Schützen Sie Ihr DNS und damit Ihr Unternehmen (Teil 3)

Was passiert, wenn jemand meine DNS-Einträge „besitzt“?

Die direkte Folge wäre, dass beim Kontaktieren von domain.com und all seiner Subdomains (www, mx, ftp usw.) plötzlich andere Server antworten, die dem neuen Besitzer – sei es nun ein rechtmäßiger Eigentümer oder ein Hacker – gehören.

Solche Störungen im normalen Betrieb haben für Ihr Unternehmen Imageschäden, Verluste von Marktanteilen, Vertrauensverluste Ihrer Kunden und nicht zuletzt auch finanzielle Einbußen zur Folge.

dns-good

Unveränderte DNS-Einträge
dns-wrong

Veränderte DNS-Einträge
Wie aus der Abbildung oben hervorgeht, hat der Eigentümer von domain.com von dem Moment an, in dem die DNS-Einträge geändert werden, keinen Einfluss auf den Datenverkehr mehr. Der neue Eigentümer kann seinen Webserver für www.domain.com und seinen E-Mail-Server für mx.domain.com einrichten. Das bedeutet, dass er den gesamten E-Mail-Verkehr für diese Domain abfangen kann.

Erlangt jemand die Kontrolle über eine White- oder Blacklist, kann dies sogar noch fatalere Konsequenzen haben: Wer die Liste kontrolliert, kann frei festlegen, was über den neuen Server gesendet und empfangen werden kann. Auf diese Weise können entweder alle möglichen Anfragen (z. B. gültige Websites, E-Mails, Dateien) blockiert und auf die Blacklist gesetzt werden oder alle möglichen Anfragen – einschließlich Websites, E-Mails oder Dateien, die Malware enthalten – zugelassen werden. Zum Glück verfügen solche Dienste über zahlreiche andere Steuerungsmöglichkeiten, sodass derartige Angriffe sehr schwierig sind.

Was kann ich tun, um meine Domains zu schützen?

Es gibt einige Dinge, die Sie tun können, um Hacker davon abzuhalten, Ihre Domains zu übernehmen.

Domains sperren

Domain Lock oder Registrar Lock ist ein Status, der für eine Domain festgelegt werden kann. Dadurch kann der Registrar folgende Aktionen unterbinden:

  • Bearbeitung des Domainnamens, einschließlich:
    • Übertragung des Domainnamens
    • Löschung des Domainnamens
  • Änderung der Kontaktdaten der Domain

Die Verlängerung des Domainnamens ist aber nach wie vor möglich, wenn dies so eingestellt wurde.

Leider unterstützen nicht alle Registrare diese Funktion. Wenn Sie sich absichern möchten, sollten Sie sich für einen Registrar entscheiden, der diese Funktion unterstützt. Die Funktion ist im Regelfall nicht kostenlos, aber die Kosten halten sich in Grenzen (ca. 10 bis 50 $ im Monat). Die Investition lohnt sich in jedem Fall, insbesondere wenn Sie eine große Website oder ein großes Unternehmen haben.

Domainverwaltungsdaten sichern

Alle Registrare bieten die Möglichkeit, Kontaktpersonen für verschiedene Zwecke anzugeben, z. B. zuständige Ansprechpartner für IP-Adressänderungen, Domainlöschungen oder Abonnementzahlungen.  Verteilen Sie die Zuständigkeiten möglichst an unterschiedliche Personen.  Außerdem sollten Sie darauf achten, dass die Kontakt-E-Mail-Adressen nicht auf derselben Domain gehostet sind. Denn sollte die Domain gehackt werden, können Sie nicht mehr auf Ihre E-Mails zugreifen. Bedenken Sie, dass der gesamte Datenverkehr über den neuen Domaineigentümer läuft – auch Ihre E-Mails.

Wenn Sie einen kostenlosen E-Mail-Anbieter wie Gmail oder Yahoo! nutzen, sollten Sie für diese Konten die Two-Factor-Authentication aktivieren.

Wählen Sie ein sicheres Passwort und verwenden Sie als Wiederherstellungs-E-Mail-Adresse keine Adresse, die auf der zu sichernden Domain gehostet ist.

Erschweren Sie Hackern den Zugriff auf Ihr Konto.

Wenn Sie mehrere Domains haben, empfiehlt es sich, diese bei verschiedenen Registraren zu hosten. Sollte dann eine Domain ausfallen, können Sie wenigstens noch auf alle anderen zugreifen.

Dieser Artikel ist auch verfügbar in: Englisch

Avira ist mit rund 100 Millionen Kunden und 500 Mitarbeitern ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Das Unternehmen gehört mit mehr als 25-jähriger Erfahrung zu den Pionieren in diesem Bereich.