Der Denic unterläuft ein fataler Fehler
Zum 5. Mai hatte die Denic eine geplante Wartung angekündigt, die aber bereits lange vor dem Auftreten der Störung als erfolgreich abgeschlossen vermerkt war.
Ob der Fehler im Rahmen dieser Wartung passierte, ist derzeit nicht ganz klar. Änderungen an der DNS-Infrastruktur wirken sich unter Umständen erst nach Stunden aus, wenn Leases ablaufen und DNS-Daten aktualisiert werden. Ob die Seiten im Browser von Internetnutzern ausgeliefert wurden, hing zudem vom verwendeten DNS-Server ab. Manche DNS-Server führen keine DNSSEC-Prüfung aus, bekamen also von dem Problem nichts mit.
Auf der Plattform X gab Dane Knecht später bekannt(öffnet im neuen Fenster), dass der Dienst Cloudflare die Einrichtung eines temporären negativen Vertrauensankers für die Top Level Domain (TLD) .de vorgenommen habe. Damit waren für die Nutzer des Cloudflare-DNS-Diensts 1.1.1.1 die Webseiten der TLD .de wieder erreichbar.
Die Denic erklärt die Ursache
Später gab es dann von der Denic die Erklärung eines fehlgeschlagenen DNSSEC ZSK-Rollover als Ursache für den Ausfall(öffnet im neuen Fenster).
Der Hintergrund: Bei der Denic wurden SOA-Zonendaten mit dem ZSK-Schlüssel Keytag 33834 signiert. Allerdings wurde vergessen, diesen Schlüssel im DNSKEY-Eintrag zu veröffentlichen. Jeder DNS-Resolver, der zu diesem Zeitpunkt eine DNSSEC-Validierung versuchte, bekam eine ungültige Signatur geliefert.
Die Anfragen wurden einfach mit SERVFAIL und einer Fehlermeldung beantwortet. Die angeforderte DNS-Auflösung zwischen der URL der Webseite und der IP-Adresse des jeweiligen Servers scheiterte und die Webseite war anschließend über ihre URL nicht mehr erreichbar.
Nachdem die Denic den Schlüssel neu signierte und im DNSKEY-Eintrag veröffentliche, löste sich die Internetstörung schrittweise auf. Am 6. Mai 2026 konnten die meisten DNS-Server ab circa 2:00 Uhr entsprechende Anfragen wieder korrekt auflösen – bei einigen DSN-Resolvern dauerte es aber noch einige Stunden, bis die DNS-Einträge nach ablaufenden Leases erneuert worden waren.
Eine ausführliche Aufstellung, welche DNS-Dienste betroffen waren und wie alles zusammenhängt, lieferte die Seite blackfort-tec.de(öffnet im neuen Fenster).
Auch wenn die Denic das technische Problem binnen Stunden lösen konnte und Cloudflare als Dienst pragmatisch durch Abschaltung der DNSSEC-Prüfung reagierte, zeigt dieser Vorfall die Verletzlichkeit der digitalen Infrastruktur.
Ein kleiner Fehler in einem zentralen Knoten hat große Teile des deutschen Internets ausgeknipst. Die Denic will diesen Vorfall untersuchen und klären, was genau passiert ist und wie so etwas in Zukunft verhindert werden kann.
Nachtrag:
Die Denic hat am 8. Mai 2026 einen ersten Bericht(öffnet im neuen Fenster) zum DNS-Ausfall für .de am 5. Mai 2026 veröffentlicht.
- Anzeige Hier geht es zur AVM Fritzbox 7590 AX bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.