DENIC: DNSSEC-Panne legt .de am 5. Mai 2026 lahm

KRACH bei der .de-Registry: Am 5. Mai 2026 hat DENIC einen Routine-Key-Rollover für DNSSEC durchgeführt — und dabei nicht-validierbare Signaturen in die Welt geschickt. Folge: Millionen Domains waren stundenlang weg, deutsche Internet-Nutzer landeten reihenweise auf der Fehler-Seite ihres Resolvers.

UNGLAUBLICH: Die Kette riss in der Mitte

Was war passiert? Beim DNSSEC-Key-Rollover werden die Signier-Schlüssel der TLD-Zone gewechselt. Solche Rollover sind normales Tagesgeschäft. Diesmal aber publizierte DENIC Signaturen, die nicht zu den passenden Schlüsseln passten. Jeder validierende Resolver musste die Antworten gemäß DNSSEC-Spec abweisen — und gab seinen Clients ein nacktes SERVFAIL zurück.

SO sah die Timeline aus

19:30 UTC: Erste fehlerhafte Signaturen gehen live.
21:57: DENIC bemerkt den Fehler.
~22:30: Cloudflare publiziert eigene Notmaßnahmen, andere DNS-Provider folgen.
01:15 (6. Mai): Fix ist ausgerollt, .de antwortet wieder valide.

SCHOCK: Auch große Namen fielen weg

Downdetector zeigte parallel tausende Outage-Meldungen für Amazon, DHL, Steam, Web.de, bahn.de und Spiegel. Auch eBay und große Newsportale wurden gemeldet. Nur Domains ohne DNSSEC blieben unbeeindruckt — bitter ironisch für ein Sicherheits-Feature, das eigentlich Vertrauen schaffen soll.

EXTRA-TIPP: So bist du beim nächsten Rollover sicher

DNSSEC-Status prüfen: dig +dnssec deine-domain.de oder das DNSViz-Tool zeigen dir, ob deine Zone signiert ist und ob die Kette geschlossen ist.
Resolver mit Negative-Trust-Anchor: Wer einen eigenen Pi-hole oder Unbound betreibt, kann im Notfall eine Negative Trust Anchor setzen, die kaputte Signaturen ignoriert (Notbremse — nicht dauerhaft!).
Monitoring: Tools wie RIPE Atlas, UptimeRobot oder ein simples statuscake-Probe alarmieren dich, wenn dein Hostname plötzlich SERVFAIL liefert.
Backup-Resolver: Im Auto-Resolv deines Routers nicht nur einen Provider eintragen — Cloudflare (1.1.1.1) + Quad9 (9.9.9.9) als Mix federt Einzelausfälle ab.

FAZIT: Sicherheits-Feature mit Single-Point-of-Failure

Die Pleite zeigt, was die ICANN seit Jahren predigt: DNSSEC ist nur so robust wie das Operations-Team dahinter. DENIC hat schnell reagiert und einen detaillierten Analyse-Bericht veröffentlicht. Für dich heißt das aber: Plane DNSSEC-Outages in dein Resilienz-Konzept ein. Eine Site, deren Erreichbarkeit von einem einzigen Schlüsselwechsel abhängt, ist nicht zukunftssicher.

Häufige Fragen

Was ist DNSSEC überhaupt?

DNSSEC fügt digitale Signaturen zu DNS-Antworten hinzu, damit Resolver die Echtheit prüfen können. Damit lassen sich Cache-Poisoning-Angriffe deutlich erschweren. Der Preis: Ein Konfigurationsfehler — wie der DENIC-Rollover-Crash — macht die Zone für validierende Resolver komplett unerreichbar.

Sind nicht-DNSSEC-Domains sicherer?

Im konkreten Fall waren sie weniger anfällig für diese spezielle Panne. Generell ist DNSSEC aber ein Sicherheitsgewinn. Die Schlussfolgerung ist nicht „DNSSEC ausschalten“, sondern „Operations härten und Monitoring aufbauen“.

Wie validiere ich meine Domain selbst?

Online-Tools wie dnssec-analyzer.verisignlabs.com oder dnsviz.net zeichnen die komplette Vertrauenskette grafisch. Auf der Kommandozeile genügt dig +dnssec deinedomain.de — die Antwort sollte ein „ad“-Flag enthalten.

Wird DENIC den Prozess ändern?

Im Postmortem hat DENIC angekündigt, die Key-Rollover-Pipeline um automatische Vorab-Validierung zu erweitern und ein Vier-Augen-Prinzip einzuführen. Die nächsten Rollover sollten damit deutlich robuster ablaufen.

Quellen: aktuelle Berichterstattung von Anbietern, Security-Researcher, Branchen-Magazinen und Fachpresse vom Mai 2026. Stand: 11. Mai 2026.

DENIC-ALARM! DNSSEC-Panne legte JETZT halb Deutschland lahm — DEINE Domain stand SEKUNDEN vor dem Aus!