erkennen: Wenn mehrere DNS-Betreiber mit ähnlichen Techniken angegriffen werden, ist dies ein Signal für eine breitere Bedrohung. Es ermöglicht den Betreibern auch, aus den Vorfällen der anderen zu lernen.
Die Meldung ist nicht strafend. Die Richtlinie stellt ausdrücklich fest, dass „die bloße Meldung die meldende Einrichtung nicht einer erhöhten Haftung aussetzt.“ Dies ist wichtig, weil Betreiber sonst versucht sein könnten, Vorfälle zu verschweigen. Die Richtlinie zielt darauf ab, eine rasche Meldung und den Informationsaustausch zu fördern, im Bewusstsein, dass die Reaktionsgeschwindigkeit entscheidend für die Begrenzung des Schadens ist.
DNSSEC und kryptografische Signierung
Eine der wichtigsten technischen Maßnahmen für DNS-Betreiber unter NIS2 ist DNSSEC (Domain Name System Security Extensions). DNSSEC ermöglicht es DNS-Betreibern, DNS-Einträge kryptografisch zu signieren, sodass Resolver und Clients überprüfen können, dass Einträge nicht manipuliert wurden. Ohne DNSSEC kann ein Angreifer, der Netzwerkzugang zwischen einem Client und einem DNS-Server erlangt, falsche Antworten unbemerkt einschleusen. Mit DNSSEC ist eine solche Manipulation sofort offensichtlich, weil die kryptografische Signatur nicht validiert wird.
DNSSEC ist nicht neu; es existiert seit Jahren, doch die Verbreitung verläuft langsam. Viele TLD-Registries und DNS-Betreiber haben es eingeführt, aber die Akzeptanz unter Domaininhabern hinkt hinterher. NIS2 schreibt DNSSEC nicht ausdrücklich vor, aber es ist eindeutig Teil der Prinzipien der „Verschlüsselung“ und „Security by Design“, die die Richtlinie betont. DNS-Betreiber werden von Regulierungsbehörden und Kunden Druck erfahren, DNSSEC zu implementieren, wenn sie es noch nicht getan haben. Die Richtlinie positioniert DNSSEC als bewährte Praxis, die mit den Sicherheitszielen von NIS2 in Einklang steht.
Koordinierte Offenlegung von Schwachstellen für DNS
Die NIS2-Richtlinie enthält Bestimmungen zur koordinierten Offenlegung von Schwachstellen, einem Prozess, durch den Sicherheitsforscher Schwachstellen an Anbieter melden können, bevor sie diese öffentlich bekannt geben. Dies ist für DNS-Software von entscheidender Bedeutung. DNS-Software läuft auf Milliarden von Geräten weltweit. Eine Schwachstelle in weit verbreiteter DNS-Software könnte Millionen von Nutzern gleichzeitig betreffen. Die koordinierte Offenlegung ermöglicht es dem Anbieter, Fehlerbehebungen zu entwickeln und bereitzustellen, bevor Angreifer von der Schwachstelle erfahren.
Für DNS-Betreiber bedeutet dies, einen Prozess einzurichten, um Schwachstellenberichte von Sicherheitsforschern entgegenzunehmen, sie vertraulich zu behandeln, sich mit Anbietern bei Fehlerbehebungen abzustimmen und Patches bereitzustellen, bevor die Schwachstelle öffentlich bekannt wird. Dies ist kein trivialer Prozess; er erfordert klare Kommunikation, definierte Zeitpläne und die Fähigkeit, Updates schnell auf Produktionssystemen bereitzustellen. Aber er ist wesentlich für die Aufrechterhaltung der DNS-Sicherheit.
Wichtige Erkenntnisse
- NIS2 stuft DNS als kritische Infrastruktur ein und nimmt TLD-Registries und DNS-Dienstanbieter unmittelbar als wichtige Einrichtungen in den Geltungsbereich der Richtlinie auf.
- DNS-Sicherheit ist wichtig, weil DNS universell genutzt wird; jede Kompromittierung oder Störung kaskadiert über Internetdienste und kritische Sektoren hinweg.
- DNS-Betreiber müssen umfassende Cybersicherheitsmaßnahmen umsetzen, darunter Zugangskontrolle, Verschlüsselung, Überwachung, Reaktion auf Vorfälle, verteilte Architektur und DDoS-Abwehr.
- Erhebliche DNS-Vorfälle müssen innerhalb von 24 Stunden an die zuständigen Behörden gemeldet werden, wobei die Meldung Transparenz über Bedrohungen schafft, ohne den Betreibern eine Haftung aufzuerlegen.
- DNSSEC (kryptografische Signierung von DNS-Einträgen) ist eine wesentliche technische Maßnahme, die mit den Prinzipien der Verschlüsselung und Security by Design von NIS2 in Einklang steht.