News

    Drei goldene Regeln zu Domainsicherheit

    10.05.2022

    Sicherheit ist eine elementare Anforderung des Corporate Domainmanagements, der in vielen Unternehmen unzureichend Beachtung geschenkt wird. Doch was genau bedeutet Domainsicherheit und wie kann man sie im eigenen Unternehmen nachhaltig umsetzen?
    Wir haben mit Daniel Strauß, Geschäftsführer der InterNexum GmbH in Deutschland über aktuelle Gefahren und die derzeitige Sicherheitslage gesprochen und die drei goldenen Regeln des Domain Risikomanagements erfahren.

    BrandShelter: Daniel, du bist seit über 20 Jahren in der Domainbranche und beschäftigst dich mit Domain Risikomanagement, was genau kann man sich darunter vorstellen?

    Daniel: Ich verstehe Corporate Domainmanagement als ganzheitlichen, integralen Ansatz, den digitalen Namensbereich für ein Unternehmen optimal zu gestalten. Das geht weit über das bloße Registrieren von Domainnamen oder das Administrieren von DNS hinaus und bezieht alle Stakeholder mit ein: Marketing, Legal und natürlich IT. Ich spreche hier von einem ausgewogenen Zusammenspiel aus Domain-Strategie, Brand Protection und Cybersecurity.
    Das Domain Risikomanagement ist wiederum der Teilbereich dieses Corporate Domainmanagements, der sich konkret mit domainbezogenen Gefahren beschäftigt. Das bedeutet Gefahrenpotenziale für die Domain selbst, aber auch für alle mit ihr direkt oder indirekt verbundenen Dienste, also beispielsweise E-Mail, Webdienste oder Apps.
    Es geht darum, die primären Ziele der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit für das eigene Unternehmen zu gewährleisten und Dritte, also auch Geschäftspartner und Kunden vor Schaden zu bewahren.
    BrandShelter: Warum sollte man als Unternehmen auf die Idee kommen, sich mit dem Thema Domainsicherheit auseinander zu setzen?
    Daniel: Das ist eine sehr gute Frage, nur eigentlich völlig falsch gestellt, wie ich finde.
    Ihrer Bedeutung nach haben Domainnamen einen besonders hohen Schutzbedarf. Sie sind für den geschäftlichen Erfolg, Prozessabläufe und jegliche interne und externe Kommunikation unabdingbar. In der Außenwirkung stellen sie zudem für Geschäftspartner und Kunden die digitale Identität des Unternehmens dar, der ein hohes Maß an Vertrauen entgegengebracht wird. Schäden können weit über die Unternehmensgrenzen hinaus gehen. Die Folgen: beträchtliche finanzielle Schäden, Datenverlust und nachhaltiger Reputationsschaden. In Einzelfällen stehen auch Haftungsrisiken oder strafrechtliche Konsequenzen für Manager und Mitarbeiter im Raum.
    Die eigentliche Frage müsste heißen: Wie kann man als Unternehmen nicht auf die Idee kommen sich mit dem Thema zu beschäftigen?
    BrandShelter: Persönliche Haftung und strafrechtliche Konsequenzen sind schwer vorzustellen, braucht das nicht gesetzliche Vorschriften?
    Daniel: Schon 1998 schrieb der Gesetzgeber in Deutschland für Kapitalgesellschaften die Pflicht zur Früherkennung von Risiken im KonTraG fest. Das 2021 in Kraft getretene StaRUG (Stabilisierungs- und Restrukturierungsrahmen für Unternehmen) geht da deutlich weiter und bezieht auch kleine und mittlere Unternehmen ein. Dabei gilt es nicht nur Risiken zu erkennen, sondern auch geeignete Gegenmaßnahmen zu ergreifen. Die Liste der national und international geltenden Normen ist lang: EU-Richtlinie zur Netzwerk- und Informationssicherheit (auch bekannt als NIS-Richtlinie), das Baseler Rahmenwerk für die Bankenaufsicht oder der Sarbanes Oxley Act für in den USA gehandelte Wertpapiere sind wirklich nur ein paar wenige Beispiele.
    Ganz konkret werden die Anforderungen der Gesetzgeber bei IT-Sicherheitsgesetzen, die oft für kritische Infrastrukturen gelten, meist aber auch ausstreuende Wirkung auf andere Unternehmen haben. Und spätestens wenn wir über Datenschutz sprechen, ist auch jedes Kleinstunternehmen und jeder Verein mit von der Partie.

    BrandShelter: Das ist nachvollziehbar, aber was kann einer Domain schon passieren?
    Daniel: Diese Frage bekomme ich tatsächlich am häufigsten gestellt, auch von erfahrenen IT-lern. Vereinzelt sogar noch mit dem Hinweis, dass die Domains schon vor 20 Jahren registriert wurden und bisher noch nie etwas passiert sei – quasi als Beweis. Für mich nur eine gefährliche Hypothese.
    Stellen Sie sich doch einmal vor, dass Ihre wichtigste Domain offline ist oder abhandenkommt und vielleicht morgen jemand anderem gehört. Oder sagen wir mal, dass die Webseite auf einen fremden Server geleitet wird, der Daten ausspäht oder manipuliert, vielleicht sogar zu Straftaten aufruft.
    Oder stellen Sie sich vor, dass unbekannte Dritte Ihren Geschäftspartnern, Kunden und Interessenten E-Mails senden, um Schadcode zu verbreiten oder Phishing zu betreiben.

    BrandShelter: Das klingt aber alles schon sehr hypothetisch, welche konkreten Gefahren gibt es?
    Daniel: Die alle aufzuzählen, würde den Rahmen bei weitem sprengen. Grundsätzlich unterscheiden wir organisatorische und technische Risiken. Fehlende Richtlinien, unklare Prozesse oder mangelnde Kompetenz von Schlüsselpersonal bzw. Dienstleistern stehen exemplarisch für organisatorische Risiken. Diese können die Funktionsweise von Diensten temporär beeinträchtigen, und versehentlich oder auch vorsätzlich zum endgültigen und unwiederbringlichen Verlust der Domain führen.
    Demgegenüber stehen technische Domainrisiken im Zusammenhang mit eingesetzten Technologien.
    Cache Poisoning oder DDoS Angriffe auf die Nameserverinfrastruktur verwenden das DNS als Angriffsvektor. E-Mail Spoofing, CEO-Fraud oder Business Email Compromise nutzen dagegen den Weg über gefälschte E-Mails.
    Um es auf den Punkt zu bringen: tagtäglich lesen wir Berichte über Malware Phishing oder Ransomware Angriffe. Der größte Teil dieser Cyberangriffe wird per E-Mail verbreitet. Das ist einfach, kostengünstig und extrem skalierbar. USB-Sticks oder CD-Roms, für die die das noch kennen, sind da nicht mal ansatzweise wettbewerbsfähig – von ganz speziellen Angriffsszenarien mal abgesehen.
    BrandShelter: Daniel, das klingt ja so, als wären diese Angriffe wirklich ein Kinderspiel
    Sagen wir mal so: Einen E-Mailabsender zu fälschen ist sehr einfach: Es braucht nur eine Zeile Quellcode und keinen Zugriff auf die Domain oder die Postfächer, um mit jedem beliebigen Absender Nachrichten zu verschicken.
    Als Domaininhaber kann ich mich aber durch gezielte Schutzmaßnahmen vor diesem Missbrauch schützen, so dass sich Geschäftspartner und Kunden auf die Echtheit meiner E-Mails verlassen können. Auch für DNS-Risiken gibt es wirksame Präventivmaßnahmen, um die Risiken des Ausfalls oder der Manipulation weitestgehend auszuschließen.
    Das Fehlen dieser Schutzmaßnahmen ist leicht erkennbar. Das erhöht die Chancen für den Angreifer und damit das Risiko eines tatsächlichen Angriffes.

    BrandShelter: Mit leicht erkennbar ist gemeint, dass der Einbrecher ein angekipptes Fenster sieht?
    Daniel: Ja so in etwa, oft aber auch eine Tür, die sperrangelweit offen steht und ein Schild: „Kommen in zwei Wochen zurück“.
    Wir haben in einer nicht-intrusiven Studie 18.000 Domains analysiert, die den Branchen der kritischen Infrastrukturen zuzuordnen sind und tatsächlich in aktiver genutzt werden. Fazit: weniger als 2% entsprechen den Anforderungen des IT-Grundschutzes. Nur etwa 50% haben überhaupt Schutzmaßnahmen ergriffen, davon sind jedoch etwa 15% nicht wirksam.
    Es ist also nicht die Frage ob, sondern wann man Opfer eines Angriffsversuches wird.
    BrandShelter: Was genau meinst du mit IT-Grundschutz, könntest du das näher erläutern?
    Daniel: Informationssicherheit hat drei Ziele: Vertraulichkeit, Integrität und Verfügbarkeit, oder mit einfachen Worten gesagt: Informationen oder Dienste sollen nur den berechtigten Personen zugänglich sein, nicht manipuliert werden und nicht verloren gehen oder ausfallen. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) liefert in seinem IT Grundschutzkompendium ein solides Fundament, Richtlinie und Arbeitswerkzeug. Es liefert Methoden, Anleitungen und Empfehlungen, wie Unternehmen oder Behörden die Informationssicherheit umsetzen und gewährleisten können.
    Für einige Institutionen gilt der IT-Grundschutz verpflichtend und für andere ist er empfohlen. Für alle anderen entfaltet er ausstrahlende Wirkung, denn spätestens im Ernstfall, wenn eine Versicherung leisten soll, kommen die Fragen auf den Tisch: Was wurde denn getan, um den Schaden zu verhindern?

    BrandShelter: Was können Unternehmen tun, um sich abzusichern?
    Daniel: Für den Anfang reicht es drei Dinge umzusetzen, ich nenne sie die 3 goldenen Regeln der Domainsicherheit, für die es jeweils drei Fragestellungen gibt:
    1. Awareness: Bewusstsein schaffen
    Welchen Beitrag leisten Domains für den Erfolg und den reibungslosen Betrieb des Unternehmens? Welchen konkreten Risiken ist das Unternehmen ausgesetzt? Welchen finanziellen Schaden und welchen Reputationsverlust bin ich bereit zu tragen?
    2. Prävention: Optimales Schutzniveau gewährleisten
    Welche organisatorischen Maßnahmen sind erforderlich? Welche technischen Maßnahmen sind umzusetzen? Wo und wie können diese Maßnahmen umgesetzt werden und welche Unterstützung ist nötig?
    3. Überwachung: nachhaltige Wirksamkeit prüfen
    Was muss in welcher Regelmäßigkeit geprüft werden? Wie kann das Vorhandensein oder die Wirksamkeit von Schutzmechanismen geprüft werden? Wie werden Feststellungen, also Abweichungen vom Sollzustand oder Sicherheitsrisiken dokumentiert und weiterbearbeitet?
    BrandShelter: Was wäre deiner Meinung nach der erste richtige Schritt?
    Daniel: Das wichtigste ist, sich von Glaubenssätzen zu befreien und Tatsachen objektiv zu bewerten. „Da wird schon nichts passieren“ oder „das wird schon alles passen“ sind schlechte Ratgeber. Ich muss mich selbst davon überzeugen, dass alles korrekt ist und so wie ich es erwarte.
    Dazu muss ich auch grundsätzlich bereit sein, Know-How im Unternehmen aufzubauen, neue Werkzeuge anzuwenden oder Hilfe anzunehmen.
    BrandShelter: Daniel, hast du abschließend noch einen Tipp für den Einstieg in das Thema?
    Daniel: Ich kann jedem unseren IT-Security Leitfaden ans Herz legen. Er behandelt Grundlagen zum Domain Risikomanagement und zur Cybersicherheit für Unternehmen. Eine Auswahl aktueller und potenzieller Bedrohungen und Szenarien werden anschaulich erklärt und mit prominenten Praxisbeispielen der Vergangenheit belegt. Im Weiteren werden detektierte und deduktive Methoden zur Identifikation von Risiken vorgestellt und auf die Bewertung von Risiken sowie deren Folgenabschätzung zur Beurteilung des Schadensausmaßes eingegangen.
    Wer Interesse hat, seine Domain auf offensichtliche und detektierbare Schwachstellen zu analysieren, kann einen Domain Security Score (DSS) auf www.domainsecurity.info ermitteln. Dieser Wert zwischen 0 und 100 basiert auf dem gewichteten Analyseansatz unserer Studie. Ein DSS zwischen 75 und 100 ist erstrebenswert und zeugt von einer guten technischen Basisabsicherung der Domain.

    Daniel ist Gründer und Geschäftsführer von nicmanager, einer CentralNic Marke. Er vereint fachübergreifende Kompetenzen und berät Unternehmen bei der strategischen Ausrichtung des Corporate Domain Managements, dessen Umsetzung sowie bei der Identifizierung, Bewertung und Reduzierung von Risiken. In der von ihm entwickelten nicmanager.academy qualifiziert und coacht er angehende und erfahrene Domainmanager als Trainer.
    Am Lehrstuhl für Informatik der Hochschule Zittau / Görlitz doziert Daniel Strauß zur interdisziplinären Bedeutung des DNS, aktuellen Cyberrisken und Schutztechnologien.
    Daniel Strauß gründete 1999 sein erstes IT-Unternehmen. Seine weitere berufliche Laufbahn begann er bei der MAN AG in München und setzte diese bei der BMW-AG fort. Für die Webasto AG war er zuletzt verantwortlich für das konzernweite Risikomanagement.
    Als Risikomanagement-Consultant beriet Daniel Strauß zahlreiche internationale Unternehmen aus verschiedenen Branchen bei der Einführung und Umsetzung eines Corporate Riskmanagements, darunter auch DAX-Unternehmen.
    Wenden Sie sich direkt an @Daniel, um weitere Informationen zum Corporate Domain Management und Domainrisiken zu erhalten: daniel@nicmanager.com.
    Um den von ihm herausgegebenen IT-Leitfaden „Domain Risikomanagement“ zu erhalten, vernetzen Sie sich mit ihm und senden ihm eine E-Mail oder persönliche Nachricht mit dem Betreff „Domain Risikomanagement Leitfaden“.