Die erste Verteidigungslinie : Best Practices zur Absicherung von DNS
Das Domain-Name-System (DNS) ist in zahlreichen Organisationen nach wie vor eine Schwachstelle. Der Grund: Viele übersehen in den eigenen Security-Strategien, was Angreifer* dankbar ausnutzen. Die gute Nachricht ist, dass Unternehmen ihre DNS-Sicherheit bereits mit wenigen Maßnahmen deutlich verbessern können.
Das Domain-Name-System (DNS) ist ein zentrales Element in jeder Netzwerkarchitektur und essenziell für die digitale Kommunikation von Unternehmen – mit der Auflösung von Domainnamen in IP-Adressen bildet es das Fundament der Internetkommunikation. Gerade weil es so tief in die Infrastruktur eingebettet ist, wird das DNS aber auch von Angreifern gern ausgenutzt – etwa für Phishing, Datenexfiltration oder Command-and-Control-(C&C)-Kommunikation. Die US-amerikansiche National Security Agency (NSA) geht davon aus, dass über 90% aller Angriffe das DNS auf die eine oder andere Weise missbrauchen. Umso wichtiger ist es, diesen Dienst nicht nur als Infrastrukturkomponente, sondern als sicherheitsrelevantes System zu betrachten.
Die im Folgenden skizzierten zehn Best Practices zeigen, wie sich DNS-Security mit überschaubarem Aufwand und ohne technische Abhängigkeiten effektiv umsetzen und in die Sicherheitsarchitektur von Unternehmen integrieren lässt.
DNS-Firewall
Im ersten Schritt sollten Unternehmen zunächst eine DNS-Firewall einrichten und aktivieren. Diese bildet die erste Verteidigungslinie gegen Bedrohungen, analysiert den DNS-Verkehr in Echtzeit und blockiert schädliche Domainanfragen noch bevor eine Verbindung zustandekommt. Dabei können sogenannte Response-Policy-Zones (RPZ) eingesetzt werden, um DNS-Anfragen automatisiert mit bekannten Bedrohungslisten abzugleichen.
Durch die Integration öffentlich verfügbarer Feeds (z.B. Spamhaus oder SURBL) oder kommerzieller Anbieter wird der Schutz kontinuierlich gestärkt. Wird im Unternehmensnetzwerk beispielsweise eine bekannte Phishing-Domain angefragt, blockiert die DNS-Firewall die Auflösung und verweigert die Verbindung.
Threat-Intelligence
Mindestens ebenso entscheidend für eine robuste DNS-Abwehr ist Threat-Intelligence (TI). Aktuelle Bedrohungsdaten liefern Einblicke in bekannte Angriffsvektoren und helfen dabei, neue Kampagnen frühzeitig zu erkennen. Durch die Nutzung standardisierter Feeds – beispielsweise via STIX/TAXII aus Angeboten wie der Malware Information Sharing Platform (MISP, www. misp-project.org) – lassen sich sicherheitsrelevante Indikatoren (Indicators of Compromise, IOCs) direkt in DNS-Filtermechanismen einspeisen.
Um ein vollständiges Lagebild zu erhalten, ist es sinnvoll, externe Informationen mit unternehmensinternen Erkenntnissen zu kombinieren. Eingebundene Feeds sind zudem regelmäßig auf Aktualität und Relevanz zu prüfen. In der Praxis bedeutet das etwa, dass ein SecurityTeam IOCs, die mit aktuellen Ransomware-Kampagnen in Verbindung stehen, aus MISP importiert und diese im DNS-Resolver blockiert, bevor Schaden entstehen kann.
Tunneling und Datenexfiltration
Ein weiterer zentraler Aspekt moderner DNS-Security ist die frühzeitige Erkennung von Tunneling und Datenexfiltration via DNS. Mithilfe dieser Techniken nutzen Angreifer legitime DNS-Protokolle, um Firewalls und andere Schutzmechanismen zu umgehen, indem sie beispielsweise Daten im Subdomain-Teil einer DNS-Anfrage kodieren.
Unternehmen sollten ihren DNS-Traffic daher gezielt auf ungewöhnliche Muster hin untersuchen. Dazu zählen etwa übermäßig lange oder in Base64 kodierte Subdomains, wiederholte NXDOMAIN-Antworten oder die Nutzung algorithmisch generierter Domains (DGA), wie sie von modernen Malware-Familien erzeugt werden. Machine-Learning-(ML)-basierte KI-Systeme können bei der Erkennung zusätzlich helfen.
Ein typisches Szenario: Ein kompromittierter Client sendet DNS-Anfragen an Domains wie „dGhpcyBpcyBhIHRlc3Q=. maliciousdomain.com“. Derartige Anfragen deuten auf eine mögliche Datenexfiltration hin und sollten automatisiert untersucht oder blockiert werden.
DNS-Logging
Neben der Erkennung verdächtiger Anfragen spielen interne Blacklists eine wichtige Rolle – diese sollten regelmäßig aktualisiert und sorgfältig gepflegt werden. Eine entscheidende Grundlage hierfür ist ein umfassendes Logging, denn nur wer den DNS-Verkehr systematisch protokolliert, kann potenzielle Bedrohungen frühzeitig erkennen und analysieren.
Unternehmen sollten daher sowohl auf autoritativen als auch auf rekursiven Servern das Query-Logging aktivieren und die Daten in zentrale Log-Systeme wie SIEM- oder ELK-Plattformen einspeisen. Idealerweise ist die DNS-Security darüber hinaus mit einem SOAR- oder SIEM-System verknüpft, um diese Daten automatisiert mit anderen sicherheitsrelevanten Informationen zu korrelieren: So lassen sich Bedrohungen nicht nur identifizieren, sondern auch schnell im Gesamtkontext bewerten und priorisieren. Das versetzt Unternehmen in die Lage, Zusammenhänge über unterschiedliche Sicherheitsebenen hinweg zu erkennen und frühzeitig darauf zu reagieren.
Automatisierte Reaktionen
Aufgrund der enormen Menge an DNS-Anfragen verlieren Menschen schnell den Überblick – daher empfiehlt es sich, Reaktionen auf verdächtige Anfragen zu automatisieren. Die Reaktionsgeschwindigkeit auf potenzielle Bedrohungen ist oft entscheidend für deren Eindämmung. DNS-Bedrohungen wie IOC-Domains sollten etwa automatisch blockiert werden, um Schäden zu verhindern.
Moderne Security-Orchestration,-Automation and-Response-(SOAR)-Systeme ermöglichen genau das: Domains, die in aktuellen IOC-Feeds auftauchen, lassen sich damit automatisch sperren, bevor ein Schaden entsteht. Darüber hinaus können vordefinierte Playbooks dazu dienen, um wiederholte verdächtige DNS-Anfragen zu erkennen und darauf abgestimmte Maßnahmen auszulösen. So kann etwa ein Host, der mehrfach nach Domains aus einer neuen IOC-Liste fragt, automatisch in Quarantäne versetzt oder isoliert werden, ohne dass ein Analyst manuell eingreifen müsste.
DNSSEC und verschlüsselter DNS-Traffic
DNS-Daten sollten heutzutage stets signiert und validierbar sein, um Manipulationen vorzubeugen. Die Domain-Name-System-Security-Extensions (DNSSEC) sollten daher durchgängig aktiviert werden – sowohl für interne als auch externe Zonen. Auch Zonentransfers (AXFR) und rekursive Abfragen sollte man absichern – Letztere allem voran, um Missbrauch durch DNS-Amplification-Angriff e zu vermeiden. Die Devise lautet: Nur autorisierte IP-Adressen haben Zugriff auf Zonentransfers und rekursive Abfragen sind ausschließlich innerhalb definierter interner Netzbereiche freigegeben. Denn der Versuch, durch einen externen Akteur einen vollständigen Zonentransfer vom DNS-Server durchzuführen, ist ein klassisches Angriffsszenario. Bei korrekter Zugriffsbeschränkung verweigert der DNS-Server jedoch eine solche Anfrage, da keine Authentifizierung vorliegen wird.
Ein häufig unterschätzter Risikofaktor ist überdies die zunehmende Verbreitung verschlüsselter DNS-Protokolle wie „DNS over HTTPS“ (DoH) oder „DNS over TLS“ (DoT). Zwar verbessern diese Endpunktprotokolle die Privatsphäre für Endnutzer – gleichzeitig können sie jedoch die zentrale Kontrolle durch Sicherheitsteams unterlaufen. Um dieser Herausforderung zu begegnen, sollten Unternehmen zielgerichtete technische Maßnahmen ergreifen. Dazu gehören die Analyse von TLS-SNI-Headern sowie die Überwachung von IP-Adressen bekannter DoH-Provider. Darüber hinaus lassen sich über Gruppenrichtlinien (GPO) oder Mobile-Device-Management (MDM) Konfigurationsvorgaben durchsetzen, um die Nutzung verschlüsselter DNS-Dienste auf Unternehmensgeräten zu unterbinden.
Lookalike-Domains
Sogenannte Lookalike-Domains zählen zu den häufigsten Angriffsmethoden im DNS-Kontext: Cyberkriminelle registrieren täuschend ähnliche Domains zu bekannten Marken, um Nutzer auf Phishing-Webseiten umzuleiten. Dies erfolgt beispielsweise durch Tippfehler („paypa1.com“) oder die Verwendung von Zeichenersetzungen im Unicode-Zeichensatz. Sobald beispielsweise die Domain „micr0soft-support.com“ in einer Phishing-Kampagne auftaucht, sollte das Security-Team sie präventiv im Resolver blockieren, um interne Zugriffe hierauf zu verhindern.
Unternehmen sollten auch eigene, neu registrierte Domains aktiv auf solche Imitationen überwachen. Tools wie DNSTwist (https://dnstwist.it) können dabei helfen, potenzielle Varianten frühzeitig zu erkennen. Verdächtige Domains lassen sich anschließend gezielt im Unternehmens-DNS blockieren – manuell oder automatisiert über IOC-Feeds.
Verwaiste DNS-Einträge
Ein weiterer Bedrohungsklassiker im DNS-Umfeld sind sogenannte „Dangling DNS Records“. Diese entstehen, wenn DNS-Records, etwa CNAMEs, auf nicht mehr existierende Ressourcen verweisen. Bleibt ein solcher Eintrag bestehen, können Angreifer die verwaiste Zieladresse übernehmen und eigenen Code unter einer legitimen Subdomain des Unternehmens bereitstellen – dieses Szenario ist als Subdomain-Takeover bekannt. Um dies zu verhindern, sollten DNS-Zonen regelmäßig auf Zielerreichbarkeit hin überprüft werden. Ergänzend empfiehlt sich ein automatisierter Abgleich mit APIs von Cloudanbietern, um gelöschte Ressourcen frühzeitig zu erkennen.
Ein typisches Angriffs-Szenario: Ein CNAME zeigt auf einen inzwischen gelöschten Azure-Blob. Ein Angreifer registriert denselben Namen neu und platziert Schadcode unter der vertrauenswürdig wirkenden Subdomain. Durch proaktive Kontrolle lässt sich dieses Risiko zuverlässig minimieren.
Split DNS (Split Horizon)
Die Trennung interner und externer Namensräume durch Split DNS (auch „Split Horizon“ genannt) ist ein weiterer wichtiger Schutzmechanismus im DNS-Umfeld. Das Ziel: Interne DNS-Zonen und Hostnamen sollen nicht über das öffentliche Internet sichtbar oder auflösbar sein. Dies wird durch unterschiedliche DNS-„Ansichten“ erreicht, die je nach Herkunft der Anfrage – etwa aus dem internen Netz oder dem Internet – unterschiedliche Antworten liefern. So lässt sich etwa die Sichtbarkeit einzelner Zonen pro Subnetz oder Benutzergruppe steuern.
Ein Beispiel: Die interne Adresse „intranet.example.com“ liefert im Unternehmensnetz eine gültige IP-Adresse zurück, während externe Anfragen ins Leere laufen oder bewusst keine Antwort erhalten. So bleiben sensible Informationen zuverlässig vor unbefugtem Zugriff geschützt.
Rollenbasierte Zugriffskontrolle (RBAC)
Um Fehlkonfigurationen und unbefugte Änderungen im DNS zu vermeiden, sollten Unternehmen eine rollenbasierte Zugriffskontrolle (Role-based AccessControl, RBAC) einsetzen. Durch die eindeutige Vergabe von Rechten wird sichergestellt, dass nur autorisierte Personen bestimmte Konfigurationsaufgaben durchführen können. Grundlage dafür ist die Definition granularer Rollen, etwa für Zonenadministratoren, Operatoren oder reine „Viewer“. So kann ein Operator beispielsweise DNS-Zoneneinträge pflegen, aber keine Transfers auslösen oder sicherheitskritische Funktionen wie DNSSEC verwalten.
Ebenso wichtig ist eine lückenlose Protokollierung aller Änderungen, um Aktivitäten im Nachhinein nachvollziehen und im Zweifel revisionssicher belegen zu können. RBAC erhöht somit nicht nur die Sicherheit, sondern auch die Transparenz im operativen Betrieb.
Fazit
DNS-Security ist schon lange kein Nischenthema mehr, sondern bildet eine tragende Säule jeder ganzheitlichen Cybersecurity-Strategie. Regelmäßig werden neue Bedrohungsakteure aufgedeckt, die gezielt Schwachstellen im DNS ausnutzen. Besonders veraltete DNS-Einträge, falsch konfigurierte Dienste oder ein fehlender Überblick über die eigene DNS-Landschaft bergen erhebliche Risiken.
Wer seine Organisation vor diesen Angreifern schützen möchte, darf das DNS nicht als reine Infrastrukturkomponente betrachten, sondern muss es als sicherheitskritisches Element verstehen. Wer das DNS hingegen zur ersten Verteidigungslinie gegen Cyberkriminelle ausbaut, kann eine Vielzahl von Angriff en im Keim ersticken.
Steffen Eid ist Senior Manager Technical Sales bei Infoblox.