DNS-over-HTTPS: Neues eco-Diskussionspapier erschienen

eco-Vorschläge für mehr Sicherheit in Netzwerkumgebungen

[datensicherheit.de, 08.09.2020] Die Verschlüsselung der Anfragen ans „Domain Name System“ (DNS) mittels HTTPS verhindere sogenannte Man-in-the-Middle-Attacken. Chancen, Herausforderungen und Tipps für die praktische Umsetzung hat der eco – Verband der Internetwirtschaft e.V. nach eigenen Angaben in einem englischsprachigen Diskussionspapier zusammengestellt.

Foto: eco e.V.

Klaus Landefeld: Netzbetreiber und Internet-Dienstleister ermutigen, eigene DoH-Resolver bereitzustellen!

eco empfiehlt eigene DoH-Resolver

Anfragen an das „Domain Name System“ (DBS) – zum Beispiel das Aufrufen einer Website im Browser – seien noch häufig unverschlüsselt. „Das birgt Sicherheitsrisiken“, warnt der eco. Um dies zu ändern, nutze das 2018 vorgestellte DNS-over-HTTPS-Protokoll (DoH) die etablierte HTTPS-Verschlüsselung. Mit den bevorstehenden Updates von „Apple iOS 14“ und „macOS 11“ werde das noch wenig populäre Thema voraussichtlich stärkere Beachtung finden. Beide Betriebssysteme sollten DoH unterstützen.

Man-in-the-Middle-Angriffe: Verschlüsselung der DNS-Anfragen derzeit laut eco einzig brauchbare Abwehr-Möglichkeit

Ein Ziel des DoH-Protokolls sei es, die Manipulation von DNS-Anfragen für missbräuchliche Zwecke – etwa sogenannte Man-in-the-Middle-Angriffe – zu verhindern. Bei diesen „hört“ der Angreifer demnach die DNS-Anfragen des Nutzers ab und leitet ihn unbemerkt zu einem anderen Ziel um – zum Beispiel zu einer gefälschten Bank-Website. Die Verschlüsselung von DNS-Anfragen sei derzeit die einzige brauchbare Möglichkeit, die zur Bekämpfung solcher Angriffe zur Verfügung stehe.

eco: Rund um das DoH-Protokoll eine Diskussion entwickelt

„Apple, Mozilla, Microsoft, Google und weitere Internetfirmen wollen DoH in ihre Dienste und Anwendungen einbinden oder haben das bereits umgesetzt.“ Während DNS-Verschlüsselung den Vorteil habe, die Privatsphäre und Sicherheit der Benutzer zu verbessern, habe sich rund um das DoH-Protokoll eine Diskussion entwickelt: Diese betreffe die Umgehung rechtsverbindlicher Sperrverfügungen, die Möglichkeit, das Nutzerverhalten mithilfe von Tracking-Funktionen zu verfolgen und Fragen der Selbstbestimmung des einzelnen Nutzers. Diese Punkte sollten bei der Einführung von DoH-Diensten berücksichtigt werden.

Stellv. eco-Vorstandsvorsitzender, fordert bewusste Entscheidung, wo eigene DNS-Anfragen verarbeitet werden

„Die Verschlüsselung von DNS mithilfe von DoH bietet Nutzern die Möglichkeit, ihre Aktivitäten und ihre Kommunikation in einer nicht vertrauenswürdigen Umgebung, wie einem öffentlichen WiFi-Hotspot, zu schützen“, erläutert Klaus Landefeld, stellvertretender eco-Vorstandsvorsitzender. Er sieht nach eigenen Angaben sowohl die Chancen als auch die Herausforderungen von DoH: „In vertrauenswürdigen Netzwerkumgebungen, wie einem Unternehmensnetzwerk, können jedoch DoH-Einstellungen in einer Anwendung, die den DNS-Verkehr an einen externen DNS-Provider senden, problematisch sein.” Nutzer und Unternehmen müssten in der Lage sein, eine bewusste Entscheidung darüber zu treffen, wo ihre DNS-Anfragen verarbeitet werden.

eco-Empfehlungen für Implementierung und Betrieb von DoH

„Angesichts des wachsenden Interesses an DoH sollten DNS-Anbieter, Netzbetreiber und Internet-Dienstleister ermutigt werden, eigene DoH-Resolver bereitzustellen, um zu gewährleisten, dass sie ihren Kunden aktuelle, sichere und hochleistungsfähige Services anbieten und weiterhin für sicherheitsrelevante Aktivitäten wie das Filtern von Malware und Sperranforderungen verantwortlich sein können“, empfiehlt Landefeld.

Gruppe von eco-Mitgliedern hat englischsprachiges Diskussionspapier zu DNS-over-HTTPS geschrieben

Um einige der recht komplexen Fragen – sowohl rechtlicher als auch technischer Natur – zu klären und Empfehlungen für die Implementierung und den Betrieb von DoH zu geben, habe eine Gruppe von eco-Mitgliedern gemeinsam ein englischsprachiges Diskussionspapier zu DNS-over-HTTPS geschrieben: „Das Papier enthält Hintergrundinformationen und Erläuterungen für nicht-technische Leser sowie Handlungsempfehlungen, um DoH datenschutzkonform und nutzerfreundlich einzusetzen.“

Weitere Informationen zum Thema:

eco
Discussion Paper on DNS over HTTPS (DoH)

datensicherheit.de, 06.09.2018
Mehr Vertraulichkeit im Internet durch DNS über HTTPS