DNS Security Audit

Der DENIC-Vorfall vom 5. Mai 2026 hat gezeigt: Eine korrekt konfigurierte Domain kann durch einen Fehler in übergeordneter Infrastruktur innerhalb von Minuten unerreichbar werden – ohne dass der Domainbetreiber selbst etwas falsch gemacht hat. Die entscheidende Frage ist nicht, ob so etwas erneut passiert. Die Frage ist, ob Sie es bemerken – und ob Ihre Konfiguration unnötige Risiken enthält, die einen solchen Vorfall verschlimmern.

Das DNS Security Audit ist als klar abgegrenztes Einmalprojekt angelegt. Es prüft die externe DNS-Konfiguration Ihrer Domain auf Schwachstellen, die im Tagesgeschäft selten sichtbar werden – im Vorfall aber den Unterschied zwischen kontrollierter Reaktion und unkontrolliertem Ausfall ausmachen können.

Ist DNSSEC für Ihre Domain aktiviert – und ist es korrekt konfiguriert? Ein nicht validierender DNSSEC-Eintrag ist gefährlicher als kein DNSSEC: Er führt dazu, dass validierende Resolver wie Google DNS (8.8.8.8), Cloudflare (1.1.1.1) oder Quad9 (9.9.9.9) Ihre Domain mit SERVFAIL ablehnen, während nicht validierende Resolver sie weiterhin auflösen. Das Ergebnis ist ein selektiver, schwer diagnostizierbarer Ausfall.

Wir prüfen DNSKEY-Records, RRSIG-Signaturen, DS-Delegation und NSEC/NSEC3-Konfiguration auf Konsistenz und Validität – auf Basis öffentlich abrufbarer DNS-Daten zum Zeitpunkt der Analyse.

Welche Resolver nutzen Ihre Mitarbeiter, Systeme und Kunden? Gibt es eine unkontrollierte Mischung aus ISP-Resolvern, Public DNS und internen Forwardern? Resolver-Abhängigkeiten entscheiden darüber, welche Nutzergruppen bei einem DNS-Vorfall betroffen sind – und welche nicht.

Wir dokumentieren die Resolver-Landschaft auf Basis der von Ihnen bereitgestellten Informationen und bewerten deren Risikoprofil im Hinblick auf Verfügbarkeit, Validierungsverhalten und Datenschutz.

Wie viele autoritative Nameserver sind konfiguriert, und sind sie tatsächlich unabhängig? Ein nominell vorhandener Sekundär-Nameserver, der beim gleichen Anbieter liegt wie der primäre, bietet keine echte Redundanz.

Wir prüfen SOA-Records, TTL-Werte, NS-Konsistenz zwischen Registrar und autoritativem Server sowie Hinweise auf geografische und infrastrukturelle Unabhängigkeit der Nameserver, soweit aus öffentlich verfügbaren Daten erkennbar.

Gibt es aktives Monitoring für die DNS-Erreichbarkeit Ihrer Domain? Wird DNSSEC-Validierung überwacht? Wer würde einen DNS-Ausfall zuerst bemerken – Ihr Monitoring-System oder Ihre Kunden? Unzureichendes oder fehlendes DNS-Monitoring ist einer der häufigsten Befunde – und gleichzeitig einer der Bereiche, in denen sich am schnellsten Verbesserungen erzielen lassen.

Wir bewerten den Status Ihres DNS-Monitorings auf Basis der von Ihnen bereitgestellten Informationen und benennen konkrete Lücken, die im weiteren Verlauf adressiert werden sollten.

DNS-Sicherheit ist kein isoliertes technisches Thema. Mehrere regulatorische Rahmenwerke adressieren die Verfügbarkeit und Sicherheit von DNS-Infrastruktur direkt oder indirekt. Im Audit ordnen wir die Befunde in diese Rahmenwerke ein. Diese Einordnung ist eine fachlich-technische Bewertung; sie ersetzt keine Rechtsberatung.

NIS2 verpflichtet betroffene Unternehmen zu angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Netz- und Informationssicherheit. Dazu gehören Maßnahmen zur Sicherstellung der Verfügbarkeit von Diensten (Art. 21 NIS2). DNS ist eine zentrale Verfügbarkeitskomponente jeder internetbasierten Dienstleistung. Der DENIC-Vorfall hat gezeigt, dass auch nicht unmittelbar betroffene Betreiber durch übergeordnete Infrastrukturprobleme ausfallen können. NIS2-verpflichtete Unternehmen sollten ihre DNS-Abhängigkeiten kennen und überwachen können.

Für Finanzunternehmen und ihre IKT-Dienstleister verlangt DORA ein IKT-Risikomanagement, das alle kritischen Abhängigkeiten erfasst. DNS ist eine solche Abhängigkeit – fehlt aber in der Praxis häufig in Asset-Registries. DORA verlangt zudem die Definition von Recovery Time Objectives (RTO) für kritische Dienste; ohne eine Bewertung der DNS-Reaktion bei Vorfällen lassen sich diese RTO nicht belastbar festlegen. Das Audit liefert hierfür eine technische Grundlage.

Telekommunikationsunternehmen sind nach §166 TKG verpflichtet, Sicherheitskonzepte zu erstellen und umzusetzen, die die Verfügbarkeit und Integrität ihrer Kommunikationsnetze gewährleisten. DNS ist integraler Bestandteil jedes Kommunikationsnetzes. Fehler in der DNSSEC-Konfiguration oder unzureichende Resolver-Redundanz sind Schwachstellen, die im Sicherheitskonzept adressiert sein sollten.

Hersteller vernetzter Produkte müssen nach dem Cyber Resilience Act (CRA) sicherstellen, dass ihre Produkte sicher kommunizieren – dazu gehört auch die sichere Namensauflösung. Produkte mit DNS-Abhängigkeiten zu externen Diensten sollten diese Abhängigkeiten dokumentieren und absichern. Das Audit identifiziert solche Abhängigkeiten als Grundlage für die produktspezifische Risikobewertung.

1. Erstgespräch – Scope und Zieldomains klären, Fragen zur bestehenden Infrastruktur, Terminvereinbarung. Kostenlos, ca. 30 Minuten, remote.

2. Technische Analyse – Remote-Analyse Ihrer DNS-Konfiguration auf Basis öffentlich sichtbarer Records sowie ggf. ergänzender Informationen, die Sie uns bereitstellen (z.B. interne Resolver-Konfiguration). Kein Systemzugriff erforderlich.

3. Befundbericht – Strukturierter Bericht mit Bewertung aller geprüften Bereiche, priorisiertem Handlungsbedarf und konkreten Empfehlungen. Verständliche Arbeitsgrundlage statt akademisches Dokument.

4. Ergebnisbesprechung – Gemeinsame Durchsprache der Ergebnisse, Klärung offener Fragen, Definition der nächsten Schritte. Remote, ca. 60 Minuten.