Nichts kann ein Online-Unternehmen mehr treffen als der Verlust einer Domain. Dass das gleichwohl auch Sicherheitsexperten passieren kann und ein Registry-Lock besser als ein Registrar-Lock schützt, berichtet der renommierte US-Computerjournalist Brian Krebs.
Auslöser der Berichterstattung von Krebs ist der unfreiwillige Verlust der Domain e-hawk.net. Der Niederländer Raymond Dijkxhoorn, seines Zeichens Sicherheitsexperte, hatte diese Adresse über den Domain-Registrar OpenProvider angemeldet und per Registrar-Lock geschützt. Am 23. Dezember 2019 wandte sich eine unbekannte Person an OpenProvider und gab vor, die Domain erworben zu haben, nun aber mit dem Transfer der Domain in Problemen zu stecken. Mit einer WhatsApp-Nachricht und einem Video gelang es ihr, einen der Support-Mitarbeiter von OpenProvider trotz Registrar-Lock zum Transfer auf einen Reseller-Account zu veranlassen – drei Tage später und nach Entfernung der Sperre lag die Domain beim Registrar Public Domain Registry (PDR) und war dem Zugriff von Dijkxhoorn entzogen. Erst am 13. Januar 2020 bemerkte er den Verlust; mit viel Glück konnte er die Domain nach 48 Stunden wieder zurückholen. Da er parallel DNSSEC (DNS Security Extensions) aktiviert hatte, konnte er zudem größeren Schaden durch fehlgeleiteten Traffic verhindern.
Was selbst der Sicherheitsexperte Dijkxhoorn nicht bedacht hatte: hätte er sich anstelle des Registrar-Locks für einen Registry-Lock entschieden, hätten die Hürden für die Cyberkriminellen deutlich höher gelegen. Bei einem Registry-Lock setzt jede Änderung an DNS-Einträgen einen verifizierten Kontakt auch mit der Registry voraus. Eine solche Dienstleistung bietet unter anderem VeriSign für Domains unter .com, .net, .name, .cc, .tv, .edu und .jobs; aber auch zahlreiche Länderdomain-Verwalter wie Nominet (.uk), EURid (.eu) und CNNIC (.cn) lassen den Registry-Lock zu. Davon Gebrauch gemacht wird aber nur selten; das Markenschutzunternehmen CSC hat ermittelt, dass nur 22 Prozent aller Domains aus der Forbes-Liste der „World’s Largest Public Companies“ mit dieser Sperre geschützt sind, obwohl der auch nur zeitweilige Verlust einer Domain rasch zu Verlusten im Millionen-Bereich führen kann. Ansprechpartner für einen Registry-Lock ist in der Regel der Registrar, über den eine Domain registriert ist; dort lassen sich auch die Kosten erfragen.
Registry-Lock bleibt aber nur ein Instrument, um einen Domain-Namen zu schützen. Wie sich bei e-hawk.net gezeigt hat, ist auch DNSSEC bei sicherheitsrelevantem Traffic Pflicht. Software, die sensible Unternehmensbereiche betrifft, sollte ausserdem durch möglichst sichere Passwörter und Zwei-Faktor-Authentisierung geschützt werden. Immerhin: auslaufende Domains, wie sie in den USA immer wieder vorkommen, sind im deutschsprachigen Bereich nur äußersten selten, da Registrierungsvertränge in aller Regel ohne Kündigung automatisch verlängert werden.