Robert Schischka ist technischer Geschäftsführer bei nic.at GmbH und deren Schwesterfirma ipcom GmbH. Im Interview erklärt er, warum sich Angriffe auf DNS-Infrastrukturen häufen und nun auch die Politik das Thema auf dem Schirm hat.

Seit zehn Jahren gibt es den Anycast Service RcodeZero DNS. Warum hat sich nic.at damals für einen eigenen Service entschieden?
Der Heilige Gral der Top-Level-Domains (TLDs) ist Verfügbarkeit. Unsere Server müssen funktionieren, wir können uns keine Wartungsfenster erlauben. Deshalb war es wichtig, dass wir selbst Kernkompetenz im Bereich Anycast aufbauen. Damit haben wir eine Kontrolle und einen besseren Einblick in Monitoring-Daten. Wir wollten sehen: Gibt es Angriffe und wo kommen diese her? Was können wir optimieren? Die Grundidee war, dass wir diesen Service nur für unsere .at-Zone nutzen. Allerdings gab es in unserer Branche schon immer starke, vertrauensvolle Kooperationen und wir haben den Service schnell auch für andere Registries, Registrare und Unternehmen geöffnet.

Was waren die Meilensteine in den vergangenen zehn Jahren?
Es hat uns sehr gefreut, dass wir andere TLDs für unser Produkt gewinnen konnten. Top Level Domains wie .eu oder .nl sind deutlich größer als wir es sind. Man vertraut uns, unsere Qualität setzt sich durch. In einem gewissen Rahmen können wir als kleiner Anbieter auch sehr flexibel auf Kundenwünsche reagieren. Die Schweizer TLD .ch wollte beispielsweise einen Server-Standort in der Nähe von Zürich. Dieser Wunsch hat auch aus netzwerktopologischen Gründen Sinn gemacht, deshalb haben wir dort einen Knoten aufgebaut. Ein weiterer wichtiger Schritt war, dass wir auf dem Secondary Markt Fuß fassen konnten. Auch für Registrare bauen wir immer wieder Sonderlösungen, um unseren Service in deren Prozesse und Abläufe zu integrieren. Das ist eine Stärke von uns, da wir das Produkt selbst entwickeln und Wünsche implementieren können – sofern es wirtschaftlich vertretbar ist.

Anycast soll Lasten optimal verteilen und bei Attacken auf die DNS-Infrastruktur Ausfälle kompensieren. Häufen sich diese Attacken?
Angriffe aus Rache oder Erpressungsversuche nehmen massiv zu. Wettbüros bekommen beispielsweise immer wieder Angriffe ab, vor allem vor Großereignissen wie Weltmeisterschaften. In den vergangenen Jahren hat deshalb der Schutz vor DDoS-Attacken (Distributed Denial-of-Service) an Bedeutung gewonnen. RcodeZero DNS verteilt die Infrastruktur auf mehrere Netzwerke und Kontinente.

Wie sehen solche Angriffe aus?
Es gibt Angriffsmuster, die mit einem kleinen Paket große Antworten provozieren können. Eine Angriffsmaschine kann um wenig Geld gemietet werden. Die Angreifer im Internet sind keine Superhelden, die spezielle technische Fähigkeiten besitzen. Man kann sich das so vorstellen: Jemand bestellt per Postkarte Tausende Versandkataloge an eine bestimmte Adresse, der Postkasten wird überfüllt und vor der Tür stehen Paletten voller Kataloge. Der Empfänger hat nun ein großes Problem, die Postkarte hat den Verursacher aber kaum etwas gekostet. So funktioniert das auch bei Angriffen auf die DNS-Infrastruktur. Die Antworten sind aufgrund des Protokolls viel größer als die Anfrage. DNS hat das Problem, dass der Großteil des Verkehrs auf einem zustandslosen Protokoll beruht, bei dem die Absenderadresse gefälscht werden kann. Das ist die Basis für viele Attacken und auch der Grund, warum Angriffe auf DNS so populär sind: Sie funktionieren relativ simpel. Es ist wesentlich leichter destruktiv anzugreifen als konstruktiv zu verteidigen. Auch die Politik hat das Thema DNS und Domains deshalb als kritisch identifiziert.

Wie reagiert die Politik darauf?
In den Entwürfen der neuen NIS-II-Richtlinien der EU-Cybersicherheitsstrategie ist DNS prominent vertreten. Das Thema Resilienz und Verwundbarkeit der digitalen Gesellschaft ist stark in den Vordergrund gerückt. Die Politik konzentrierte sich früher vor allem auf die Sicherung von physischer Infrastruktur. Allerdings ist nicht nur Strom wichtig für die Infrastruktur in Europa – auch wenn das DNS ausfällt, wird es finster. Das Bewusstsein, dass alle Komponenten der Infrastruktur abgesichert werden sollen, steigt an. Das heißt auch, dass es für DNS-Betreiber verstärkt Auflagen und Sicherheitsanforderungen geben wird. Das hat das Potenzial, ein Treiber für Anycast Services zu werden.

Was setzt ipcom den immer häufigeren Angriffen entgegen?
Der Vorteil von Anycast ist, dass man den Service in die Breite skalieren kann. Wir nutzen nicht nur immer leistungsfähigere Server, sondern können auch mehr davon aufstellen. Es ist ein permanentes Wettrüsten. Wir haben von Cloudflare eine DDoS-Mitigation zugekauft, weil sich unter anderem die Drohungen im Terabyte-Bereich häufen. Da braucht es einen Anbieter, der in der Lage ist, diesen Traffic global abzumildern. Bislang blieb es im Terabyte-Bereich bei Drohungen, es ist aber klar, dass solche Angriffe funktionieren können.

Ist RcodeZero DNS auch für andere Kundengruppen als Registries und Registrare interessant?
Es gibt sehr viel Potenzial bei Enterprise Kunden, eine Bank oder ein Energieversorger beispielsweise. Das sind Kunden, die von Informationstechnologie abhängig sind, deren Kerngeschäft aber nicht der Betrieb von DNS ist. Viele dieser Unternehmen haben eigene Infrastrukturen, könnten ihren Service aber um externe Dienstleister ergänzen – das ist aber eine vertriebliche Herausforderung für uns.

RcodeZero DNS gibt es seit zehn Jahren. Wie wird sich das Produkt in den kommenden Jahren entwickeln?
Der Signierservice DNSSEC, in jedem RcodeZero DNS Paket kostenlos inklusive, wird immer wichtiger werden. Das ist eine Sicherheitserweiterung für das DNS, die Echtheit und Vollständigkeit von DNS-Transaktionen garantiert. Das ist ein komplexes Spezialthema, das wir sehr gut lösen. Viele Registrare möchten diesen Service outsourcen.

Zudem bauen wir unsere Server weiter aus, dazu kommen Architekturveränderungen: Wir verteilen pro Standort weniger, aber wesentlich leistungsstärkere Maschinen. Wir werden noch mehr auf den Einsatz virtueller Server setzen, um schneller auf Kundenwünsche reagieren zu können. Die Suche nach Standorten und die laufende Netzoptimierung ist herausfordernd. Am Anfang haben wir viel Aufwand betrieben, um physische Hardware in die USA zu schicken. Das war logistisch schwierig, angefangen von komplizierten Zollformalitäten bis hin zu fehlenden Ansprechpartnern vor Ort. Dieses Problem haben wir mit virtuellen Servern nicht mehr. Mit den laufenden Optimierungen und Anpassungen wird uns auch in den nächsten10 Jahren nicht langweilig mit unserem Anycast Service.