Hintergrund: Gefälschte DNS-Auskünfte untergraben Verbindungssicherheit
Der erste Schritt beim Aufbau einer Verbindung im Internet, z.B. zu einer Bank, ist die Ermittlung der IP-Adresse, unter der die Gegenseite erreichbar ist. Hierzu wird ein sog. DNS-Eintrag nachgeschlagen, vergleichbar mit der Konsultation der Telefon-Auskunft. Bislang war dieser Vorgang anfällig für gefälschte Auskünfte – mit fatalen Folgen für die Kommunikationssicherheit. deSEC löst dieses Problem durch den Betrieb eines DNS-Auskunftsdienstes mit DNSSEC-Technologie. DNSSEC ermöglicht die Anheftung kryptografischer Signaturen an DNS-Einträge und so deren verlässliche Echtheitsprüfung.
Digitale Signaturen verhindern Manipulation von DNS-Auskünften
„Die nicht enden wollenden Datenschutzskandale führen uns allen immer wieder vor Augen, dass der Missbrauch von Daten enorm verführerisch ist. Privatsphäre lässt sich offenbar nicht durch einen Vertrauensvorschuss an staatliche Stellen oder Telekommunikationsunternehmen erreichen“, sagt Dr. Peter Thomassen, Gründer von deSEC. Mit der Entwicklung seines besonders sicheren DNS-Dienstes reagiert deSEC auf mangelnde Sicherheitsstandards bei den etablierten DNS-Dienstleistern, deren DNS-Einträge in der Regel nicht durch digitale Signaturen geschützt werden. „Bei uns hinterlegte Einträge werden automatisch digital signiert, sodass Nutzer:innen sich darauf verlassen können, mit der richtigen Gegenstelle verbunden zu werden“, erklärt Thomassen. So können Internetverbindungen flächendeckend geschützt und die Basis für Sicherheit in der Online-Kommunikation geschaffen werden.
„Bei unserem Angebot achten wir auf möglichst niedrige Nutzungshürden und auf die Verwendung bereits standardisierter Technologien“, sagt Nils Wisiol, Kryptografie-Forscher und Mitgründer von deSEC. So wird die Überprüfung von DNSSEC-Signaturen aktuell bereits an rund 60% der deutschen Internetanschlüsse ohne Zutun der Endnutzer:innen unterstützt.1 Andererseits kann die Echtheitsprüfung nur dann erfolgen, wenn die DNS-Einträge auch tatsächlich digital signiert sind. Das ist leider erst bei 4% der Domains der Fall2 – eine Zahl, die deSEC ändern will.
Einfache Bedienung und fortgeschrittene Funktionen für Administratoren
Um den Wechsel für Domaininhaber und Administratoren möglichst attraktiv zu gestalten, legt deSEC großen Wert auf moderne Features zur Automatisierbarkeit: Die umfassend dokumentierte REST API ermöglicht einfache Integration in die Cloud; eine webbasierte Bedienoberfläche (GUI) ist in Entwicklung. Außerdem können auch spezielle DNS-Einträge wie z.B. TLSA (DANE), OPENPGPKEY und SSHFP eingerichtet werden. Administratoren können damit Verschlüsselungsparameter einfach und sicher bei deSEC hinterlegen und so neben der Manipulationsresistenz auch Vertraulichkeit erreichen, indem Inhalte verschlüsselt übertragen werden. Alle bei deSEC hinterlegten DNS-Einträge werden in Echtzeit an 15 global verteilten Standorten veröffentlicht, die zu einem Anycast-Verbund verschaltet sind. Dies sorgt für weltweit geringe Latenzen bei DNS-Auskünften, sowohl über IPv4 als auch IPv6.
Kostenlos dank starker Partnerschaft
Der Betrieb der globalen Infrastruktur und auch die Entwicklung sind nicht zuletzt wegen der strengen Sicherheitsstandards, die deSEC sich auferlegt hat, mit hohen Kosten verbunden. deSEC ist daher dankbar für die Unterstützung des IT-Sicherheitsdienstleisters SSE, der personelle und technische Ressourcen für Entwicklung und Betrieb bereitstellt. „Durch die Kooperation mit deSEC können wir einen wichtigen Beitrag zu einer freien und sicheren Kommunikationsgesellschaft leisten. Unser gemeinsames Ziel ist die flächendeckende und nachhaltige Erhöhung der Verbindungssicherheit, so wie Let’s Encrypt es seit Jahren bei Verschlüsselungszertifikaten vormacht“, so Daniel Augustin, Geschäftsführer der SSE. Die Unabhängigkeit des DNS-Dienstes und seiner sensiblen Daten bleibt durch organisatorische und technische Trennung der Zuständigkeiten gewahrt.
1 https://stats.labs.apnic.net/dnssec/DE
2 https://rick.eng.br/dnssecstat/
SSE – https://securesystems.de/
SSE – Secure Systems Engineering GmbH vereint ein breites Spektrum von Experten, um ganzheitliche und nachhaltige Sicherheitslösungen zu entwickeln, die sich harmonisch in bestehende Unternehmensabläufe eingliedern. Wirksamer Schutz gegen Cyberkriminalität sowie die Einhaltung regulatorischer Vorgaben decken dabei alle Aspekte der IT-Sicherheit und Organisationsbereiche ab. Darüber hinaus engagiert sich SSE durch Aktivitäten, die zu einer Erhöhung des Sicherheitsbewusstseins in der Öffentlichkeit beitragen und zu anhaltenden Verbesserungen in der Infrastruktursicherheit führen.
Sicheren Internettechnologien zum Durchbruch verhelfen – diesem Ziel hat sich der gemeinnützige deSEC e.V. verschrieben. Ursprünglich gegründet als ein von der Stiftung der Deutschen Wirtschaft und der Heinz-Nixdorf-Stiftung gefördertes Startup hat deSEC sich zu einem Open-Source-Projekt entwickelt, das sich auf infrastruktureller Ebene für eine Verbesserung der Internetsicherheit zum Nutzen der Allgemeinheit einsetzt. Neben dem Managed DNS Service, der in einem eingehenden Betatest vom Feedback vieler Tester profitieren konnte, betreibt deSEC unter der Marke "dedyn.io" auch einen sog. dynDNS-Dienst. Mehrere tausend User nutzen diesen Dienst, um ihren Internetanschluss mit einem Domainnamen zu versehen und so selbst betriebene Geräte (z.B. Fileserver, Kamera) trotz wechselnder IP-Adresse dauerhaft von außen erreichbar zu machen.
deSEC e.V
Kyffhäuserstr. 5
10781 Berlin
http://desec.io
Telefon: +49 (176) 63159879
E-Mail: peter@desec.io
Telefon: +49 (160) 90623627
E-Mail: nils@desec.io