NISTs Leitfaden zur sicheren DNS-Bereitstellung: Best Practices

Kurzfassung: NIST veröffentlichte am 19. März 2026 SP 800-81r3 – das erste Update des Secure DNS Deployment Guide seit 13 Jahren. Das neue Dokument ist kürzer (50 Seiten statt 120) und wechselt von plattform­spezifischen Konfigura­tions­empfehlungen zu einem strategischen Rahmen für die DNS-Sicherheit im Unternehmen.

Der Leitfaden unterteilt DNS-Sicherheit in drei Säulen. Erstens wird DNS als Sicherheitskomponente betrachtet, indem die Namensauflösung zentralisiert wird – das ermöglicht Abfrageprotokollierung (für Forensik und Bedrohungs­erkennung) und die Filterung der Namensauflösung (Protective DNS). Zweitens werden die rekursiven Server abgesichert, indem ein verschlüsselter interner rekursiver Dienst bereitgestellt, der Zugriff auf öffentliche DNS eingeschränkt, QNAME-Minimierung angewendet und DNSSEC validiert wird. Drittens wird die Sicherheit der autoritativen Server in fünf Bereichen adressiert: Schutz der Management-Interfaces, Minimierung von Informationslecks, Pflege der DNS-Hygiene (veraltete NS/CNAME-Records sind eine Übernahmegefahr), Überwachung auf ähnlich aussehende Domains und der Einsatz von DNSSEC zur Wahrung der kryptografischen Integrität.

Am 19. März 2026 veröffentlichte NIST ein lange erwartetes Update seines Secure DNS Deployment Guide (SP 800-81r3). DNS-Sicherheit liegt mir besonders am Herzen und ich war sehr gespannt, was sich geändert hat. Die schnelle Antwort: alles. Überraschend? Nicht wirklich, denn die vorherige Version erschien 2013 – also vor beeindruckenden 13 Jahren. Das 2013er Dokument war typisch für seine Zeit. Das 2026er Dokument ebenso, aber die Bedrohungslage hat sich seither grundlegend verändert. Das erklärt die großen Unterschiede. Schauen wir uns das genauer an.

Die größte Änderung ist konzeptionell. Mit rund 120 Seiten war die vorherige Version deutlich länger und sehr viel detaillierter, oft stark auf bestimmte Konfigurations-Settings und Plattformen fokussiert. Die neue Version wurde auf etwa 50 Seiten verschlankt und konzentriert sich auf die übergeordnete Strategie zur Absicherung des unternehmensweiten DNS.

Tatsächlich teilt sich die Aufgabe, DNS abzusichern, jetzt in drei Aspekte:

• DNS als Teil der Sicherheitsarchitektur
• Sicherheit der rekursiven Server des Unternehmens
• Sicherheit der autoritativen Server des Unternehmens

Obwohl ursprünglich nicht als Sicherheitskontrolle gedacht, wurde DNS im Laufe der Jahre zu einem entscheidenden Bestandteil jeder Sicherheitsarchitektur – schon allein, weil jeder Netzwerkdienst darauf zugreift. Die überwiegende Mehrheit aller Dienste muss Domainnamen in IP-Adressen auflösen. Viele Bedrohungen nutzen DNS als Transportweg.

Wenn die DNS-Nutzung im Unternehmen zentralisiert wird, ergeben sich zwei wichtige Vorteile:

• DNS-Abfrageprotokollierung liefert Aufzeichnungen über DNS-Auflösungen, die äußerst wertvoll für die digitale Forensik und das Incident Response Management sind. Beides ist entscheidend für mehr Sicherheit und für die Einhaltung rechtlicher Vorgaben. Auch das Monitoring von DNS-Nutzungsmustern ist nützlich, um Datenabflüsse zu erkennen und in Echtzeit auf Angriffe zu reagieren.
• Namensauflösungs-Filterung dient als nützliche Firewall für Clients und übernimmt verschiedene Aufgaben. Erstens werden so die unternehmensweiten Content-Richtlinien konsistent angewendet. Zweitens – und besonders wichtig – werden Endnutzer vor Bedrohungen wie Phishing und Malware geschützt. Das Grundkonzept hierfür wird oftmals als Protective DNS bezeichnet.

Sobald DNS in die eigene Sicherheitsinfrastruktur eingebettet ist, besteht der nächste Schritt darin, die DNS-Auflösung im gesamten Unternehmen abzusichern. Hier wird es anspruchsvoll, da alle Geräte im Unternehmen mitziehen müssen. Dies erfordert zwei Maßnahmen:

• Stellen Sie einen offiziellen rekursiven Dienst für die interne Nutzung bereit. Durch zentrale Bereitstellung kann auf den Architekturentscheidungen aus dem letzten Abschnitt aufgebaut werden. Optimalerweise sollte dieser rekursive Dienst verschlüsselt sein, um den potenziell sensiblen DNS-Verkehr vor Angreifern im internen Netz zu schützen.
• Beschränken Sie den Zugriff auf öffentliche DNS-Dienste, damit ausschließlich der offizielle Dienst genutzt wird. Dieser Schritt erfolgt typischerweise über eine Mobile Device Management (MDM)-Plattform, mit der sich zentrale Betriebssystem- und App-Einstellungen kontrollieren lassen. Das Blockieren einiger DNS-Ports ist einfach: Port 53 dient für unverschlüsseltes DNS, Port 853 für DNS-over-TCP (DoT) und DNS-over-QUIC (DoQ). Das Blockieren von DNS-over-HTTPS (DoH) ist jedoch schwierig, da dieser über Port 443 läuft – denselben wie der restliche Webverkehr. Auch wenn die Aufgabe knifflig ist, setzen viele Unternehmen hier auf Lösungen ihrer Anbieter.

Ihr rekursiver Dienst könnte Informationen über den ausgehenden Verkehr ins öffentliche Internet preisgeben. Um die Privatsphäre zu erhöhen, sollten daher eine Verschlüsselung des ausgehenden DNS-Verkehrs und QNAME-Minimierung genutzt werden. Die DNSSEC-Validierung sollte eingesetzt werden, um abzusichern, dass die empfangenen Informationen nicht manipuliert sind.

Auch Ihre rekursiven Server können Ziel von Angriffen werden. DNS-Cache-Poisoning-Angriffe haben 2025 und 2026 eine Wiederbelebung erfahren und bleiben eine Bedrohung, die Sie im Blick behalten sollten.

Der letzte Schritt zu einer robusten DNS-Sicherheit ist die Absicherung Ihrer autoritativen Server. Dabei stehen fünf Aktionsfelder im Vordergrund:

• Schützen Sie Management-Interfaces. Ihre autoritativen Server müssen im öffentlichen Internet erreichbar sein, um nützlich zu sein. Die Management-Interfaces jedoch sollten gesichert werden. Funktionen wie zone transfers und dynamic updates sollten nicht öffentlich zugänglich sein, um die Angriffsfläche zu minimieren. Bei ausgelagertem DNS hostet der Anbieter die sicherheitsrelevanten Aspekte. Wenn Sie selbst einen primären Server behalten wollen, sollte dieser vollständig vor der Öffentlichkeit verborgen und nur für die sekundären Server zugänglich sein. So reduziert sich auch das Risiko für DoS-Angriffe.
• Minimieren Sie Informationslecks. Im Kern dient DNS dazu, Informationen öffentlich zu verbreiten. DNS-Zonen enthalten jedoch oft Daten, die nicht zwingend notwendig sind und von Cyberkriminellen missbraucht werden können. Prüfen Sie diese Daten regelmäßig und entfernen Sie alles, was nicht unabdingbar für Ihre Dienste ist. Durch passive DNS-Überwachung und Certificate Transparency sind auch Subdomains heute viel sichtbarer als angenommen. Trennen Sie soweit möglich öffentliche und interne Domains und halten Sie letztere privat.
• Pfle­gen Sie Ihre DNS-Hygiene. Mindestens muss die DNS-Infrastruktur funktionieren. Es kommt jedoch vor, dass DNS zwar arbeitet, aber veraltete Informationen bereitgestellt werden – ein Risiko, das häufig ausgenutzt wird. Beispielsweise können alte NS-Records zur Übernahme einer ganzen Domain, alte CNAME-Records zur Übernahme einzelner Dienste führen. Es gibt zahlreiche Ursachen für Probleme, etwa Fehlkonfigurationen oder „zone drift“, wenn sekundäre Server nicht mit dem primären Schritt halten.
• Überwachen Sie auf look-alikes. Im Bereich Cybercrime werden gerne ähnlich lautende Domains registriert, um Angriffe auf Mitarbeitende, Kunden, Lieferanten oder Partner auszuführen. Hier ist rasches Erkennen und Beseitigen solcher Domains entscheidend für die Sicherheit.
• Setzen Sie DNSSEC für Integrität ein. DNS für sich allein ist nicht sicher. Netzpakete lassen sich abfangen und manipulieren. Angriffe wie DNS-Cache-Poisoning können genutzt werden, um gefälschte Daten auf rekursiven Name-Servern einzuschleusen. Wie angesprochen, benötigt man zum Verschlüsseln von DNS-Verkehr Protokolle wie DoT, DoH oder DoQ. Für echte, kryptografisch gesicherte Integrität ist DNSSEC unerlässlich.

Bei Red Sift liegt unser Schwerpunkt auf Cyberabwehr – und DNS spielt dabei eine zentrale Rolle. Unser Attack Surface Management-Produkt bietet kontinuierliche Infrastruktur-Erkennung und Monitoring, einschließlich DNS-Hygiene-Monitoring (oder, wenn Sie möchten, DNS Posture Management). Unsere Brand Trust-Lösung überwacht umfassend auf ähnlich aussehende Domainnamen. Kontaktieren Sie uns, um zu erfahren, wie wir Ihre Sicherheitslage verbessern können.

1. DNS als Teil der Sicherheitsarchitektur verstehen

• Führen Sie ein DNS-Audit-Log für Forensik und Bedrohungserkennung
• Schaffen Sie eine Schutzschicht durch Namensauflösungs-Filterung

2. Rekursive Server absichern

• Bieten Sie einen internen rekursiven Dienst an
• Verschlüsseln Sie den ausgehenden DNS-Verkehr
• Nutzen Sie QNAME-Minimierung
• Validieren Sie DNSSEC
• Verhindern Sie Zugriff auf öffentliche DNS-Services

3. Autoritative Server absichern

• Schützen Sie Management-Interfaces
• Verbergen Sie Ihre primären Name-Server
• Minimieren Sie Informationslecks
• Pfle­gen Sie DNS-Hygiene
• Überwachen Sie auf ähnliche Domains
• Verwenden Sie DNSSEC zur Integritätssicherung