Die Sicherheit des Domain Name Systems (DNS) wird auf vielen Ebenen verteidigt. Während Protokolle wie DNSSEC die Integrität der Daten sicherstellen, ist die Bekämpfung von missbräuchlich genutzten Domains – sogenanntem „DNS Abuse“ – eine ebenso große Herausforderung. Phishing, Malware-Verbreitung und Botnetze nutzen Domains als zentrale Infrastruktur.
Die ICANN (Internet Corporation for Assigned Names and Numbers) spielt als globale Koordinatorin des DNS eine Schlüsselrolle. Mit dem DNSTICR-Projekt (Domain Name System Threat Information Collection and Reporting) geht die Organisation nun einen wichtigen Schritt von einer reaktiven zu einer proaktiven Strategie über.
Was ist das Problem? Die Definition von DNS-Missbrauch
Um die Tragweite des DNSTICR-Projekts zu verstehen, muss man klar definieren, wogegen es sich richtet. Wenn ICANN von „DNS Abuse“ spricht, sind damit nicht primär Spam-Mails oder unliebsame Inhalte gemeint, sondern die schwerwiegendsten technischen Missbrauchsformen. Das Projekt fokussiert sich klar auf:
- Phishing: Versuche, über gefälschte Websites sensible Daten (wie Passwörter oder Kreditkarteninformationen) zu stehlen. Mehr dazu, wie Sie Phishing erkennen können, finden Sie ebenfalls im Blog.
- Malware: Domains, die gezielt zur Verbreitung, Steuerung oder Kontrolle von Schadsoftware (Viren, Trojaner, Ransomware) eingesetzt werden. Wie man Malware entfernt, ist eine ständige Herausforderung für Admins.
- Botnets: Netzwerke aus kompromittierten Rechnern, die über Domains (via Command-and-Control-Server) zentral gesteuert werden.
Das Problem ist nicht neu. Neu sind jedoch die Geschwindigkeit und das industrielle Ausmaß, mit dem kriminelle Akteure Domains registrieren und für ihre Zwecke missbrauchen. Genau hier setzt DNSTICR an.
Das DNSTICR-Projekt: Mehr als nur ein Meldeformular
Der Name „Domain Name System Threat Information Collection and Reporting“ beschreibt den Kern des Projekts bereits sehr gut. Es handelt sich nicht um ein weiteres Portal, bei dem Nutzer manuell einzelne Phishing-Seiten melden können.
Stattdessen ist DNSTICR ein systematisches Datenerfassungsprogramm.
Wie das DNSTICR-Projekt funktioniert
ICANN baut eine Infrastruktur auf, um DNS-Missbrauch im großen Stil proaktiv zu identifizieren und die gewonnenen Erkenntnisse gezielt zu verteilen.
- Sammlung (Collection): Das System sammelt und analysiert kontinuierlich Daten aus verschiedenen vertrauenswürdigen Quellen (Threat Intelligence Feeds), um Domains zu identifizieren, die aktiv für Phishing oder die Verbreitung von Malware genutzt werden.
- Validierung: Die gesammelten Daten werden kuratiert und validiert, um Falschmeldungen (False Positives) zu minimieren.
- Meldung (Reporting): Die entscheidende Phase. ICANN leitet diese validierten Missbrauchsmeldungen direkt an die zuständigen Stellen weiter:
- An die Registries (die Verwalter von TLDs wie .com oder .de).
- An die Registrare (Unternehmen wie united-domains, bei denen die Domain registriert wurde).
Das Ziel ist, den Registraren und Registries „actionable intelligence“ – also verwertbare, qualitativ hochwertige Informationen – zur Verfügung zu stellen, damit diese schneller und effektiver gegen die betroffenen Domains vorgehen können, als es durch einzelne, manuelle Beschwerden möglich wäre.
Warum dieser proaktive Ansatz wichtig ist
Der Kampf gegen DNS-Missbrauch ist oft ein Wettlauf gegen die Zeit. Phishing-Seiten sind oft nur wenige Stunden oder Tage aktiv, bevor die Angreifer zur nächsten Domain wechseln.
Geschwindigkeit: Ein reaktives System, das auf manuelle Meldungen wartet, ist zu langsam. DNSTICR zielt darauf ab, die Zeit von der Identifizierung einer bösartigen Domain bis zur Meldung an den Registrar drastisch zu verkürzen.
Effizienz für Registrare: Für Registrare bedeutet das Projekt eine Entlastung und gleichzeitig eine höhere Effizienz. Statt eine Flut von unstrukturierten Missbrauchsmeldungen unterschiedlicher Qualität zu erhalten, bekommen sie von ICANN validierte, maschinenlesbare Berichte. Dies ermöglicht eine schnellere Sperrung oder Stilllegung der missbräuchlichen Domains gemäß den vertraglichen Richtlinien (RAA – Registrar Accreditation Agreement).
Transparenz: Das Projekt, dessen Details auf der ICANN-Website eingesehen werden können, schafft auch eine wichtige Datengrundlage. Es hilft, Trends zu erkennen, das Ausmaß des Problems besser zu verstehen und die Effektivität von Gegenmaßnahmen zu bewerten.
Fazit: Eine regulatorische Säule der DNS-Sicherheit
Das DNSTICR-Projekt ist keine technische „Silver Bullet“, die allgemeine DNS-Security-Herausforderungen im Alleingang löst. Es ist vielmehr ein entscheidender regulatorischer und kooperativer Baustein.
Es zeigt, dass ICANN ihre Rolle über die reine Verwaltung von Verträgen hinaus ernst nimmt und aktiv daran arbeitet, das DNS-Ökosystem sicherer zu machen. Durch die systematische Bereitstellung von Bedrohungsinformationen wird die „Shared Responsibility“ (geteilte Verantwortung) im Ökosystem gestärkt – von ICANN über die Registries bis hin zu den Registraren, die letztendlich die Maßnahmen gegen den Missbrauch durchsetzen müssen.
