Markmonitor Registrar Domainschutz

 Home | News | Hefte | Service-Angebote | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum

 

Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

manage-it.org

 

 

 

 

Mit einer Mitgliedschaft beim Golfclub "Green Valley Golf International" auf den Bahamas können Sie in Deutschland, Schweiz, Österreich, Italien, Spanien oder Frankreich golfen.

 

Mitgliedsbeitrag für 12 Monate ab Ausstellungsdatum inklusive aller Kosten: 150 Euro

 

Weitere Informationen bei www.golfmitgliedschaft.eu

 

 

Die Rolle eines guten Registrars und was Unternehmen selbst tun können

Doppelter Schutz gegen Domain-Missbrauch

In unserer vernetzten Welt spielen Domains eine wichtige Rolle: Für Kunden sind sie die Anlaufstelle schlechthin, um sich über Produkte zu informieren oder mit einem Unternehmen in Kontakt zu treten. Werden Domains gehackt, sind oft schwere Schäden an Reputation und Einnahmen von Firmen die Folge. Mit vereinten Kräften können Unternehmen und Registrare solchen Schäden den Riegel vorschieben.

 

D

omains sind für den Erfolg eines Unternehmens ebenso wertvoll wie materielles oder geistiges Eigentum. Dennoch beschränkt sich das Interesse vieler Firmen an Domains auf ihren Kauf und die damit verbundenen Kosten. Bemühungen, bestehende Domains zu schützen, bleiben dagegen häufig aus. Hackern ist damit Tür und Tor geöffnet. Die Angriffsmethoden unterscheiden sich, die gravierenden Folgen, wenn Websites plötzlich nicht mehr verfügbar sind oder betrügerische Informationen liefern, bleiben gleich: Geschädigtes Kundenvertrauen und finanzielle Einbußen.

Eine zentrale Rolle beim Domainschutz kommt den Registraren zu. Im Auftrag ihrer Kunden erwerben sie Domains von den sogenannten Registries [1], Organisationen, die die Ressourcen für den technischen Betrieb des internationalen Domainnamen-Systems verwalten. Im Anschluss speichern die Registrare in ihren Datenbanken neben allgemeinen Informationen zu ihren Kunden auch deren DNS-Informationen (Domainnamen, Namensserver-Namen und IP-Adressen). Schützen Registrare ihre Systeme unzureichend, räumen sie Hackern die Möglichkeit ein, die Infrastruktur von Domainnamen anzugreifen.

Cyberkriminelle, die an Domainnamen oder Namensserver herankommen, nutzen diese meist, um Infrastrukturen wie Botnetze und Netzwerke für Fast-Flux-Attacken für weiterführende Angriffe zu unterstützen. Laut einer Studie der Anti-Phishing Working Group (APWG) wurden im zweiten Halbjahr 2008 mit rund 25.000 missbräuchlich verwendeten Domains knapp 57.000 Phishing-Angriffe ausgeführt. Ein Plus von 20 Prozent gegenüber der ersten Jahreshälfte.

Die Methoden der Hacker

Einbruch in die Systeme von Registraren

Schützen Registrare ihre Konfigurations- und Verwaltungsportale sowie ihre Backend-Systeme nicht richtig, können Hacker schon mit relativ simplen Angriffen, wie einer SQL Injection [2], Zugriff auf die Kundendatenbank erlangen. Opfer einer solchen Attacke wurde ein neuseeländischer Registrar. Über eine Seite zum Ausspähen von Passwörtern gelang es den Hackern die Profile vieler seiner Kunden, darunter große Unternehmen, auszuspähen. Indem sie zahlreiche DNS Configuration Records veränderten, leiteten die Hacker Besucher der Webseiten auf Seiten um, die entweder die Unternehmensmarken angriffen oder politische Botschaften verbreiteten. Der Vandalismus war von kurzer Dauer, doch die Reputation des Registrars war schwer beschädigt.

In einer Spielart dieser Angriffsmethode werden die gekaperten Domains auf einen bösartigen Webserver umgeleitet, über den Nutzer IDs und Passwörter gestohlen werden. Da gleichzeitig der Traffic von und zu der betroffenen Domain weitergeleitet wird, bleiben diese Vorgänge vom Opfer meist unbemerkt.

Phishing und andere Social-Engineering-Angriffe

Nicht nur technische Systeme sind Angriffen ausgesetzt. Immer wieder werden Fälle bekannt, in denen Hacker den Registrar einer Website ausfindig machen und vom zugehörigen Support das Passwort erfragen – unter dem Vorwand, es als neuer Administrator zu benötigen. Auch Domainadministratoren in Unternehmen können Phishing-Opfer werden. In vielen Fällen benötigen Hacker nicht mehr als User ID und Passwort, um Zugriff auf ein gesamtes Domainnamen-Portfolio zu erhalten.

Kapern von Domainnamen

Eine zielgerichtetere Methode ist der Antrag eines Angreifers auf Transfer eines Domainnamens an dem er kein Recht hat, auf einen anderen Registrar. Domainregistrare, die den Massenmarkt für Endkonsumenten bedienen, setzten häufig auf hohe Automatisierung mit geringen Kontrollen. Rutschen betrügerische Transferanfragen im Massengeschäft durch, finden rechtmäßige Eigentümer häufig schädliche Websites als Ziel ihrer URLs.

Ausspähen sensibler Daten durch Malware

Die jüngste Entwicklung von Domainnamen-Angriffen ist das Versenden von Malware an Domain-Administratoren in Unternehmen. Ein Beispiel für solche Malware sind Keylogger, die eingegebene Logins und Passwörter für Verwaltungsportale für Domains ausspähen. Diese Informationen erlauben es den Kriminellen Domains zu entsperren und zu kidnappen, Namensserver zu aktualisieren oder DNS-Einstellungen zu ändern [3]. Jede einzelne dieser Maßnahmen kann eine Website blockieren oder die Rechner von Besuchern der Website mit weiterer Malware infizieren.

Domainschutz durch den Registrar

Ein Registrar, der seine Dienstleistungen im Business-Umfeld anbietet, sollte nicht nur im Domainmanagement, sondern auch in Sicherheitsfragen erfahren sein und sich als Partner seiner Kunden verstehen. Üblicherweise bedient ein solcher Registrar nur Unternehmen und nicht auch den Massenmarkt.

Der Registrar sollte ein weitgehend »sturmsicheres« Internetportal bereitstellen. Kontinuierliche Sicherheitschecks und die Suche nach verwundbaren Stellen im Programmcode müssen für ihn also eine Selbstverständlichkeit sein. Er muss nachweisen können, dass er in der Erforschung und Bekämpfung von Gefahren stets auf dem neusten Stand ist. Zusätzlich muss er starke interne Sicherheitschecks und Best Practices unter Beweis stellen können.

Angriffe kann ein Registrar insbesondere durch folgende Maßnahmen weitgehend verhindern beziehungsweise schnell aufspüren:

·         Zugangsbeschränkungen zu seinem Portal in Abhängigkeit von der IP-Adresse

·         Information der Kunden über jede Namensänderung

·         Vermeidung automatisierter E-Mails zur Standardkommunikation mit den Kunden

·         Speicherung des Verlaufs von Domainupdates

·         Ein starkes Passwortmanagement, das die regelmäßige Änderung von Passwörtern erfordert

·         Die Vergabe unterschiedlicher Zugriffsrechte

·         Geschulte Mitarbeiter, die beispielsweise ungerechtfertigte Anträge auf Domaintransfers ablehnen

Ein weiteres Kriterium, das ein Registrar, der sich auf Dienstleistungen für Unternehmen spezialisiert hat, erfüllen muss, sind gute Kontakte zu anderen Registraren, führenden ISPs, Sicherheitsorganisationen, Browser-Anbietern, Software-Entwicklern und Organisationen zur Standardisierung. Diese Kontakte sind wichtig, damit er stets auf dem Laufenden ist, wenn neue Gefahren auftreten. Da Geschwindigkeit ein zentrales Kriterium beim Schutz von Domains ist, helfen gute Kontakte Ihrem Registrar, auftretende Probleme schnell zu lösen.

Domainschutz durch das Unternehmen

Konsolidierung der Domains

Besonders wichtig ist, dass ein Unternehmen sein gesamtes Portfolio an Domainnamen kennt. Eine weltweite, zentralisierte Übersicht über alle Unternehmenseinheiten und -niederlassungen hinweg ist unverzichtbar. Genaue Aufzeichnungen und ein Überblick über alle Domains ist bereits die halbe Miete.

Sperren von Domains

Dem Kidnappen ihrer Internetadressen beugen Unternehmen am besten vor, indem sie sämtliche Domains sperren, sobald diese angelegt und konfiguriert wurden. Ein Transfer wird dadurch ausgeschlossen. Zwei Möglichkeiten stehen hierzu zur Verfügung: Das Registrar Locking, auch Super Lock genannt, sowie das Registry oder Premium Locking.

Das Registrar Locking sperrt sämtliche Domainkonfigurationen solange, bis der Registrar sie auf Basis eines ausgefüllten kundenspezifischen Sicherheitsprotokolls entsperrt. Domains können über das Internetportal des Registrars nur dann aktualisiert werden, wenn diese Sicherheitsprotokolle korrekt ausgefüllt wurden. Diese zusätzliche Sicherungsstufe sollte für alle unternehmenskritischen Domains angewendet werden, etwa Transaktionsseiten (etwa Seiten für Überweisungen, Bestellungen) E-Mail-Systeme, Intranets und funktionserweiternde Applikationen.

Das Registry Locking geht einen Schritt weiter und unterbindet jegliche Aktualisierung einer Domain. Selbst wenn die Systeme gehackt werden: Nameserver-Aktualisierungen und die Umleitung auf illegitime Webseiten werden so völlig verhindert. Möglich ist diese Art der Sperrung derzeit allerdings nur für .com- und .net-Domains.

Überwachung unternehmenskritischer Domains

Domains, die für den laufenden Geschäftsbetrieb von zentraler Bedeutung sind, sollten fortwährend auf unautorisierte DNS-Änderungen, Änderungen an den Inhalten der Webseiten und DNS Cache Poisoning [4] überwacht werden. Denn während .com- und .net-Domains komplett gegen Änderungen gesperrt werden können, sind andere Adressen weniger gut schützbar. Werden die zentralen Websites eines Unternehmens überwacht, können auftauchende Probleme schnell gelöst werden.

Resümee

Die Vorstellung, dass geschäftskritische Seiten stunden- bis tagelang außer Betrieb oder für ihre Besucher gefährlich sind, macht den meisten Unternehmen klar, dass ein professioneller Schutz ihres Domainportfolios unumgänglich ist. Es steht zu viel auf dem Spiel: der Geschäftsbetrieb hängt allzu oft von korrekt funktionierenden URLs und Webseiten ab.

Das Hauptziel muss es sein, Angriffe zu unterbinden. Kommt es jedoch trotzdem einmal dazu, benötigen Unternehmen wirkungsvolle Prozesse, um den Schaden schnellstmöglich zu reduzieren. Eine zentrale Rolle kommt dabei dem Registrar als Partner des Unternehmens zu. Hier den richtigen Dienstleister zu wählen ist, von großer Bedeutung, denn nicht selten sind schwere Angriffe auf Unternehmensdomains gerade auf mangelnde Schutzmaßnahmen der beauftragten Registrare zurückzuführen.

Frank Schulz

____________________________________

Frank Schulz ist als Sales Manager Central Europe für die Geschäfte von MarkMonitor in Zentraleuropa verantwortlich. 

____________________________________

[1] Auch Network Information Center (NIC) genannt

[2] Unter SQL-Injection (dt. SQL-Einschleusung) versteht man das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken, die in Benutzereingaben entsteht. Der Angreifer versucht dabei, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen. Das Ziel ist es, Daten in seinem Sinne zu verändern oder Kontrolle über den Server zu erhalten.

[3] In Analogie zu einer Telefonauskunft soll das DNS bei Anfrage mit einem Hostnamen (dem für Menschen merkbaren Namen eines Rechners im Internet) – zum Beispiel www.example.org – als Antwort die zugehörige IP-Adresse (die „Anschlussnummer“ im Internet) –  zum Beispiel eine Adresse der Form 192.0.2.3 nennen. Darüber hinaus sind weitere Informationen, Verknüpfungen, Weiterleitungen etc. angegeben. Wer Zugriff auf diese Informationen hat, kann dadurch verursachen, dass der Aufruf einer Webseite umgeleitet wird (z.B. www.example.org zu www.nichtslos.de), das Bereiche der Website nicht sichtbar sind oder dass Schadsoftware wie Viren oder Tojaner heruntergeladen werden.

[4] Cache Poisoning ist ein Internet-Angriff, bei dem ein Angreifer in den Cache eines Nameservers gefälschte Daten einbringt, um die Zuordnung zwischen einer URL und der zugehörigen IP-Adresse zu fälschen. Ziel ist es, Besucher auf manipulierte Webseiten zu lenken. Ein Cache ist ein Pufferspeicher, d.h. es werden Daten von einem Speichermedium wie CD oder Festplatte in einen bestimmten Bereich eines Arbeitsspeichers geladen, was den Zugriff darauf beschleunigt.

 

 
Copyright © 2003-2010  ap Verlag GmbH