Direkt zur Hauptnavigation springen Direkt zum Inhalt springen

DENIC-Störung am 5. Mai: .de-Domains in der Nacht zeitweise nicht erreichbar

Eine fehlerhafte DNSSEC-Signatur bei der DENIC eG hat in der Nacht vom 5. auf den 6. Mai 2026 für rund drei Stunden zu Erreichbarkeitsproblemen bei .de-Domains geführt. Wir erklären, was passiert ist, wer betroffen war und warum manche Nutzer von dem Ausfall nichts gemerkt haben.

Am Abend des 5. Mai 2026 kam es zu einer technischen Störung bei der DENIC eG, der zentralen Registrierungsstelle für alle .de-Domains. Ab 21:57 Uhr lieferte die DNS-Infrastruktur für die Endung .de fehlerhafte DNSSEC-Signaturen aus. In der Folge waren DNSSEC-signierte .de-Adressen für mehrere Stunden eingeschränkt erreichbar. Auch Kundinnen und Kunden von webhostone können den Ausfall bemerkt haben, sofern sie für die Namensauflösung einen DNS-Resolver verwenden, der DNSSEC-Signaturen aktiv prüft.

Zeitlicher Ablauf

Die offizielle Pressemitteilung der DENIC nennt folgende Eckdaten: Beginn der Störung am 5. Mai 2026 um 21:57 Uhr. Um 00:08 Uhr am 6. Mai begann die Verteilung der korrigierten DNS-Zone, der vollständige Normalbetrieb war um 01:15 Uhr wiederhergestellt. Spürbar war die Beeinträchtigung damit etwa drei bis dreieinhalb Stunden, mit einer kurzen Übergangsphase, bis sich die korrigierten Daten in den DNS-Caches weltweit durchgesetzt hatten.

Was war die Ursache?

Die Störung stand im zeitlichen und logischen Zusammenhang mit einem turnusmäßigen Schlüsselwechsel. DNSSEC ergänzt das klassische DNS um eine kryptografische Signatur: Jeder Eintrag wird mit einem Schlüssel signiert, damit der Resolver prüfen kann, ob die Antwort auf dem Weg vom autoritativen Server zum Nutzer manipuliert wurde. Diese Schlüssel werden in festen Abständen ausgetauscht. Bei diesem Wechsel wurden in der .de-Zone Signaturen erzeugt und verbreitet, die sich nicht gegen den veröffentlichten Schlüssel validieren ließen. Validierende Resolver – darunter die bekannten öffentlichen Dienste Cloudflare (1.1.1.1), Google Public DNS (8.8.8.8) und Quad9 (9.9.9.9) – haben diese Antworten korrekt als ungültig verworfen und stattdessen eine SERVFAIL-Meldung zurückgegeben. Genau das ist der vorgesehene Schutzmechanismus von DNSSEC: keine Antwort statt einer möglicherweise manipulierten. Resolver, die keine DNSSEC-Validierung durchführen, haben die Antworten dagegen ohne Beanstandung ausgeliefert. Das erklärt, warum ein Teil der Internetnutzer von der Störung nichts bemerkt hat, während andere seit dem Abend keine .de-Adresse mehr aufrufen konnten. Die DENIC stellt in ihrer Mitteilung klar, dass kein Angriff vorlag. Vorsorglich wurden weitere Schlüsselwechsel ausgesetzt, bis die genauen technischen Ursachen ermittelt sind. Eine ausführliche Post-Mortem-Analyse hat die DENIC angekündigt.

Welche Domains und Dienste waren betroffen?

Betroffen waren ausschließlich .de-Domains mit DNSSEC-Signierung. Da die DENIC mit über 17 Millionen registrierten Adressen eine der weltweit größten Domain-Zonen verwaltet, hatte der Vorfall eine entsprechende Reichweite. Berichtet wurde über zeitweise nicht erreichbare Websites quer durch alle Branchen sowie über gestörten E-Mail-Verkehr, da auch die Auflösung der zuständigen Mailserver auf DNS angewiesen ist.

Was bedeutet das für Sie als Kunde?

Ein Ausfall an dieser zentralen Stelle der Internet-Infrastruktur lässt sich weder durch einen einzelnen Hoster noch durch eine eigene DNS-Konfiguration verhindern. Die Verantwortung für die .de-Zone liegt allein bei der DENIC. Auch webhostone konnte den Vorgang in dieser Zeit nicht beschleunigen.

Für die Reaktion auf vergleichbare Vorfälle gilt:

  • Während einer aktiven Störung sollten Sie keine Änderungen an Ihrer eigenen DNS- oder DNSSEC-Konfiguration vornehmen. Hektische Eingriffe verlängern die Probleme häufig, statt sie zu lösen.
  • Ein kurzfristiges Abschalten von DNSSEC ist als Reaktion nicht ratsam. DNSSEC bleibt ein wichtiger Schutz gegen DNS-Manipulation und ist ein etablierter Standard.
  • Verlässliche Informationen finden Sie auf der offiziellen Statusseite der DENIC unter status.denic.de und im DENIC-Blog.

Einordnung

Vorfälle in dieser Größenordnung sind bei der DENIC die Ausnahme. Der jetzige Fall erinnert allerdings daran, wie eng der Betrieb moderner Web- und E-Mail-Dienste an die zentrale DNS-Infrastruktur gekoppelt ist. webhostone verfolgt die angekündigte Ursachenanalyse der DENIC und informiert seine Kunden, sobald sich daraus konkrete Empfehlungen für den Betrieb von .de-Domains ergeben.

Zurück
Cookie Extension Logo