Um die Sicherheit im Internet zu erhöhen, wurde das Domain Name System (DNS) um das Sicherheitsprotokoll Securytiy Extensions (DNSSEC)erweitert. Das US-Wirtschaftsministerium gab bekannt, dass seit vergangener Woche alle 13 Rootserver darauf umgestellt wurden.

Bei der DNSSEC handelt es sich um eine Erweiterung des DNS, welche die Authentizität und Datenintegrität von DNS-Transaktionen gewährleistet und dafür bestimmt ist, im Internet Sicherheitsrisiken wie Cache-Poisoning, DNS-Umleitungen oder DNS-Spoofing zu unterbinden. Die Aufgabe der DNS ist es beispielsweise, die Anfrage an eine spezielle Internetadresse zu ermöglichen. Gibt der Internetnutzer in seinem Browser einen Domainnamen ein (z.B. www.schmitzweb.com), fragt der Computer fordert der Computer einen Name Server nach der Auflösung des Domainnamens. Dieser wird nun die zu bearbeitende Adresse von rechts nach links lesen und den autoritativen Domain Name Server (DNS) für die TLD ".com" ermitteln. Mit der gespeicherten Information fragt er weiter bei einem der .com-Nameserver nach der Domain "schmitzweb". Mit dieser Antwort fragt er anschließend einen der übergebenen Nameserver nach der Subdomain "www" ab und liefert diese endgültige Antwort an den Computer des Internetnutzers zurück. Im Browser erscheint nun die Webseite von www.schmitzweb.com, während der ganze Prozess für den Anwender unbemerkt im Hintergrund abläuft.

Um die Sicherheit zu steigern setzt DNSSEC nun auf eine digitale Signatur, die mit jeder Nameserver-Abfrage mitgeliefert wird. Damit soll sichergestellt werden, dass all diese Anfragen auch wirklich zu dem gesuchten Internetangebot führen. Währende der Ermittlung der DNS lässt sich damit verifizieren, dass die während der Kommunikation verarbeiteten Daten auch tatsächlich identisch mit denen sind, die der für die Zone autorisierte und die Zone signierende Server ausliefert. Cyberkriminellen soll es damit unmöglich gemacht werden, die Nameserver-Abfragen dazu zu nutzen, den Nutzer auf Drittangebote umzuleiten.

Bereits seit März diesen Jahres bietet die deutsche Domainverwaltung DeNIC die Möglichkeit an, mit einer .de-Domain an einem DNSSEC Testbed teilzunehmen und die zugehörige Signatur zu hinterlegen. Auch die Registrierungsbehörde für .eu-Domains hat das neue Sicherheitsprotokoll vor wenigen Wochen eingebunden. Doch die Grundlage für eine möglichst hohe Sicherheit ist eine noch stärkere Verbreitung.