Cleanup: DNS

In der Informationssicherheit gibt es eine Vielzahl von Themen, die regelmässig unter die Lupe genommen werden müssen. Heute widmen wir uns einem, das oft übersehen wird, aber entscheidend für die Sicherheit ist: DNS (Domain Name System). Hier erfährst du, was genau es damit auf sich hat und warum es wichtig ist, DNS-Einträge aktiv zu verwalten.

Was?

DNS ist im Wesentlichen das "Telefonbuch" des Internets. Die Hauptaufgabe des DNS-Systems ist es Domain-Namen in IP-Adressen aufzulösen. So findet der Browser die richtige Webseite zum Anzeigen und E-Mails finden ihren Weg zum richtigen E-Mail-Server. Ohne DNS funktionieren praktisch keine Dienste im Internet. Jede Firma besitzt eine eigene Domain und unter dieser Domain existieren verschiedene DNS-Einträge. Wenn ein neues System eingeführt wird, ist meistens auch ein neuer DNS-Eintrag nötig (z. B. neuesystem.codepurple.ch).

Fehlen diese Einträge, funktioniert das System nicht. Doch genauso problematisch ist es, wenn Systeme ausser Betrieb genommen werden, aber die DNS-Einträge noch weiter existieren – als digitale "Leichen". Diese verwaisten Einträge sind ein häufiges Problem, das wir bei unseren Sicherheitsüberprüfungen und Penetrationstests feststellen. Einträge im DNS müssen aktiv gepflegt werden. Nicht mehr Benötigte Einträge müssen manuell entfernt werden.

Wieso?

Verwaiste DNS-Einträge können ein grosses Sicherheitsrisiko darstellen. Sie sind ein potenzielles Ziel für Subdomain Takeover. Angreifer können die Kontrolle über diese veralteten Subdomains übernehmen und eigene Dienste darauf hosten – und das mit dem Anschein, als stammten sie von deiner Firma.

Beispiel: Angenommen, für ein Testprojekt wurde die Subdomain betaonlineshop.codepurple.ch eingerichtet. Wenn dieser Testservice irgendwann eingestellt wird, aber der DNS-Eintrag bleibt bestehen, kann ein Angreifer diese Subdomain übernehmen und seine eigene Seite darauf hosten. Für deine Mitarbeiter und Kunden sieht es dann so aus, als ob dieser Shop von Codepurple betrieben wird. Das kann nicht nur Vertrauen kosten, sondern auch zu einem ernsthaften Sicherheitsvorfall führen.

Einträge im DNS-System sind nicht geheim. So können via DNS veraltete oder verwaiste Systeme gefunden und angegriffen werden.

Fazit

DNS ist mehr als nur ein technisches Detail – es ist ein kritischer Bestandteil der Sicherheit. Verwaiste Einträge müssen regelmässig überprüft, aktualisiert und entfernt werden, um Risiken wie Subdomain Takeover zu verhindern. Eine regelmässige DNS-Pflege ist also nicht nur eine Empfehlung, sondern eine Sicherheitsvorkehrung, die nicht vernachlässigt werden darf.

Checkliste

Pro DNS-Eintrag (A, AAAA, MX, TXT, CNAME, etc.):

• Gibt es dieses System noch?
• Braucht es dieses System noch?
• Wer ist für dieses System verantwortlich?