Störung bei .de-Domains: DENIC nennt Ursache für nächtlichen DNS-Ausfall

Eine fehlerhafte Sicherheitskonfiguration hat Anfang Mai zu massiven Problemen bei deutschen Internetdomains geführt. Zahlreiche Webseiten mit der Endung „.de“ waren zeitweise nicht erreichbar, sofern DNS-Server mit aktivierter DNSSEC-Validierung verwendet wurden. Nun hat die zuständige Registrierungsstelle DENIC eG erstmals technische Details zur Ursache des Vorfalls veröffentlicht.

Die Störung begann am 5. Mai gegen 21:43 Uhr und zog sich bis in die Nacht hinein. Erst nach 1 Uhr funktionierte die Namensauflösung wieder vollständig. Betroffen war die sogenannte .de-Zone – also die zentrale Infrastruktur hinter sämtlichen deutschen Domains.

Fehler bei Schlüsselverwaltung führte zu ungültigen Signaturen

Laut DENIC lag die Ursache in einem Problem während eines routinemäßigen Austauschs kryptografischer Schlüssel. Die Organisation nutzt für ihre DNS-Server die Open-Source-Software Knot DNS, die von der tschechischen Domainverwaltung CZ.NIC entwickelt wird.

Im April hatte DENIC die Infrastruktur auf eine neue Generation der Technik umgestellt. Wenige Tage später begann der reguläre Wechsel des sogenannten Zone-Signing-Keys – eines Schlüssels, der für die kryptografische Absicherung der .de-Domainzone zuständig ist.

Dabei kam es laut DENIC zu einer unerwarteten Schlüsselkollision: Durch einen Fehler in einer selbst entwickelten Softwarekomponente wurden versehentlich mehrere Schlüsselpaare mit identischer Kennung erzeugt. Öffentlich bekannt gemacht wurde jedoch nur einer dieser Schlüssel. Einige Nameserver verwendeten daraufhin private Schlüssel, die nicht zum veröffentlichten öffentlichen Schlüssel passten. Das Ergebnis waren ungültige DNSSEC-Signaturen.

Unterschiedliche Nameserver lieferten widersprüchliche Antworten

Besonders problematisch war, dass nicht alle Nameserver gleichermaßen betroffen waren. Während einzelne Server korrekte Signaturen auslieferten, erzeugten andere fehlerhafte Antworten. Dadurch entstand ein inkonsistentes Fehlerbild, das sich je nach verwendetem DNS-Resolver unterschiedlich bemerkbar machte.

Betroffen waren unter anderem sogenannte SOA-Einträge, die zentrale Verwaltungsinformationen einer DNS-Zone enthalten und regelmäßig aktualisiert werden. Genau diese häufigen Änderungen sorgten offenbar dafür, dass der Fehler immer wieder sichtbar wurde.

Nach Angaben der DENIC schlugen mehrere interne Prüfwerkzeuge zwar Alarm, die Warnungen seien jedoch nicht korrekt verarbeitet worden. Der betroffene Codeabschnitt sei in den Testszenarien nicht vollständig abgedeckt gewesen und habe deshalb weder im Testbetrieb noch während paralleler Vorabtests Probleme gezeigt.

Entgegen erster Aussagen waren alle .de-Domains betroffen

Inzwischen hat die DENIC außerdem eine erste Einschätzung aus der Nacht des Ausfalls korrigiert. Zunächst hatte die Organisation erklärt, nur Domains mit aktivierter DNSSEC-Funktion seien betroffen gewesen. Diese Darstellung erwies sich jedoch als unvollständig.

Tatsächlich verursachten fehlerhafte NSEC3-Einträge Probleme für sämtliche .de-Domains. NSEC3 ist ein Sicherheitsmechanismus innerhalb von DNSSEC, der verhindert, dass Angreifer die Existenz oder Nichtexistenz von Domains manipulieren können. Da diese kryptografischen Nachweise fehlerhaft waren, scheiterte die DNSSEC-Überprüfung unabhängig davon, ob einzelne Domains DNSSEC selbst aktiv nutzten oder nicht.

Weitere Aufklärung angekündigt

Viele Fragen bleiben weiterhin offen. So veröffentlicht die DENIC weder den fehlerhaften Quellcode ihrer Eigenentwicklungen noch Details zu den eingesetzten Hardware-Sicherheitsmodulen. Auch weshalb die Schlüsselkollision offenbar ausschließlich im Produktivsystem auftrat, während Testumgebungen unauffällig blieben, wurde bislang nicht vollständig erklärt.

Die Organisation kündigte jedoch an, nach Abschluss der Untersuchungen weitere Informationen bereitzustellen. Experten dürften insbesondere auf Maßnahmen gespannt sein, mit denen ähnliche Vorfälle künftig verhindert werden sollen.

Der Ausfall reiht sich in eine Serie ähnlicher DNSSEC-Probleme weltweit ein. Bereits 2024 hatte eine Schlüsselkollision bei der russischen Top-Level-Domain .ru zu größeren Störungen geführt.

• About
• Latest Posts

Sladjan Lazic

Sladjan ist Webdesigner und WordPress-Experte mit dem Schwerpunkt Full Site Editing (FSE). Als Webenthusiast arbeitet er seit 2006 mit HTML und CSS und ab 2016 mit WordPress. Seit 2018 arbeitet er mit WooCommerce und erstellt kleine, minimalistische und responsive Websites sowie kleinere Online-Shops. Seit 2019 ist er Zertifizierter SEM-Manager & Webanalyst (Webmasters Akademie) und seit 2024 Geprüfter Webdesigner (OfG).

Latest posts by Sladjan Lazic (see all)

• KI-Markt in Bewegung: ChatGPT verliert erstmals die Mehrheit – 17. Juni 2026
• ❗️⚠️ Lieferkettenangriff auf WordPress-Plugins: Bis zu 1,2 Millionen Websites potenziell betroffen – 16. Juni 2026
• Was ist WYSIWYG?: Einfach erklärt [Quick Tip] – 16. Juni 2026