ISMS

DNS-Sicherheit: DNS-Filtering, DNSSEC und DNS over HTTPS

TL;DR
  • DNS ist an nahezu jeder Netzwerkkommunikation beteiligt und damit ein lohnendes Ziel für Angreifer. DNS-Spoofing, DNS-Hijacking und DNS-Tunneling sind weit verbreitete Angriffstechniken.
  • DNS-Filtering blockiert DNS-Anfragen zu bekannten bösartigen Domains und ist eine der effektivsten und einfachsten Sicherheitsmaßnahmen. Anbieter wie Quad9, Cloudflare Gateway oder Cisco Umbrella bieten fertige Lösungen.
  • DNSSEC schützt die Integrität von DNS-Antworten durch kryptografische Signaturen. Es verhindert DNS-Spoofing, verschlüsselt aber nicht den Inhalt der DNS-Anfragen.
  • DNS over HTTPS (DoH) und DNS over TLS (DoT) verschlüsseln die DNS-Kommunikation und schützen vor Abhören und Manipulation auf dem Transportweg.
  • Für Unternehmen ist die Kombination aus internem DNS-Server, DNS-Filtering und DoT/DoH zum Upstream-Resolver die empfohlene Architektur.

Warum DNS ein Sicherheitsthema ist

Das Domain Name System (DNS) übersetzt menschenlesbare Domainnamen (www.beispiel.de) in IP-Adressen (203.0.113.42), mit denen Computer kommunizieren. Jede Website, jede E-Mail, jede Cloud-Anwendung, jede API-Abfrage beginnt mit einer DNS-Anfrage. DNS ist so fundamental, dass es oft als selbstverständlich betrachtet und bei Sicherheitsbetrachtungen übergangen wird.

Genau das macht DNS zu einem bevorzugten Angriffsziel. Angreifer nutzen DNS auf drei Arten:

DNS als Angriffsvektor. Manipulation von DNS-Antworten, um Nutzer auf bösartige Websites umzuleiten (DNS-Spoofing, DNS-Hijacking). Der Nutzer tippt die richtige URL ein, landet aber auf einer Phishing-Seite.

DNS als Daten-Kanal. DNS-Tunneling nutzt DNS-Anfragen und -Antworten, um Daten aus dem Netzwerk zu exfiltrieren oder Befehle an Schadsoftware zu senden. Da DNS-Verkehr in den meisten Netzwerken uneingeschränkt erlaubt ist, fällt das nicht auf.

DNS als Informationsquelle. Angreifer nutzen DNS-Abfragen, um Informationen über die Infrastruktur eines Unternehmens zu sammeln: Subdomains, Mail-Server, IP-Bereiche, eingesetzte Dienste.

DNS-Bedrohungen im Detail

DNS-Spoofing und Cache Poisoning

Bei DNS-Spoofing fälscht ein Angreifer DNS-Antworten, sodass eine Domain auf eine andere IP-Adresse aufgelöst wird als die korrekte. DNS Cache Poisoning vergiftet den Cache eines DNS-Resolvers mit gefälschten Einträgen. Jeder Nutzer, der anschließend diesen Resolver verwendet, erhält die manipulierte Antwort.

Ein Beispiel: Der Angreifer vergiftet den DNS-Cache deines Resolvers, sodass die Domain deiner Hausbank auf die IP-Adresse einer perfekt kopierten Phishing-Seite zeigt. Der Nutzer sieht die korrekte URL in der Adressleiste, das SSL-Zertifikat der Phishing-Seite sieht auf den ersten Blick korrekt aus (die Angreifer haben ein Let's-Encrypt-Zertifikat für eine ähnliche Domain), und er gibt seine Zugangsdaten ein.

DNS-Hijacking

Beim DNS-Hijacking übernimmt der Angreifer die Kontrolle über DNS-Einträge, entweder durch Kompromittierung des DNS-Servers, durch Zugriff auf das Registrar-Konto (wo die Domain registriert ist) oder durch Manipulation auf dem Transportweg.

Im Unterschied zum Cache Poisoning wird hier die autoritative DNS-Quelle manipuliert, nicht nur ein Cache. Die Auswirkungen sind weitreichender und schwerer zu erkennen.

DNS-Tunneling

DNS-Tunneling kodiert Daten in DNS-Anfragen und -Antworten. Ein kompromittiertes System im Netzwerk sendet DNS-Anfragen an eine vom Angreifer kontrollierte Domain (z. B. daten.evil-domain.com), wobei die abzugreifenden Daten im Subdomain-Teil kodiert sind (z. B. base64-kodierte-daten.evil-domain.com). Der DNS-Server des Angreifers dekodiert die Daten und kann über die DNS-Antwort Befehle zurücksenden.

DNS-Tunneling ist besonders gefährlich, weil DNS-Verkehr in den meisten Unternehmensnetzwerken nicht gefiltert wird und Firewalls DNS-Anfragen standardmäßig durchlassen.

DDoS-Angriffe über DNS

DNS-Amplification-Angriffe missbrauchen offene DNS-Resolver, um DDoS-Angriffe zu verstärken. Der Angreifer sendet DNS-Anfragen mit gefälschter Absenderadresse (der Adresse des Opfers) an offene Resolver. Die Resolver senden ihre Antworten (die deutlich größer sind als die Anfragen) an das Opfer. So kann ein Angreifer mit wenig eigener Bandbreite massive Datenmengen auf ein Ziel lenken.

DNS-Filtering: Erste Verteidigungslinie

DNS-Filtering ist die einfachste und zugleich eine der effektivsten Maßnahmen zur Verbesserung der Netzwerksicherheit. Das Prinzip: Jede DNS-Anfrage wird gegen eine Datenbank bekannter bösartiger Domains geprüft. Wenn die angefragte Domain als bösartig bekannt ist (Malware, Phishing, Command-and-Control), wird die Anfrage blockiert.

Warum DNS-Filtering so effektiv ist

Die überwiegende Mehrheit von Malware und Phishing-Angriffen nutzt Domainnamen für die Kommunikation. Eine Ransomware muss ihren Command-and-Control-Server kontaktieren. Eine Phishing-E-Mail enthält einen Link zu einer bösartigen Domain. Ein Drive-by-Download wird von einer kompromittierten Domain ausgeliefert. Wenn die DNS-Auflösung dieser Domains blockiert wird, werden die Angriffe bereits im Ansatz verhindert.

Studien zeigen, dass DNS-Filtering bis zu 33 % aller Malware-Infektionen verhindern kann, und das ohne Agent auf dem Client, ohne Signatur-Updates auf den Endpoints und ohne Nutzerinteraktion.

DNS-Filtering-Optionen

Variante 1: Öffentlicher DNS-Resolver mit Filtering. Die einfachste Option. Du konfigurierst die DNS-Server deines Netzwerks auf einen Resolver mit integriertem Filtering:

  • Quad9 (9.9.9.9): Non-Profit, blockiert bekannte Malware-Domains, keine Logging-Funktion, DSGVO-konform (Hauptsitz Schweiz). Empfehlung für datenschutzbewusste Unternehmen.
  • Cloudflare for Families (1.1.1.2 / 1.1.1.3): Malware-Blocking (1.1.1.2) oder Malware + Adult Content (1.1.1.3). Schnell, aber US-Unternehmen.
  • CleanBrowsing: Verschiedene Filter-Stufen, inklusive einer Option speziell für Unternehmen.

Variante 2: Managed DNS-Filtering-Dienst. Mehr Kontrolle und Reporting. Du nutzt einen spezialisierten Dienst, der ein Dashboard mit Statistiken, benutzerdefinierte Blocklisten und Richtlinien pro Nutzergruppe bietet:

  • Cisco Umbrella (ehemals OpenDNS): Enterprise-Lösung mit umfangreichem Reporting, Integration in Cisco-Security-Ökosystem.
  • Cloudflare Gateway: Teil der Cloudflare Zero Trust Plattform, granulare Policies, Logging.
  • DNSFilter: Fokus auf KMU, einfache Einrichtung, gutes Preis-Leistungs-Verhältnis.
  • NextDNS: Flexibel, datenschutzfreundlich, umfangreiche Konfigurationsmöglichkeiten.

Variante 3: Lokaler DNS-Resolver mit Filtering. Du betreibst einen eigenen DNS-Resolver mit Filterfunktion. Technisch anspruchsvoller, aber volle Kontrolle über die Daten:

  • Pi-hole: Open Source, läuft auf einem Raspberry Pi oder in einem Docker-Container. Primär für Werbeblockierung bekannt, aber auch für Malware-Filtering einsetzbar.
  • AdGuard Home: Ähnlich wie Pi-hole, aber mit HTTPS-Interface und DoH/DoT-Unterstützung.
  • Unbound + Response Policy Zones (RPZ): Technisch anspruchsvoll, aber maximal flexibel.

DNS-Filtering implementieren

Die einfachste Implementierung für ein KMU:

  1. Konfiguriere deinen internen DNS-Server (typischerweise der Domaincontroller) so, dass er als Forwarder einen DNS-Filtering-Dienst nutzt (z. B. Quad9)
  2. Blockiere auf der Firewall allen DNS-Verkehr (Port 53 UDP/TCP) von internen Clients direkt ins Internet. Nur der interne DNS-Server darf DNS-Anfragen nach außen senden.
  3. Blockiere DNS over HTTPS (Port 443) zu bekannten DoH-Endpunkten, damit Clients die DNS-Filterung nicht umgehen können (dazu mehr im Abschnitt über DoH)
  4. Überwache die DNS-Logs auf ungewöhnliche Muster (hohe Anfrageraten, lange Subdomain-Namen, Anfragen zu unbekannten Top-Level-Domains). In ISMS Lite dokumentierst du das DNS-Filtering als technische Maßnahme im Risikomanagement und weist die regelmäßige Überprüfung nach.

DNSSEC: Integritätsschutz für DNS

DNSSEC (Domain Name System Security Extensions) erweitert DNS um kryptografische Signaturen, die die Integrität und Authentizität von DNS-Antworten sicherstellen. DNSSEC verhindert DNS-Spoofing und Cache Poisoning, weil der Resolver anhand der Signatur prüfen kann, ob eine DNS-Antwort tatsächlich vom autoritativen DNS-Server stammt und nicht manipuliert wurde.

Wie DNSSEC funktioniert

Jede DNS-Zone (z. B. beispiel.de) wird mit einem kryptografischen Schlüsselpaar signiert. Der Zone Signing Key (ZSK) signiert die einzelnen DNS-Einträge. Der Key Signing Key (KSK) signiert den ZSK. Eine Chain of Trust verbindet die Signaturen von der Root-Zone über die TLD (.de) bis zur eigenen Domain.

Wenn ein DNS-Resolver eine DNSSEC-signierte Antwort erhält, prüft er die Signatur entlang der Chain of Trust. Stimmt die Signatur nicht (weil die Antwort manipuliert wurde), verwirft der Resolver die Antwort und meldet einen Fehler.

DNSSEC als Resolver nutzen

Als Unternehmen musst du DNSSEC nicht selbst für deine Domains implementieren (obwohl das empfehlenswert ist), aber du solltest sicherstellen, dass dein DNS-Resolver DNSSEC-Validierung durchführt. Das bedeutet: Dein Resolver prüft die DNSSEC-Signaturen eingehender Antworten und verwirft manipulierte Antworten.

Die meisten öffentlichen DNS-Resolver (Quad9, Cloudflare, Google Public DNS) führen DNSSEC-Validierung standardmäßig durch. Wenn du einen eigenen Resolver betreibst (Unbound, BIND), musst du DNSSEC-Validierung explizit aktivieren.

DNSSEC für eigene Domains aktivieren

Wenn du eigene Domains betreibst (z. B. für deine Website oder E-Mail), solltest du DNSSEC aktivieren. Der Prozess:

  1. Generiere ein Schlüsselpaar (KSK und ZSK) auf deinem DNS-Server oder bei deinem DNS-Hosting-Anbieter
  2. Signiere die DNS-Zone mit dem ZSK
  3. Hinterlege den DS-Record (einen Hash des KSK) beim Registrar deiner Domain
  4. Teste die DNSSEC-Konfiguration mit Tools wie dnsviz.net oder verisignlabs.com/dnssec/

Viele DNS-Hosting-Anbieter (Cloudflare, Hetzner, AWS Route 53) bieten DNSSEC als Ein-Klick-Aktivierung an.

Grenzen von DNSSEC

DNSSEC schützt die Integrität, aber nicht die Vertraulichkeit. DNS-Anfragen und -Antworten werden weiterhin im Klartext übertragen und können von jedem abgehört werden, der den Netzwerkverkehr mitlesen kann (Internet Service Provider, Netzwerkadministrator, Angreifer im lokalen Netzwerk). Für die Verschlüsselung des DNS-Verkehrs brauchst du DoH oder DoT.

DNS over HTTPS und DNS over TLS: Verschlüsselter DNS-Verkehr

DNS over TLS (DoT)

DNS over TLS (RFC 7858) verschlüsselt DNS-Anfragen und -Antworten über eine TLS-Verbindung auf Port 853. Der Resolver des Clients baut eine verschlüsselte Verbindung zum Upstream-DNS-Server auf und sendet alle DNS-Anfragen über diese Verbindung.

Vorteil: Einfach zu erkennen und zu kontrollieren (eigener Port 853), gute Performance. Nachteil: Leicht blockierbar (Port 853 sperren), der ISP oder Netzwerkadministrator kann erkennen, dass DoT genutzt wird (auch wenn er den Inhalt nicht mitlesen kann).

DNS over HTTPS (DoH)

DNS over HTTPS (RFC 8484) verschlüsselt DNS-Anfragen und -Antworten über HTTPS auf Port 443, dem gleichen Port wie normaler Webverkehr. Der DNS-Verkehr ist von normalem HTTPS-Verkehr nicht unterscheidbar.

Vorteil: Nicht blockierbar, ohne auch normalen HTTPS-Verkehr zu blockieren. Schutz vor Zensur und Überwachung. Nachteil: Für Unternehmen problematisch, weil DoH die zentrale DNS-Kontrolle untergräbt (dazu gleich mehr).

DoH im Unternehmen: Fluch oder Segen?

Hier wird es für Unternehmen kompliziert. Browser wie Firefox und Chrome aktivieren DoH teilweise automatisch und senden DNS-Anfragen direkt an Cloudflare oder Google, unter Umgehung des internen DNS-Servers und damit auch unter Umgehung des DNS-Filterings.

Das bedeutet: Ein Mitarbeiter kann trotz DNS-Filtering im Unternehmensnetzwerk auf Malware-Domains zugreifen, wenn sein Browser DoH an Cloudflare sendet und die DNS-Anfrage nicht vom Unternehmens-DNS-Filtering erfasst wird.

Empfohlene Strategie für Unternehmen:

  1. DoH im Browser deaktivieren: Per GPO (Group Policy) in Firefox und Chrome die automatische DoH-Aktivierung deaktivieren. Firefox erkennt "managed networks" automatisch und deaktiviert DoH, wenn ein Enterprise Policy vorhanden ist.

  2. DoH/DoT zwischen internem DNS und Upstream nutzen: Dein interner DNS-Server (der die Filterung durchführt) kommuniziert über DoT oder DoH mit seinem Upstream-Resolver. So ist der DNS-Verkehr zwischen deinem Netzwerk und dem Internet verschlüsselt, aber die interne Filterung bleibt wirksam.

  3. Bekannte DoH-Endpunkte auf der Firewall blockieren: Blockiere den Zugriff auf die IP-Adressen bekannter DoH-Anbieter (Cloudflare, Google, Quad9) auf Port 443 für alle Clients außer dem internen DNS-Server.

  4. DoT auf der Firewall blockieren: Blockiere Port 853 für alle Clients außer dem internen DNS-Server.

DNS-Tunneling erkennen und verhindern

DNS-Tunneling ist eine der raffiniertesten Exfiltrationstechniken und schwer zu erkennen, weil DNS-Verkehr grundsätzlich als harmlos gilt. Aber es gibt Indikatoren:

Ungewöhnlich lange Subdomain-Namen. Normale DNS-Anfragen haben kurze Subdomains (www, mail, ftp). DNS-Tunneling verwendet lange, zufällig aussehende Subdomains (aGVsbG8gd29ybGQ.evil-domain.com), um möglichst viele Daten pro Anfrage zu transportieren.

Hohe Anfragerate an einzelne Domains. Wenn ein Client innerhalb einer Stunde tausende DNS-Anfragen an die gleiche Domain stellt, ist das ein starkes Indiz für DNS-Tunneling.

Ungewöhnliche Record-Typen. DNS-Tunneling nutzt oft TXT-Records oder CNAME-Records, die mehr Daten transportieren können als A-Records.

Anfragen an unbekannte oder neu registrierte Domains. Die meisten DNS-Tunnel nutzen eigens registrierte Domains, die in keiner Threat-Intelligence-Datenbank stehen.

Gegenmaßnahmen

  • DNS-Anfragen auf maximale Subdomain-Länge beschränken
  • DNS-Anfragen pro Client und Domain rate-limitieren
  • DNS-Traffic mit spezialisierten Tools analysieren (dnstap, Zeek/Bro, Suricata)
  • Nur DNS-Anfragen an definierte Resolver erlauben (kein direkter DNS-Verkehr ins Internet)
  • Next-Generation-Firewalls mit DNS-Tunneling-Erkennung einsetzen (ergänzend zu IDS/IPS)

DNS-Architektur für KMU: Empfehlung

Eine sinnvolle DNS-Architektur für ein KMU mit 50 bis 500 Mitarbeitern:

  1. Interner DNS-Server (Active Directory DNS oder Unbound): Auflösung interner Domains, Caching, DNSSEC-Validierung
  2. DNS-Forwarding an einen DNS-Filtering-Dienst (Quad9, Cloudflare Gateway, Cisco Umbrella): Malware- und Phishing-Blockierung
  3. DoT/DoH zwischen internem DNS-Server und Filtering-Dienst: Verschlüsselung des externen DNS-Verkehrs
  4. Firewall-Regeln: Nur der interne DNS-Server darf DNS-Verkehr nach außen senden. Alle anderen DNS-Anfragen (Port 53, Port 853) werden blockiert.
  5. DoH im Browser deaktiviert per GPO
  6. DNS-Logging auf dem internen DNS-Server, Weiterleitung an zentrales Log-Management

Weiterführende Artikel

DNS-Sicherheit ist kein Luxusthema für Großunternehmen. DNS-Filtering als erste Verteidigungslinie, DNSSEC-Validierung als Integritätsschutz und eine kontrollierte DNS-Architektur mit zentralem Resolver sind Maßnahmen, die jedes KMU mit überschaubarem Aufwand umsetzen kann und die einen messbaren Sicherheitsgewinn bringen.

DNS-Sicherheitsmaßnahmen dokumentieren

ISMS Lite hilft dir, DNS-Sicherheitsmaßnahmen als technische Controls in deinem ISMS zu dokumentieren und die Wirksamkeit regelmäßig zu überprüfen.

Jetzt installieren