DENIC mit DNS-Problem: Zahllose .de-Domains unerreichbar (Update)
Ein massiver Ausfall legt aktuell einen Großteil der deutschen .de-Domains lahm. Ursache ist ein technisches Problem bei der zentralen Registrierungsstelle DENIC, wo eine fehlerhafte DNSSEC-Signatur den Zugriff bundesweit blockiert.
Update 06.05. 2026, 02:00 Uhr: Mittlerweile hat die DENIC das Ende der Störung bekannt gegeben. Die Probleme bei der DNS-Auflösung von .de-Domains seien nach der Beseitigung der DNSSEC-Störung behoben worden. Genaue Details zu den Ursachen wolle man transparent kommunizieren, sobald diese verfügbar seien, hieß es über Bluesky. /Update
Das Domain Name System, kurz DNS, fungiert als Adressbuch des Internets und übersetzt Webadressen in IP-Adressen. Um Manipulationen zu verhindern, nutzen viele Betreiber die Sicherheitserweiterung DNSSEC. Das signiert die Antworten kryptografisch. Genau hier liegt der Fehler: Eine ungültige Signatur für die gesamte deutsche Top-Level-Domain führt dazu, dass DNS-Resolver die Namensauflösung verweigern.
Wie heise online berichtet, lässt sich der Fehler mit Diagnosewerkzeugen auf eine fehlerhafte digitale Signatur eingrenzen. DNS-Dienste von Google oder Cloudflare blockieren den Zugriff, da die Echtheit der Zone nicht bestätigt werden kann. Anwender erhalten im Browser Hinweise auf nicht gefundene Server.
Ein Wechsel des DNS-Anbieters im Router bringt in der Regel keine Abhilfe. Lediglich Domains, deren Daten noch im Browser- oder Resolver-Cache hinterlegt sind, lassen sich derzeit ohne Probleme aufrufen.
Ein solcher wird zum Beispiel von Level 3 unter den Adressen 4.2.2.1 und 4.2.2.6 betrieben. Quad9 stellt einen nicht-validierenden Server unter der Adresse 9.9.9.10 bereit.
Die technischen Teams analysieren derzeit die Ursachen, um den stabilen Betrieb möglichst rasch wiederherzustellen. Sobald weitere Details vorliegen, will die Registry umfassend über die Hintergründe informieren. Ironischerweise ist die Statusseite der DENIC aufgrund des Fehlers zeitweise selbst nicht erreichbar.
Die DENIC verwaltet mit über 17 Millionen Einträgen eine der größten Domain-Zonen weltweit. Das System ist hochkomplex, weshalb selbst kleine Konfigurationsfehler direkte Auswirkungen auf die Erreichbarkeit haben.
Ein Ausfall einer gesamten Länderkennung passiert außergewöhnlich selten. Ein vergleichbarer Vorfall ereignete sich im Jahr 2009, als die schwedische Endung .se durch falsch konfigurierte Schlüssel für zwei Stunden vom Netz ging. Damals waren rund 900.000 Domains unerreichbar.
Für betroffene Administratoren gilt nun, folgende Punkte zu beachten:
Ein Eingriff in die eigene Infrastruktur kann zu langfristigen Folgeproblemen führen, sobald das Hauptproblem behoben ist. Während Domains ohne eigene Absicherung je nach Cache des Anbieters bald wieder funktionieren, bleiben streng abgesicherte Seiten vorerst offline. Der Vorfall verdeutlicht die Abhängigkeit von zentralen Sicherheitsmechanismen. Das System handelt jedoch exakt nach Spezifikation und blockiert fehlerhafte Verbindungen konsequent.
Unterdessen hat Cloudflare, Betreiber des DNS-Servers 1.1.1.1, reagiert. Über den Nachrichtendienst X gab Dane Knecht, CTO bei Cloudflare, bekannt, dass man die DNSSEC-Validierung für .de-Domains deaktiviert habe.
Im RFC 7646 ist dafür ein Verfahren in Form eines sogenannten "Negative Trust Anchor" vorgesehen, mit dem sich DNSSEC-Validierungsfehler temporär für eine bestimmte Domain umgehen lassen.
Wie verbringt ihr den unfreiwilligen Offline-Abend und welche Dienste vermisst ihr aktuell am meisten? Teilt eure Erfahrungen und Beobachtungen gerne mit uns in den Kommentaren!
Schön, dass ihr uns noch lest
Es ist ein glücklicher Umstand, dass das Aufrufen unserer Webseite gerade funktioniert. Am Abend des 5. Mai 2026 ist ein Großteil der deutschen .de-Domains aus dem Internet verschwunden. Seit etwa 21:50 Uhr melden Nutzer bundesweit Ausfälle bei Webseiten, E-Mail-Diensten und Smartphone-Apps der Deutschen Bahn. Ursache ist ein technisches Problem bei der zentralen Registrierungsstelle DENIC in Frankfurt am Main.Das Domain Name System, kurz DNS, fungiert als Adressbuch des Internets und übersetzt Webadressen in IP-Adressen. Um Manipulationen zu verhindern, nutzen viele Betreiber die Sicherheitserweiterung DNSSEC. Das signiert die Antworten kryptografisch. Genau hier liegt der Fehler: Eine ungültige Signatur für die gesamte deutsche Top-Level-Domain führt dazu, dass DNS-Resolver die Namensauflösung verweigern.
Wie heise online berichtet, lässt sich der Fehler mit Diagnosewerkzeugen auf eine fehlerhafte digitale Signatur eingrenzen. DNS-Dienste von Google oder Cloudflare blockieren den Zugriff, da die Echtheit der Zone nicht bestätigt werden kann. Anwender erhalten im Browser Hinweise auf nicht gefundene Server.
Ein Wechsel des DNS-Anbieters im Router bringt in der Regel keine Abhilfe. Lediglich Domains, deren Daten noch im Browser- oder Resolver-Cache hinterlegt sind, lassen sich derzeit ohne Probleme aufrufen.
Update: Hotfix mit nicht-validierendem DNS-Server
Wer in den Abendstunden dringend auf .de-Domains angewiesen ist, kann zur Umgehung des Problems einen DNS-Server im eigenen Router oder in den Netzwerkeinstellungen des Computers hinterlegen, der DNSSEC nicht validiert.Ein solcher wird zum Beispiel von Level 3 unter den Adressen 4.2.2.1 und 4.2.2.6 betrieben. Quad9 stellt einen nicht-validierenden Server unter der Adresse 9.9.9.10 bereit.
Kein Hackerangriff erkennbar
Nach aktuellem Kenntnisstand liegt kein gezielter Angriff auf die Infrastruktur vor. Auf ihrer Statusseite spricht die DENIC offiziell von einer "Partiellen Dienste-Störung" (Partial Service Disruption): Der DNS-Service der Registry für .de-Domains sei ausgefallen, wodurch alle DNSSEC-signierten Domains in ihrer Erreichbarkeit eingeschränkt sein können.Die technischen Teams analysieren derzeit die Ursachen, um den stabilen Betrieb möglichst rasch wiederherzustellen. Sobald weitere Details vorliegen, will die Registry umfassend über die Hintergründe informieren. Ironischerweise ist die Statusseite der DENIC aufgrund des Fehlers zeitweise selbst nicht erreichbar.
Die DENIC verwaltet mit über 17 Millionen Einträgen eine der größten Domain-Zonen weltweit. Das System ist hochkomplex, weshalb selbst kleine Konfigurationsfehler direkte Auswirkungen auf die Erreichbarkeit haben.
Ein Ausfall einer gesamten Länderkennung passiert außergewöhnlich selten. Ein vergleichbarer Vorfall ereignete sich im Jahr 2009, als die schwedische Endung .se durch falsch konfigurierte Schlüssel für zwei Stunden vom Netz ging. Damals waren rund 900.000 Domains unerreichbar.
Für betroffene Administratoren gilt nun, folgende Punkte zu beachten:
- Keine voreiligen Änderungen an DNS-Einstellungen vornehmen
- Die eigene DNSSEC-Konfiguration nicht deaktivieren
- Auf eine offizielle Entwarnung der DENIC warten
Ein Eingriff in die eigene Infrastruktur kann zu langfristigen Folgeproblemen führen, sobald das Hauptproblem behoben ist. Während Domains ohne eigene Absicherung je nach Cache des Anbieters bald wieder funktionieren, bleiben streng abgesicherte Seiten vorerst offline. Der Vorfall verdeutlicht die Abhängigkeit von zentralen Sicherheitsmechanismen. Das System handelt jedoch exakt nach Spezifikation und blockiert fehlerhafte Verbindungen konsequent.
Update vom 06.05.2026, 00:47 Uhr
DENIC hat um 23:28 Uhr ein Statusupdate auf seiner Website veröffentlicht. Darin heißt es unter anderem:DENIC eG is currently experiencing a disruption in its DNS service for .de domains. As a result, all DNSSEC-signed .de domains are currently affected in their reachability.Das deckt sich allerdings nicht mit unseren Beobachtungen: Betroffen sind auch .de-Domains, die nicht mit DNSSEC signiert sind. Weiter schreibt DENIC:
The root cause of the disruption has not yet been fully identified. DENIC's technical teams are working intensively on analysis and on restoring stable operations as quickly as possible.Kontaktieren könne man die Genossenschaft "via the usual channels" - E-Mails an die Domain denic.de dürften derzeit allerdings nicht der beste Kanal sein.
Unterdessen hat Cloudflare, Betreiber des DNS-Servers 1.1.1.1, reagiert. Über den Nachrichtendienst X gab Dane Knecht, CTO bei Cloudflare, bekannt, dass man die DNSSEC-Validierung für .de-Domains deaktiviert habe.
Im RFC 7646 ist dafür ein Verfahren in Form eines sogenannten "Negative Trust Anchor" vorgesehen, mit dem sich DNSSEC-Validierungsfehler temporär für eine bestimmte Domain umgehen lassen.
Wie verbringt ihr den unfreiwilligen Offline-Abend und welche Dienste vermisst ihr aktuell am meisten? Teilt eure Erfahrungen und Beobachtungen gerne mit uns in den Kommentaren!
Warum laden .de-Websites nicht?
Die zentrale Vergabestelle für .de-Domains (DENIC) hat eine fehlerhafte kryptografische Signatur veröffentlicht. Dadurch verweigern DNS-Resolver weltweit die Namensauflösung und blockieren den Zugang zu betroffenen Webseiten, E-Mail-Servern und Apps.
Für Sie im Arbeitsalltag bedeutet das: Ihr Internetanschluss funktioniert einwandfrei, aber das "digitale Adressbuch" für deutsche Domains ist gestört. Browser melden Fehler wie "Server nicht gefunden" oder "NXDOMAIN".
Für Sie im Arbeitsalltag bedeutet das: Ihr Internetanschluss funktioniert einwandfrei, aber das "digitale Adressbuch" für deutsche Domains ist gestört. Browser melden Fehler wie "Server nicht gefunden" oder "NXDOMAIN".
Hilft ein anderer DNS-Server?
Nein, der klassische IT-Tipp, den DNS-Server im Router auf Google (8.8.8.8) oder Cloudflare (1.1.1.1) umzustellen, hilft hier leider nicht. Auch ein Neustart des Routers oder des PCs ist völlig wirkungslos.
Genau diese großen, öffentlichen DNS-Anbieter prüfen die Antworten kryptografisch besonders streng. Da die Signatur der DENIC fehlerhaft ist, blockieren auch sie die Weiterleitung aus Sicherheitsgründen. Als Notlösung lassen sich nicht-validierende Resolver wie Level 3 (4.2.2.1) oder Quad9 (9.9.9.10) verwenden.
Genau diese großen, öffentlichen DNS-Anbieter prüfen die Antworten kryptografisch besonders streng. Da die Signatur der DENIC fehlerhaft ist, blockieren auch sie die Weiterleitung aus Sicherheitsgründen. Als Notlösung lassen sich nicht-validierende Resolver wie Level 3 (4.2.2.1) oder Quad9 (9.9.9.10) verwenden.
Was muss ich als Admin jetzt tun?
Die wichtigste Regel lautet: Bewahren Sie Ruhe und ändern Sie keine Konfigurationen. Widerstehen Sie dem Impuls, DNS-Records anzupassen, Schlüssel zu rotieren oder den Provider zu wechseln. Das Problem liegt eine Ebene über Ihrer Infrastruktur.
Sie können die Störung mit dem Befehl dig +dnssec de. SOA @8.8.8.8 nachvollziehen. Markieren Sie Warnungen in Ihrem Monitoring-Tool vorerst als gelesen und informieren Sie Ihre Nutzer über alternative Kanäle wie Social Media oder .com-Domains.
Sie können die Störung mit dem Befehl dig +dnssec de. SOA @8.8.8.8 nachvollziehen. Markieren Sie Warnungen in Ihrem Monitoring-Tool vorerst als gelesen und informieren Sie Ihre Nutzer über alternative Kanäle wie Social Media oder .com-Domains.
Was genau ist die technische Ursache?
Die DENIC hat eine ungültige Signatur (RRSIG) für den sogenannten SOA-Datensatz der gesamten .de-Zone in Umlauf gebracht. Dadurch bricht die Vertrauenskette (Trust-Chain) von DNSSEC direkt an der Wurzel ab.
Warum diese Signatur fehlerhaft generiert wurde, ist offiziell noch nicht abschließend geklärt. Auf Plattformen wie Reddit heißt es jedoch unbestätigt, dass angeblich ein fehlgeschlagener "DNSSEC ZSK-Rollover" der Auslöser für die Panne sei.
Warum diese Signatur fehlerhaft generiert wurde, ist offiziell noch nicht abschließend geklärt. Auf Plattformen wie Reddit heißt es jedoch unbestätigt, dass angeblich ein fehlgeschlagener "DNSSEC ZSK-Rollover" der Auslöser für die Panne sei.
Handelt es sich um einen Cyberangriff?
Aktuell gibt es keinerlei Hinweise auf einen gezielten Hackerangriff, ein BGP-Hijacking oder eine böswillige Manipulation der deutschen Internet-Infrastruktur. Es handelt sich um eine rein technische Fehlfunktion bei der DENIC.
Solche weitreichenden Ausfälle einer Top-Level-Domain kommen selten vor. Ein vergleichbarer Vorfall ereignete sich zuletzt 2009 in Schweden bei der .se-Domain. Die Struktur von DNSSEC greift hier genau so, wie sie spezifiziert wurde.
Solche weitreichenden Ausfälle einer Top-Level-Domain kommen selten vor. Ein vergleichbarer Vorfall ereignete sich zuletzt 2009 in Schweden bei der .se-Domain. Die Struktur von DNSSEC greift hier genau so, wie sie spezifiziert wurde.
Warum gehen manche Seiten trotzdem?
Das liegt an zwei Faktoren: Erstens greifen viele Systeme noch auf veraltete, aber funktionierende Einträge im DNS-Cache zurück. Zweitens sind Domains ohne eigenes DNSSEC oft schneller wieder erreichbar, sobald fehlerhafte Caches ablaufen.
Ironischerweise sind gerade die sicherheitsbewussten Betreiber, die DNSSEC für ihre eigene Domain aktiviert haben, am stärksten betroffen. Zudem nutzen Mobilfunknetze oft andere Caching-Mechanismen als Festnetzanbieter, was zu Unterschieden führt.
Ironischerweise sind gerade die sicherheitsbewussten Betreiber, die DNSSEC für ihre eigene Domain aktiviert haben, am stärksten betroffen. Zudem nutzen Mobilfunknetze oft andere Caching-Mechanismen als Festnetzanbieter, was zu Unterschieden führt.
Sollte ich DNSSEC jetzt deaktivieren?
Davon raten Experten dringend ab. Das Abschalten Ihrer eigenen Zonen-Signatur löst das aktuelle Problem nicht, da die Vertrauenskette bereits bei der übergeordneten .de-Zone unterbrochen ist. Sie würden lediglich Ihre eigene Sicherheit schwächen.
Auch wenn dieser Vorfall frustrierend ist: Die Alternative zu DNSSEC bedeutet nicht "immer verfügbar", sondern "immer manipulierbar". DNSSEC schützt Ihre Nutzer effektiv vor Cache-Poisoning und Umleitungen auf gefälschte Webseiten.
Auch wenn dieser Vorfall frustrierend ist: Die Alternative zu DNSSEC bedeutet nicht "immer verfügbar", sondern "immer manipulierbar". DNSSEC schützt Ihre Nutzer effektiv vor Cache-Poisoning und Umleitungen auf gefälschte Webseiten.
Wie lange dauert die Störung noch an?
Die DENIC arbeitet mit Hochdruck an der Behebung. Sobald die korrekte Signatur publiziert wird, ist das Problem an der Quelle gelöst. Allerdings kann es danach noch einige Stunden dauern, bis die weltweiten DNS-Caches aktualisiert sind.
Offizielle Updates finden Sie auf der Statusseite der DENIC. Beachten Sie jedoch: Da die Statusseite selbst eine .de-Domain nutzt, ist sie für viele Anwender während der Störung ironischerweise ebenfalls nicht erreichbar.
Offizielle Updates finden Sie auf der Statusseite der DENIC. Beachten Sie jedoch: Da die Statusseite selbst eine .de-Domain nutzt, ist sie für viele Anwender während der Störung ironischerweise ebenfalls nicht erreichbar.
Zusammenfassung
- Die DENIC meldet eine technische Störung bei der Signatur von .de-Domains
- Seit dem Abend des 5. Mai 2026 sind viele deutsche Webseiten nicht erreichbar
- Eine ungültige DNSSEC-Signatur führt zur Blockade durch externe DNS-Resolver
- Bisher gibt es keine Hinweise auf einen gezielten Hackerangriff von außen
- Admins sollten keine Änderungen an der eigenen DNS-Konfiguration vornehmen
- Cloudflare hat einen Negative Trust Anchor nach RFC 7646 für 1.1.1.1 gesetzt
- Betroffen sind potenziell über 17 Millionen Einträge der deutschen Domain-Zone
- Ähnliche Ausfälle einer kompletten Länderkennung gab es zuletzt im Jahr 2009
Thema:
Beliebte Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen