Am Abend des 5. Mai 2026 trat ein Szenario ein, das viele für nahezu ausgeschlossen hielten: Praktisch sämtliche .de-Domains waren über Stunden hinweg nicht erreichbar. Keine einzelne Hosting-Störung, kein Provider-Problem – sondern ein DNSSEC-Konfigurationsfehler auf Ebene der .de-Zone selbst. Wenn du Domains verwaltest, Kundenprojekte betreust oder dein eigenes Business auf einer .de-Domain betreibst, solltest du verstehen, was genau passiert ist und wie du dich auf solche Szenarien vorbereiten kannst.
Inhaltsverzeichnis
- Was ist am Abend des 5. Mai passiert?
- Die technische Ursache: Eine fehlerhafte RRSIG-Signatur
- Warum ein DNS-Wechsel diesmal nicht half
- Die Reaktion der DENIC
- Welche Lehren du als Domain-Inhaber daraus ziehen kannst
- DNS-Grundlagen: Warum DNSSEC so wichtig ist – trotz solcher Vorfälle
- Übersicht: Zeitleiste des Vorfalls
- Deine Domain-Infrastruktur professionell aufstellen
Sicher Dir Deine Domain
Bei checkdomain findest du eine große Auswahl an verfügbaren Domains unter etablierten TLDs. Die Registrierung erfolgt in Minuten und du kannst sofort mit deinem Projekt starten.
Was ist am Abend des 5. Mai passiert?
Gegen 21:50 Uhr mehrten sich Berichte, dass .de-Domains nicht mehr aufgelöst werden konnten. Browser zeigten Fehlermeldungen, Apps wie die der Deutschen Bahn funktionierten nicht mehr, und auch der E-Mail-Versand an .de-Adressen brach zusammen. Betroffen waren nicht nur einzelne Provider oder bestimmte DNS-Resolver, sondern das gesamte DNS-Ökosystem – von Googles 8.8.8.8 über Cloudflares 1.1.1.1 bis hin zu den DNS-Servern der einzelnen Internetanbieter.
Wer die betroffenen Websites trotzdem noch aufrufen konnte, hatte schlicht Glück: Die IP-Adressen lagen noch im lokalen DNS-Cache. Sobald dieser abgelaufen war, ging auch bei diesen Nutzern nichts mehr.
Die technische Ursache: Eine fehlerhafte RRSIG-Signatur
Das Problem lag nicht auf Seiten einzelner Domain-Inhaber oder Hosting-Provider. Die Ursache war ein fehlerhafter RRSIG-Eintrag für den SOA-Record (Start of Authority) der gesamten .de-Zone. RRSIG-Einträge sind ein zentraler Bestandteil von DNSSEC – sie enthalten digitale Signaturen, die die Authentizität von DNS-Antworten kryptografisch bestätigen.
Konkret lieferte eine Abfrage mit dem Kommandozeilenwerkzeug dig gegen die .de-Zone eine Fehlermeldung: RRSIG with malformed signature found for de/soa. Das bedeutet, dass die Signatur des SOA-Eintrags ungültig war. Jeder DNS-Resolver, der DNSSEC-Validierung durchführt – und das sind heute die allermeisten großen öffentlichen Resolver – verwarf die DNS-Antworten als nicht vertrauenswürdig und gab stattdessen NXDOMAIN zurück: Domain existiert nicht.
Wichtig zu verstehen: Es war dabei völlig irrelevant, ob deine eigene .de-Domain DNSSEC-signiert war oder nicht. Der Fehler lag auf der übergeordneten Zonenebene. Die Validierung scheiterte bereits bei der Auflösung der .de-Zone, bevor überhaupt die einzelne Domain abgefragt werden konnte. Jede .de-Domain war betroffen.
Warum ein DNS-Wechsel diesmal nicht half
Der erste Instinkt bei DNS-Problemen ist oft, den Resolver zu wechseln – von dem des Providers auf Google, Cloudflare oder Quad9 beispielsweise. In diesem Fall brachte das zunächst überhaupt nichts. Alle DNSSEC-validierenden Resolver weltweit sahen dieselbe fehlerhafte Signatur und reagierten korrekt, indem sie die Auflösung verweigerten. Das DNS funktionierte in diesem Fall also technisch einwandfrei – es tat genau das, wozu DNSSEC entworfen wurde: nicht vertrauenswürdige Antworten ablehnen.
Erst Cloudflare reagierte proaktiv und deaktivierte die DNSSEC-Validierung gezielt für die .de-Zone an seinem Resolver 1.1.1.1. Ein solches Vorgehen ist in RFC 7646 als Notfallmaßnahme beschrieben. Damit konnten Nutzer, die Cloudflare als Resolver verwendeten, .de-Domains wieder auflösen – allerdings ohne die kryptografische Absicherung durch DNSSEC.
Temporärer Workaround: Nicht-validierende DNS-Server
Für die Stunden zwischen dem Auftreten des Fehlers und seiner Behebung gab es nur einen praktikablen Workaround: Den DNS-Resolver auf einen Server umstellen, der DNSSEC grundsätzlich nicht validiert. Beispiele sind die Server von Level 3 (4.2.2.1 und 4.2.2.6) oder der nicht-validierende Resolver von Quad9 unter 9.9.9.10. Diese Umstellung ließ sich entweder im Router oder direkt in den Netzwerkeinstellungen des Betriebssystems vornehmen.
Diese Lösung ist allerdings ausdrücklich nur als Notmaßnahme zu verstehen. Ein dauerhafter Verzicht auf DNSSEC-Validierung schwächt die Sicherheit deiner DNS-Auflösung erheblich.
Die Reaktion der DENIC
Die DENIC, als Genossenschaft verantwortlich für die Verwaltung der .de-Zone, veröffentlichte gegen 22:55 Uhr einen ersten Hinweis auf ihrer Statusseite: „Partial Service Disruption". Ein ausführlicheres Update folgte um 23:28 Uhr, in dem die DENIC bestätigte, dass eine Störung im DNS-Dienst für .de-Domains vorliege und alle DNSSEC-signierten .de-Domains in ihrer Erreichbarkeit betroffen seien.
Diese Darstellung war allerdings unvollständig. Wie beschrieben betraf die Störung faktisch alle .de-Domains, nicht nur DNSSEC-signierte. Die DENIC teilte außerdem mit, dass die Ursache noch nicht vollständig identifiziert sei und die technischen Teams intensiv an der Analyse und Wiederherstellung arbeiteten. In der Nacht auf den 6. Mai, um 03:42 Uhr, wurde die Signatur der .de-Zone schließlich erneuert und die DNSSEC-Validierung funktionierte wieder korrekt.
Welche Lehren du als Domain-Inhaber daraus ziehen kannst
Ein Vorfall wie dieser zeigt, dass auch Infrastruktur, die als äußerst zuverlässig gilt, versagen kann. Als Selbstständiger, Freelancer oder Agentur bist du gut beraten, bestimmte Vorkehrungen zu treffen, auch wenn du gegen einen Fehler auf Zone-Ebene nicht direkt etwas unternehmen kannst.
Monitoring und Alerting einrichten
Wenn du Kundenprojekte betreust oder ein eigenes Online-Business betreibst, solltest du ein Monitoring einsetzen, das nicht nur die Erreichbarkeit deines Servers prüft, sondern auch die DNS-Auflösung überwacht. So wirst du frühzeitig alarmiert und kannst Kunden proaktiv informieren, anstatt erst durch Support-Anfragen von einem Problem zu erfahren.
Notfall-DNS-Konfiguration dokumentieren
Halte für dein Team oder für dich selbst eine Kurzanleitung bereit, wie du den DNS-Resolver im Router oder Betriebssystem wechselst. Dokumentiere auch die IP-Adressen nicht-validierender Resolver als Notfall-Option. Im Ernstfall zählt jede Minute – und unter Stress nach diesen Informationen zu suchen, kostet unnötig Zeit.
Mehrere TLDs in Betracht ziehen
Wenn dein Geschäft kritisch von der Erreichbarkeit einer einzigen Domain abhängt, kann es sinnvoll sein, eine zusätzliche Domain unter einer anderen TLD zu registrieren – etwa eine .com, .net oder eine der neueren Endungen. Diese kann im Notfall als Fallback-Kommunikationskanal dienen, beispielsweise für eine Statusseite oder eine alternative E-Mail-Adresse.
E-Mail-Kommunikation absichern
Besonders kritisch war der Vorfall für die E-Mail-Kommunikation. Wenn deine geschäftliche E-Mail-Adresse auf einer .de-Domain liegt und diese nicht aufgelöst werden kann, gehen eingehende E-Mails nicht verloren, aber sie werden verzögert – Absenderserver versuchen die Zustellung über Stunden oder Tage erneut. Trotzdem kann es sinnvoll sein, eine Backup-E-Mail-Adresse unter einer anderen TLD verfügbar zu haben, zumindest für kritische Geschäftsprozesse.
DNS-Grundlagen: Warum DNSSEC so wichtig ist – trotz solcher Vorfälle
DNSSEC wurde entwickelt, um DNS-Antworten kryptografisch abzusichern. Ohne DNSSEC kann ein Angreifer DNS-Antworten fälschen und Nutzer auf bösartige Server umleiten – sogenanntes DNS-Spoofing. DNSSEC verhindert das, indem jede DNS-Antwort mit einer digitalen Signatur versehen wird, die der anfragende Resolver überprüfen kann.
Der Vorfall vom 5. Mai zeigt, dass DNSSEC ein zweischneidiges Schwert sein kann: Es schützt zuverlässig vor Manipulation, aber ein Konfigurationsfehler bei der Signierung kann dazu führen, dass legitime Domains als nicht vertrauenswürdig abgelehnt werden. Trotzdem ist DNSSEC ein unverzichtbarer Sicherheitsmechanismus. Der richtige Schluss aus dem Vorfall ist nicht, auf DNSSEC zu verzichten, sondern redundante Prozesse für die Signierungsinfrastruktur zu fordern.
Übersicht: Zeitleiste des Vorfalls
| Zeitpunkt | Ereignis |
|---|---|
| 05.05.2026, ca. 21:50 Uhr | Erste Berichte über nicht auflösbare .de-Domains |
| 05.05.2026, ca. 22:55 Uhr | DENIC veröffentlicht Statusmeldung: „Partial Service Disruption" |
| 05.05.2026, 23:28 Uhr | DENIC bestätigt DNS-Störung für .de-Domains |
| Nacht auf 06.05.2026 | Cloudflare deaktiviert DNSSEC-Validierung für .de am Resolver 1.1.1.1 |
| 06.05.2026, 03:42 Uhr | DENIC erneuert die RRSIG-Signatur der .de-Zone – Störung behoben |
Deine Domain-Infrastruktur professionell aufstellen
Der DNSSEC-Vorfall bei der .de-Zone unterstreicht, wie wichtig eine durchdachte Domain-Strategie ist. Bei checkdomain kannst du nicht nur deine .de-Domains registrieren und verwalten, sondern auch Domains unter zahlreichen weiteren TLDs sichern – ideal, um für Ausfallszenarien gewappnet zu sein.
Wenn du dein Webhosting und deine E-Mail-Adressen bei checkdomain betreibst, profitierst du von einer Infrastruktur, die auf Zuverlässigkeit und schnelle Reaktionszeiten ausgelegt ist. Gerade für geschäftskritische Kommunikation lohnt es sich, E-Mail-Adressen unter mehreren Domains einzurichten, um im Notfall flexibel zu bleiben.
Darüber hinaus unterstützt dich checkdomain bei der Website-Erstellung, damit dein Webauftritt professionell und technisch sauber umgesetzt ist. Und mit den SEO- und SEA-Dienstleistungen von checkdomain stellst du sicher, dass deine Sichtbarkeit in Suchmaschinen nicht nur von der Verfügbarkeit einer einzigen Domain abhängt, sondern strategisch breit aufgestellt ist.
E-Mail-Login, IP-Check & mehr: Unsere meistgesuchten Ratgeber
Millionen Nutzer greifen täglich auf ihr E-Mail-Postfach zu – und nicht immer klappt der Login auf Anhieb. In unseren ausführlichen Anleitungen zeigen wir dir, wie du dich problemlos bei Web.de einloggst, den Hotmail-Login meisterst oder schnell auf dein GMX.de-Postfach zugreifst – inklusive Hilfe bei Störungen und vergessenen Zugangsdaten. Ebenso häufig gefragt: „Wie ist meine IP?" Unser Ratgeber erklärt dir, wie du deine IP-Adresse in Sekunden herausfindest und was sie über deinen Internetanschluss verrät. Du möchtest eine neue E-Mail-Adresse erstellen? Wir erklären dir Schritt für Schritt, wie du ein professionelles Postfach einrichtest – ob privat oder geschäftlich. Und wer schnell etwas übersetzen muss, findet in unserem Guide zum Google Übersetzer die wichtigsten Tipps und Tricks. Ist Dein Facbook Konto gehackt? In unserem Artikel findest du alles, was du dazu wissen musst.
WhatsApp
