DNS-Sicherheit: DNSSEC & CAA Records

DNSSEC authentifiziert DNS-Antworten kryptographisch gegen Manipulation. CAA Records kontrollieren, welche Zertifizierungsstellen Zertifikate für Ihre Domain ausstellen dürfen. Zusammen schützen sie das Fundament Ihrer Web-Infrastruktur.

DNS-Sicherheit prüfen Plattform entdecken
Web Security · 5 Punkte · Intermediate
Von Wolf-Agents Security Team · Aktualisiert: 18. März 2026
Web Security · Grundlagen

Warum DNS-Sicherheit?

DNS-Sicherheit schützt das Fundament Ihrer gesamten Web-Infrastruktur: die Domain-Namensauflösung. DNSSEC signiert DNS-Antworten kryptographisch gegen Manipulation, CAA Records kontrollieren welche Zertifizierungsstellen Zertifikate ausstellen dürfen. Ohne diese Maßnahmen kann ein Angreifer Nutzer unbemerkt auf Phishing-Seiten umleiten.

Im April 2018 wurde der DNS-Eintrag von MyEtherWallet.com durch einen BGP-Hijacking-Angriff manipuliert. Nutzer wurden auf eine Phishing-Seite umgeleitet und verloren rund 150.000 US-Dollar in Kryptowährung. DNSSEC hätte die manipulierten DNS-Antworten als ungültig markiert — validierende Resolver hätten die Fälschung verworfen. DNS ist das Fundament aller anderen Sicherheitsmaßnahmen: Wenn DNS kompromittiert wird, umgeht der Angreifer HTTPS, CSP und alle anderen Header.

$150k gestohlen beim MyEtherWallet DNS-Hijacking 2018 — DNSSEC hätte den Angriff verhindert MyEtherWallet Incident 2018
5 Pkt. DNS-Sicherheit im Wolf-Agents Web Security Check — Bonus-Punkte für DNSSEC und CAA Wolf-Agents Scoring
49% DNSSEC-Validierungsrate in der EU — deutlich über dem globalen Durchschnitt von ~35% APNIC Labs Q3 2025
Technologie

DNSSEC — DNS-Authentifizierung

DNSSEC (Domain Name System Security Extensions) fügt kryptographische Signaturen zu DNS-Einträgen hinzu. Ein validierender Resolver prüft die Signaturkette bis zur Root-Zone und verwirft manipulierte Antworten. Ohne DNSSEC sind DNS-Cache-Poisoning und Man-in-the-Middle-Angriffe auf DNS-Ebene möglich.

Das Problem ohne DNSSEC

DNS-Anfragen sind standardmäßig nicht authentifiziert. Ein Angreifer kann falsche DNS-Einträge in Resolver-Caches einschleusen (Cache Poisoning), DNS-Antworten auf dem Weg manipulieren (Man-in-the-Middle) oder Traffic auf bösartige Server umleiten (Domain Hijacking).

Die Lösung: Kryptographische Signaturen

DNSSEC fügt jedem DNS-Eintrag eine kryptographische Signatur (RRSIG) hinzu. Der Resolver prüft die Signatur anhand der öffentlichen Schlüssel in der DNSKEY-Zone und verfolgt die Vertrauenskette über DS-Records bis zur signierten Root-Zone. Manipulierte Antworten werden als BOGUS markiert und verworfen.

Schlüssel Funktion Lebensdauer Rollover
KSK Signiert den DNSKEY RRset 1-2 Jahre Erfordert DS-Record-Update beim Registrar
ZSK Signiert alle anderen Records 1-3 Monate Automatisch bei Managed DNS
Algorithmus-Empfehlung

Verwenden Sie für neue DNSSEC-Setups ECDSAP256SHA256 (Algorithmus 13) — optimale Sicherheit bei kompakten Schlüsseln. Die meisten großen DNS-Provider (Cloudflare, Google, Route 53) nutzen standardmäßig ECDSA. RSA-basierte Algorithmen werden zunehmend abgelöst.

Zertifikatskontrolle

CAA Records — Zertifikats-Autorisierung

CAA Records (Certificate Authority Authorization) legen fest, welche Zertifizierungsstellen SSL/TLS-Zertifikate für Ihre Domain ausstellen dürfen. Ohne CAA kann jede der hunderten CAs weltweit ein Zertifikat für Ihre Domain ausstellen — ein Sicherheitsrisiko bei kompromittierten oder fehlkonfigurierten CAs.

CAA-Record Syntax

Jeder CAA Record besteht aus einem Flag-Feld, einem Tag und einem Wert. Die drei wichtigsten Tags kontrollieren die Zertifikatsausstellung für normale Zertifikate, Wildcard-Zertifikate und Benachrichtigungen bei Verstößen.

DNS-Zonendatei CAA Records 
# CAA Records — Zertifikats-Autorisierung
example.com.  IN  CAA  0 issue "letsencrypt.org"
example.com.  IN  CAA  0 issue "digicert.com"
example.com.  IN  CAA  0 issuewild "letsencrypt.org"
example.com.  IN  CAA  0 iodef "mailto:security@example.com"
Tag Bedeutung
issue Erlaubte CA für normale Zertifikate
issuewild Erlaubte CA für Wildcard-Zertifikate
iodef E-Mail für Benachrichtigungen bei Verstößen

Beliebte Zertifizierungsstellen

Anbieter CAA-Wert
Let's Encrypt letsencrypt.org
DigiCert digicert.com
Sectigo (Comodo) sectigo.com
GlobalSign globalsign.com
Compliance

DNS-Sicherheit und regulatorische Anforderungen

DNS-Sicherheit ist keine optionale Maßnahme — mehrere Regulierungen fordern DNSSEC und sichere DNS-Konfiguration explizit oder als Teil des Stands der Technik.

NIS2 Art. 21 Abs. 2 lit. e

NIS2 Art. 21 Abs. 2 lit. e fordert Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen — DNS-Infrastruktur gehört zum Fundament. Die NIS2 Implementing Regulation fordert von betroffenen Einrichtungen explizit Best Practices für DNS-Sicherheit. ENISA empfiehlt DNSSEC in ihren technischen Leitlinien. Im deutschen §30 Abs. 2 Nr. 5 BSIG ist dies seit 06.12.2025 konkretisiert. Die Geschäftsleitung haftet persönlich nach §38 BSIG.

NIS2-Checkliste ansehen →

BSI IT-Grundschutz APP.3.9

Der BSI-Baustein APP.3.9 referenziert DNSSEC explizit als Maßnahme zur Absicherung der DNS-Infrastruktur. Für Organisationen mit BSI-Zertifizierung ist DNSSEC eine konkrete Anforderung.

DSGVO Art. 32

DNS-Manipulation kann zur Umleitung auf Phishing-Seiten führen, wo personenbezogene Daten abgegriffen werden. DNSSEC und CAA sind geeignete technische Maßnahmen im Sinne von Art. 32 DSGVO.

DNS-Provider-Anleitung:

Cloudflare

Wie steht Ihre Domain bei DNS-Sicherheit?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo

Häufig gestellte Fragen

Was ist DNSSEC und warum brauche ich es?

DNSSEC (Domain Name System Security Extensions) fügt kryptographische Signaturen zu DNS-Einträgen hinzu. Ein validierender Resolver prüft die Signaturkette bis zur Root-Zone und verwirft manipulierte Antworten. Ohne DNSSEC sind DNS-Cache-Poisoning und Man-in-the-Middle-Angriffe auf DNS-Ebene möglich — Angreifer können Ihre Besucher unbemerkt auf Phishing-Seiten umleiten.

Was sind CAA Records?

CAA Records (Certificate Authority Authorization) legen fest, welche Zertifizierungsstellen SSL/TLS-Zertifikate für Ihre Domain ausstellen dürfen. Ohne CAA kann jede der hunderten CAs weltweit ein Zertifikat für Ihre Domain ausstellen. Mit CAA beschränken Sie die Ausstellung auf vertrauenswürdige Anbieter wie Let's Encrypt oder DigiCert.

Wird DNSSEC von meinem DNS-Provider unterstützt?

Die meisten großen DNS-Provider unterstützen DNSSEC: Cloudflare aktiviert DNSSEC mit einem Klick, AWS Route 53 bietet es über KMS-Schlüssel, IONOS aktiviert es automatisch. Die Hetzner DNS Console unterstützt kein DNSSEC — hier müssen Sie einen externen DNS-Provider wie Cloudflare oder deSEC nutzen.

Kann DNSSEC meine Website unerreichbar machen?

Ja, bei fehlerhafter Konfiguration. Wenn der DS-Record beim Registrar nicht zum DNSSEC-Schlüssel des DNS-Providers passt, markieren validierende Resolver die Domain als BOGUS und verweigern die Auflösung. Deshalb ist die korrekte Reihenfolge entscheidend: Bei Deaktivierung immer erst den DS-Record beim Registrar entfernen, dann DNSSEC beim Provider deaktivieren.

Muss ich DNSSEC und CAA zusammen nutzen?

Beide Maßnahmen ergänzen sich, sind aber unabhängig einsetzbar. CAA Records kontrollieren die Zertifikatsausstellung, DNSSEC schützt die Integrität aller DNS-Antworten — inklusive der CAA Records selbst. Für maximale Sicherheit empfiehlt sich die Kombination: Erst CAA Records setzen, dann DNSSEC aktivieren.

Ist DNS-Sicherheit für NIS2-Compliance relevant?

Ja. Die NIS2-Richtlinie fordert von betroffenen Einrichtungen Best Practices für DNS-Sicherheit. BSI IT-Grundschutz APP.3.9 referenziert DNSSEC explizit. ENISA hat technische Leitlinien veröffentlicht, die DNSSEC als empfohlene Maßnahme nennen. Der Wolf-Agents Web Security Check prüft DNSSEC und CAA als Teil der DNS-Sicherheitsbewertung.