Eine ganz andere Gefahr liegt darin, dass bestimmte Infrastrukturdienste betriebsbereit gehalten werden müssen. Dazu zählt DNS. DNS arbeitet auf dem Prinzip einer verteilten Datenbank. Jeder DNS-Server muss sich darauf verlassen können, von den anderen korrekte Antworten zu bekommen. Fehler verbreiten sich in Sekundenschnelle auf viele andere Server.
Angriffe auf DNS-Server an zentraler Stelle, etwa auf die Root-Server oder Top-Level-Domains (TLD), können dazu führen, dass der reine IP-Datentransport zwar einwandfrei funktioniert, jedoch Domainnamen falsch oder gar nicht aufgelöst werden. Faktisch ist das mit einem Ausfall des Internets gleichzusetzen. Sicherheitsexperten wie Dan Kaminsky beschäftigen sich damit, DNS gegen mögliche Attacken zu schützen. In diesem Zusammenhang warnt die ICANN seit Jahren vor absichtlichen Eingriffen in die Integrität von DNS, wie es manche Provider, etwa T-Online und Kabel Deutschland, praktizieren.
Um DNS vor Ausfall und Überlastung zu schützen, kümmern sich mehrere Root-Nameserver, von denen sich sieben in den USA befinden, um eine Namensauflösung der TLDs. Jeder Root-Server darf maximal ein Drittel seiner Kapazität ausnutzen. Durch diesen Sicherheitsmechanismus werden eingehende Anfragen selbst dann noch reibungslos abgearbeitet, wenn zwei Drittel der Server ausfallen. Jeder der Root-Server ist mit einem Buchstaben von A bis M gekennzeichnet und über die URL buchstabe.root-servers.net erreichbar.
Scheinbar gibt es also 13 Root-Server. Durch Anycasting sind es aber faktisch mehr. Sechs der 13 IP-Adressen werden je nach Standort zu einem anderen Host geleitet. Diese Hosts besitzen jeweils eine identische Kopie der Root-Datenbank. An der Erreichbarkeit der Root-Server ändert sich damit nichts. Fällt eine Anycast-Instanz aus, werden die Pakete einfach an die nächste weitergeleitet. Die DNS-Server für die TLDs wie .de und .com sind nach denselben Prinzipien abgesichert.
Fazit
Gegen technische Ausfälle ist das Internet heutzutage sehr gut abgesichert. Dennoch gibt es Lücken, die beispielsweise dann auftreten, wenn ein durchtrenntes Kabel eine ganze Region von der Versorgung abschneidet oder zu erheblichen Einschränkungen führt. Diese Lücken lassen sich aber leicht schließen.
Anders sieht es aus bei Angriffen durch Cyberterroristen aus, deren Ziel es ist, möglichst das gesamte Netz auszuschalten, um nicht nur die virtuelle, sondern auch die reale Welt zu treffen. Knotenpunkte wie die IXPs und kritische Infrastrukturdienste, vor allem DNS, sind die möglichen Ziele solcher Angriffe.
Hier gilt es, weitere Maßnahmen zu treffen, damit die Schwachstellen geschlossen werden. Das kann durch weitere örtliche Dezentralisierung der IXPs geschehen oder auch durch den bewussten Einsatz von Routern mehrerer Hersteller, damit nicht ein Virus das gesamte Netz treffen kann. Kontraproduktiv sind hingegen alle Bestrebungen und Gesetze, die die Integrität von DNS bewusst untergraben, sei es aus finanziellen oder politischen Motiven.
Als Erweiterung von Master-Data-Management ermöglicht es die Lösung, den Werdegang von Daten verstehen und sie…
Sie erlauben unter anderem das Einschleusen von Schadcode. In älteren iPhones und iPads mit OS-Version…
Neuer Speicher für KI von Huawei mit integrierter Ransomware-Erkennungs-Engine und deutlich geringerem Energiekonsum.
Diesmal geht es um das neue Abomodell für Facebook und Instagram. Die Verbraucherschützer klagen auf…
Infostealer-Infektionen haben laut Kaspersky-Studie zwischen 2020 und 2023 um mehr als das sechsfache zugenommen.
Betroffen sind Millionen IoT- und M2M-Geräte Geräte weltweit. Unter anderem können Angreifer per SMS Schadcode…