News

    DOMAINSICHERHEIT IN 10 MINUTEN - Wie man Domains sicher verwaltet

    09.05.2019

    - von Andreas Soll -

    Vergangene und aktuelle Fälle zeigen immer wieder, dass viele Domains nicht ausreichend gesichert sind. Dies hat zur Folge, dass auch einige mehr oder weniger bekannte Domains durch fehlende Sicherheitsvorkehrungen bei einem Angriff wegtransferiert, Ziele der Webseite durch Änderungen an der Zone oder der kompletten Nameserver geändert wurden. Oder der Inhaber der Domain war plötzlich eine andere Person und die Domain wurde zum Verkauf angeboten. Es wurden aber auch sogenannte „Man in the middle“ -Attacken durch unzureichende Absicherungen ermöglicht.

    Der signifikante Anstieg der Domain-Attacken in der Vergangenheit ist mitunter durch fehlende Sicherheitsmaßnahmen auf Seiten der Registranten, Registrare und Registrierungsstellen zu erklären, die diese zu relativ leichten Zielen machten.

    Insbesondere für Domains von Geschäftskunden kann solch eine Kompromittierung im besten Fall für zeitlich begrenzte Ausfallzeiten sorgen. Im schlimmsten Fall kostet sie das Unternehmen Millionen und kann in Einzelfällen sogar die Existenz des Unternehmens bedrohen.

    Das Vertrauen der Kunden ist in jedem Fall gestört, sollte plötzlich eine bekannte Seite für längere Zeit nicht mehr vorhanden sein oder aber andere Inhalte dargestellt werden. Derartige Angriffe können alle treffen, selbst große Unternehmen wie Google oder Facebook waren in der Vergangenheit betroffen.

    Viele dieser Angriffe können mithilfe der richtigen präventiven Maßnahmen vereitelt werden. Aus diesen Gründen ist es für Sie sehr wichtig bei der Auswahl Ihres Corporate Domain Providers darauf zu achten, dass verschiedene Sicherheitsfunktionen angeboten werden und diese bei der Domainverwaltung in Kombination einzusetzen.

    1) PASSWÖRTER

    Passwörter stellen weiterhin eine der größten Sicherheitslücken dar. Durch die Verwendung von zu schwachen Passwörtern, die keine Sonderzeichen, Groß- und Kleinschreibung, Zahlen oder Buchstaben enthalten, oder einen direkten Bezug zum Ersteller haben – wie z.B. Geburtsdaten oder Namen der Kinder/Haustiere – wird es Angreifern oftmals sehr leicht gemacht.

    Identische Passwörter für verschiedene Dienstleister zu verwenden ist zudem eine gängige Praxis. Dies hat jedoch zur Folge, dass der Angreifer nur bei einem Dienstleister erfolgreich sein muss und anschließend auf alle anderen Dienste ebenfalls zugreifen kann.

    Wie sollte also ein sicheres Passwort aussehen? Der richtige Umgang und eine längere Kombination aus Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen spielen hierbei eine wichtige Rolle.
    Ihr Provider sollte keine unsicheren Passwörter zulassen und mindestens 12 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zwingend fordern. Ebenso sollte keine geringere Maximalgröße bei Passwörtern angelegt sein.

    Sie selbst sollten Ihre Passwörter nie unverschlüsselt per E-Mail versenden oder empfangen bzw. diese im Klartext irgendwo ablegen oder speichern. Bitte werfen Sie Ihre Zettel unter dem Keyboard jetzt weg.
    Benutzen Sie einen „Passwort-Manager“ und sichern Sie diesen mit einem starken Passwort. Benutzen Sie die – in der Regel –eingebaute Funktionalität um komplexe Passwörter zu generieren. So können Sie sich beliebig viele sichere Passwörter verwenden ohne sich jedes einzeln merken zu müssen.

    2) IP-ADRESSEN-ZUGRIFFSSCHUTZ

    Eine weitere Möglichkeit, den Login zu begrenzen, ist die Verwendung eines IP-Adressen-Zugriffsschutzes. Begrenzen Sie den Zugriff auf nur wenige IP-Adressen oder Bereiche, von denen Sie auf Ihr Interface zugreifen können. In der Regel können Ihnen Ihre Administratoren mitteilen, welche IP-Adressen oder IP-Bereiche Sie eintragen müssen. Nach Aktivierung des Schutzes ist Ihnen ein Zugriff auf Ihr Domainportfolio nur über diese IP-Adresse oder den IP-Bereich möglich.

    3) ZWEI-FAKTOR-AUTHENTIFIZIERUNG

    Um Ihr Konto mir der Zwei-Faktor- Authentifizierung zu schützen, benötigen Sie neben Ihrem persönlichen Passwort einen zweiten Faktor, z.B. ein Einmalpasswort (TOTP), das von einer verbundenen Authenticator-App generiert wird.
    Würde ein Angreifer Zugriff auf Ihr Passwort erhalten, kann er sich in diesem Fall nicht einloggen. Ihr Provider sollte Ihnen zudem ermöglichen weitere Prozesse wie z.B. Domain-Updates, Domain-Löschungen, Änderungen von Berechtigungen usw., mit einer Zwei-Faktor-Authentifizierung abzusichern.

    4) BENUTZERVERWALTUNG MIT BERECHTIGUNGEN

    Nicht jeder Benutzer muss immer alles können. Ihr Provider sollte es Ihnen ermöglichen Ihre Benutzer mit verschiedenen Berechtigungen auszustatten. Hier sollten Sie streng nach dem „Need to know“-Prinzip die Berechtigungen verteilen. Zum Beispiel benötigt eine Person aus der Buchhaltung Zugriff auf die Positionen und Rechnungen, aber nicht auf die Domainkonfiguration oder DNS-Zonen. Müssen also alle Team-Mitglieder uneingeschränkten Zugriff auf sehr wichtige und geschäftskritische Domains erhalten?

    5) EINTEILUNG IN GESCHÄFTSBEREICHE

    Eine Aufteilung Ihrer Domains in verschiedene Geschäftsbereiche hilft Ihnen nicht nur die Übersicht über die Domains zu bewahren, vielmehr können Sie einzelnen Benutzern auch nur Zugriff auf die für Ihn wirklich relevanten Geschäftsbereiche gewähren. Somit hat Ihr Benutzer weiterhin die Möglichkeit seine Domains zu verwalten, kann aber nicht auf Domains aus anderen Bereichen zugreifen.

    6) DOMAIN LOCK (REGISTRAR)/REGISTRY LOCK

    Nach dem Transfer einer Domain in Ihr Management oder die Registrierung einer Domain sollte diese immer automatisch gegen einen Transfer gesperrt werden. Zusätzlichen Schutz bietet das setzen einer Sperre gegen Löschungen und gegen Änderungen einer Domain. Ihr Provider sollte solche Sperren anbieten, jedoch müssen sie sich bewusst sein, dass dieser Service nicht von allen Registrierungsstellen unterstützt wird. Falls vorhanden können diese Sperren zu jeder Zeit von Personen mit entsprechender Berechtigung gesetzt oder bei Bedarf entfernt werden.

    Für sehr wichtige, wertvolle oder geschäftskritische Domains empfehlen wir – wenn möglich – einen Registry Lock zu setzen. Nachdem der Registry-Lock gesetzt wurde, muss in der Regel zuerst ein manuelles Verfahren eingeleitet werden bevor die Domain geändert werden kann. Der Schutz umfasst die Änderung aller Whois-Daten, Nameserver sowie Transfers und Löschungen.

    7) BESTÄTIGUNGSVERFAHREN

    Eine weitere Möglichkeit Domain-Aufträge sicher durchzuführen ist das Bestätigungsverfahren. Hier werden Aufträge erst nach einer Bestätigung durch mindestens einen weiteren Benutzer freigegeben und durchgeführt.
    Dieses Bestätigungsverfahren kann über mehrere Stufen erfolgen. Jeder Benutzer hat die Möglichkeit einen Auftrag, auch unter Angabe einer Begründung, abzulehnen. Mit diesem Verfahren können auch das Mehr-Augen-Prinzip umgesetzt und interne Workflows von Marketing, Domain-Management, IT und Rechtsabteilung abgebildet werden.

    8) AUTHCODES

    Authentifizierungscodes zählen zu den wichtigsten Informationen, die zu einer Domain gehören. Der Authcode einer Domain berechtigt den Benutzer die Domain zu einem anderen Registrar zu transferieren. Da es keine Notwenigkeit gibt, die Authcodes ständig abrufbereit vorzuhalten und im Interface anzuzeigen, sollte Ihr Provider Ihnen die Authcodes auch nur auf Anfrage über einen sicheren Weg bereitstellen. Diese Funktion sollte ein Corporate Provider in seinem Interface integriert haben.

    9) KONSOLIDIERUNG DES PORTFOLIOS

    Eigentlich steht dies immer am Anfang eines professionellen Domain-Managementprozesses. Wichtig ist, den Überblick zu behalten, welche Domains Sie besitzen, und eine zentralisierte Übersicht über alle Domains Ihrer Niederlassungen und Bereiche zu erhalten. Ein guter Corporate Domain Provider sollte Sie bei der Verwaltung von weltweiten Portfolios unterstützen und die Domain-Registrierung unterhalb aller länderspezifischen TLDs (ccTLDs) ermöglichen. Die Zentralisierung ist einer der Schlüssel-Faktoren im Corporate Domain Management.

    10) DNS SERVER/DNSSEC

    Für wichtige Domains ist es unerlässlich, dass eine 100%-ige Erreichbarkeit zugesichert wird. Prüfen Sie die DNS-Systeme Ihres Providers! Mit welchen Partnern arbeitet er zusammen? Bietet er Ihnen ein gutes Anycast-DNS-System mit genügend Standorten und DDoS-Schutz. Auch die Unterstützung von DNSSEC ist heutzutage ein Muss und sollte angeboten werden. Da DNS mit Hochverfügbarkeit mitunter sehr kostspielig sein kann, sollte Ihr Corporate Provider ebenfalls kostengünstigere Lösungen anbieten. Nicht alle präventiv registrierten Domains müssen auf Hochverfügbarkeit-DNS laufen. Er sollte es Ihnen ermöglichen, eine Auswahl an verschiedenen DNS Lösungen zu jeder Domain zu nutzen.

    ZUSAMMENFASSUNG

    Um Ihre Domains im Geschäftskundenbereich optimal schützen zu können benötigen Sie einen kompetenten Corporate Domain Provider an Ihrer Seite. Nur durch die Kombination möglichst vieler, einzelner Schutzmaßnahmen erreichen Sie den bestmöglichen Schutz Ihrer Domains. Überdenken Sie die Zugriffsmöglichkeiten auf Ihr Portal, verwenden Sie einen Passwort-Manager, passen Sie Passwörter an und bedienen Sie sich der weiteren Schutzmöglichkeiten. Kontaktieren Sie Ihren Provider und fragen Sie nach einem Workshop, um die bestmögliche Strategie für Ihren Domainschutz mit Ihm zusammen zu erarbeiten.

    Sollten Sie Fragen zu diesem Thema oder Interesse an einer Beratung haben, kontaktieren Sie gerne unser Team.