DNS-over-HTTPS: Diskussionspapier macht Vorschläge für mehr Sicherheit in Netzwerkumgebungen 

  • DNS-over-HTTPS (DoH) hilft Man-in-the-Middle-Angriffe zu verhindern.
  • Eigene DoH-Resolver ermöglichen aktuelle, sichere und hochleistungsfähige Internet-Services.

DNS (Domain Name System)-Anfragen – zum Beispiel das Aufrufen einer Website im Browser – sind noch häufig unverschlüsselt. Das birgt Sicherheitsrisiken. Um dies zu ändern, nutzt das 2018 vorgestellte DNS-over-HTTPS (DoH)-Protokoll die etablierte HTTPS-Verschlüsselung. Mit den bevorstehenden Updates von Apple iOS 14 und macOS 11 wird das noch wenig populäre Thema voraussichtlich stärkere Beachtung finden. Beide Betriebssysteme sollen DoH unterstützen.

 

Ein Ziel des DoH-Protokolls ist es, die Manipulation von DNS-Anfragen für missbräuchliche Zwecke – etwa sogenannte Man-in-the-Middle (MITM)-Angriffe – zu verhindern. Bei MITM-Angriffen »hört« der Angreifer die DNS-Anfragen des Nutzers ab und leitet ihn unbemerkt zu einem anderen Ziel um – zum Beispiel zu einer gefälschten Bankwebsite. Die Verschlüsselung von DNS-Anfragen ist derzeit die einzige brauchbare Möglichkeit, die zur Bekämpfung solcher Angriffe zur Verfügung steht.

 

DoH verbessert die Privatsphäre und Sicherheit der Benutzer

 

Apple, Mozilla, Microsoft, Google und weitere Internetfirmen wollen DoH in ihre Dienste und Anwendungen einbinden oder haben das bereits umgesetzt. Während DNS-Verschlüsselung den Vorteil hat, die Privatsphäre und Sicherheit der Benutzer zu verbessern, hat sich rund um das DoH-Protokoll eine Diskussion entwickelt. Das betrifft die Umgehung rechtsverbindlicher Sperrverfügungen, die Möglichkeit, das Nutzerverhalten mithilfe von Tracking-Funktionen zu verfolgen und Fragen der Selbstbestimmung des einzelnen Nutzers. Diese Punkte sollten bei der Einführung von DoH-Diensten berücksichtigt werden.

 

»Die Verschlüsselung von DNS mithilfe von DoH bietet Nutzern die Möglichkeit, ihre Aktivitäten und ihre Kommunikation in einer nicht vertrauenswürdigen Umgebung, wie einem öffentlichen WiFi-Hotspot, zu schützen«, sagt Klaus Landefeld, stellvertretender Vorstandsvorsitzender des eco – Verbands der Internetwirtschaft e. V. Er sieht sowohl die Chancen als auch die Herausforderungen von DoH. »In vertrauenswürdigen Netzwerkumgebungen, wie einem Unternehmensnetzwerk, können jedoch DoH-Einstellungen in einer Anwendung, die den DNS-Verkehr an einen externen DNS-Provider senden, problematisch sein.” Er erklärt weiter, dass Nutzer und Unternehmen in der Lage sein müssen, eine bewusste Entscheidung darüber zu treffen, wo ihre DNS-Anfragen verarbeitet werden.

 

Empfehlungen für die Implementierung und den Betrieb von DoH

 

»Angesichts des wachsenden Interesses an DoH sollten DNS-Anbieter, Netzbetreiber und Internet-Dienstleister ermutigt werden, eigene DoH-Resolver bereitzustellen, um zu gewährleisten, dass sie ihren Kunden aktuelle, sichere und hochleistungsfähige Services anbieten und weiterhin für sicherheitsrelevante Aktivitäten wie das Filtern von Malware und Sperranforderungen verantwortlich sein können«, so Landefeld weiter.

 

Um einige der recht komplexen Fragen – sowohl rechtlicher als auch technischer Natur – zu klären und Empfehlungen für die Implementierung und den Betrieb von DoH zu geben, hat eine Gruppe von eco-Mitgliedern gemeinsam ein englischsprachiges Diskussionspapier zu DNS-over-HTTPS geschrieben. Das Papier enthält Hintergrundinformationen und Erläuterungen für nicht-technische Leser sowie Handlungsempfehlungen, um DoH datenschutzkonform und nutzerfreundlich einzusetzen.

 

eco Diskussionspapier zu DNS-over-HTTPS kostenfrei downloaden.

 

Über eco
Mit über 1.100 Mitgliedsunternehmen ist eco der größte Verband der Internetwirtschaft in Europa. Seit 1995 gestaltet eco maßgeblich das Internet, fördert neue Technologien, schafft Rahmenbedingungen und vertritt die Interessen seiner Mitglieder gegenüber der Politik und in internationalen Gremien. Die Zuverlässigkeit und Stärkung der digitalen Infrastruktur, IT-Sicherheit und Vertrauen sowie eine ethisch orientierte Digitalisierung bilden Schwerpunkte der Verbandsarbeit. eco setzt sich für ein freies, technikneutrales und leistungsstarkes Internet ein.

 

162 Artikel zu „HTTPS DNS“

Sicherheitsproblem: HTTPS-Kommunikation gehört auf den Prüfstand

Laut jüngstem Internet Security Report zielen groß angelegte Malware-Kampagnen vor allem auf Deutschland ab.   Der aktuell veröffentlichte WatchGuard Internet Security Report für das erste Quartal 2020 bringt erneut spannende Erkenntnisse zur weltweiten Lage der IT-Sicherheit ans Licht. So wurde beispielsweise erstmals ein genauerer Blick auf die Verteilwege von Malware geworfen – mit aufrüttelnden Ergebnissen: Über 67…

IoT-Sicherheit: Vier Lehren aus dem massiven DDoS-Angriff auf DynDNS

Ein Kommentar von Günter Untucht, Chefjustiziar des japanischen IT-Sicherheitsanbieters Trend Micro in Europa.   Knapp zwei Wochen ist der massive Distributed-Denial-of-Service-Angriff auf den DNS-Service »DynDNS« nun her, der aus dem Internet der Dinge geführt wurde. Seither ist viel über die Versäumnisse in Sachen IoT-Sicherheit gesprochen und diskutiert worden. Aus meiner Sicht ist es Zeit, ein…

Teure Sicherheitslücke: DNS-Angriffe kosten Unternehmen jährlich mehrere Millionen Euro

Ein Security-Report [1] zum Thema DNS-Sicherheit brachte alarmierende Ergebnisse hervor: Von 1.000 IT-Sicherheitsexperten aus internationalen Unternehmen aller Größenordnungen gab ein Viertel an, dass sie keinerlei Sicherheitssoftware einsetzen. Dem stehen beträchtliche Schadenssummen gegenüber, die alljährlich durch erfolgreiche DNS-Attacken verursacht werden: Allein bei 60 Prozent der deutschen Unternehmen bewegt sich der Schaden in einer Größenordnung von rund…

DNS in die Cloud? Vier gute Gründe, um DNS auszulagern

Zuverlässige, schnelle und sichere DNS-Server sind unverzichtbar, um die Erreichbarkeit von Webseiten und Kommunikationsnetzwerken zu garantieren. Wie und warum ein Cloud-basiertes DNS dabei helfen kann, erklärt ein Anbieter für cloud-basierte Dienste zur Analyse und Verbesserung der Internet-Performance [1]. Leistungsfähigkeit und hohe Verfügbarkeit Webseiten beziehen heutzutage ihre Inhalte aus den unterschiedlichsten Quellen: Die Daten liegen auf…

Tipps zur Abschwächung von DNS-Angriffen

Das Domain Name System (DNS) ist einer der wichtigsten Dienste in IP-basierten Netzwerken und ein bevorzugtes Ziel für Hacker. Ein Beispiel für Angriffe auf DNS-Server ist die Distributed Denial of Service-Attacke (DDoS), bei der Hacker den Unternehmensserver mit Millionen von Anfragen pro Sekunde fluten. Bricht der Server unter der Last zusammen, ist die Website des Unternehmens…

Akute Ransom-Attacken auf Finanzdienstleister, E-Commerce und die Reisebranche

Seit Mitte August hat Radware mehrere Ransom-Kampagnen von Akteuren verfolgt, die sich als »Fancy Bear«, »Armada Collective« und »Lazarus Group« ausgeben und mit massiven DDoS-Attacken drohen. Die Geldforderungen werden per E-Mail zugestellt und enthalten in der Regel opferspezifische Daten wie Autonomous System Numbers (ASN) oder IP-Adressen von Servern oder Diensten, auf die sie abzielen werden,…

Die meisten DDoS-Angriffe stammen aus den USA und China

Der aktuelle Threat Intelligence Report von A10 Networks zeigt, dass die USA und China die führenden Herkunftsländer von Distributed Denial of Service-Angriffen (DDoS) sind [1]. Zudem verdeutlichen die Ergebnisse, dass DDoS-Angriffe in Umfang, Häufigkeit und Komplexität weiter zunehmen und Hacker für ihre Zwecke zu immer unterschiedlicheren Strategien greifen. So werden DDoS-Botnet-Werkzeuge immer häufiger eingesetzt, während…

DDoS-as-a-Service wächst trotz Razzien und Verhaftungen

Nach Angaben der Sicherheitsspezialisten von Radware haben Razzien, Verhaftungen und die Beschlagnahmung von Servern keine nennenswerten Auswirkungen auf das Wachstum illegaler Booter- und Stresser-Dienste. Solche Dienste, auch als DDoS-as-a-Service bezeichnet, werden von vielen Hackern angeboten, die auf diese Weise ihre bestehenden Botnets vermarkten, wenn sie diese nicht gerade selbst für eine Attacke einsetzen. Sie agieren…

Maschinelles Lernen für bessere Security: Sieben wichtige Erkenntnisse zur IoT-Sicherheit

Unternehmen von heute bewegen sich mit großer Geschwindigkeit in Richtung digitaler Transformation. Die Definition ihres Netzwerks ändert sich dabei ständig – mit Hybrid-Clouds, IoT-Geräten und jetzt auch Heimarbeitsplätzen. Angesichts des wachsenden Datenverkehrs am »Rand« des Netzwerks (Edge) steigt auch das Sicherheitsrisiko, verbunden mit häufigen, schweren und ausgeklügelten Cyberangriffen – wie Palo Alto Networks beobachtet. Um…

IoT-Sicherheit: Von Türklingeln und Kühlschränken bis zu Atomreaktoren

Die aktuelle und künftige Relevanz von Cybersicherheit im IoT-Kontext. Da die Welt immer vernetzter wird, werden immer mehr Geräte miteinander verbunden. Der Fitness-Tracker am Handgelenk überträgt drahtlos Daten auf das Smartphone, das wiederum die Entertainment-Hubs in den vernetzten Autos auf der Fahrt steuert. Das Smartphone ist auch der Dreh- und Angelpunkt der meisten Geschäftsverbindungen –…

In der Covid-19-Krise wichtiger denn je: eine sichere WordPress-Seite

Die Covid-19-Krise hat uns geradezu zwangsdigitalisiert: Kollegen, die sich bis dato täglich gesehen haben, sind im Home Office und arbeiten wochenlang ausschließlich virtuell zusammen; der Schlüsseldienst darf seine Dienste zwar anbieten, aber niemanden in seinen Laden lassen; der Vertriebsmitarbeiter darf seine Kunden nicht besuchen, um ihnen die neuesten Produkte seiner Firma vorzustellen.   Kleine und…

Kein Unternehmen kommt ohne IoT-Sicherheit aus – Hohes Potenzial in lernenden Systemen

Das Internet der Dinge setzt sich in großem Stil durch, weil die potenziellen Vorteile immens sind. Ob es sich um Gebäude- und Straßenlichtsensoren, Überwachungskameras, IP-Telefone, Point-of-Sale-Systeme, Konferenzraumtechnik und vieles mehr handelt, das IoT ist im Netzwerk und im Unternehmen längst Realität. Es ist zu einem wesentlichen Teil der Infrastruktur für jedes Unternehmen und jede Branche…

Sicherheitslösung gegen die fünf großen Gefahren für die IT-Sicherheit

Schwachstellen in der IT-Infrastruktur können zum Einfallstor für Hacker werden. Aber auch ein mangelndes Sicherheitsbewusstsein der Mitarbeiter erhöht das Risiko für erfolgreiche Angriffe von außen. HP nennt fünf große Gefahren für die IT-Sicherheit.   Mit der Digitalisierung und Vernetzung nehmen auch die möglichen Angriffspunkte für Cyberkriminelle zu. Viele Unternehmen unterschätzen dieses Risiko. Wer sich zuverlässig…

Internetsicherheit: Deutschland gehört zu den verwundbarsten Ländern der Erde

Mit Platz Fünf steht Deutschland weit oben auf der Liste der Länder, die besonders stark durch Cyberkriminalität gefährdet sind. Nur die USA, China, Süd-Korea und Großbritannien waren noch schlechter. Das ist ein Ergebnis des National/Industry/Cloud Exposure Reports (NICER) 2020, der zu den umfangreichsten Security-Erhebungen des Internets zählt. Die Erhebung fand im April und Mai 2020…

5G: Fünf wesentliche Technologien für den ökonomischen Einsatz

Seit Covid-19 im Februar auf Europa getroffen ist, haben sich viele Bereiche des Lebens stark verändert – privat wie auch beruflich. Wir nutzen deutlich mehr digitale Applikationen, beispielsweise um die geographische Trennung virtuell zu überbrücken. Eine stabile, sichere und zuverlässige Internetverbindung ist dabei unerlässlich. Mehr denn je ist unsere Gesellschaft durch die beschleunigte Digitalisierung auf…

BSI veröffentlicht Prüfspezifikation zur Technischen Richtlinie für Breitband-Router

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Technischen Richtlinie für Breitband-Router das Mindestmaß an IT-Sicherheitsmaßnahmen definiert, das für Router im Endkundenbereich umgesetzt sein sollte. Für diese Technische Richtlinie hat das BSI nunmehr eine Prüfspezifikation erstellt, auf deren Basis Hersteller, Prüfstellen und andere Interessierte Breitband-Router detailliert auf die Einhaltung der Anforderungen der…

Applikationssicherheit: Unsichere Software ist existenzielle Bedrohung

Sie sind versucht, Ihr Budget für Tests zur Applikationssicherheit zu kürzen, um Verluste durch den Shutdown zu decken? Vergessen Sie dabei aber nicht, dass kompromittierte Systeme eine weit größere existenzielle Bedrohung werden können. Nehmen wir an, das Amt für Wasserversorgung stünde vor einer plötzlichen Krise, die den Aufbau einer neuen Infrastruktur erfordert. Wenn man nun…

Steigende Sicherheitsrisiken durch veraltete Netzwerkgeräte

Eine neue Studie zeigt die Cybersecurity-Risiken für Unternehmen durch die rasante Zunahme von Remote Working und veraltete Netzwerkgeräte.   Laut NTT sind 48 % der Geräte in Unternehmen wegen verlängerter Wiederbeschaffungszyklen und dem Trend zu Multi-Cloud-Umgebungen veraltet oder technisch überholt. 2017 waren es nur 13 %.   Der »2020 Global Network Insights Report« von NTT…