Skip to content

Der NS Record: Wer die Nameserver kontrolliert, kontrolliert alles

Kein anderer DNS-Record gibt so viel Macht über deine gesamte Domain wie der NS Record.

Was ist ein NS Record?

Der NS Record (Name Server Record) legt fest, welche Nameserver für eine Domain autoritativ sind. Wenn jemand deine Domain auflöst, fragt das DNS-System zuerst die Root-Server, dann die TLD-Server – und die verweisen auf die Nameserver, die in deinem NS Record stehen.

Einfach gesagt: Der NS Record ist die Antwort auf die Frage "Wer ist zuständig für diese Domain?"

Warum ist er so kritisch?

Weil der NS Record hierarchisch über allen anderen Records steht. Wer die Nameserver kontrolliert, kontrolliert:

• Alle A/AAAA Records (wohin dein Traffic fließt)
• Alle MX Records (wohin deine Mails gehen)
• Alle TXT Records (SPF, DKIM, Domain-Verifizierungen)
• Alle CNAME Records (Service-Zuordnungen)
• Alle CAA Records (wer Zertifikate ausstellen darf)

Ein kompromittierter NS Record ist kein einzelner Angriff. Es ist die Übernahme der gesamten Domain-Identität.

Wie sieht ein Angriff aus?

Szenario: Ein Angreifer verschafft sich Zugang zu deinem Domain-Registrar – etwa durch einen kompromittierten API-Key, ein schwaches Passwort oder Social Engineering beim Support.

Er ändert die NS Records deiner Domain. Ab jetzt zeigen sie auf Nameserver, die er kontrolliert. Was passiert?

Der Angreifer kann jetzt beliebige DNS-Antworten für deine Domain liefern. Er leitet deinen Web-Traffic auf seine Server um. Er empfängt deine E-Mails. Er kann sogar gültige TLS-Zertifikate für deine Domain ausstellen – weil er die DNS-Challenge für Let's Encrypt problemlos bestehen kann.

Und das Tückische: Deine eigentliche Infrastruktur läuft weiter. Deine Server sind online. Deine Monitoring-Tools melden "alles grün" – weil sie sich selbst auflösen und die richtigen IPs bekommen. Nur der Rest der Welt sieht etwas anderes.

Warum klassisches Monitoring versagt

Die meisten Monitoring-Tools prüfen: Ist mein Server erreichbar? Antwortet er korrekt? Ist das Zertifikat gültig?

Aber sie prüfen nicht: Zeigt mein NS Record noch auf die richtigen Nameserver? Und genau das ist die Lücke.

Ein NS-Record-Angriff ist unsichtbar für alles, was nur die eigene Infrastruktur überwacht. Du brauchst eine externe Perspektive – jemanden, der von außen prüft, ob die DNS-Delegation noch stimmt.

Reale Vorfälle

NS-Record-Manipulationen sind keine Theorie. 2019 dokumentierte das US-CERT eine Kampagne (DNSpionage), bei der staatliche Akteure gezielt NS Records von Regierungs- und Unternehmensdomains änderten. Die Angreifer leiteten Traffic um, fingen Credentials ab und stellten gültige Zertifikate aus – alles über manipulierte Nameserver-Delegationen.

Auch kleinere Vorfälle passieren regelmäßig: Registrar-Accounts werden kompromittiert, Support-Mitarbeiter werden getäuscht, API-Keys leaken in Git-Repositories.

Was Driftguard erkennt

Driftguard erfasst beim ersten Scan deine NS Records als Baseline. Ab dann wird bei jedem Check geprüft: Zeigen die NS Records noch auf dieselben Nameserver?

Ändert sich etwas – egal ob durch einen geplanten Provider-Wechsel oder einen Angriff – wird die Abweichung sofort erkannt und dokumentiert. Du entscheidest: Bestätigen (weil du den Provider gewechselt hast) oder handeln (weil du es nicht warst).

Denn NS Records ändern sich fast nie. Und wenn sie es tun, solltest du es wissen.