DNS Security Report von EfficientIP

Beim Schutz von DNS-Servern besteht Nachholbedarf

| Autor / Redakteur: Hervé Dhélin / Andreas Donner

Der Sicherheit im Domain Name System muss viel mehr Aufmerksamkeit geschenkt werden!
Der Sicherheit im Domain Name System muss viel mehr Aufmerksamkeit geschenkt werden! (Bild: © aa_amie - stock.adobe.com)

Das Thema Cyberkriminalität hält viele Unternehmen nach wie vor in Atem, aber mit der richtigen Vorbereitung lässt sich die Gefahr effektiv verringern. Vor allem das Domain Name System (DNS) bildet als Schnittstelle zum Unternehmensnetzwerk eine attraktive Zielscheibe für Hackerangriffe.

Voll auf Sicherheit eingestellt: Die EU-Datenschutzgrundverordnung tritt am 25. Mai 2018 in Kraft und ist für zahlreiche Unternehmen ein Ansporn, sich mit geeigneten Maßnahmen gegen die Bedrohung durch Cyberattacken und Datendiebstahl zur Wehr zu setzen.

Der Hintergrund: Laut den Erhebungen des DNS Security Reports von EfficientIP aus dem Jahr 2017 waren in den vergangenen zwölf Monaten weltweit 76 Prozent aller Unternehmen und Organisationen Zielscheibe von DNS-Attacken. Die Hauptgründe dafür liegen auf der Hand. Denn der Weg über das DNS verspricht Eindringlingen einen leichten Zugriff auf die wichtigsten Daten des Unternehmens, die vielfach nicht hinreichend geschützt sind.

Verbesserungsbedarf aufseiten der Unternehmen besteht vor allem beim Bewusstsein für die Vielfalt von Cyberattacken, bei der Anpassung von Sicherheitslösungen zum Schutz vor DNS-basierten Angriffen sowie bei der angemessenen Reaktion auf entdeckte Schwachstellen.

Eigentlich ist die Ausgangslage klar. DNS-Server zählen zu den unverzichtbaren Komponenten eines jeden Netzwerks. Insofern gilt die Faustregel, dass derjenige, dem der unrechtmäßige Zutritt über das DNS gelingt, schnell an sämtliche entscheidenden Daten und Ressourcen gelangen kann. Dementsprechend weisen die bekannten Muster von DNS-Attacken eine hohe Bandbreite unterschiedlicher Varianten mit zum Teil hoher programmiertechnischer Raffinesse auf.

Derweil sind die Sicherheitsvorkehrungen mancherorts derart unzureichend, dass die Exfiltration unternehmenseigener Daten keine allzu großen Anstrengungen erfordert. Die Zahlen sprechen für sich: Laut dem DNS Security Report von EfficientIP war bereits rund ein Viertel aller Unternehmen Opfer von Datenexfiltration via DNS. Die Kosten, die dadurch für Unternehmen mit 3.000 oder mehr Mitarbeitern entstehen, belaufen sich auf 2,5 Millionen Euro pro Unternehmen und Jahr – ungeachtet der Imageschäden, die ihre unerwünschten Nebenwirkungen in der Regel erst mit Verzug entfalten.

Per EU-Verordnung zu wirksamer Hackerabwehr?

Mit der neuen Datenschutzgrundverordnung nutzt die EU die Mittel einer verbindlichen Direktive, um Unternehmen zum entschlossenen Einsatz für die Sicherheit ihres Datenbestands zu verpflichten. Mit ihrem Inkrafttreten im Mai 2018 erstreckt sich der Geltungsbereich der Verordnung auf sämtliche Unternehmen weltweit, in denen persönliche Daten von EU-Bürgern verarbeitet werden.

Jeder Vorfall eines Datendiebstahls muss innerhalb von 72 Stunden zur Anzeige gebracht werden – bei Verstößen droht eine Strafzahlung bis zu einer Höhe von vier Prozent des globalen Umsatzes des betroffenen Unternehmens. Die entscheidende Frage bleibt vorerst nur, welchen Weg die Unternehmen zur Implementierung erforderlicher Abwehrmechanismen rund um ihre DNS-Server einschlagen.

Um die systemtechnischen Herausforderungen für die Sicherheit von DNS-Servern zu verstehen, empfiehlt es sich, ihrem Funktionsschema auf den Grund zu gehen. Dieses beruht auf drei Basisfunktionen: dem DNS-Caching, der rekursiven und der iterativen Namensauflösung. Es besteht die Option, dass die Antwort auf DNS-Anfragen über den Cache verfügbar gemacht wird. Hierbei hält der Caching-Server die angefragten Informationen in seinem Cache und kann diese sofort lokal beantworten. Bei einer rekursiven Namensauflösung werden verschiedene DNS-Server befragt, bis der Domain-Name aufgelöst ist und die Antwort an den Client zurückgespielt wurde. Erfolgt eine iterative Namensauflösung, übergibt der zuständige DNS-Server seinen Request an den DNS-Server, der auf der nächsten Hierarchieebene folgt.

Große Gefahr lauert jenseits der Möglichkeiten einer Firewall

Das Hauptproblem gängiger IT-Sicherheitslösungen: Next-Generation Firewalls (NGFW) sind aufgrund ihrer Programmarchitektur außerstande, den Kontext von DNS-Transaktionen vollständig zu erfassen. Diese lässt lediglich eine rudimentäre Sichtbarkeit ausgeführter DNS-Transaktionen zu – der klare Blick auf eine Vielzahl kritischer Daten bleibt hingegen verstellt.

So erhält die Firewall zwar Überblick über rekursive Anfragen und Antworten, aber der daraus resultierende Traffic lässt verwertbare Informationen über den Client vermissen. Ganz ähnlich ist die Situation bei iterativen Anfragen und Antworten: Auch hier fehlen relevante Hintergrundinformationen zum jeweiligen Client, da die IP-Adresse des Resolvers den Ausgangspunkt der Anfrage bildet. Einen validen Zusammenhang zwischen unterschiedlichen Anfragen herzustellen, wird infolgedessen unmöglich.

Mit dem Hintergrundwissen um die strukturellen Schwächen einer Firewall lässt sich leicht ein anschauliches Beispiel für kriminelle Datenexfiltration durch Hacker entwerfen. Denn für ein außergewöhnliches Nutzungsverhalten der Cache-Funktion durch Clients bleibt eine NGFW blind. Die unverkennbaren Qualitäten ihrer zugrundeliegenden Algorithmen liegen woanders: im Aufspüren von Unregelmäßigkeiten rund um DNS-Pakete sowie die Frequenz, Nutzlast, Datenkodierung oder Entropie von Anfragen.

Sobald ein Angreifer eine DNS-Anfrage mit vertraulichen Daten versieht und die Ziel-Domain des Hackers nicht als schadhaft im System hinterlegt ist, kann die Anfrage den Cache sowie die Rekursive-Funktion passieren. Danach gelangt sie ohne weiteres zur Freigabe an einen autoritativen Nameserver. Ab diesem Punkt ist der Diebstahl vertraulicher Daten nicht mehr aufzuhalten.

Die Lösung besteht in einem integrierten Sicherheitskonzept

Prinzipiell besteht für Unternehmen angesichts dieser diffusen Bedrohungslage die Option, die ständige Verfügbarkeit ihrer Dienstleistungen, ihre eigene Datensicherheit sowie die ihrer Nutzer und Kunden mithilfe einer Reihe geeigneter Maßnahmen auf sichere Beine zu stellen.

Einerseits sollten Firewalls ebenso wie Load-Balancer durch eine speziell entwickelte DNS-Sicherheitstechnologie ergänzt werden. Andererseits wäre es ratsam, dass Unternehmen häufiger auf Patches für DNS-Server zurückgreifen, damit ihre DNS-Sicherheit jederzeit auf dem aktuellsten Stand ist. Dazu kann eine ausführliche DNS-Transaktionsanalyse im Rahmen eines integrierten IT-Sicherheitskonzepts einen wertvollen Beitrag leisten und die Transparenz von Bedrohungen bis hin zu einer umfassenden 360-Grad-Sicht verbessern.

Hervé Dhélin.
Hervé Dhélin. (Bild: EfficientIP)

Genau hier liegt das Potenzial, eine Sicherheitskultur im Datenverkehr nachhaltig zu etablieren, mit Vorteilen für alle Akteure – von rechtssicherem Datenmanagement über kosteneffiziente Prozessstandards bis hin zum unschätzbar wertvollen Vertrauen der beteiligten Nutzer, Partner und Kunden.

Über den Autor

Hervé Dhélin ist Vice President of Strategy bei EfficientIP mit Sitz in Frankreich. Dhélin verfügt über mehr als dreißig Jahre Erfahrung in der IT-Branche und hat in den vergangenen zwanzig Jahren für internationale Unternehmen wie IBM, SPSS, Mercury und BMC gearbeitet. Er ist regelmäßiger Referent bei Industrieveranstaltungen auf der ganzen Welt.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45113144 / Aktuelles & Hintergründe)