Alexander Mayrhofer, Leiter Forschung & Entwicklung bei nic.at GmbH und deren Schwesterfirma ipcom GmbH, war maßgeblich an der Entstehung und Produktentwicklung des Anycast Service RcodeZero DNS beteiligt. Warum das Internet kein freundlicher Raum ist und wie die Auswirkungen von Attacken abgemildert werden können, erklärt er im Interview.

Seit zehn Jahren gibt es RcodeZero DNS. Warum ist ein eigener Anycast Service wichtig für nic.at?
Wir haben vor zehn Jahren damit begonnen, unseren Service für Top Level Domains (TLDs) auszubauen. Uns war es wichtig, dass wir auch den Nameservice dazu anbieten. Neben dem Betrieb des Registry-Dienstes ist es der zweite, fast wichtigere Teil. Wir sorgen dafür, dass die registrierten Domains auch einwandfrei abgerufen werden können. Wir haben einen direkten Zugang zum Dienst, wir können selbst gestalten und die Performance beeinflussen. Das kommt unseren Kunden zugute. Wir schnüren von der Registry über den DNS-Service ein Gesamtpaket.

Was waren die Meilensteine in der Entwicklung von RcodeZero DNS?
Zu Beginn lief der Service für die von uns betriebenen generischen Top Level Domains .berlin und .hamburg. Ein wichtiger Schritt war, dass wir den Service für unsere eigene .at-Zone genutzt haben. Wenig später hat sich dann mit Ungarn die erste TLD .hu für uns entschieden, trotz einer starken Konkurrenz von deutlich größeren Unternehmen. Von da an gab es einen konstanten Zustrom an Kunden.

Für welche Kunden ist das Produkt interessant?
Wir haben zwei große Kundengruppen: Die erste Gruppe sind die Top-Level-Domains. Für TLDs gehört es zum guten Ton, mehrere Anycast Betreiber zu nutzen. Wir sind für die europäischen TLDs einer der attraktivsten Anbieter. Es freut mich, dass Organisationen wie .eu oder .nl ihre TLD bei uns hosten, denn diese Vergabestellen haben um ein Vielfaches mehr Domains in ihrer Zone als wir. Das ist ein großer Vertrauensbeweis, denn die Verfügbarkeit der Services ist so etwas wie der Heilige Gral. Man muss wissen: Wenn die TLD eines Landes nicht funktioniert, dann funktioniert vieles andere nicht mehr. Angefangen von allen Webseiten bis hin zur Kartenzahlung an der Kassa. Die zweite Gruppe sind Registrare, die für Endkunden den Domainnameservice bereitstellen. Wir bieten den Service auch für Unternehmen an, dafür ist das Thema aber oft zu komplex und beratungsintensiv.

Wie setzt man sich gegen große Anbieter wie Google oder Amazon durch?
Für große Konzerne wie Google und Amazon ist der DNS-Service ein kleiner Teil eines vielfältigen Produktportfolios – für uns ist es das Hauptgeschäft. Wir sind kein Gigant, bei dem man sich durch zehn Ebenen Produktmanagement quälen muss, um Vorschläge einzubringen. Diese Flexibilität und Wendigkeit müssen wir ausnutzen, um vor großen Konzernen bestehen zu können. Unsere Kunden schätzen es sehr, dass sie einen direkten Kontakt zu Menschen haben, die den Service bauen. Zudem sind wir ein europäisches Unternehmen: Wir können mit Kunden in derselben Zeitzone sprechen und kennen unsere Kunden. Diese Eigenschaften sind bei nordamerikanischen oder asiatischen Betreibern nicht gegeben. Desweiteren fallen wir unter die Datenschutzgrundverordnung (DSGVO), was unseren Kunden Rechtssicherheit gibt.

Was sind die größten Herausforderungen beim Betrieb eines Anycast Service?
Die richtige Platzierung der einzelnen Standorte ist eine schwierige Aufgabe. Die Topologie des Internets ist eine über den Globus gestülpte Zweitstruktur, die keinen geografischen Grenzen folgt. Die Standorte an die richtige Stelle zu platzieren, so dass die Benutzer im geografischen Umkreis den schnellsten Server erwischen, ist eine Herausforderung. Wir optimieren ständig. Das Ziel ist es immer, die Geschwindigkeit zu verbessern.

Wie oft gibt es Attacken auf die DNS-Infrastruktur?
Das Internet ist kein freundlicher Raum. Wenn es eine Sicherheitslücke gibt, dann ist es nur eine Frage der Zeit, bis sie genutzt wird. Die Möglichkeiten der Attacken sind groß und man kann sich nur dagegen wehren, wenn die eigene Infrastruktur eine gewisse Größe aufweist. Wird die Domain auf zwei Nameservern betrieben und liegen diese im selben Rechenzentrum, dann ist die Wahrscheinlichkeit deutlich höher, dass dieser Service ausfällt, als wenn man ihn über viele Standorte verteilt. Es gibt immer mehr Ansätze, den Leuten das Geld aus der Tasche zu ziehen. Viele dieser Attacken zielen darauf ab, jemanden zu erpressen oder stellen eine Racheaktion dar. Das Problem ist, dass man diese Attacken anonym ausführen kann. Die Anzahl nimmt auf jeden Fall zu.

Was genau passiert bei einem Angriff?
Der klassische Fall: Die betroffenen Server werden mit Unmengen von Anfragen überlastet. Damit wird die Anbindung des Servers, auf dem der Service läuft, beeinträchtigt. Das kann dazu führen, dass die Infrastruktur komplett lahmgelegt wird und alle Dienste wie E-Mail oder Webseite, die unter dieser Domain laufen, sind dann nicht erreichbar. Dabei sind das für Unternehmen wichtige Ressourcen. Solche Attacken werden bei unserer Infrastruktur globaler verteilt. Die Anfragen treffen also auf eine viel stärkere Infrastruktur, das kann den Effekt verringern. Im besten Fall bekommt der Kunde nichts von der Attacke mit und der Service läuft weiter.

In welche Richtung wird sich Anycast entwickeln und welche Visionen haben Sie für RcodeZero DNS?
Unternehmen oder Registrare werden künftig immer seltener eigene Nameserver betreiben, der Aufwand ist zu hoch. Das Thema wird also zunehmend ausgelagert, was für unser Produkt spricht. Der Kundenstamm wird stetig größer. Ich könnte mir vorstellen, dass man künftig aus den betrieblichen Daten seiner Domain mehr Informationen gewinnen kann. Für Kunden wird es immer wichtiger, über den Status ihrer Services informiert zu sein: Wie viel Traffic gibt es? Wie entwickelt sich dieser? Wir haben bereits eine Statistikwebseite, dort können unsere Kunden Daten für die Domain abfragen. Es könnte in Zukunft interessant sein, auf diesen Service noch eine Analyse auf Basis von Machine Learning aufzusetzen, um Unregelmäßigkeiten festzustellen. Jede Aktivität im Internet hat typischerweise eine DNS-Abfrage zur Folge. Aus diesen Informationen könnte man viele Einsichten für den Betrieb der eigenen Domain gewinnen. Ob es beispielsweise eine merkwürdige Häufung von Anfragen aus einem gewissen geografischen Bereich gibt. Wenn auf einer wenig belebten Straße auf einmal 300 Menschen vorbeigehen, würden die Anwohner die Köpfe aus den Fenstern strecken und schauen, was los ist. Und genau dasselbe gilt auch für das Internet, der DNS-Traffic auf einer Domain ist ein guter Indikator für Anomalien. Diese Informationen zum Schutz einer Domain zu nutzen, so weit sind wir noch nicht, aber ich kann mir gut vorstellen, dass es in diese Richtung geht.