IT-Lexikon
DNSCybersecurity

DNS (Domain Name System)

Hierarchisches Verzeichnissystem des Internets, das Domainnamen wie `beispiel.de` in IP-Adressen übersetzt und damit die Grundlage für nahezu alle internetbasierten Dienste bildet.

Das Domain Name System (DNS) ist das zentrale Verzeichnissystem des Internets. Es übersetzt menschenlesbare Domainnamen wie beispiel.de in maschinenlesbare IP-Adressen und umgekehrt. Ohne DNS müssten Nutzer numerische Adressen wie 93.184.215.14 eingeben, um eine Website aufzurufen. DNS wird oft als "Telefonbuch des Internets" bezeichnet — tatsächlich ist es weit mehr: Es bildet die Grundlage für Webauftritte, E-Mail-Zustellung, Zertifikatsvalidierung und zahlreiche Sicherheitsmechanismen.

Wie die DNS-Auflösung funktioniert

Wenn ein Nutzer beispiel.de in den Browser eingibt, startet eine mehrstufige Abfragekette. Zunächst prüft der Browser seinen lokalen Cache. Findet er keinen Eintrag, fragt er den rekursiven Resolver — in der Regel den DNS-Server des Internetproviders oder einen öffentlichen Dienst wie 1.1.1.1 (Cloudflare) oder 8.8.8.8 (Google). Der Resolver arbeitet sich nun durch die DNS-Hierarchie: Er fragt einen der 13 Root-Nameserver nach der zuständigen Stelle für .de, erhält die Adresse der TLD-Nameserver (Top-Level-Domain), fragt dort nach beispiel.de und wird schließlich an den autoritativen Nameserver der Domain verwiesen. Dieser liefert die endgültige IP-Adresse zurück. Der gesamte Vorgang dauert typischerweise unter 100 Millisekunden.

DNS-Record-Typen

DNS speichert nicht nur IP-Adressen, sondern verschiedene Record-Typen für unterschiedliche Zwecke.

Record-Typ Funktion Beispiel
A IPv4-Adresse einer Domain 93.184.215.14
AAAA IPv6-Adresse einer Domain 2606:2800:21f:cb07::
MX Mailserver für die Domain mail.beispiel.de (Priorität 10)
CNAME Alias auf eine andere Domain wwwbeispiel.de
TXT Freitext-Daten (SPF, DKIM, DMARC) v=spf1 include:_spf.google.com -all
NS Zuständige Nameserver der Zone ns1.provider.de
SOA Zonen-Metadaten (Serial, Refresh, TTL) Primärer NS, Admin-Kontakt

TXT-Records spielen eine besondere Rolle für die IT-Sicherheit: Die Protokolle SPF, DKIM und DMARC speichern ihre gesamte Konfiguration als DNS-TXT-Records. DNS ist damit das Rückgrat der E-Mail-Authentifizierung — auch wenn die eigentlichen Mechanismen in eigenen Lexikoneinträgen ausführlich behandelt werden.

Caching und TTL

Jeder DNS-Record enthält einen TTL-Wert (Time to Live), der angibt, wie lange Resolver und Clients die Antwort zwischenspeichern dürfen. Ein TTL von 3600 bedeutet, dass der Record eine Stunde lang aus dem Cache bedient wird, bevor eine erneute Abfrage erfolgt. Caching reduziert die Last auf autoritativen Nameservern erheblich und beschleunigt die Auflösung für Endnutzer. Allerdings bedeutet es auch, dass Änderungen an DNS-Records nicht sofort weltweit sichtbar sind — bei einem TTL von 86400 (24 Stunden) kann es einen Tag dauern, bis alle Resolver die neue Konfiguration übernommen haben.

Sicherheitsrisiken

Das DNS-Protokoll wurde in den 1980er Jahren ohne Sicherheitsmechanismen entworfen. Standardmäßig erfolgen DNS-Abfragen unverschlüsselt im Klartext über UDP-Port 53 — ein Angreifer im Netzwerkpfad kann Abfragen mitlesen und Antworten manipulieren. Die wichtigsten Angriffsszenarien sind DNS-Spoofing (Einschleusen gefälschter Antworten), Cache Poisoning (Vergiften des Resolver-Caches mit falschen Einträgen) und DNS-Hijacking (Umleitung auf bösartige Server durch kompromittierte Nameserver oder Router).

DNSSEC adressiert die Integritätsprobleme, indem es DNS-Antworten kryptografisch signiert. Für die Vertraulichkeit existieren ergänzende Protokolle wie DNS over HTTPS (DoH) und DNS over TLS (DoT), die DNS-Abfragen verschlüsseln und so das Mitlesen durch Dritte verhindern. DANE baut auf DNSSEC auf und ermöglicht die Verankerung von TLS-Zertifikaten direkt im DNS.

Relevanz für KMUs

DNS ist kein Thema, das Unternehmen aktiv wahrnehmen — bis etwas schiefgeht. Falsch konfigurierte MX-Records führen zu verlorenen E-Mails, fehlende oder fehlerhafte SPF-Einträge beeinträchtigen die Zustellbarkeit, und ein manipulierter DNS-Eintrag kann Kunden auf eine gefälschte Website umleiten. Für kleine und mittelständische Unternehmen ist eine saubere DNS-Konfiguration deshalb kein Nice-to-have, sondern Grundvoraussetzung für einen zuverlässigen Geschäftsbetrieb. Ob Ihre DNS-Records korrekt konfiguriert sind, können Sie mit dem DNS-Lookup prüfen. Die E-Mail-Authentifizierung über SPF, DKIM und DMARC sowie die Absicherung durch DNSSEC bauen unmittelbar auf einer soliden DNS-Basis auf.