Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Fehlerhafte Signatur: Viele .de-Domains durch DNSSEC-Panne lahmgelegt

Eine DNS-Störung hat in der vergangenen Nacht viele teils stark besuchte .de-Domains beeinträchtigt. Der Fehler lag wohl bei der Denic.
/ Marc Stöckel
11 Kommentare News folgen (öffnet im neuen Fenster)
Eine kaputte Signatur hat unzählige deutsche Domains unerreichbar gemacht. (Bild: pixabay.com / Bru-nO)
Eine kaputte Signatur hat unzählige deutsche Domains unerreichbar gemacht. Bild: pixabay.com / Bru-nO

In der Nacht auf den 6. Mai hat es eine weitreichende Störung bei der Erreichbarkeit von .de-Domains gegeben. Erste Hinweise dazu kursierten schon am 5. Mai ab etwa 22 Uhr auf Plattformen wie Reddit(öffnet im neuen Fenster). Kurze Zeit später bestätigte die zuständige Registrierungsstelle Denic(öffnet im neuen Fenster), dass DNSSEC-signierte .de-Domains aufgrund einer Störung nicht erreichbar seien. Inzwischen ist das Problem jedoch behoben.

Viele Anwender, die zum Zeitpunkt der Störung versucht haben, eine der betroffenen Domains aufzurufen, erhielten als Antwort ein "DNS_PROBE_FINISHED_NXDOMAIN" – also den Hinweis darauf, dass die gewünschte Domain nicht existiere. Das betraf auch häufig besuchte Webportale wie etwa bahn.de oder spiegel.de.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)
Kubernetes Engineer (w/m/div) Deutsches Patent- und Markenamt, München (öffnet im neuen Fenster)
Cyber Defence Center Lead (m/w/d) Heidelberger Druckmaschinen AG, Wiesloch (öffnet im neuen Fenster)
DMS Solution Engineer (m/w/d) WG SYSTEMS e.K., Berlin (öffnet im neuen Fenster)
Product Lead (m/w/d) Patientenportal Dr. Becker Klinikgesellschaft SE & Co. KG, Köln (öffnet im neuen Fenster)
Junior Consultant (m/w/d) TOPdesk Deutschland GmbH, Kaiserslautern (öffnet im neuen Fenster)
Product Development Expert (w/m/d) KMU-Lending ING Deutschland, Frankfurt am Main (öffnet im neuen Fenster)
Technischer Projektleiter für EW Ground Support (m/w/d) Hensoldt, Ulm (öffnet im neuen Fenster)
Ausbildung zum Fachinformatiker für Anwendungsentwicklung 2026 (m/w/d) Schwarz Digits, Neckarsulm (öffnet im neuen Fenster)

Einige Stunden nach Beginn der Störung gab die Denic jedoch Entwarnung. "Die Störung ist inzwischen behoben und alle Systeme laufen wieder stabil", erklärte die Registrierungsstelle in einer Pressemitteilung(öffnet im neuen Fenster). Zur genauen Ursache des Vorfalls machte die Denic jedoch keine Angaben. Diese werde "derzeit noch analysiert". Nähere Details wolle die Organisation später bereitstellen.

Nicht alle DNS-Server waren betroffen

Weitere Informationen sind allerdings schon jetzt bei der Cybersicherheitsfirma Blackfort Technology zu finden. Diese hat gleich zwei Berichte zu der Störung veröffentlicht, eine einfache Variante(öffnet im neuen Fenster) und eine detailliertere technische Analyse(öffnet im neuen Fenster). Das Problem lag demnach bei einer fehlerhaften RRSIG(öffnet im neuen Fenster)-Signatur. Dabei handelt es sich um eine Art digitale Unterschrift, die vor gefälschten DNS-Antworten schützen soll.

Diese von der Denic bereitgestellte, aber fehlerhafte Signatur führte wohl dazu, dass Resolver die gesamte DNSSEC-Vertrauenskette als ungültig einstuften. Die Folge war der von vielen Nutzern beobachtete Effekt: Unzählige deutsche Domains und dazugehörige Webportale waren nicht mehr erreichbar.

Da DNSSEC kein universeller Standard ist, waren allerdings laut Blackfort nicht alle Internetnutzer betroffen. Bei DNS-Servern von Providern wie der Telekom, Vodafone oder O2 soll sich die Störung nicht oder nur teilweise bemerkbar gemacht haben, "weil sie DNS-Sicherheitsprüfungen schlicht noch nicht eingeschaltet haben". Nutzer der sicherer konfigurierten DNS-Server von Google, Cloudflare und Quad9 blieben hingegen nicht verschont.

Zur Startseite 11 Kommentare

Relevante Themen

SecurityTelekommunikationInfrastrukturDomainServerDenicCloudflareDNS