In diesem Artikel schauen wir uns DNS(neues Fenster)-Sicherheit an, was sie für dein Unternehmen bedeutet und wie die Nutzung von Proton VPN deinem Unternehmen die DNS-Sicherheit(neues Fenster) bietet, die es braucht.

Das Domain Name System (DNS) übersetzt menschenfreundliche Domainnamen in numerische IP-Adressen(neues Fenster), die Computer nutzen, um Websites und andere Internetressourcen zu identifizieren. Es spielt daher eine vitale Rolle darin, wie wir alle das Internet nutzen, einschließlich für die Arbeit.

Leider wurde DNS 1983 erfunden, lange bevor der Bedarf an Online-Sicherheit jemals in Betracht gezogen wurde. Standardmäßig werden DNS-Anfragen im Klartext gesendet, für jeden sichtbar, und werden leicht gekapert, um auf bösartige Domains umzuleiten. Diese Situation ist gefährlich genug für individuelle Internetnutzer, ist aber potenziell katastrophal in einem Geschäftskontext.

Was ist DNS?

Computer identifizieren jedes Gerät, das sich direkt mit dem Internet verbindet, mit einer eindeutigen numerischen IP-Adresse. Das ältere IPv4-System nutzt achtstellige Adressen (wie 185.159.159.140), aber diese gehen zur Neige, daher nutzt der neuere IPv6-Standard ein hexadezimales System (das sowohl Ziffern als auch Buchstaben enthält), das bis zu 45 Zeichen lang sein kann (wie 2001:db8::8a2e:370:7334).

Dies ist großartig für Computer, aber nicht für Menschen, die weit besser darin sind, sich buchstabenbasierte Adressen (Domainnamen) zu merken, die für uns Sinn ergeben (wie protonvpn.com). DNS erlaubt Menschen, Domainnamen einzugeben, die wir verstehen, und bildet sie auf numerische Adressen ab, die Computer verstehen. Im Wesentlichen verhält es sich wie ein Telefonbuch, das Domainnamen und IP-Adressen querverweist.

Wenn du einen Domainnamen eingibst (zum Beispiel in eine Browser-Suchleiste), wird eine DNS-Anfrage an einen DNS-Server gesendet, der die Anfrage auflöst. Das heißt, er übersetzt den Domainnamen in seine entsprechende IP-Adresse.

Erfahre mehr darüber, wie DNS funktioniert(neues Fenster)

DNS und Privatsphäre für Unternehmen

DNS ist nützlich, schafft aber ein großes Sicherheitsproblem: Jeder mit Zugriff auf die DNS-Anfragen deines Unternehmens kennt effektiv seinen gesamten Browserverlauf, einschließlich des Verlaufs aller Mitarbeiter, die ein Büronetzwerk nutzen, um sich mit dem Internet zu verbinden.

DNS und der ISP deines Unternehmens

Standardmäßig werden DNS-Anfragen von deinem Internetdienstanbieter(neues Fenster) (ISP) aufgelöst. Leider haben ISPs kein Interesse daran, die Privatsphäre von Einzelpersonen oder Unternehmen zu schützen. Die meisten staatlichen Massenüberwachungsprogramme verlassen sich darauf, dass ISPs Protokolle über den Browserverlauf ihrer Kunden führen. Und da es einfach und billig ist, erfüllen die meisten ISPs diese rechtlichen Verpflichtungen, indem sie nur DNS-Protokolle aufbewahren.

In einigen Ländern (wie den USA) ist es ISPs sogar erlaubt, die DNS-Einträge ihrer Kunden zu nutzen oder zu verkaufen(neues Fenster), und zwar für Werbe- und Analysezwecke.

DNS und Unternehmensüberwachung

Die meisten DNS-Anfragen werden im Klartext an den DNS-Server gesendet, was bedeutet, dass jede Instanz, die sie abfangen kann, den gesamten Browserverlauf deines Unternehmens kennt. Dazu gehören die Kontakte deines Unternehmens, Geschäftspartner, Lieferanten, Kunden, Regierungs-, Gesundheits- und Sicherheitsbehörden, mit denen es interagiert, und vieles mehr.

All diese Daten sind potenziell wertvolle Informationen für Konkurrenten.

DNS und Sicherheit für Unternehmen

Zusätzlich zum passiven Ausspähen des Browserverlaufs deines Unternehmens können Hacker DNS nutzen, um eine Vielzahl aktiver Angriffe durchzuführen. Viele davon zielen auf den DNS-Server selbst ab (typischerweise verschiedene Formen von Denial-of-Service-Angriffen(neues Fenster), die darauf abzielen, den Server zu überlasten), aber sofern dein Unternehmen keine eigenen DNS-Server betreibt (und einige tun dies), stellen solche Angriffe wahrscheinlich keine Bedrohung für dein Geschäft dar.

DNS-basierte Angriffe, die eine Bedrohung für die meisten Unternehmen darstellen können, sind unter anderem:

DNS-Spoofing

Um den Suchvorgang zu beschleunigen und die Last auf DNS-Servern zu verringern, werden häufige Anfragen oft lokal auf dem DNS-Server gespeichert (gecached). Um einen DNS-Spoofing-Angriff (auch bekannt als DNS-Poisoning) durchzuführen, fügt ein Angreifer falsche DNS-Einträge in den Cache des DNS-Servers ein.

Dies kann durch einen Man-in-the-Middle-Angriff(neues Fenster) (Abfangen der Anfrage zwischen dem Gerät des Benutzers und dem DNS-Server) oder durch Cache-Poisoning(neues Fenster) (Ausnutzen von Schwachstellen in der DNS-Server-Software, um bösartige Einträge in dessen Cache einzuschleusen) geschehen.

Sobald der DNS-Cache vergiftet ist, leitet der korrumpierte DNS-Eintrag einen Benutzer, der versucht, eine legitime Website zu besuchen, auf eine andere IP-Adresse um, die vom Angreifer kontrolliert wird. Wie bei Phishing-Angriffen führt dies typischerweise dazu, dass Passwörter und Kreditkarteninformationen gestohlen und/oder Malware auf die Computer deines Unternehmens hochgeladen wird.

DNS-Tunneling

Oft als Werkzeug zur Unternehmensüberwachung genutzt, um Firewalls und andere Sicherheitsmaßnahmen zu umgehen, die den Abfluss (Diebstahl) sensibler Daten verhindern sollen, kodiert DNS-Tunneling die Daten so, dass sie innerhalb von DNS-Anfragen und -Antworten übertragen werden können, wobei die DNS-Infrastruktur effektiv als verdeckter Kommunikationskanal genutzt wird.

Es kann auch von Angreifern genutzt werden, um die Kommunikation mit kompromittierten Systemen aufrechtzuerhalten, Befehle zu senden und Ausgaben zu empfangen, ohne entdeckt zu werden. DNS-Tunneling nutzt die Tatsache aus, dass DNS-Verkehr oft weniger von Sicherheitsgeräten überprüft wird als andere Arten von Verkehr, was es zu einer effektiven Methode macht, um Firewalls und Filter zu umgehen.

DNS-Sicherheitslösungen

Die meisten ISPs implementieren keinerlei DNS-Sicherheitsmaßnahmen (und haben generell kein Interesse daran, die Privatsphäre deines Unternehmens zu schützen). Drittanbieter von DNS wie Cloudflare 1.1.1.1, Quad9 und OpenNIC legen jedoch einen viel stärkeren Fokus auf Privatsphäre und Sicherheit. Dazu gehört der Einsatz von Technologien, die DNS viel sicherer machen.

Privates DNS

Privates DNS (auch bekannt als verschlüsseltes DNS) nutzt die Protokolle DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) oder DNSCrypt, um DNS-Anfragen zwischen dem anfragenden Gerät und dem DNS-Server zu verschlüsseln.

Dies stellt sicher, dass dein ISP (oder jeder andere, der die Internetverbindung deines Unternehmens überwacht) deine DNS-Anfragen nicht sehen kann.

Mehr erfahren über privates DNS(neues Fenster)

Privates DNS ist eindeutig eine enorme Verbesserung gegenüber dem Senden von DNS-Anfragen im Klartext, obwohl es nicht so privat ist wie die Nutzung eines VPN-Dienstes, der nicht nur deine DNS-Anfragen, sondern alle sensiblen Daten deines Unternehmens verschlüsselt und so deinen ISP vollständig daran hindert zu sehen, was dein Unternehmen online tut. Es verbirgt auch deine echte IP-Adresse vor Websites, die deine Mitarbeiter besuchen.

DNSSEC

Domain Name System Security Extensions (DNSSEC) ist eine Reihe von Spezifikationen, die entwickelt wurden, um DNS eine zusätzliche Sicherheitsebene hinzuzufügen.

DNSSEC:

  • Stellt sicher, dass die Antworten auf DNS-Anfragen authentisch sind. Dies geschieht durch die Verwendung digitaler Signaturen zur Unterzeichnung von DNS-Daten, die dann vom Client validiert werden. Dies hilft zu verifizieren, dass die Daten nicht manipuliert wurden und tatsächlich von der legitimen Quelle stammen.
  • Garantiert, dass die Daten während der Übertragung nicht verändert wurden. Dies geschieht durch das digitale Signieren der DNS-Daten, was vor Man-in-the-Middle-Angriffen schützt und verhindert, dass jemand die Daten modifiziert.

Wie Proton VPN das DNS deines Unternehmens schützen kann

Zusätzlich zur Bereitstellung von Gateway-IP-Adressen zur Sicherung der Ressourcen deines Unternehmens bietet Proton VPN for Business robuste DNS-Sicherheit:

  • Alle DNS-Anfragen werden durch den verschlüsselten VPN-Tunnel gesendet, um von unseren eigenen sicheren DNS-Servern aufgelöst zu werden (daher sind keine privaten DNS-Lösungen erforderlich)
  • Wir führen niemals Protokolle über deine DNS-Anfragen (oder irgendetwas anderes)
  • Unsere NetShield Ad-blocker-Funktion ist ein DNS-Filter, der DNS-Anfragen an bösartige Domains blockiert, die für Werbung, Tracker und (optional für mehr Kontrolle) Malware bekannt sind
  • Deine DNS-Server verwenden DNSSEC, um DNS-Daten zu authentifizieren (außer bei Domains, die von NetShield blockiert werden, welche wir ohnehin nicht auflösen)
Proton VPN for Business holen

Fazit: Die Bedeutung von DNS-Schutz für Unternehmen

DNS-Sicherheit wird oft übersehen, sollte aber eine wichtige Überlegung für jedes Unternehmen sein, das seine Sicherheitslage bewertet. Tatsächlich existieren Angriffe wie DNS-Tunneling gerade deshalb, weil oft nicht genug Sorgfalt darauf verwendet wird, die DNS-Anfragen von Unternehmen zu sichern.

Mit Proton VPN for Business kannst du sicher sein, dass alle DNS-Anfragen verschlüsselt werden, keine DNS-Protokolle geführt werden und DNS-Auflösungen mittels DNSSEC authentifiziert werden.