Ein folgenschwerer technischer Fehler hat am Montagabend weite Teile der deutschen Internetlandschaft vom globalen Netz abgeschnitten. Betroffen waren Millionen von .de-Domains – von Amazon.de über die Chip.de bis zur App der Deutschen Bahn. Ursache war ein fehlerhafter kryptografischer Schlüssel bei der zentralen Registrierungsstelle DENIC.
Der massive Ausfall von .de-Domains verdeutlicht, wie verwundbar die digitale Infrastruktur von Unternehmen gegenüber technischen Fehlern und Cyberrisiken ist. Ein kostenloses E-Book zeigt, welche neuen Bedrohungen aktuell auf Firmen zukommen und wie Sie Sicherheitslücken ohne großes Budget schließen. IT-Sicherheits-Ratgeber jetzt gratis herunterladen
Kryptografischer Fehler legt Sicherheitsmechanismus lahm
Die Störung begann am Abend des 5. Mai während einer routinemäßigen Wartung. Bei der turnusmäßigen Rotation des sogenannten Zone Signing Key (ZSK) – einem kryptografischen Sicherheitsschlüssel, der alle fünf Wochen erneuert wird – soll DENIC eine fehlerhafte Signatur ausgeliefert haben. Die Folgen waren dramatisch.
Das DNSSEC-Protokoll ist darauf ausgelegt, DNS-Spoofing zu verhindern, indem es jede Abfrage kryptografisch prüft. Eine ungültige Signatur führt jedoch nicht etwa zu einer langsamen Verbindung, sondern zu einem kompletten „SERVFAIL“-Fehler. Statt den Nutzer mit einer Website zu verbinden, verwirft der DNS-Resolver die Antwort als unvertrauenswürdig.
Daten von Cloudflare Radar bestätigten: Zwischen 19:15 und 22:30 UTC am 5. Mai weitete sich das Problem massiv aus. Weltweit erkannten rekursive DNS-Resolver die ungültigen Signaturen und stellten die Auflösung von .de-Adressen ein. Selbst DENICs eigene Firmen-Domain war zwischenzeitlich nicht erreichbar – die administrativen E-Mail-Adressen der Registrierungsstelle ebenfalls, was die Koordination der Fehlerbehebung zusätzlich erschwerte.
Millionen Domains betroffen – Bahn-App und Amazon offline
Das Ausmaß war gewaltig. Mit rund 17,9 Millionen registrierten .de-Domains ist die deutsche Länderendung die zweitbeliebteste der Welt. Der Fehler traf nicht nur die digitale Wirtschaft, sondern auch die kritische Infrastruktur.
Besonders sichtbar: Die App der Deutschen Bahn, auf die Millionen Pendler für Tickets und Fahrplanauskünfte angewiesen sind, war für viele Nutzer nicht erreichbar. Auch Amazon.de und das Technologiemagazin Chip.de fielen aus – zumindest für alle, deren Internetanbieter DNSSEC-Prüfungen aktiviert hatten.
Der KI-Unternehmer Leonard M. Schmedding kommentierte auf sozialen Netzwerken, der Vorfall zeige die extreme Verletzlichkeit moderner digitaler Infrastruktur. Ein einziger kryptografischer Schlüssel bei einer einzigen Behörde in Frankfurt habe halb Deutschland offline geschickt – ein klassischer Single Point of Failure.
Neben technischen Infrastrukturfehlern nutzen Cyberkriminelle gezielt menschliche und systemische Schwachstellen aus, um Unternehmen zu schaden. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und neuen Risiken durch KI Unternehmer jetzt unbedingt kennen müssen. Kostenlosen Cyber-Security-Report anfordern
Internationale DNS-Anbieter schalten Sicherheit notfallmäßig ab
Angesichts des Ausmaßes ergriffen große internationale DNS-Anbieter beispiellose Maßnahmen. Cloudflare deaktivierte für seinen öffentlichen DNS-Dienst 1.1.1.1 vorübergehend die DNSSEC-Validierung speziell für die .de-Zone. Ein Schritt, der zwar die Sicherheit temporär umging, aber Millionen Nutzern wieder Zugang zu deutschen Websites verschaffte.
Der deutsche Hosting-Anbieter Hetzner implementierte einen sogenannten „Negative Trust Anchor“ für .de-Domains – eine technische Umgehung, die es den Systemen erlaubte, die fehlerhaften Signaturen zu ignorieren. Namecheap warnte seine Kunden weltweit, bis zur vollständigen Behebung keine Änderungen an .de-Domain-Einstellungen vorzunehmen.
DENICs Technikteams arbeiteten die Nacht hindurch. In den frühen Morgenstunden des 6. Mai gab die Registrierungsstelle Entwarnung: Der Fehler sei behoben, die Systeme liefen wieder normal. Allerdings blieben vereinzelte Zugriffsprobleme bestehen, da DNS-Einträge von lokalen Anbietern zwischengespeichert werden und die Aktualisierung je nach Konfiguration Stunden dauern kann.
Experten warnen vor systemischer Zerbrechlichkeit
Der Vorfall hat eine Das Protokoll ist zwar essenziell, um Man-in-the-Middle-Angriffe zu verhindern und Nutzer vor Phishing-Seiten zu schützen – doch es lässt keinerlei Raum für administrative Fehler.
In einem traditionellen DNS-Setup könnte ein kleiner Konfigurationsfehler zu einem lokalen oder abgeschwächten Ausfall führen. Unter DNSSEC führt ein einziges ungültiges Bit in einer Signatur zu einer sofortigen, globalen Blockade. Branchenkenner betonen: Es handelte sich nicht um den ersten DNSSEC-bedingten Ausfall, aber aufgrund der wirtschaftlichen Bedeutung des .de-Namensraums um einen der größten der Geschichte.
Die Tatsache, dass der Fehler während eines planmäßigen Wartungsfensters auftrat, wirft Fragen zu den Automatisierungs- und Verifizierungsprozessen bei Schlüsselrotationen auf. Der Fall zeigt: Je robuster und automatisierter Sicherheitsprotokolle werden, desto größer ist die potenzielle Wirkung eines einzigen „Fat-Finger“-Fehlers in der zugrunde liegenden Internet-Infrastruktur.
Ausblick: Politische Konsequenzen und interne Untersuchung
DENIC hat eine umfassende Ursachenanalyse angekündigt. Geklärt werden muss, wie die fehlerhafte Signatur entstehen und die internen Qualitätsprüfungen passieren konnte.
Die politischen Folgen dürften nicht ausbleiben. Angesichts der Auswirkungen auf kritische Infrastruktur wie die Bahn werden legislative und regulatorische Stellen den Vorfall überprüfen. Bereits jetzt gibt es Forderungen nach robusteren Failover-Mechanismen und unabhängigen Verifikationssystemen auf Registry-Ebene.
Für Unternehmen hat der Ausfall eine schmerzhafte Lektion erteilt: Die eigene Serverstabilität nützt wenig, wenn die darüberliegende DNS-Infrastruktur versagt. Die Branche wartet nun auf DENICs vollständigen technischen Bericht – und auf Antworten auf die Frage, wie sich eine solche digitale „Verdunkelung“ Deutschlands in Zukunft verhindern lässt.
