Das Internet wird wieder ein wenig sicherer
Zwei Jahre lang stand das deutsche Internet auf einem morschen technischen Fundament. Das soll jetzt anders werden.
Der Katalog, in dem die etwa fünf Millionen Adressen mit der Endung ".de" verzeichnet sind, hätte sich theoretisch mit einer Hand voll E-Mails umprogrammieren lassen. Schlimmstenfalls wären die Websites von Amazon.de oder Yahoo.de, die für ihre Unternehmen Millionenumsätze erwirtschaften, unerreichbar gewesen. "Die Autorisierung der Zugriffe auf die Datenbank war bisher nicht besonders ausgeklügelt. Aber niemand hat diese Lücke ausgenutzt", entschuldigt sich Sabine Dolderer, Geschäftsführerin von Denic.
Diese eingetragene Genossenschaft betreibt den Katalog mit Internetadressen der Endung ".de" - im Fachjargon "Domains" genannt. Derzeit testen die Denic-Mitglieder - rund 170 Internetanbieter - ein manipulationssicheres System, das ab kommender Woche funktionieren soll.
Die Affäre war im November durch eine Recherche des Fachmagazins "c’t" angestoßen worden. Ebenso beunruhigend wie die Nachricht von der Sicherheitslücke und der gemächliche Umgang mit ihrer Behebung ist die Tatsache, dass Denic die Lücke seit längerem kannte, eine Lösung aber aufgeschoben hatte.
Typische Schwierigkeiten
Die Probleme sind typisch für den deutschen Domainverwalter, der sich abmüht, den enormen Wachstumsschub durch die ständig wachsende Zahl von Internetadressen in Deutschland zu verkraften. Seit der Gründung der Genossenschaft 1996 - zuvor war Denic ein eingetragener Verein - hat die deutsche Registrierstelle ihre Kapazität von 105.344 auf derzeit über fünf Millionen Adressen ausgebaut. Damit liegt die deutsche Domainregistrierung weltweit an zweiter Stelle. Nur die von der US-Firma Verisign betreute Datenbank mit Adressendungen auf ".com" hat mit 23 Millionen Einträgen eine größere Last zu bewältigen. Im Unterschied zu der 60 Mitarbeiter kleinen Genossenschaft Denic ist Verisign allerdings ein großes Unternehmen mit rund 2200 Mitarbeitern, etwa 900 Mio. $ Jahresumsatz (rund 1 Mrd. E) und einem Börsenwert von 8,6 Mrd. $.
Zu Spitzenzeiten muss Denic monatlich mehrere 100.000 Neueinträge bewältigen, und noch einmal so viele Änderungsanträge an bestehenden Namen. "Derzeit rechnen wir mit etwa 10.000 Vorgängen pro Tag", so Dolderer. Dieses Aufkommen lässt sich nur automatisch abwickeln. In den vergangenen beiden Jahren hat die Denic sich vor allem darauf konzentriert, die Live-Registrierung der von den Kunden begehrten Domains 24 Stunden am Tag und sieben Tage die Woche verfügbar zu machen. Dafür musste ständig Rechnerkapazität zugekauft und Personal für Entwicklung und Wartung gefunden werden. Von den Papierformularen aus den Urzeiten des Internets ist man inzwischen bei einer völlig elektronisch ablaufenden, voll automatisierten E-Mail-Lösung angelangt - mit all den Schwierigkeiten, die elektronische Kommunikation mit sich bringt.
Zwar wird die tägliche Aktualisierung der zentralen Datenbank, die einer Webseite einen Platz in der virtuellen Welt zuweist, noch manuell ausgelöst. Ob dabei aber bei einer der fünf Millionen Domains falsche Daten eingetragen sind oder ein Internetname irgendwelche Markenrechte verletzt, lässt sich dabei nicht überblicken. Plausibilitätsprüfungen sollen verhindern, dass im großen Stil manipuliert wird. "Wenn wir beispielsweise eine plötzliche Verdoppelung von Änderungen bei Domains haben, sehen wir uns das genauer an", so Dolderer. Mehr Kontrolle würde mehr der knappen Ressourcen verschlingen. Die werden derzeit unter anderem dafür eingesetzt, mehr Rechner mit der ".de"-Datenbank in aller Welt zu installieren.
Nach Wien und Amsterdam sollen demnächst auch solche Maschinen in Südostasien und den USA eingerichtet werden. Die geographische Verteilung der redundanten Rechner erhöht die Zugriffsgeschwindigkeit und stellt auch die dauerhafte Verfügbarkeit sicher. In Frankfurt richtet Denic derzeit außerdem eine so genannte Backup-Lokation her, ein exaktes Ebenbild der Zentrale inklusive der 600 Megabyte kleinen Datenbank, die bei einem Ausfall ohne Zeitverzögerung in Betrieb genommen werden kann.
Keine absolute Sicherheit
Doch bombensicher machen all diese Anstrengungen das Domainnamen-System nicht. Dies sagte kürzlich auch AT&T-Sicherheitsexperte Steve Bellovin auf einer Sicherheitstagung der für die Domainvergabe weltweit zuständigen Internet Corporation for Assigned Names and Numbers (Icann). Zu viele Angriffspunkte gibt es auf dem Weg zwischen dem PC des Endnutzers und den zentralen Registrierstellen der Internetadressen.
Neue technische Standards, die diese Adressdatenbanken absichern könnten, sind derzeit noch Zukunftsmusik, sagt Dolderer. Dafür aber müssten Millionen von Rechnern, die das Internet bilden, mit neuer Software ausgestattet werden.
Zwei Jahre lang stand das deutsche Internet auf einem morschen technischen Fundament. Das soll jetzt anders werden.
Der Katalog, in dem die etwa fünf Millionen Adressen mit der Endung ".de" verzeichnet sind, hätte sich theoretisch mit einer Hand voll E-Mails umprogrammieren lassen. Schlimmstenfalls wären die Websites von Amazon.de oder Yahoo.de, die für ihre Unternehmen Millionenumsätze erwirtschaften, unerreichbar gewesen. "Die Autorisierung der Zugriffe auf die Datenbank war bisher nicht besonders ausgeklügelt. Aber niemand hat diese Lücke ausgenutzt", entschuldigt sich Sabine Dolderer, Geschäftsführerin von Denic.
Diese eingetragene Genossenschaft betreibt den Katalog mit Internetadressen der Endung ".de" - im Fachjargon "Domains" genannt. Derzeit testen die Denic-Mitglieder - rund 170 Internetanbieter - ein manipulationssicheres System, das ab kommender Woche funktionieren soll.
Die Affäre war im November durch eine Recherche des Fachmagazins "c’t" angestoßen worden. Ebenso beunruhigend wie die Nachricht von der Sicherheitslücke und der gemächliche Umgang mit ihrer Behebung ist die Tatsache, dass Denic die Lücke seit längerem kannte, eine Lösung aber aufgeschoben hatte.
Typische Schwierigkeiten
Die Probleme sind typisch für den deutschen Domainverwalter, der sich abmüht, den enormen Wachstumsschub durch die ständig wachsende Zahl von Internetadressen in Deutschland zu verkraften. Seit der Gründung der Genossenschaft 1996 - zuvor war Denic ein eingetragener Verein - hat die deutsche Registrierstelle ihre Kapazität von 105.344 auf derzeit über fünf Millionen Adressen ausgebaut. Damit liegt die deutsche Domainregistrierung weltweit an zweiter Stelle. Nur die von der US-Firma Verisign betreute Datenbank mit Adressendungen auf ".com" hat mit 23 Millionen Einträgen eine größere Last zu bewältigen. Im Unterschied zu der 60 Mitarbeiter kleinen Genossenschaft Denic ist Verisign allerdings ein großes Unternehmen mit rund 2200 Mitarbeitern, etwa 900 Mio. $ Jahresumsatz (rund 1 Mrd. E) und einem Börsenwert von 8,6 Mrd. $.
Zu Spitzenzeiten muss Denic monatlich mehrere 100.000 Neueinträge bewältigen, und noch einmal so viele Änderungsanträge an bestehenden Namen. "Derzeit rechnen wir mit etwa 10.000 Vorgängen pro Tag", so Dolderer. Dieses Aufkommen lässt sich nur automatisch abwickeln. In den vergangenen beiden Jahren hat die Denic sich vor allem darauf konzentriert, die Live-Registrierung der von den Kunden begehrten Domains 24 Stunden am Tag und sieben Tage die Woche verfügbar zu machen. Dafür musste ständig Rechnerkapazität zugekauft und Personal für Entwicklung und Wartung gefunden werden. Von den Papierformularen aus den Urzeiten des Internets ist man inzwischen bei einer völlig elektronisch ablaufenden, voll automatisierten E-Mail-Lösung angelangt - mit all den Schwierigkeiten, die elektronische Kommunikation mit sich bringt.
Zwar wird die tägliche Aktualisierung der zentralen Datenbank, die einer Webseite einen Platz in der virtuellen Welt zuweist, noch manuell ausgelöst. Ob dabei aber bei einer der fünf Millionen Domains falsche Daten eingetragen sind oder ein Internetname irgendwelche Markenrechte verletzt, lässt sich dabei nicht überblicken. Plausibilitätsprüfungen sollen verhindern, dass im großen Stil manipuliert wird. "Wenn wir beispielsweise eine plötzliche Verdoppelung von Änderungen bei Domains haben, sehen wir uns das genauer an", so Dolderer. Mehr Kontrolle würde mehr der knappen Ressourcen verschlingen. Die werden derzeit unter anderem dafür eingesetzt, mehr Rechner mit der ".de"-Datenbank in aller Welt zu installieren.
Nach Wien und Amsterdam sollen demnächst auch solche Maschinen in Südostasien und den USA eingerichtet werden. Die geographische Verteilung der redundanten Rechner erhöht die Zugriffsgeschwindigkeit und stellt auch die dauerhafte Verfügbarkeit sicher. In Frankfurt richtet Denic derzeit außerdem eine so genannte Backup-Lokation her, ein exaktes Ebenbild der Zentrale inklusive der 600 Megabyte kleinen Datenbank, die bei einem Ausfall ohne Zeitverzögerung in Betrieb genommen werden kann.
Keine absolute Sicherheit
Doch bombensicher machen all diese Anstrengungen das Domainnamen-System nicht. Dies sagte kürzlich auch AT&T-Sicherheitsexperte Steve Bellovin auf einer Sicherheitstagung der für die Domainvergabe weltweit zuständigen Internet Corporation for Assigned Names and Numbers (Icann). Zu viele Angriffspunkte gibt es auf dem Weg zwischen dem PC des Endnutzers und den zentralen Registrierstellen der Internetadressen.
Neue technische Standards, die diese Adressdatenbanken absichern könnten, sind derzeit noch Zukunftsmusik, sagt Dolderer. Dafür aber müssten Millionen von Rechnern, die das Internet bilden, mit neuer Software ausgestattet werden.
