Startseite » IT-Wissen – was ist ein Sinkhole?

IT-Wissen – was ist ein Sinkhole?

by Daniel Rottländer
Sinkhole – der spezielle DNS-Server zur Gefahrenabwehr

Sinkhole – der spezielle DNS-Server zur Gefahrenabwehr

Der Begriff „Sinkhole“ klingt erst einmal ungewöhnlich. Viele denken dabei an ein Loch im Boden. In der IT bedeutet er aber etwas anderes. Gemeint ist eine Sicherheitsmaßnahme, die schädliche Internetanfragen gezielt umleitet. Das hilft dabei, infizierte Geräte zu erkennen und den Kontakt zu Angreifern zu unterbrechen. Für Unternehmen und auch für Privatnutzer ist das Thema wichtig, weil viele Angriffe heute über das Internet gesteuert werden. Wer versteht, was ein Sinkhole ist, kann IT-Sicherheit besser einordnen und Risiken realistischer bewerten.

Was ein Sinkhole in der IT eigentlich ist

Ein Sinkhole ist in der IT meist ein sogenanntes DNS-Sinkhole. DNS steht für „Domain Name System“. Das ist vereinfacht das Adressbuch des Internets. Wenn Sie einen Domainnamen wie eine Webadresse eingeben, sorgt DNS dafür, dass Ihr Gerät die passende technische Adresse findet. Diese technische Adresse heißt IP-Adresse. Ein Sinkhole greift genau an dieser Stelle ein. Es sorgt dafür, dass bekannte schädliche Domains nicht mehr zur eigentlichen Zieladresse führen, sondern zu einer kontrollierten und ungefährlichen Adresse oder zu einem speziell eingerichteten Server. So wird die schädliche Verbindung gestoppt oder in eine sichere Richtung gelenkt.

In der Praxis nutzt man diese Technik vor allem in der IT-Sicherheit, um Schadsoftware und verdächtige Verbindungen besser zu erkennen. Der Begriff hat also nichts mit einem Erdloch zu tun, sondern mit einer kontrollierten Umleitung im Netzwerk.

Wie ein Sinkhole technisch funktioniert

Damit ein Sinkhole wirken kann, muss ein Gerät zuerst eine schädliche Domain anfragen. Das passiert oft unbemerkt im Hintergrund. Schadprogramme versuchen zum Beispiel, Kontakt zu einem Steuerungsserver aufzunehmen. Ein solcher Steuerungsserver wird oft als C2-Server bezeichnet. „C2“ steht für „Command and Control“, also für einen Server, über den Angreifer infizierte Geräte fernsteuern. Statt die echte Zieladresse zurückzugeben, liefert das Sinkhole eine harmlose Antwort. Die Anfrage läuft dann nicht mehr zum Angreifer, sondern zu einem sicheren Ziel. Dort kann man protokollieren, wann die Anfrage kam und von welcher Quelle sie ausging. Genau das hilft Sicherheitsverantwortlichen, betroffene Geräte zu finden.

Wichtig ist dabei: Das Sinkhole entfernt die Schadsoftware nicht automatisch. Es unterbricht vor allem die Kommunikation nach außen und macht verdächtige Aktivitäten sichtbar. Ein Botnetz, also ein Verbund infizierter Geräte, lässt sich auf diese Weise oft schneller erkennen.

Was den Schutz des eigenen Rechners angeht, ist eine aktuelle Antivirensoftware die erste Wahl.

Warum Sinkholes für die IT-Sicherheit so nützlich sind

Der große Vorteil eines Sinkholes liegt darin, dass es zwei Aufgaben gleichzeitig erfüllen kann. Erstens blockiert es die Verbindung zu bekannten schädlichen Zielen. Zweitens liefert es Hinweise darauf, welche Systeme im eigenen Netzwerk möglicherweise bereits infiziert sind. Das ist besonders wertvoll, weil viele Angriffe nicht sofort auffallen. Ein Gerät kann schon kompromittiert sein, obwohl der Nutzer noch nichts merkt. Wenn dieses Gerät dann eine bekannte schädliche Domain anfragt, wird der Versuch über das Sinkhole sichtbar. Sicherheitsstellen, Provider oder interne IT-Teams können darauf reagieren und die betroffenen Systeme prüfen. In Deutschland arbeitet auch das BSI, also das Bundesamt für Sicherheit in der Informationstechnik, mit Sinkhole-Daten, um infizierte Systeme besser zu erkennen und Meldungen weiterzugeben.

Für die Praxis heißt das: Ein Sinkhole ist kein Allheilmittel, aber ein sehr nützliches Frühwarn- und Analysewerkzeug. Es schafft Sichtbarkeit dort, wo Angriffe sonst leicht verborgen bleiben.

Wo die Grenzen eines Sinkholes liegen

So hilfreich Sinkholes sind, sie lösen nicht jedes Sicherheitsproblem. Nicht jede Schadsoftware nutzt überhaupt Domains, die man umleiten kann. Manche Angriffe arbeiten direkt mit festen IP-Adressen. Andere wechseln ihre Infrastruktur sehr schnell oder nutzen Verfahren, die eine Erkennung erschweren. Das BSI beschreibt außerdem, dass nur ein Teil der weltweit aktiven Botnetze technisch über Sinkholing erfasst werden kann. Auch Angreifer passen sich an. Sie nutzen zum Teil getunnelte DNS-Verbindungen oder andere Methoden, um klassische Sinkhole-Techniken zu umgehen.

Deshalb sollte man ein Sinkhole immer als Teil eines größeren Sicherheitskonzepts sehen. Dazu gehören zum Beispiel aktuelle Updates, Schutzprogramme, Netzwerküberwachung und klare Reaktionsprozesse bei Vorfällen.

Das könnte Ihnen auch gefallen