Zum Inhalt

DNS & Domains

DNS & Domains – wie es wirklich funktioniert

Das Hauptkapitel hat die wichtigsten Domain-Fallen und DNS-Grundbegriffe erklärt. Dieser Deep Dive geht tiefer: Wie funktioniert das DNS-System intern, was passiert bei einer Anfrage, was bedeuten TTL und Propagation wirklich – und wie nutzen Sie dieses Wissen, um im Notfall schnell und richtig zu handeln?

Wie eine DNS-Anfrage wirklich funktioniert

Wenn Sie www.ihrpraxis.de in den Browser eingeben, passiert folgendes – in Millisekunden:

  1. Lokaler Cache: Ihr Gerät prüft zuerst seinen eigenen DNS-Cache. Hat es diese Adresse kürzlich schon nachgeschlagen, verwendet es die gespeicherte Antwort direkt.

  2. Recursive Resolver: Ist keine gespeicherte Antwort vorhanden, fragt Ihr Gerät einen sogenannten Recursive Resolver – in der Regel den DNS-Server Ihres Internetproviders oder einen konfigurierten Dienst wie Quad9 oder Cloudflare. Dieser Resolver übernimmt die eigentliche Arbeit der Auflösung.

  3. Root-Server: Der Resolver fragt einen der 13 Root-Nameserver weltweit: „Wer ist zuständig für .de-Domains?" Die Root-Server kennen nicht die konkreten Adressen, aber sie wissen, welche Server für jede Top-Level-Domain (.de, .com, .org usw.) zuständig sind.

  4. TLD-Nameserver: Der Resolver fragt den für .de zuständigen Nameserver der DENIC: „Wer ist zuständig für ihrpraxis.de?" Dieser antwortet mit den Nameservern Ihres Registrars oder DNS-Anbieters.

  5. Autoritativer Nameserver: Der Resolver fragt Ihren autoritativen Nameserver (den DNS-Server, der Ihre Einträge verwaltet): „Was ist die IP-Adresse von www.ihrpraxis.de?" Dieser antwortet mit dem konkreten A-Record.

  6. Antwort zurück: Der Resolver gibt die IP-Adresse an Ihr Gerät zurück. Ihr Browser baut eine Verbindung zu dieser IP auf.

Warum ist das wichtig? Weil Sie verstehen, wo Sie eingreifen können – und wo nicht. Sie kontrollieren Ihren autoritativen Nameserver (über Ihren Registrar oder DNS-Anbieter). Sie können A-Records, MX-Records und TXT-Records ändern. Aber Sie haben keine Kontrolle über Caches bei Endbenutzern, über andere Resolver oder über Root-Server.

TTL – der Hebel für schnelle Änderungen

Jeder DNS-Eintrag hat einen TTL-Wert (Time to Live) – gemessen in Sekunden. Er gibt an, wie lange ein Resolver oder ein Endgerät die Antwort cachen darf, bevor er erneut nachfragen muss.

Ein typischer TTL-Wert ist 3600 Sekunden (1 Stunde) oder 86400 Sekunden (24 Stunden). Das bedeutet: Wenn Sie einen A-Record ändern, kann es bis zu TTL Sekunden dauern, bis alle Nutzer die neue Adresse sehen – weil alte Antworten noch in Caches stecken.

Der praktische Tipp für geplante Migrationen:

Wenn Sie wissen, dass Sie in einer Woche Ihren Hoster wechseln werden, senken Sie bereits jetzt den TTL-Wert des betroffenen Eintrags auf 300 Sekunden (5 Minuten). Wenn Sie dann tatsächlich umschalten, verbreitet sich die Änderung innerhalb von Minuten – statt Stunden. Nach dem Wechsel können Sie den TTL-Wert wieder auf den Normalwert erhöhen.

Merksatz: TTL ist Ihr Hebel für schnelle Propagation. Senken Sie ihn im Voraus, wenn Sie eine Migration planen.

DNS-Einträge im Detail

Das Hauptkapitel hat die wichtigsten Record-Typen benannt. Hier die vollständige Übersicht für Arztpraxen:

A-Record Verknüpft einen Hostnamen mit einer IPv4-Adresse. ihrpraxis.de → 203.0.113.10. Das ist der Eintrag, der Ihre Website erreichbar macht.

AAAA-Record Wie der A-Record, aber für IPv6-Adressen. Viele moderne Hoster unterstützen IPv6 – wenn Ihr Hoster Ihnen eine IPv6-Adresse gibt, tragen Sie sie ein.

CNAME-Record Ein Alias. www.ihrpraxis.de → ihrpraxis.de. Statt einer IP-Adresse zeigt der CNAME auf einen anderen Hostnamen. Der Resolver löst dann diesen Hostnamen weiter auf. Wichtig: Ein CNAME darf nicht für die Apex-Domain (die Domain ohne Präfix, also ihrpraxis.de) verwendet werden – nur für Subdomains.

MX-Record Steuert die E-Mail-Zustellung. Er hat zwei Felder: Priorität und Ziel-Hostname. Beispiel: 10 mail.ihrpraxis.de. Mehrere MX-Records mit unterschiedlichen Prioritäten sind möglich – E-Mails werden zuerst an den Server mit der niedrigsten Prioritätszahl gesendet; fällt dieser aus, an den nächsten.

TXT-Record Freitext-Feld, das für verschiedene Zwecke genutzt wird: SPF, DKIM, DMARC, Domain-Verifikation bei Google/Microsoft und mehr. Eine Domain kann mehrere TXT-Records haben.

NS-Record Gibt die autoritativen Nameserver für die Domain an. Diese Einträge werden beim Registrar gesetzt und bestimmen, welcher DNS-Anbieter Ihre Einträge verwaltet. Wenn Sie Ihren DNS-Anbieter wechseln, ändern Sie diese Einträge.

SOA-Record Start of Authority – technischer Verwaltungseintrag, der automatisch gesetzt wird. Enthält u. a. den primären Nameserver und die E-Mail-Adresse des Zone-Administrators. Wird in der Regel nicht manuell bearbeitet.

Registrar vs. DNS-Anbieter vs. Hoster – drei verschiedene Rollen

Ein häufiger Irrtum: Viele glauben, Registrar und DNS-Anbieter sind dasselbe. Das müssen sie nicht sein.

Registrar: Das Unternehmen, bei dem Sie Ihre Domain registriert haben und das die Inhaberschaft verwaltet. IONOS, Strato, united-domains, Hetzner, Namecheap. Der Registrar ist für die NS-Records zuständig – er bestimmt, welche Nameserver für Ihre Domain autoritativ sind.

DNS-Anbieter: Das Unternehmen, dessen Nameserver Ihre DNS-Einträge (A, MX, TXT usw.) verwalten. Oft ist das der Registrar – aber es kann auch ein separater Dienst sein, zum Beispiel Cloudflare DNS, die eine schnelle und zuverlässige DNS-Infrastruktur als kostenlose Ergänzung anbieten.

Hoster: Das Unternehmen, auf dessen Servern Ihre Website liegt. Der A-Record zeigt auf die IP-Adresse des Hosters.

Warum die Trennung sinnvoll ist: Wenn Ihr Hoster ausfällt oder Sie ihn wechseln, ändern Sie nur den A-Record beim DNS-Anbieter. Ihre Domain bleibt wo sie ist. Wenn Ihr DNS-Anbieter Probleme hat, können Sie die Nameserver beim Registrar auf einen anderen Anbieter umstellen. Jede Ebene ist unabhängig austauschbar.

DNSSEC – Schutz vor gefälschten DNS-Antworten

DNSSEC (DNS Security Extensions) ist ein Sicherheitsmechanismus, der DNS-Antworten mit digitalen Signaturen versieht. Er schützt vor DNS-Spoofing: einem Angriff, bei dem ein Angreifer gefälschte DNS-Antworten in den Cache eines Resolvers einschleust und Nutzer so auf gefälschte Websites umleitet.

Ohne DNSSEC hat ein Resolver keine Möglichkeit zu verifizieren, ob eine DNS-Antwort echt ist oder von einem Angreifer gefälscht wurde. Mit DNSSEC wird jede Antwort mit einem kryptografischen Schlüssel signiert, und der Resolver kann die Signatur verifizieren.

Für Arztpraxen: DNSSEC wird von vielen Registraren angeboten – bei IONOS, Strato und anderen kann es mit wenigen Klicks aktiviert werden. Der Nutzen ist real: DNS-Spoofing wird erheblich erschwert.

Allerdings ist DNSSEC nicht immer kostenlos. Einige Registrare – darunter IONOS – berechnen für DNSSEC einen Aufpreis pro Domain. Das ist kein Grund, DNSSEC grundsätzlich abzulehnen, aber es lohnt sich, Kosten und Nutzen abzuwägen: Für eine Domain, über die Sie Patientenkommunikation und geschäftskritische Dienste abwickeln, ist der Aufpreis gut investiert. Für eine rein informative Nebendomain mit wenig Traffic ist die Entscheidung weniger eindeutig. Prüfen Sie die aktuellen Konditionen Ihres Registrars und entscheiden Sie bewusst.

Hinweis: DNSSEC muss auf beiden Seiten konsistent sein – beim Registrar (der das DS-Record einträgt) und beim DNS-Anbieter (der die Zone signiert). Wenn Sie DNS-Anbieter wechseln, muss DNSSEC neu eingerichtet werden; ein inkonsistenter Zustand macht Ihre Domain unerreichbar.

Domain-Hijacking: Wie Domains gestohlen werden

Domain-Hijacking ist der Diebstahl einer Domain – entweder durch Übernahme des Registrar-Kontos oder durch betrügerischen Transfer. Es ist selten, aber wenn es passiert, hat es sofortige und weitreichende Konsequenzen: Website weg, E-Mail weg, digitale Identität weg.

Die häufigsten Angriffswege:

Kompromittiertes Registrar-Konto: Der Angreifer gelangt über Phishing oder ein schwaches Passwort in Ihr Registrar-Konto und ändert die Nameserver oder initiiert einen Transfer.

Social Engineering beim Registrar: Angreifer geben sich gegenüber dem Support des Registrars als Kontoinhaber aus und überzeugen ihn, Zugang zu gewähren oder einen Transfer zu genehmigen.

Ablauf der Domain: Eine vergessene Domain läuft ab, wird sofort von Domain-Squattern registriert.

Schutzmaßnahmen: - Starkes, einzigartiges Passwort und 2FA für das Registrar-Konto – das ist der wichtigste Schutz. - Transfer-Lock aktivieren: Die meisten Registrare bieten einen Transfer-Lock, der verhindert, dass die Domain ohne explizite Freigabe zu einem anderen Registrar transferiert werden kann. Aktivieren Sie ihn. - WHOIS Privacy: Viele Registrare bieten an, Ihre persönlichen Kontaktdaten im WHOIS-Eintrag zu verbergen. Das verhindert zwar keinen Angriff, reduziert aber die für Social Engineering verfügbaren Informationen.

Checkliste: DNS & Domains im Detail

  • Ich verstehe den Unterschied zwischen Registrar, DNS-Anbieter und Hoster – und weiß, welche Rolle bei meiner Praxis wer übernimmt.
  • Der Transfer-Lock ist für meine Domain aktiviert.
  • Mein Registrar-Konto ist mit 2FA gesichert.
  • Ich kenne den TTL-Wert meiner wichtigsten DNS-Einträge und weiß, wie ich ihn vor einer geplanten Migration senken kann.
  • Ich habe alle aktuellen DNS-Einträge dokumentiert (Screenshot oder Export).
  • DNSSEC ist aktiviert, sofern Registrar und DNS-Anbieter es unterstützen.
  • WHOIS Privacy ist aktiviert.
  • Ich weiß, wie ich im Notfall Nameserver, A-Record und MX-Record meiner Domain ändern kann.