Klaus Darilion gilt als das technische Mastermind hinter RcodeZero DNS. Er ist Leiter Operations bei nic.at GmbH und deren Schwesterfirma ipcom GmbH und spricht im Interview was es mit braven Babys, verstopfen Postkästen und dem Anycast Service RcodeZero DNS auf sich hat.

RcodeZero DNS wird zehn Jahre alt. Sie sind maßgeblich für die Entstehung und laufende Produktentwicklung verantwortlich. Warum ist ein Anycast Service für nic.at wichtig?
RcodeZero DNS ist mein Baby. Wir wollten vor zehn Jahren einen Anycast Service bauen, um Technik und Entwicklung selbst in der Hand zu haben. Der Anfang war etwas schleppend, aber in den vergangenen Jahren konnten wir sehr viele Kunden gewinnen. Die Wichtigkeit dieses Themas rückt verstärkt ins Bewusstsein, denn das Internet wird böser und es gibt immer mehr DDoS-Attacken (Distributed Denial-of-Service). Für Angreifer wird es einfacher, Attacken zu starten, denn es gibt in der Cloud Millionen von ungeschützten Servern. Die Last auf die Nameserver wird dadurch massiv erhöht. Deshalb möchten Registries und Registrare ihre DNS-Infrastruktur breiter aufstellen, um regelmäßige Lastspitzen verarbeiten zu können – ohne dass die Kunden etwas davon mitbekommen.

Ein Baby sorgt für viel Freude, aber auch manchmal für Sorgen. Wie ist das bei Ihnen?
Wir haben zwei Produkte, DNS für Top-Level-Domains (TLDs) und Secondary DNS. Das Produkt TLD DNS ist ein ausgesprochen braves Baby. Der Kunde kommt mit seiner Zone zu uns, beispielsweise .eu oder .nl, dann konfigurieren wir die Daten in unser System und der Service läuft. Bei Secondary DNS, das vor allem Registrare und Unternehmen nutzen, muss dagegen ständig umkonfiguriert werden und es ist mehr Potenzial für Probleme vorhanden. Die Attacken gibt es hauptsächlich auf Secondary Domains. Es werden Zonen attackiert, die Endkunden gehören.

Warum ist das so?
Die Top-Level-Domains sind breiter aufgestellt, deshalb werden nicht die Nameserver der TLDs attackiert, sondern direkt die Domain des Kunden. Und dann kommt es auf unsere Kunden an. Wir haben Kunden mit drei Millionen Domains, die noch nie attackiert wurden. Auf der anderen Seite haben wir Kunden, die 500.000 Domains bei uns hosten, und ständig Attacken ausgesetzt sind. Für uns ist es ein permanentes Katz-und-Maus-Spiel: Wie können wir die Angreifer aussperren, ohne dass unser Service beeinträchtigt wird?

Wie funktioniert so ein Angriff genau?
Bei einer DDoS-Attacke schicken Angreifer so viele Daten, dass die Infrastruktur lahmgelegt wird. Das sind dann beliebige Pakete, die eine Leitung verstopfen. Ein vereinfachtes Beispiel: Jemand geht ständig an einem Postkasten vorbei und wirft Altpapier hinein. Bald ist der Postkasten voll und keine normalen Briefe passen mehr hinein. Diese Angriffe können wir mit Hilfe von DDoS-Mitigation abmildern, denn einen echten Brief kann man gut von Altpapier unterscheiden. Dann gibt es aber Attacken, die legitime DNS-Anfragen sind. Im Postkasten landen also jede Menge Briefe mit schönen Umschlägen, die wie echte Post aussehen. Der Empfänger muss alle Briefe öffnen. Diese Attacken verursachen viel mehr Aufwand und können auch von einem DDoS-Mitigation-Anbieter nicht aussortiert werden.

Seit 2016 gibt es eine zweite Cloud für RcodeZero DNS. Wo liegen die Vorteile?
Bei jeder Domain müssen zwei Nameserver hinterlegt sein, also zwei IP-Adressen, über die ein Service abgefragt werden kann. Mit unserer zweiten Cloud haben wir ein komplett getrenntes System für zwei unabhängige IP-Adressen aufgestellt. Sie sind logisch und physisch voneinander getrennt, man landet nie auf dem gleichen Server. Falls ein Standort nicht mehr funktionieren sollte, kann man so ausweichen. Das ist ein großer Unterschied zu anderen Anycast Anbietern wie Google oder Cloudflare, die das nicht getrennt haben.

Momentan gibt es über 40 Standorte auf der ganzen Welt verteilt. Wie werden sich die Standorte entwickeln?
Wir sind gut aufgestellt, was die Anzahl unserer Standorte betrifft. Sie werden kontinuierlich ausgebaut. Wir werden immer größer, stabiler und leistungsfähiger, denn wir fahren zweigleisig: In der ersten Cloud haben wir viele Standorte, wo unsere physischen Server stehen. Unsere zweite Cloud ist dagegen komplett virtuell. Das ist eine gute Kombination, denn in der Cloud bekommen wir nicht unendlich hohe Ressourcen. Für Standorte mit sehr viel Verkehr haben wir deshalb immer noch unsere eigenen Server stehen, um Lastspitzen abfangen zu können. Als wir vor zehn Jahren gestartet sind, war es nicht möglich, einen Anycast Service zu bauen, ohne die eigenen Server um die Welt zu schicken. In den vergangenen Jahren hat sich die Cloud-Infrastruktur aber massiv geändert. Deshalb sind wir dazu übergegangen, verstärkt auf Server in der Cloud zu setzen. So müssen wir keine Hardware nach Japan oder in die USA schiffen – was sehr kompliziert und aufwendig ist.

Eine wachsende Kundschaft bedeutet auch, dass es immer mehr Kundendaten gibt. In Europa spielt das Thema Datenschutz eine wichtige Rolle. Wie geht ipcom damit um?
Sowohl bei TLD DNS als auch bei Secondary DNS werden Kundendaten auf den Servern nur verschlüsselt abgelegt. Nach Einführung der Datenschutzgrundverordnung (DSGVO) haben wir nicht viel ändern müssen, denn mit sensiblen Kundendaten sind wir schon immer sehr umsichtig umgegangen. Allerdings sind wir als Anycast Anbieter global aufgestellt, haben Server überall auf der Welt stehen und exportieren auch Kundendaten ins Nicht-EU-Ausland. Amerikanische oder asiatische Provider müssen sich nicht an die DSGVO halten. Das ist für uns oft kompliziert, es braucht Zusatzvereinbarungen, um alles DSGVO-konform zu halten.

Was waren Ihre persönlichen Highlights in den vergangenen zehn Jahren?
Unser DNSSEC Signierservice war ein großer Meilenstein. DNSSEC ist technisch sehr kompliziert und wir haben den Service gut und stabil gelöst. Die Anwendung ist möglichst einfach für unsere Kunden. Mit DNSSEC kann man leicht Fehler machen, deshalb haben wir viele Schutzmechanismen in unseren Signierservice eingebaut. Der zweite große Meilenstein war, als wir für Secondary DNS die dedizierten Systeme eingeführt haben. Vor der Einführung sind alle Kunden auf dem gleichen System gelandet. Wurde ein Kunde angegriffen, haben alle mitgelitten. Mittlerweile haben wir dedizierte Systeme, die wir bei Kunden ab 50.000 Domains verwenden. Der Kunde bekommt sein eigenes großes System und ist komplett unabhängig.