DNS Resilience Assessment

Der DENIC-Vorfall vom 5. Mai 2026 dauerte knapp zwei Stunden. Er traf Unternehmen ohne Vorwarnung, betraf Domains ohne gemeinsamen Betreiber oder Hoster und ließ sich von den betroffenen Unternehmen selbst nicht beheben. Für viele war es die erste Begegnung mit der strukturellen Fragilität ihrer DNS-Abhängigkeiten.

Das DNS Resilience Assessment richtet sich an Unternehmen, die nicht nur wissen wollen, ob DNS sicher konfiguriert ist, sondern ob ihre Gesamtinfrastruktur einem realen DNS-Ausfall standhält. Es kann eigenständig durchgeführt werden oder als dritte Stufe eines vollständigen DNS-Projekts auf den Erkenntnissen des DNS Security Audits und des DNS Architecture Reviews aufbauen.

Wir simulieren konkrete DNS-Ausfallszenarien für Ihre Infrastruktur: Was passiert, wenn der primäre Resolver ausfällt? Was, wenn der Registrar oder der autoritative Nameserver-Betreiber ein Problem hat – wie beim DENIC-Vorfall? Was, wenn ein DNSSEC-Schlüsselwechsel fehlerhaft durchgeführt wird?

Für jedes Szenario bewerten wir die zu erwartende Auswirkung auf Ihre Dienste, Ihre Kunden und Ihre internen Abläufe. Das Ergebnis ist ein realistisches Business-Impact-Bild – keine theoretische Risikomatrix. Die Analyse erfolgt strukturiert und ohne destruktive Tests.

Wer sind Ihre DNS-Abhängigkeiten? Registrar, autoritativer Nameserver-Betreiber, Resolver, CDN mit DNS-Funktion, Cloud-DNS-Dienste? Für jeden dieser Drittanbieter bewerten wir: Gibt es eine SLA? Gibt es ein definiertes Eskalationsverfahren? Gibt es eine Alternative im Falle eines längeren Ausfalls?

Drittanbieter-DNS-Abhängigkeiten ohne dokumentierte Ausfallprozesse sind einer der häufigsten Befunde – und im Kontext von DORA ein direktes Thema des IKT-Drittanbieter-Managements.

Ein Ausfall, der erst nach 45 Minuten auffällt, ist für die meisten Unternehmen schwerwiegender als einer, der in 90 Sekunden erkannt wird. Wir bewerten, wie schnell Ihr aktuelles Monitoring einen DNS-Ausfall realistisch erkennen würde – und welche Lücken zwischen DNS-Monitoring, SIEM und Incident-Response-Prozess bestehen.

Für NIS2-verpflichtete Unternehmen ist diese Bewertung direkt relevant für die Einhaltung der Meldefristen.

Das Assessment endet mit einer priorisierten Roadmap. Kurzfristige Maßnahmen umfassen z.B. TTL-Optimierung, Monitoring-Einrichtung und das Dokumentieren von Eskalationswegen. Mittelfristig stehen Resolver-Redundanz, DNSSEC-Monitoring und SIEM-Integration im Fokus. Langfristig adressiert die Roadmap Themen wie Multi-Provider-Strategien und regelmäßige Resilienztests.

Die Roadmap ist nach Aufwand und Wirkung priorisiert – kein Wunschzettel, sondern ein umsetzbarer Plan, der zu Ihren Kapazitäten passt.

Resilienz gegenüber DNS-Ausfällen ist in mehreren regulatorischen Rahmenwerken eine direkte oder abgeleitete Anforderung. Die folgende Einordnung ist eine fachlich-technische Bewertung und ersetzt keine Rechtsberatung.

NIS2 verlangt von betroffenen Unternehmen Maßnahmen zur Gewährleistung der Kontinuität des Betriebs (Business Continuity) bei Sicherheitsvorfällen (Art. 21 NIS2). Ein DNS-Ausfall – ob durch eigenes Verschulden, durch Drittanbieter oder durch übergeordnete Infrastruktur – kann ein solcher Vorfall sein. NIS2 verlangt zudem die Meldung erheblicher Sicherheitsvorfälle innerhalb definierter Fristen (24 Stunden Frühwarnung, 72 Stunden vollständige Meldung). Das setzt voraus, dass der Vorfall erkannt wird – was ein funktionierendes DNS-Monitoring voraussetzt.

DORA stellt DNS-Resilienz in den unmittelbaren Zusammenhang mit IKT-Risikomanagement und operationaler Resilienz. Art. 11 DORA verlangt Business-Continuity-Maßnahmen für kritische IKT-Systeme und -Abhängigkeiten. DNS ist eine solche Abhängigkeit. Art. 26 DORA sieht für bedeutende Finanzinstitute Threat-Led Penetration Tests (TLPT) vor, die auch DNS-Ausfallszenarien umfassen können.

Das TKG-Sicherheitskonzept nach §166 TKG muss Maßnahmen zur Sicherstellung der Verfügbarkeit und Integrität der Kommunikationsnetze enthalten. Für Telekommunikationsunternehmen ist DNS-Resilienz damit Bestandteil der Sicherheitskonzept-Anforderungen.

Hersteller vernetzter Produkte, die DNS-abhängige Dienste nutzen (Updates, Telemetrie, Cloud-Anbindung), sollten im Rahmen von Security by Design und Vulnerability Management sicherstellen, dass bekannte Ausfallrisiken adressiert werden. Das Assessment identifiziert produktspezifische DNS-Risiken.

1. Kick-off – Scope, Zielinfrastruktur und bestehende Dokumentation sichten. Kostenlos, ca. 45 Minuten, remote.

2. Technische Erhebung – Kombination aus technischen Abfragen, Fragebogen und ggf. Workshopelementen mit IT-Verantwortlichen. Remote oder hybrid.

3. Szenariosimulation – Strukturiertes Durchspielen konkreter Ausfallszenarien für Ihre Infrastruktur. Keine destruktiven Tests; die Analyse erfolgt auf Basis der Architekturdaten.

4. Assessment-Bericht – Business-Impact-Bewertung, Abhängigkeitsanalyse, Monitoring-Gap-Assessment, regulatorische Einordnung.

5. Handlungsroadmap – Priorisierter Maßnahmenplan mit Kurzfrist-, Mittelfrist- und Langfristmaßnahmen.

6. Abschlusspräsentation – Ergebnisbesprechung mit IT-Leitung und ggf. Geschäftsführung. Remote oder vor Ort.