BSI warnt erneut vor kritischen Lücken in BIND-DNS-Servern

Das BSI aktualisiert seine Warnung vor schweren Sicherheitslücken in BIND-DNS-Servern und fordert dringende Patches. Die Schwachstellen ermöglichen DoS-Angriffe und Cache Poisoning und bergen regulatorische Risiken durch NIS-2.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verschärft seine Warnung vor schwerwiegenden Sicherheitslücken in BIND-DNS-Servern. Mit einer als „Hoch“ eingestuften Gefahrenstufe fordert das BSI IT-Administratoren in Deutschland und der EU auf, ihre Systeme umgehend zu überprüfen und zu patchen.

Alarmstufe Rot für Internet-Grundlagen

Am heutigen Mittwoch, dem 7. Januar 2026, hat das Computer Emergency Response Team des BSI (CERT-Bund) seine Sicherheitswarnung WID-SEC-2025-2392 aktualisiert. Der Grund: Mehrere kritische Schwachstellen in der weltweit verbreiteten DNS-Software BIND (Berkeley Internet Name Domain) stellen nach wie vor eine akute Bedrohung dar. Angreifer können die Lücken ausnutzen, um Server lahmzulegen oder Dateien zu manipulieren – und das ohne vorherige Authentifizierung.

Die Bewertung nach dem Common Vulnerability Scoring System (CVSS) spricht eine klare Sprache: Mit einem Basis-Score von 8,6 gilt die Bedrohungslage als ernst. Betroffen sind verschiedene Versionen der BIND-9-Software auf UNIX- und Windows-Systemen. Das Problem liegt in der Verarbeitungslogik der DNS-Server, die durch speziell präparierte Anfragen überlastet oder korrumpiert werden kann.

Die aktuelle BSI‑Warnung zu BIND zeigt, wie schnell Angreifer kritische Infrastruktur lahmlegen können — und wie groß das Patch‑Gap ist. Wer DoS, Cache‑Poisoning und drohende NIS‑2‑Strafen vermeiden will, braucht einen konkreten Maßnahmenplan. Unser kostenloser Cyber‑Security‑Leitfaden erklärt praxisnah Monitoring‑Checks, automatisiertes Patch‑Management, Risiko‑Priorisierung und eine Checkliste für schnelle Sofortmaßnahmen im IT‑Betrieb. Jetzt kostenlosen Cyber‑Security‑Leitfaden herunterladen

Warum kommt diese Warnung gerade jetzt? Für viele Unternehmen endet in diesen Tagen die Urlaubsphase – ein klassischer Zeitpunkt, an dem IT-Abteilungen Wartungsarbeiten nachholen. Das BSI nutzt diesen Moment für einen dringenden Appell, denn DNS-Server bilden das Rückgrat der Internet-Konnektivität für Behörden und Unternehmen gleichermaßen.

Angriff auf die digitale Lebensader

Die Kerngefahr besteht in Denial-of-Service-Angriffen (DoS). Ein erfolgreicher Angriff könnte DNS-Server komplett unbrauchbar machen. Die Folge: Eine Organisation verschwindet praktisch aus dem Internet. Für Online-Händler, Banken oder kritische Infrastrukturen bedeutet das unmittelbare, massive finanzielle Verluste.

Doch die Bedrohung geht noch weiter. Wie das BSI detailliert, ermöglichen die Schwachstellen auch Cache Poisoning (etwa durch CVE-2025-40778). Dabei leiten Angreifer Internetverkehr auf manipulierte Seiten um – ein Albtraum für Datenschutz und Sicherheit. Die aktualisierte Warnliste des BSI zeigt, dass nicht nur reine BIND-Server betroffen sind, sondern auch integrierte Systeme wie IBM QRadar SIEM oder F5 BIG-IP.

Das eigentliche Problem ist jedoch nicht die Verfügbarkeit von Patches. Der Internet Systems Consortium (ISC) hat längst korrigierte Versionen wie BIND 9.18.41, 9.20.15 oder 9.21.14 bereitgestellt. Die Crux liegt im „Patch-Gap“ – der Lücke zwischen Verfügbarkeit und tatsächlicher Installation in komplexen Unternehmensnetzwerken.

Compliance-Risiko und regulatorischer Druck

Die anhaltende Gefahr durch die BIND-Lücken hat auch rechtliche Konsequenzen. Die verschärfte NIS-2-Richtlinie der EU verpflichtet Betreiber kritischer Infrastrukturen zu strikten Meldepflichten und kurzen Behebungsfristen. Wer eine vom BSI als „Hoch“ eingestufte Schwachstelle ignoriert, riskiert bei einem Sicherheitsvorfall nicht nur Imageschaden, sondern auch regulatorische Bußgelder und Haftungsansprüche.

Die Frage ist also nicht mehr, ob gepatcht werden soll, sondern wie schnell. In einer Zeit, in der Cyberangriffe auf Grundlagen-Infrastruktur zunehmen, wird Untätigkeit zum unkalkulierbaren Risiko. Das BSI sendet mit seiner aktualisierten Warnung ein klares Signal: Die Aufsichtsbehörden werden 2026 noch proaktiver auf bekannte, aber nicht behobene Schwachstellen hinweisen.

Handlungsempfehlungen: So schützen Sie Ihre Systeme

Das BSI und CERT-Bund geben konkrete Anweisungen für IT-Verantwortliche:

• Sofortige Updates: Patchen Sie umgehend auf die neuesten, sicheren BIND-9-Versionen.
• Rekursion deaktivieren: Schalten Sie Rekursion auf autoritativen Nameservern ab, wo immer möglich.
• Zugang beschränken: Setzen Sie strikte Zugangskontrolllisten (ACLs) ein, um Abfragen einzuschränken.
• Traffic überwachen: Achten Sie auf anomale DNS-Verkehrsmuster, die auf DoS-Angriffe hindeuten.

Sicherheitsexperten betonen jedoch: „Einmal patchen reicht nicht.“ Angreifer entwickeln ihre Methoden ständig weiter. Automatisiertes Patch-Management und kontinuierliches Schwachstellen-Scanning gehören deshalb zum Pflichtprogramm für jedes Unternehmen, das auf stabile Internetdienste angewiesen ist.

Die BSI-Warnung zu BIND ist damit auch ein Weckruf für das Jahr 2026. In einer zunehmend vernetzten Welt rücken die unsichtbaren Grundpfeiler des Internets – wie das Domain Name System – immer stärker ins Visier von Cyberkriminellen. Die Antwort kann nur in konsequenter Cyber-Hygiene und schnellem Handeln liegen.

PS: Betroffen von DNS‑Schwachstellen oder stehend unter regulatorischem Druck? Der Gratis‑Report “Cyber Security Awareness Trends” fasst kompakt, welche technischen Gegenmaßnahmen und organisatorischen Schritte jetzt Priorität haben — von Patch‑Automatisierung über Traffic‑Monitoring bis zur Vorbereitung auf Meldepflichten nach NIS‑2. Ideal für IT‑Leiter und Entscheider, die ohne große Budgets sofort Risiken reduzieren wollen. Gratis Cyber‑Security‑Report anfordern