17.11.2025 • Topstory

Wenn das Internet stolpert: Warum DNS wichtig ist

Der massive AWS-Ausfall letzte Woche war eine Mahnung, dass das moderne Internet – ein Ökosystem aus Milliarden von Verbindungen, Diensten und Geräten – immer noch von einer Handvoll stiller, grundlegender Systeme abhängt. An der Spitze dieser Liste steht das Domain Name System (DNS), die essenzielle Schicht, die für Menschen lesbare Namen in maschinenlesbare Adressen übersetzt. Wenn DNS ins Wanken gerät, scheitert auch alles, was darauf aufgebaut ist.

Robert Frank, Area Vice President Central Europe bei DigiCert

Als die AWS-Region US-East-1 ausfiel, konnten viele Unternehmen nicht nur keine Anfragen bearbeiten, sondern sie konnten nicht einmal ihre Ausfälle melden. Ohne funktionierende DNS-Auflösung konnten die Systeme ihre Monitoring- oder Incident-Reporting-Endpunkte nicht finden. Das Ereignis unterstrich eine Wahrheit, die Sicherheitsexperten bereits wissen: DNS ist keine optionale „Verrohrung“; es ist das Bindegewebe moderner Cloud-basierter Anwendungen.

Inhalt:

Eine kurze Einführung: Wie DNS funktioniert

Photo
Autor: Robert Frank, Area Vice President Central Europe bei DigiCert
© DigiCert Inc.

Jede digitale Interaktion, vom Senden einer E-Mail bis zum Starten einer App, beginnt mit einem DNS-Lookup. Wenn Sie PetStore.com in Ihren Browser eingeben, sendet Ihr Gerät eine Anfrage, um diesen Domainnamen in die entsprechende IP-Adresse zu übersetzen, damit es weiß, welchen Server es kontaktieren muss. Dieser Prozess umfasst zwei unterschiedliche, aber komplementäre Systeme: rekursives DNS und autoritatives DNS.

Rekursive DNS-Server handeln im Namen der Benutzer. Sie nehmen die ursprüngliche Anfrage entgegen, prüfen zwischengespeicherte Ergebnisse und kontaktieren bei Bedarf andere DNS-Server, wie z. B. einen Upstream-Rekursiv-Server oder autoritative Server, um die korrekte IP-Adresse zu finden. Diese Resolver werden typischerweise von einem lokalen Netzwerkadministrator, Internetdienstanbietern (ISPs), Cloud-Plattformen oder spezialisierten DNS-Anbietern betrieben. Rekursives DNS ist das, womit die meisten Menschen – indirekt – jedes Mal interagieren, wenn sie online gehen.

Autoritatives DNS hingegen liefert die definitive Antwort für eine Zone oder Domain in einer Baumhierarchie unterhalb der „Root“-Server und der Top-Level-Domains wie .com, .org oder .de. Diese Server werden von Domain-Inhabern oder DNS-Anbietern gewartet und beinhalten die offiziellen Einträge (Records) – A, AAAA, MX, TXT, CNAME – die definieren, wohin der Verkehr geleitet werden soll. Wenn ein Benutzer einen rekursiven Resolver fragt: „Wo ist PetStore.com?“, fragt der rekursive Server die Hierarchie der autoritativen DNS-Server ab, die eine Antwort für den Teil des Baumes geben, für den sie autoritativ (zuständig) sind.

Beide sind kritisch, aber sie erfüllen sehr unterschiedliche Rollen. Der AWS-Vorfall hat gezeigt, was passiert, wenn eine Seite – die rekursive Schicht – ausfällt.

Was bei AWS schief lief

Der AWS-Ausfall war primär ein Problem innerhalb der internen Steuerungsebene (Control Plane) und der rekursiven Resolver-Infrastruktur des Unternehmens. Als die rekursive DNS-Schicht offline ging, verloren Anwendungen und Geräte die Fähigkeit, Namen in Adressen zu übersetzen, obwohl die autoritativen Ressourceneinträge (Resource Records) für diese Domains noch intakt und von anderen rekursiven Servern erreichbar waren.

Diese Unterscheidung ist zentral: Das autoritative DNS blieb intakt, aber rekursive Ausfälle hinderten die Endbenutzer daran, es jemals zu erreichen. Stellen Sie sich vor, alle Straßenschilder in einer Stadt sind noch vorhanden, aber niemand kann sie lesen. Die Karte existiert; es ist die Navigation, die versagt.

Wenn das rekursive DNS ausfällt, können Systeme, die auf die Auflösung von Hostnamen angewiesen sind, ihre Monitoring- und Alarmsysteme nicht auflösen, um das Problem zu signalisieren. Deshalb erscheinen Ausfälle oft schlimmer, als sie sind – die Feedback-Schleifen selbst sind unterbrochen.

Die Evolution der DNS-Resilienz

Historisch gesehen wurde DNS auf Einfachheit ausgelegt, nicht auf Redundanz. Frühe Netzwerke gingen von kleinen Benutzerzahlen und einer stabilen Infrastruktur aus. Als die Abhängigkeit wuchs, entwickelten sich Redundanzstrategien – sekundäre Nameserver, Anycast-Routing, geografisch verteiltes Hosting und jetzt Multi-Provider-DNS-Konfigurationen.

Autoritatives DNS-Redundanz stellt sicher, dass, wenn ein Rechenzentrum oder Anbieter nicht verfügbar ist, ein anderer auf Anfragen von anderswo auf der Welt antworten kann. Rekursive DNS-Redundanz stellt derweil sicher, dass Benutzer mehrere Resolver zum Abfragen haben, sodass der Ausfall eines Anbieters nicht jeden Lookup blockiert.

Die heutige DNS-abhängige Welt erfordert beides. Unternehmen, die nur eine Schicht schützen, setzen sich einem Risiko aus. Der Vorfall dieser Woche hat diesen Punkt bekräftigt: Selbst ein fehlerfreies autoritatives DNS hilft nicht, wenn Benutzer Anfragen über die rekursive Schicht nicht auflösen können.

Warum DNS die Grundlage für digitales Vertrauen ist

DNS macht das Internet nicht nur nutzbar; es macht es vertrauenswürdig. Es stellt sicher, dass Benutzer die legitime Version eines Dienstes erreichen und nicht einen Hochstapler. Deshalb existieren Funktionen wie DNSSEC – um zu validieren, dass DNS-Antworten nicht von einem rekursiven Server oder dem Netzwerk, in dem er sich befindet, manipuliert wurden.

DNS untermauert auch andere kritische Schichten des digitalen Vertrauens, einschließlich TLS-Zertifikaten, E-Mail-Authentifizierung (DMARC, DKIM, SPF) und Zero-Trust-Netzwerkzugang. Eine einzige DNS-Fehlkonfiguration oder ein Verfügbarkeitsproblem kann zu einer Kaskade von Zertifikatsvalidierungsfehlern, E-Mail-Zustellungsfehlern oder unterbrochenem Anwendungs-Routing führen.

Kurz gesagt: DNS ist nicht nur ein Adresssystem; es ist ein Identitätssystem und eine verteilte Datenbank.

Eine starke DNS-Strategie entwickeln

Was können Organisationen also tun, um ihre DNS-Grundlage zu stärken? Hier sind einige wesentliche Überlegungen:

  • DNS als kritische Infrastruktur: Zu oft wird DNS als Nebensache oder Teil des IT-Betriebs verwaltet. In Wirklichkeit gehört es in dieselben Resilienz-Diskussionen wie Cybersicherheit, Disaster Recovery und Compliance-Planung.
  • Multi-Provider- oder Multi-Cloud-DNS-Strategie: Sich auf einen einzigen Anbieter zu verlassen, schafft einen Single Point of Failure. Durch die Nutzung mehrerer autoritativer DNS-Anbieter können Organisationen die Kontinuität sicherstellen, selbst wenn ein Netzwerk eine Störung erfährt.
  • Redundanz und Hochverfügbarkeit: Die DNS-Infrastruktur sollte geografisch über mehrere Regionen und Netzwerke verteilt sein. Dies reduziert die Latenz und stellt Failover-Fähigkeiten im Falle lokaler oder regionaler Ausfälle sicher.
  • DNSSEC für Integrität: DNS Security Extensions (DNSSEC) fügen DNS-Antworten eine Authentifizierungsschicht hinzu und verhindern, dass Angreifer Benutzer durch Cache Poisoning oder Spoofing auf bösartige Websites umleiten.
  • Überwachung von Anomalien: Proaktives Monitoring hilft, fehlerhafte Anfragen, Fehlkonfigurationen oder Anzeichen potenzieller DDoS-Angriffe zu erkennen, bevor sie eskalieren. Transparenz über den DNS-Verkehr ist entscheidend für die Aufrechterhaltung von Vertrauen und Verfügbarkeit (Uptime).
  • Automatisierung: DNS-Updates, sei es für neue Dienste, Zertifikate oder IP-Migrationen, sollten automatisiert werden, um manuelle Fehler und Verzögerungen bei der Verbreitung (Propagation Delays) zu minimieren.

Das Fazit: Resilienz durch Redundanz

Der Vorfall dieser Woche war eine Mahnung, dass autoritatives und rekursives DNS gleichermaßen wichtig, aber unterschiedlich anfällig sind. Autoritatives DNS definiert die Wahrheit; rekursives DNS liefert sie. Resilienz hängt davon ab, beide zu schützen.

Wenn eine Schicht ausfällt, stolpert das Internet. Aber mit durchdachtem Design, d.h. Multi-Provider-Redundanz, Anycast-Architektur, Automatisierung und Monitoring, können Organisationen die Benutzer verbunden halten, selbst wenn große Cloud-Plattformen eine Störung erleben.

Am Ende ist DNS mehr als ein Protokoll; es ist das Nervensystem der vernetzten Welt. Seine Zuverlässigkeit untermauert digitales Vertrauen, die Markenreputation und die wirtschaftliche Kontinuität. Der Ausfall dieser Woche mag aus den Schlagzeilen verschwinden, aber seine Lektion bleibt bestehen: Investieren Sie in DNS, als ob Ihr Geschäft davon abhinge. Denn das tut es.

Business Partner

DigiCert Inc.



USA

Kontakt zum Business Partner







KULTURGÜTER

Datenschutz und Kameraauswahl: Videoüberwachung im Museum

Datenschutz und Kameraauswahl: Videoüberwachung im Museum

Sicherheit für Kulturgüter ist - auch angesichts des Diebstahls im Pariser Louvre - ein wichtiges Thema. Dabei ist auch von Bedeutung: die Überwachung mittels Videotechnik. Was in Sachen Datenschutz zu beachten ist und welche Kameras sich gut eignen.

VIP

Das VIP-Interview in GIT SICHERHEIT

Das VIP-Interview in GIT SICHERHEIT

Wir stellen Macherinnen und Macher in Sachen Sicherheit vor. Lesen Sie zum Beispiel, was der Bayer-Sicherheitschefin Dr. Alexandra Forster wichtig ist - und wer außerdem in unserer "VIP Lounge" Platz genommen hat.

Top-Feature

Meist gelesen