Kolumne : Weniger Schwachstellen durch mehr Wettbewerb

So gut wie jede digitale Kommunikation, von E-mail und Telefonie bis zur Steuerung von Lieferketten, nutzt das Internet. Jeder Leser kann sich selbst ausmalen, welches Chaos und welche Schäden eintreten können, wenn das Internet für Stunden oder gar noch länger ausfällt, gezielt für einzelne Behörden, Unternehmen oder beispielsweise für alle Kunden eines Internet-Providers. Die Untersuchung und Verbesserung der Sicherheit und Stabilität des Internets gehören deshalb zu den wichtigsten Themen der Cybersicherheitsforschung.

Unsere eigene Forschung belegt, wie wichtig diese Themen sind. In unseren Studien finden wir immer wieder kritische Schwachstellen, die es Angreifern ermöglichen würden, Verkehr umzulenken, zu manipulieren und das Internet in Teilen oder insgesamt zu stören. Das letzte und eines der spektakulärsten Beispiele ist eine neue, von uns „KeyTrap“ genannte Art von Denial-of-Service-Angriffen auf das Domain Name System (DNS). KeyTrap nutzt einen Entwurfsfehler im 25 Jahre alten Internetstandard DNSSEC, der Sicherheitserweiterung von DNS.

Nach Schätzung von Akamai hätten Hacker durch KeyTrap ohne viel Aufwand das Internet für mehr als eine Milliarde Internetnutzer lahmlegen können. Die technischen Hintergründe von KeyTrap und die Details sind bezeichnend für die prinzipiellen Probleme der Internetsicherheit. Es braucht dringend ein Umdenken in der Standardisierung von Internetsicherheit und darüber hinaus bei allen Beteiligten, Industrie, Politik und Wissenschaft.

DNS ist kritischer Basisdienst im Internet

KeyTrap ist ein Angriff auf die Sicherheitserweiterung eines der Basisdienste im Internet, auf das Domain Name System. Dieses DNS übersetzt Domänennamen in Internetadressen. Die eigentliche Übersetzung übernehmen spezielle Server, die sogenannten DNS-Resolver. Unternehmen, Internetprovider und andere große Organisationen betreiben oft ihre eigenen DNS-Resolver, die meist auch nur für deren Mitarbeiter oder Kunden zugänglich sind.

Ein großer Teil des Internets nutzt allerdings sogenannte Open Resolver, beispielsweise von Google und Cloudflare, die für jeden zugänglich sind. Da der größte Teil der Kommunikation im Internet Domänennamen verwendet, ist das DNS offensichtlich kritisch für das Funktionieren des Internets: Wird das DNS lahmgelegt, können Dienste im Internet nicht mehr über Domänennamen angesprochen werden. Liefert das DNS falsche Adressen, können Domänen von Angreifern übernommen und etwa für Phishing oder zur Verteilung von Schadsoftware missbraucht werden. Auf diese Weise gelang es beispielsweise im Jahr 2018 Hackern, den Gegenwert von über 17 Millionen US-Dollar aus Ethereum-Crypto Wallets zu stehlen.

Das DNS entstand vor ungefähr 40 Jahren und wurde, wie die meisten Basisdienste des Internets, ohne besonderen Fokus auf Sicherheit entworfen. Damals war das Internet ein nicht kommerzielles Forschungsnetz und Ausfälle durch technische Fehler galten als das größte Problem. In den 1990er Jahren änderte sich das grundlegend, das Internet wurde zunehmend kommerziell genutzt und damit auch zunehmend Ziel von Cyberangriffen. Vor mehr als 25 Jahren entwickelte deshalb die für Internetstandards zuständige IETF eine Sicherheitserweiterung von DNS, DNSSEC. Im Prinzip generiert DNSSEC digitale Signaturen, die die Zuordnung von Namen zu Adressen vor Manipulation schützen. Ungefähr ein Drittel aller DNS-Resolver überprüft mittlerweile DNSSEC, insbesondere die großen Open Resolver.

Heute sicher, morgen nicht

Die Sicherheit, die DNSSEC bietet, hängt entscheidend davon ab, wie fälschungssicher die verwendeten digitalen Signaturen sind. Diese Fälschungssicherheit nimmt mit der Zeit ab. Was vor einigen Jahren als sicher galt, ist heute oder in naher Zukunft vielleicht gebrochen und muss ausgetauscht werden. Gründe dafür gibt es viele: Die zum Fälschen notwendigen Algorithmen werden besser, Computer werden leistungsfähiger, und voraussichtlich werden irgendwann Quantencomputer die meisten klassischen Signaturverfahren vollständig brechen können.

Hinzu kommen rechtliche und nationale Vorgaben, die die Verwendung bestimmter Signaturverfahren verhindern oder erzwingen. DNSSEC ist deshalb in der Lage, für eine Domäne viele verschiedene Signaturverfahren und für dasselbe Signaturverfahren auch viele verschiedene Schlüssel und Zertifikate gleichzeitig zu unterstützen.

Aus Sicht eines DNS-Resolvers bedeutet dies, dass ihm zur Überprüfung einer Zuordnung von Name zu Adresse nicht nur eine, sondern potenziell sehr viele Schlüssel und Signaturen zur Verfügung stehen. Eine der fundamentalen Entwurfsentscheidungen von DNSSEC war es zu fordern, dass ein DNS-Resolver alle diese Möglichkeiten zur Validierung der Reihe nach durchprobieren muss, solange bis entweder eine Signatur erfolgreich überprüft oder alle Möglichkeiten erfolglos durchprobiert wurden. Das hat den Vorteil, dass solange es überhaupt eine Chance auf eine erfolgreiche Überprüfung gibt, ein DNS-Resolver diese auch finden wird.

Fokus auf Verfügbarkeit erlaubt Denial-of-Service

Diese Entwurfsentscheidung sollte offensichtlich die Verfügbarkeit optimieren. Wie sich letztes Jahr in unserer Forschung herausstellte, erreichte sie aber genau das Gegenteil: Sie ermöglicht verheerende Denial-of-Service-Angriffe auf jeden DNS-Resolver, der DNSSEC standardkonform überprüft. Die Details zu KeyTrap finden sich in einem ATHENE-Forschungsbericht, den wir im Februar 2024 – nachdem alle Hersteller Patches bereitgestellt hatten – veröffentlicht haben.

KeyTrap kann mit nur einer DNS-Anfrage jeden DNS-Resolver, der DNSSEC überprüfen kann, dazu zwingen, für eine gewisse Zeit seine gesamte Rechenleistung in die Überprüfung von DNSSEC zu stecken. In dieser Zeit ist er nicht mehr in der Lage, andere Anfragen zu beantworten, also fällt er aus. Für wie lange, hängt von der jeweiligen Implementierung ab. Die weit verbreitete DNS-Software Bind9 ließ sich mit nur einer DNS-Anfrage für 16 Stunden lahmlegen. Alles, was ein Hacker für KeyTrap braucht, ist die Kontrolle über eine Internetdomäne, was sehr leicht machbar ist.

Schwachstelle mit langer Vergangenheit

Der Entwurfsfehler, der KeyTrap ermöglicht, findet sich bereits im mittlerweile veralteten IETF-Standard RFC 2535 von 1999 und ebenso im aktuellen RFC 4035. Mithilfe von Codeanalyse konnten wir ihn bis zu den frühen Versionen der besonders weit verbreiteten DNS-Implementierungen Bind9 von 2000 und Unbound von 2007 zurückverfolgen, die Schwachstelle existierte also bereits in den ersten Deployments von DNSSEC. Damit drängen sich zwei Fragen auf:

Erstens, wieso hat es so lange gedauert, diesen Entwurfsfehler zu entdecken? Der Grund ist sehr einfach: Die Anforderungen des DNSSEC-Standards sind komplex, und nur indem man unterschiedliche Anforderungen kombiniert, erhält man einen funktionierenden Angriff. Selbst für die DNS-Experten in der IETF und bei den Herstellern war es deshalb nicht leicht, ihn zu erkennen. Diese Situation erinnert an ähnliche Erfahrungen mit viel einfacheren Schwachstellen, zum Beispiel „Heartbleed“ und „Log4Shell“. Auch hier dauerte es Jahre, bis sie gefunden und behoben wurden.

Zweitens, waren wir tatsächlich die ersten, oder haben Hacker das Problem vielleicht schon lange vor uns entdeckt und heimlich ausgenutzt? Bisher fanden weder wir noch die Hersteller und Betreiber, mit denen wir die letzten Monate an der Behebung des Problems gearbeitet haben, Hinweise auf frühere Angriffe. Das bedeutet aber nicht, dass es keine gab. Hätten Hacker die Schwachstelle sehr sparsam und nur sehr gezielt gegen einzelne DNS-Resolver eingesetzt, wäre dies vermutlich niemandem aufgefallen. KeyTrap verursacht wenig Verkehr, und alle Nachrichten sind standardkonform.

Wie patcht man einen Standard?

Sobald die ersten Patches bereitgestellt waren, wurden Angriffe auf Open Resolver beobachtet, die vermutlich KeyTrap verwendeten. Ähnliche Beobachtungen gibt es fast immer, wenn Schwachstellen gepatcht werden: Hacker analysieren diese Patches und schließen aus ihnen auf die behobenen Schwachstellen. Deshalb ist es sehr wichtig, dass Patches schnellstmöglich angewandt werden. In der Praxis vergeht allerdings stets und fast zwangsläufig einige Zeit zwischen Bereitstellung und Anwenden von Patches, denn zumindest Anwender mit komplexen Systemen müssen erst sicherstellen, dass das Gesamtsystem nach dem Patchen noch funktioniert.

Im Fall von KeyTrap war allerdings schon die Entwicklung der Patches eine besondere Herausforderung. Da es sich um eine Schwachstelle in einem Standard handelt, ergaben sich zwei Komplikationen:

Erstens, während eine Patch für ein einzelnes Produkt nur von dem einen für dieses Produkt zuständigen Team entwickelt werden muss, musste für KeyTrap jeder Hersteller einen eigenen Patch entwickeln. Nachdem wir das Problem in einem sehr kleinen Kreis den Herstellern und großen Betreibern vertraulich mitgeteilt hatten, bildete sich dafür eine geschlossene und vertraulich arbeitende Arbeitsgruppe. Über mehrere Wochen hinweg entwickelten die Hersteller mit unserer Unterstützung in dieser Arbeitsgruppe verschiedene Alternativen, bis schließlich für alle Implementierungen zufriedenstellende Patches gefunden wurden.

Jedem Patch war allerdings mittels Reverse Engineering das Grundproblem zu entnehmen, weshalb für die Bereitstellung der unterschiedlichen Patches ein relativ kurzes Zeitfenster abgesprochen wurde. Um das Risiko so gering wie möglich zu halten, mussten sich alle Beteiligten zu strikter Vertraulichkeit verpflichten.

Zweitens, da der Fehler schon im Standard steckt, verletzen die gepatchten Systeme zwangsläufig diesen Standard. Der naive Ansatz, für die standardkonforme Überprüfung einfach mehr Ressourcen zur Verfügung zu stellen, reduziert zwar die Zeit, für die ein DNS-Resolver mit einer Anfrage lahmgelegt ist – er löst das Problem aber letztlich nicht vollständig. Ein Hacker muss den Angriff lediglich mit größerer Frequenz durchführen. Stattdessen müssen die Patches a priori verhindern, dass ein DNS-Resolver beliebig viel Aufwand investieren muss, also wird die Überprüfung irgendwann willkürlich abgebrochen.

Ohne weitere Änderungen im Standard führt das aber dazu, dass DNS-Resolver auch in manchen völlig legitimen Fällen die Überprüfung zu früh abbrechen werden und dann auf diese Weise die Verfügbarkeit leidet. Letztlich werden also weitere Änderungen im DNSSEC-Standard nötig – welche genau, wird noch diskutiert.

Da der Fehler „nur“ die Sicherheitserweiterung DNSSEC von DNS betrifft, wurde hin und wieder auch vorgeschlagen, einfach DNSSEC zu deaktivieren. Eine solche Reaktion wäre aber sehr kurzsichtig: Sie verhindert zwar KeyTrap, erlaubt dafür aber wieder alle Angriffe, die durch DNSSEC verhindert werden, so dass letztlich nichts gewonnen wäre.

Löchrige Internetsicherheit

Das Internet ist eine der wichtigsten digitalen Infrastrukturen, aber wie man an KeyTrap und vielen anderen Schwachstellen, die wir gefunden haben, sehen kann: Es ist voller Sicherheitslücken. KeyTrap ist dabei symptomatisch; beispielsweise fanden wir 2019 ein Problem, bei dem ein einziges, standardkonformes Routing-Paket einen großen Teil der Router im Internet zum Absturz bringen konnte. Um die Situation nachhaltig zu verbessern, müssen alle Beteiligten dringend umdenken und enger zusammenarbeiten.

Für den mangelhaften Zustand der Internetsicherheit gibt es mindestens drei Gründe:

Erstens, das Internet entstand in einer Zeit, als Sicherheit noch nicht im Fokus stand. Fast alle Basisprotokolle, die wir heute im Internet verwenden, entstanden, bevor das Internet Mitte der 1990er Jahre zunehmend auch für kommerzielle Zwecke genutzt wurde. Diese evolutionäre Entwicklung des Internets führte dazu, dass Sicherheitsmechanismen wie DNSSEC erst nachträglich hinzugefügt wurden. Oft wird das als „bolt-on security“bezeichnet, im Gegensatz dazu, wie es eigentlich sein sollte, nämlich „built-in security“. Dieser Prozess dauert bis heute an.Zweitens, selbst wenn man das Internet von Grund auf neu entwerfen dürfte – was aus ökonomischen und politischen Gründen ausgeschlossen ist – wäre es eine sehr komplexe Forschungs- und Entwicklungsaufgabe, das erforderliche hohe Maß an Sicherheit zu erreichen. Ein globales, offenes und dezentral organisiertes System ist zwangsläufig äußerst komplex und fehleranfällig.

Drittens, die meisten Sicherheitsmechanismen des Internets werden von der IETF in Arbeitsgruppen entwickelt, die von Herstellern und Betreibern dominiert werden. Das hat den großen Vorteil, dass die Mechanismen von Anfang an so entworfen werden, dass sie auch praktisch umsetzbar sind. Die entwurfsbegleitende, wissenschaftliche Überprüfung der Sicherheit findet bei der Entwicklung von Internetstandards bislang aber noch keine ausreichende Beachtung. Sicherheit braucht Wettbewerb um die besten Ideen.

Von anderen lernen

Wie man es schafft, Praktikabilität und Sicherheit bei der Entwicklung von Sicherheitsstandards zu kombinieren, kann man von der US-amerikanischen Standardisierungsbehörde NIST lernen. Die NIST-Standards für Post-Quantum Cryptography werden in einem öffentlichen Wettbewerb entwickelt. Öffentlich ist dabei sehr umfassend gemeint: Anforderungen und Kriterien sind für jedermann zugänglich, jeder kann Algorithmen vorschlagen und Vorschläge evaluieren. Der Prozess begann 2016 mit der Veröffentlichung der Rahmenbedingungen und produzierte mittlerweile eine ganze Reihe von PQC-Standards.

Die Offenheit in den NIST-Wettbewerben ist entscheidend dafür, dass die Vorschläge, die bei NIST in die engere Wahl kommen, auch wirklich durch die weltweite Wissenschaftsgemeinde analysiert und international anerkannt werden. Die Wissenschaft funktioniert durch den Austausch über wissenschaftliche Veröffentlichungen auf den anerkannten Spitzenkonferenzen der jeweiligen Disziplin, und nur die Wissenschaftler gelten als erfolgreich, die sich in diesem Austausch behaupten können. Natürlich gibt es auch hervorragende Wissenschaftler, die bereit sind, Vertraulichkeitserklärungen zu unterschreiben und auf die Veröffentlichung ihrer Ergebnisse zu verzichten. Aber diese Ergebnisse können dann auch nicht öffentlich überprüft werden und tragen daher zur internationalen Akzeptanz wenig bei.

Es ist dringend geboten, den offenen Wettbewerbsansatz auch auf andere Standards im Bereich der Cybersicherheit anzuwenden. Um die Sicherheit nachhaltig zu verbessern, braucht es eine koordinierte Anstrengung aller Beteiligter, also von Betreibern und Herstellern ebenso wie von Anwendern, Wissenschaft und Politik. Alle müssen sich am Transfer von der Idee über die Standardisierung in die Anwendung beteiligen.

Die Erfahrung zeigt: Es genügt nicht, wenn Wissenschaftler ihre Ideen veröffentlichen, sie müssen sich auch direkt in die Umsetzung in Produkte und Dienste einbringen und wissenschaftlich sicherstellen, dass dabei keine Sicherheitsprobleme entstehen. Hält sich die Wissenschaft aus dem Transfer heraus, entsteht die Situation, die wir heute allzu oft beobachten: Standards ohne wissenschaftliche Qualitätskontrolle enthalten gravierende Fehler.

Politische und ökonomische Entscheidungen basieren auf der Beratung durch Experten, die vielleicht die praktischen und politischen Rahmenbedingungen kennen, aber oft keine Erfahrung mit den technischen Details und der wissenschaftlichen Beurteilung haben. Umgekehrt kann dieser Transfer auch nicht alleine durch die Cybersicherheitsforschung erfolgen, da Wissenschaftlern oft die konkrete Erfahrung mit den praktischen, ökonomischen und politischen Randbedingungen fehlt.

Besonders wichtig ist, dass jeder Schritt in diesem Transferpfad wissenschaftlich qualitätsgesichert wird. Meinungen und Überzeugungen sind keine wissenschaftlichen Argumente, weder für die Sicherheit oder Praktikabilität einer Lösung oder eines Vorschlags noch für deren Ablehnung. Damit die weltweite Wissenschaft ausreichend motiviert wird, sich an dieser Qualitätssicherung zu beteiligen, muss der Prozess möglichst öffentlich und für alle transparent ablaufen. Die Wissenschaft lebt vom offenen Austausch, von Publikationen und wissenschaftlichen Diskursen, und diese sind nur möglich, wenn Entwurf und Transfer nicht im Geheimen stattfinden.

Die USA haben die große Bedeutung des Internets für die Sicherheit und Stabilität der Gesellschaft erkannt und daher das Thema zu einer strategischen Priorität erhoben. Die Aspekte der Kooperation aller Beteiligter und des Wettbewerbs stehen dabei im Vordergrund. In Deutschland findet das Problem der Internetsicherheit bislang leider noch keine vergleichbare Beachtung.

Haya Schulmann ist Professorin für Cybersicherheit am Institut für Informatik der Goethe-Universität Frankfurt am Main und Mitglied im Direktorium des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE.

Michael Waidner ist Professor für Sicherheit in der Informationstechnologie im Fachbereich Informatik der Technischen Universität Darmstadt, Leiter des Fraunhofer-Instituts für sichere Informationstechnologie SIT und CEO von ATHENE.

Die Autor:innen danken den Mitgliedern der ad hoc Expertengruppe zur DNS-Software, insbesondere Allison Mankin (PHC), John Todd (Quad9) und Ralf Weber (Akamai) und ihren Mitarbeitern Elias Heftrig vom Fraunhofer SIT in Darmstadt und Niklas Vogel von der Goethe-Universität in Frankfurt.

In unserer Reihe „Perspektiven“ kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich der Cybersicherheit ein. Zuvor von Schulmann und Waidner im Background Cybersicherheit erschienen: Wozu Cyberangriffe, die nicht schaden?