Nur 2% aller Domains sind sicher! Zu diesem Schluss kommt eine Studie der Bitkom, auf die sich das Unternehmen nicmanager in einem Whitepaper zum Thema Domain-Sicherheit bezieht. Dementsprechend gelten 98% aller Domains als potenziell kompromittiert, weil sie „die Anforderungen des IT-Grundschutzes und wirksame Sicherheitsmaßnahmen nach gängigen Standards nicht um[setzen] und […] aktuellen Gefahren schutzlos gegenüber“ stehen. Im Angesicht der EU NIS 2-Direktive, die gerade Unternehmen der kritischen Infrastruktur (KRITIS) zu mehr Datensicherheit mahnt, wird es Zeit, sich mit dem Thema der allgemeinen Domain-Sicherheit auseinander zu setzen, die auch solche Unternehmen anbelangt, die zuvor nicht von den KRITIS-Gesetzen tangiert worden sind.
Hallo Daniel, schön, dass du dir die Zeit nimmst. Zunächst einmal ganz generell: was ist das eigentlich genau, Domain-Security?
Daniel Strauß: Domain-Security ist ein Bereich, der sämtliche Maßnahmen zum Schutz und zur Sicherung der eigenen Domains subsumiert. Das können dann solche Maßnahmen sein, die technischer Natur sind, es kann sich aber auch um organisatorische Maßnahmen handeln. Am Ende des Tages geht es um die umfassende Sicherung der Domainnamen und aller mit ihnen verbundenen Dienste! Wenn wir uns nun einmal vor Augen führen, welche Bedeutung Webpräsenzen und damit Domains heute bereits für Unternehmen haben, wird deutlich, wie wichtig das Thema ist: Domainnamen sind einerseits Point of Sale, andererseits aber auch Teil der Marke. Im Wesentlichen und vor allen Dingen sind sie aber die technische Basis für gelingende Kommunikation. Insofern sind sie ein kritischer Teil der Infrastruktur, sprich: am Ende ist es doch ein sehr, sehr kritisches Element, das einer besonderen Beobachtung bedarf, weil hier eben ganz wichtige Prozesse des Unternehmens drüber laufen: denken wir an Rechnungsstellung, denken wir an Bestellsysteme, denken wir an die generelle Kommunikation. Das alles ist essenzieller Bestandteil der Domain-Security.
Bei meiner Recherche bin ich recht häufig auch über das Thema des Domain-Risikomanagements gestolpert. Gibt es einen Unterschied zwischen Domain-Security und Domain-Risikomanagement?
Daniel Strauß: Domain-Risikomanagement ist ein Stück weiter gefasst: es ist Teil der ganzheitlichen Sicherheitsstrategie eines Unternehmens. Die meisten Unternehmen, zumindest wenn wir über Kapitalgesellschaften nachdenken, sind ja verpflichtet, ein Risikomanagement zu betreiben und die wesentlichen Risiken ihres Unternehmens nicht nur zu kennen, sondern auch sie bewerten zu können und sich an diesen Risiken entsprechend abzuarbeiten, um sie im Griff zu haben. Es ist also eine gesetzliche Anforderung, ein Risikomanagement zu betreiben. Das Domain-Risikomanagement ist ein Teilbereich dieser größeren Strategie. In den meisten Unternehmen wird das ein wenig stiefmütterlich behandelt, ganz einfach, weil viele die Domain als Risikofaktor gar nicht auf dem Schirm haben. So eine Domain ist eben kein Server, der vielleicht irgendwo im Schrank steht und an dem man sich das Schienbein aufschlagen kann. Es ist auch keine Strippe, über die ich stolpere. In den meisten Fällen ist es vielmehr ein Thema, das, ob seiner Immaterialität, ein ganzes Jahr, oder zwei Jahre lang gar nicht angerührt wird, weil die letzte Konfiguration vielleicht schon drei oder vier Jahre her ist. Und genau hier liegt das Problem: das Domain-Risikomanagement soll nun eigentlich diesen Risikomanagementprozess abbilden, also von der Risikoidentifikation, über die Bewertung, bis hin zum Maßnahmenmanagement samt Monitoring der Wirksamkeit. Domain-Security ist letztlich ein Teilbereich dessen, was ich mit meinem Domain-Risikomanagement erreichen möchte, nämlich die potenziellen Risiken im Griff zu haben, sie also auf ein handhabbares Niveau zu bringen.
„Am Ende des Tages geht es um die umfassende Sicherung der Domainnamen und aller mit ihnen verbundenen Dienste!“
Welche Risiken bestehen im Zusammenhang mit unternehmenseigenen Domains?
Daniel Strauß: Der erste Versuch eines Angriffs erfolgt in der Regel über domain-basierte Vektoren, wie die E-Mail oder auch das Domain Name System (DNS); das sind die zwei wesentlichen Schwerpunkte. Nehmen wir uns nun einmal das Thema E-Mail heraus: was kann denn letztlich mit so einer E-Mail passieren? Da lautet das erste Stichwort „CEO Fraud“: Cyber-Kriminelle posieren als Geschäftsführende oder andere entscheidungsbefähigte Personen. Das ist möglich, weil die Domain-Security lückenhaft ist. Ein anderes, gleichsam ähnlich gelagertes Beispiel ist BEC – Business-E-Mail Compromise. Dies umfasst das klassische Phishing, also den betrügerischen Versuch, designierte Opfer zu bestimmten Handlungen zu verleiten. Neben den verschiedenen E-Mail-Maschen gibt es auch noch das Thema DNS-Hijacking, das ist so ein bisschen der technische Hintergrund. In diesem Zusammenhang existieren Szenarien, wie „Man-in-the-Middle“: da setzen sich die Cyber-Kriminellen in die Mitte der Kommunikation zwischen dich und deinen Kunden, zwischen dich und deinen Geschäftspartner und können so Informationen ganz einfach mitschneiden oder sogar manipulieren: so werden mitunter falsche also kompromittierte Daten weitergeleitet. Stellen wir uns einmal vor, wie sich das bei Energieversorgungsunternehmen auswirken würde: wenn Systeme miteinander kommunizieren und ich verändere einfach Daten, dann wäre das natürlich ein Super-GAU! Wenn hier plötzlich darüber automatisierte Systeme schalten, wenn ich vielleicht sage, ich hab gar keinen Strom, brauche aber welchen, oder ähnliches, da könnte ein „Man-in-the-Middle“-Angriff natürlich fatale Folgen haben. Oder DNS-Cache-Poisoning: das bedeutet, ich „vergifte“ letztlich Informationen mit falschen Daten: ich schicke also einen Besucher nicht auf meine eigene Seite, sondern der landet auf einer vom Angreifenden manipulierten echt aussehenden Website und gibt dort seine Daten ein. Das alles lässt sich heute mit einfachsten Mitteln bewerkstelligen. Es ist erschreckend!
Für wen ist Domain-Security bzw. Domain-Risikomanagement von Belang?
Daniel Strauß: Die Frage, die sich in diesem Zusammenhang stellt, ist folgende: für wen ist es wichtig, seine persönlichen Daten, wie etwa bildlich gesprochen, den Personalausweis, persönlich zu halten und den nicht jedem in die Hand zu drücken und wahllos Kopien anzufertigen? Diese plakative Frage soll zeigen: natürlich ist Domain-Risikomanagement oder Domain-Security potenziell relevant für jeden von uns, gerade dann, wenn die eigene Reputation und die wirtschaftliche Existenz auf dem Spiel stehen. Jedes Unternehmen, in dem die Mitarbeitenden über E-Mail-Postfächer an der Domain teilhaben, das einen gewissen Ruf zu verlieren hat und auf seine Außenwirkung bedacht ist, braucht eine entsprechende Strategie. Stellen wir uns beispielsweise einen Shop-Betreiber vor: wenn die potenziellen Kunden nun plötzlich auf einen Fake-Shop weitergeleitet werden, ist der Schaden natürlich in jeder Hinsicht immens. Und dasselbe gilt natürlich auch für alle anderen Unternehmen: die Domain ist, ganz generell gesprochen, meine digitale Identität. Wenn ich nun meine Marke, meine Persönlichkeit als schützenswert erachte, dann komme ich nicht umher, mich mit dem Thema Domain-Risikomanagement zu befassen.
Wie viel Kosten kommen auf den Einzelnen zu, gedenkt man seine Domains adäquat zu schützen?
Daniel Strauß: Wieso oft kommt es auch hier auf eine Abwägung an. Um eine Analogie zu bemühen: ich kann ein Auto mit einer Haftpflichtversicherung absichern, ich kann aber auch eine Teil- oder gar eine Vollkaskoversicherung abschließen. Nach oben hin bleibt das weitgehend offen. Wenn wir jetzt mal den IT-Grundschutz ansetzen, also gewissermaßen die Baseline dessen, was auch das Bundesamt für Sicherheit in der Informationstechnik vorschreibt, dann sind wir bei Kosten von etwa 250€ pro Jahr. Das heißt, man muss mit monatlichen Kosten von knapp über 20€ rechnen.
Eine Domain kostet doch aber recht wenig (etwa 10€ jährlich), wieso sollte man für den Schutz dann ein Vielfaches bezahlen?
Daniel Strauß: Das ist tatsächlich eine gute Frage und auch eine solche, die sich in den Köpfen vieler Leute tummelt. Letztlich geht es nicht um den Preis einer Domain an sich, sondern um den Schaden, der dem Unternehmen entstehen kann, wenn kein ausreichender Schutz vorhanden ist. Und dieser übersteigt leicht die bloßen Domainkosten. Es geht also vor allem um Reputationsschäden und damit auch um die generelle Geschäftsfähigkeit. Diesbezüglich kommt man dann doch recht schnell zu der Überzeugung, dass 250€ einen geringen Preis für die gebotene Sicherheit darstellen.
Die EU NIS 2-Direktive ist in aller Munde: welche Änderungen bringt diese Richtlinie mit sich? Und für wen?
Daniel Strauß: Ja, die EU NIS 2-Direktive ist in der Tat ein spannendes Thema. Ich glaube, dass die NIS 2-Richtlinie in einigen Teilbereichen der Unternehmen einen größeren Aufschrei nach sich ziehen wird als damals die Einführung der DSGVO. Wir bekommen hier einfach von Seiten der EU zentral für ganz Europa einheitliche Cyber-Security-Standards vorgegeben, was aus meiner Sicht eine sehr positive Entwicklung ist. Wir homogenisieren die bereits bestehenden Vorgaben und definieren darüber hinaus neu: Was sind eigentlich kritische Infrastrukturen? Erste Änderung: wir werden in Zukunft sehr viele KMUs der kritischen Infrastruktur zurechnen, die in der Vergangenheit überhaupt nicht von den KRITIS-spezifischen Gesetzen tangiert worden sind. Ein weiterer Punkt, der sicherlich ein Novum darstellt, ist, dass wir im Bereich der Cyber-Security ähnlich drakonische Strafen sehen werden, wie wir sie aus dem Datenschutz schon kennen. Allerdings kommen hier noch einige Feinheiten zum Tragen, nämlich die, dass beispielsweise Geschäftsführungen ihres Amtes enthoben werden können, wenn die Sicherheitsstandards nicht hinreichend eingehalten werden. Das sind ganz neue Horizonte, die sich hier auftun und das wird dazu führen, davon bin ich überzeugt, dass wir ein neues Kapitel der Cyber-Security aufschlagen werden.
Als Geschäftsführer der InterNexum GmbH, die mit ihrer Marke nicmanager für die Verwaltung von über 350.000 Domains verantwortlich ist, ist Daniel Strauß ausgewiesener Experte für Domainsicherheit und damit verbundene Risiken.
Anlass für die ausgiebige Beschäftigung mit Sicherheitsaspekten der IT-Welt ist ein von Assecor geplantes Online-Seminar zum Thema. Am 22.03. um 14 Uhr werden Cyber-Security und Domain-Sicherheit im Fokus stehen. Melden auch Sie sich an!