Massiver DNSSEC-Ausfall bei DENIC – Millionen .de-Domains weltweit nicht erreichbar
Am Abend des 5. Mai 2026 (gegen 22:00 Uhr deutscher Zeit) kam es zu einem schwerwiegenden Ausfall im Bereich DNSSEC bei der DENIC eG, der zentralen Registrierstelle für alle Domains unter der Länderkennung .de.
Das Problem beschränkt sich dabei wohl nicht nur auf Deutschland: DNS funktioniert weltweit als verteiltes System, das heißt, jeder Internetnutzer auf dem Planeten, der eine .de-Domain aufrufen will, ist potenziell betroffen. Konkret trifft es all jene, deren DNS-Resolver die Echtheit von DNS-Antworten überprüft (sogenannte DNSSEC-Validierung) – und das sind heute die meisten modernen Resolver. Für sie liefert die Abfrage einer .de-Domain schlicht einen Fehler, als würde die Seite nicht existieren.
Die offizielle Statusseite der DENIC unter status.denic.de zeigt zu diesem Zeitpunkt für den Bereich DNS Nameservice den Status "Partial Service Disruption" – ein klares Zeichen, dass das Problem mittlerweile offiziell anerkannt ist:
Update (05.05.26, 23:27 Uhr): Mittlerweile hat die Denic den Status auf "Service Disruption" geändert und spricht von einem weiterhin bestehendem Problem.
Update (06.05.26, 01:50 Uhr): Laut der Denic-Status-Webseite wurde das Problem zwischenzeitlich behoben, trotzdem dürfte die Störung noch einige Stunden Nachwirkung haben, da die fehlerhaften DNS-Abfragen durch Caching noch zwischengespeichert sind.
Was ist DNSSEC und warum trifft das so viele?
DNSSEC (Domain Name System Security Extensions) ist eine Erweiterung des klassischen DNS-Protokolls, die DNS-Antworten mit kryptografischen Signaturen absichert. Ziel ist es, sogenannte DNS-Spoofing- und Cache-Poisoning-Angriffe zu verhindern – also Szenarien, bei denen ein Angreifer Nutzer auf gefälschte Webseiten umleiten könnte.
Wenn DNSSEC korrekt funktioniert, validiert ein sogenannter Validating Resolver die empfangene DNS-Antwort anhand einer Kette von Vertrauensankern (Chain of Trust), die bis zur Root-Zone reicht. Ist diese Kette unterbrochen – etwa weil Signaturen abgelaufen sind, fehlerhafte DNSKEY-Records vorliegen oder DS-Records nicht zur Zone passen – antwortet der Resolver mit einem SERVFAIL. Das Ergebnis: Die Domain ist für den Nutzer schlicht nicht erreichbar, obwohl sie technisch existiert.
Die DENIC betreibt die gesamte .de-Zone und hat DNSSEC bereits seit 2011 implementiert. Tritt das Problem also auf Ebene der TLD-Zone selbst auf – also bei der DENIC und nicht bei einer einzelnen Domain – dann sind potenziell alle signierten .de-Domains gleichzeitig betroffen.
Technischer Hintergrund: Was könnte schiefgelaufen sein?
Typische Ursachen für einen DNSSEC-Ausfall auf TLD-Ebene sind:
- Abgelaufene RRSIG-Signaturen – Die Zonensignaturen der .de-Zone haben eine begrenzte Gültigkeit. ZSK-Signaturen (Zone Signing Key) bei DENIC haben laut eigener Dokumentation nur eine einwöchige Gültigkeit, KSK-Signaturen drei Wochen. Verpasst der automatische Rotationsprozess seinen Termin, bricht die Chain of Trust sofort zusammen.
- Fehlgeschlagener Key-Rollover – Bei einem KSK- oder ZSK-Rollover muss der neue Schlüssel zuerst vollständig propagiert sein, bevor der alte deaktiviert wird. Ein Timing-Fehler hier führt sofort zu weltweiten Validierungsfehlern.
- Fehlerhafte Zonendaten – Schon 2010 und 2016 gab es bei der DENIC Vorfälle, bei denen fehlerhafte Zonendaten zu massiven Ausfällen führten.
Wer ist betroffen?
Der Ausfall trifft jeden, dessen DNS-Resolver DNSSEC-Validierung aktiv hat. Dazu zählen:
- Alle modernen öffentlichen DNS-Resolver wie Google (8.8.8.8), Cloudflare (1.1.1.1) und viele ISP-Resolver
- Unternehmen und Behörden, die Wert auf eine sichere DNS-Infrastruktur legen
- Jeder Nutzer, dessen Router oder Betriebssystem einen validierenden Resolver verwendet
Nutzer, die einen nicht-validierenden Resolver ohne DNSSEC-Prüfung nutzen (oder den CD-Bit Checking Disabled in ihrer DNS-Abfrage setzen), sind von dem Ausfall hingegen nicht betroffen.
Sofortmaßnahmen für Betroffene
Hinweis: Das Deaktivieren von DNSSEC-Validierung ist ein temporärer Workaround und sollte nur für die Dauer des Ausfalls angewendet werden.
Als Endnutzer / Administrator:
- Alternativen DNS-Resolver ohne Validierung testen (z. B. 8.8.4.4 mit +cd-Flag)
- Bei dig: dig +cd example.de – das deaktiviert die DNSSEC-Validierung lokal
- Auf dem eigenen Resolver (z. B. Unbound oder BIND): val-permissive-mode: yes temporär setzen
Als Domain-Inhaber:
- Keine Änderungen an eigenen DNSSEC-Einträgen vornehmen – das Problem liegt bei der DENIC, nicht bei eurer Domain
- Status-Seite der DENIC beobachten: status.denic.de
Historische Einordnung
Es ist nicht das erste Mal, dass die DENIC mit einem größeren Ausfall Schlagzeilen macht. Bereits 2010 antworteten DENIC-Nameserver fälschlicherweise mit "Domain existiert nicht" für einen Teil des .de-Domainbestandes – damals aufgrund einer gekürzten Zonendatei. Im Jahr 2016 gab es erneut einen Ausfall im Zusammenhang mit einem Infrastrukturumzug. Und 2018 war DENIC selbst von einem DNSSEC-Ausfall betroffen, als Signaturen abliefen und SERVFAIL-Antworten zurückgegeben wurden.
Der heutige Vorfall reiht sich damit in eine unschöne Geschichte von DNS-Ausfällen bei einer der wichtigsten TLD-Registrierungsstellen der Welt ein – und verdeutlicht einmal mehr, wie kritisch eine korrekt gewartete DNS-Infrastruktur für das gesamte Internet ist.
Ausblick
Die DENIC ist aktuell dabei, den Vorfall zu untersuchen, doch eine klare offizielle Stellungnahme steht noch aus. Erfahrungsgemäß dauern solche Vorfälle zwischen wenigen Stunden und einem halben Tag, da nach einer Reparatur zusätzlich die TTL-basierten Caches aller Resolver weltweit auslaufen müssen, bevor der normale Betrieb vollständig wiederhergestellt ist.
Wir halten euch auf dem Laufenden.
