Ein DNS-Ausfall hat am Dienstagabend .de-Domains bundesweit für viele Nutzer zeitweise unerreichbar gemacht. Betroffen waren nicht einzelne Provider, sondern praktisch alle DNS-Server, die DNSSEC-Validierung durchführen — die zentrale deutsche Top-Level-Domain war damit für Unternehmen, Kanzleien und Privatnutzer faktisch offline. Wir dokumentieren, was passiert ist, warum kein einfacher DNS-Wechsel half — und welche Sofortmaßnahmen möglich waren.
Was beim DNS-Ausfall der .de-Domains passiert ist
Ab dem späten Dienstagabend lieferten DNS-Server bei Anfragen nach .de-Domains regelmäßig die Antwort NXDOMAIN zurück — die Standardrückmeldung für „Domain existiert nicht“. Erste Hinweise auf den Ausfall gab es gegen 21:50 Uhr. Für Anwender äußerte sich das Problem in nicht ladenden Webseiten, ausfallenden Apps — darunter etwa die der Deutschen Bahn — und Fehlern in Mailprogrammen, sobald deutsche Server angesprochen werden mussten.
Die für .de-Domains zuständige DENIC bestätigte den Ausfall kurz nach 22:55 Uhr auf ihrer Statusseite zunächst als „Partial Service Disruption“. Um 23:28 Uhr folgte ein detaillierteres Update.
Warum kein DNS-Wechsel beim DNS-Ausfall half
Der naheliegende erste Reflex — auf einen anderen DNS-Anbieter umstellen — griff zunächst ins Leere. Die üblichen Verdächtigen lieferten denselben Fehler: Google (8.8.8.8), Cloudflare (1.1.1.1) und die DNS-Server der eigenen Provider waren gleichermaßen betroffen. Der Grund liegt in der Validierung der Antworten per DNSSEC.
DNSSEC ist eine Erweiterung des DNS, die Antworten kryptografisch signiert. Ein validierender Resolver prüft diese Signaturen und verwirft Antworten, die nicht stimmig sind. Sobald die signierten Antworten der .de-Zone fehlerhaft oder inkonsistent ausgeliefert wurden, lehnten alle validierenden Resolver sie konsequent ab — die Sicherheitsmechanik tat genau das, wofür sie gebaut wurde.
Bemerkenswert: Nach Beobachtungen waren auch .de-Domains betroffen, die selbst gar nicht mit DNSSEC signiert sind. Das deckt sich nicht mit der ursprünglichen DENIC-Aussage, wonach ausschließlich DNSSEC-signierte Domains betroffen seien.
Hotfix: DNS-Ausfall temporär umgehen
Wer in den Abendstunden zwingend auf .de-Domains angewiesen war, konnte das Problem temporär umgehen, indem er auf einen DNS-Server umstellte, der keine DNSSEC-Validierung durchführt. Solche Resolver akzeptieren auch Antworten, deren Signaturen nicht prüfbar sind.
Im Router oder in den Netzwerkeinstellungen lassen sich folgende Adressen eintragen:
- Level 3: 4.2.2.1 und 4.2.2.6
- Quad9 (nicht validierend): 9.9.9.10
Wichtig: Diese Maßnahme reduziert die IT-Sicherheit, weil DNS-Spoofing-Angriffe so nicht mehr durch Signaturprüfung erkannt werden. Sie ist als Notbehelf zu verstehen und sollte nach Behebung der Störung sofort zurückgenommen werden.
Cloudflares Reaktion: Negative Trust Anchor
Cloudflare hat in der Nacht reagiert und die DNSSEC-Validierung für die .de-Zone auf den eigenen Resolvern deaktiviert. CTO Dane Knecht gab das über den Kurznachrichtendienst X bekannt. Damit funktioniert 1.1.1.1 für .de-Domains wieder — allerdings ohne kryptografische Prüfung.
Das ist kein improvisierter Eingriff, sondern ein dafür vorgesehenes Verfahren: RFC 7646 beschreibt mit dem sogenannten Negative Trust Anchor genau diesen Mechanismus. Ein Resolver-Betreiber kann die Validierung für eine konkrete Zone gezielt aussetzen, wenn nachweislich nicht der Angreifer, sondern der Zonenbetreiber selbst die Ursache des Validierungsfehlers ist.
Aktueller Stand laut DENIC
Im Statusupdate um 23:28 Uhr schreibt DENIC, die Ursache der Störung sei noch nicht abschließend identifiziert. Die technischen Teams arbeiten an der Analyse und der Wiederherstellung des stabilen Betriebs. Für Rückfragen verweist die Genossenschaft auf „die üblichen Kanäle“ — wobei E-Mails an Adressen mit der Domain denic.de in der aktuellen Lage erwartbar nicht zuverlässig zustellbar waren.
Einordnung: Was dieser DNS-Ausfall für Unternehmen bedeutet
Ausfälle dieser Größenordnung an einer ccTLD sind selten und treffen die deutsche Internetinfrastruktur an einer empfindlichen Stelle. Die Episode zeigt zwei Dinge gleichzeitig: DNSSEC funktioniert wie vorgesehen — falsche Signaturen führen zu verworfenen Antworten. Und genau das wird zum Problem, sobald der Fehler nicht beim Angreifer, sondern beim Zonenbetreiber liegt.
Der Negative-Trust-Anchor-Mechanismus aus RFC 7646 ist die formal korrekte Antwort darauf, verlagert aber die Verantwortung de facto an die Resolver-Betreiber. Für KMU und Kanzleien in Düsseldorf und NRW bedeutet das: Die Erreichbarkeit der eigenen IT-Infrastruktur hängt im Störungsfall davon ab, wie schnell der eigene DNS-Anbieter reagiert — ein Argument für professionelles IT-Systembetreuung mit aktivem Monitoring.
Als IT-Dienstleister und IT-Systemhaus in Düsseldorf beobachten wir solche Ereignisse und informieren betroffene Kunden direkt. Fragen zur IT-Sicherheit und DNS-Absicherung in Ihrem Unternehmen? Sprechen Sie uns an.
Wir aktualisieren diesen Beitrag, sobald DENIC weitere Informationen veröffentlicht.
Sie haben Fragen oder brauchen Unterstützung?
Wir helfen Ihnen weiter — von der ersten Beratung bis zur Umsetzung. Rufen Sie uns an unter 0211 9779 958 oder schreiben Sie uns.
