Dienstagabend, kurz vor 22 Uhr. Mein Monitoring-Dashboard leuchtet rot auf. Erst eine Domain. Dann zehn. Dann gefühlt alles mit einem .de am Ende. Ich tippe schnell dig administrator.de in mein Terminal – und bekomme genau das, was keiner sehen will: SERVFAIL. Willkommen im größten deutschen Domainausfall seit Jahren.
Was gestern Nacht passiert ist, war kein Hackerangriff, kein Serverabsturz, kein vergessenes Passwort. Es war ein einziger fehlerhafter Update-Schritt bei der Organisation, die das gesamte deutsche Namens-System des Internets verwaltet – und das hat gereicht, um einen beträchtlichen Teil des deutschen Internets für Stunden aus dem Verkehr zu ziehen.
Das Adressbuch des Internets war kaputt
Stell dir das Internet als eine riesige Stadt vor. Jede Website hat eine Adresse – aber nicht in der Form, die du in den Browser tippst. Computer arbeiten mit Zahlenfolgen, sogenannten IP-Adressen. Das Domain Name System, kurz DNS, ist das Adressbuch, das deinen Browser-Auftrag „Geh zu telekom.de“ in die richtige Zahlenadresse übersetzt.
Dieses Adressbuch für alle deutschen .de-Adressen wird von der DENIC eG in Frankfurt verwaltet. Die DENIC ist eine Genossenschaft und die zentrale Registrierungsstelle für alle Domains mit der Endung .de – und mit über 17 Millionen eingetragenen Domains eine der größten TLD-Registries weltweit.
Gestern Nacht, ab ca. 21:50 Uhr, fing dieses Adressbuch an, Unsinn zu liefern.
„Ein kaputtes DNS ist wie ein Stadtplan, der alle Straßennamen durch Fantasieadressen ersetzt hat – der Verkehr bricht zusammen, obwohl die Straßen selbst noch existieren.“
Die Ursache: Ein Schlüsseltausch, der schiefging
Jetzt wird’s kurz technisch – ich halte es aber so kurz wie möglich.
Viele Websites nutzen neben dem DNS noch eine zusätzliche Sicherheitsebene namens DNSSEC (DNS Security Extensions). Das ist so eine Art digitale Unterschrift unter jeden DNS-Eintrag: Ein kryptografischer Schlüssel signiert die Einträge, damit dein Browser sicher sein kann, dass er auch wirklich auf der echten Seite landet – und nicht von irgendjemandem auf eine Fälschung umgeleitet wird.
Genau an dieser Stelle passierte der Fehler. Es handelte sich um einen fehlerhaften ZSK-Rollover (Zone Signing Key) – zu Deutsch: ein Austausch des Signaturschlüssels in der .de-Zone. Konkret wurden Zonendaten mit einem ZSK signiert, dessen öffentlicher Schlüssel im DNSKEY-Set nicht oder nicht korrekt veröffentlicht war.
Einfacher gesagt: Die DENIC hat den Sicherheitsstempel für alle .de-Seiten erneuert – aber vergessen, den neuen Stempel auch überall bekanntzumachen. Das Ergebnis: Jeder DNS-Resolver, der DNSSEC korrekt validiert (also prüft, ob die Unterschrift stimmt), hat die Einträge als ungültig abgelehnt und geantwortet: „Diese Seite existiert nicht.“
Domains ohne DNSSEC liefen unauffällig weiter, was die Diagnose im ersten Moment trügerisch machte. Man sah also das seltsame Bild: Manche Seiten gingen, andere nicht – scheinbar ohne Muster.
Zusammenfassend: Ursache war ein fehlerhafter DNSSEC-ZSK-Rollover in der
.de-Zone. Kein Angriff, kein Hardwaredefekt – ein Konfigurationsfehler mit maximaler Wirkung.
Wer war betroffen?
Die Antwort: ziemlich viele. Zu den betroffenen Anbietern zählten unter anderem Deutsche Telekom, Amazon Deutschland, Vodafone, DHL, Deutsche Bahn, ZDF, Spiegel Online, Sparkassen, Aldi, Hetzner, Strato, Ionos, Web.de, GMX und Postbank. Damit waren nicht nur Verbraucher-Websites betroffen, sondern auch kritische Infrastrukturen wie Behördenportale, Buchungssysteme, Arztpraxen, Online-Shops und Unternehmensseiten.
| Bereich | Beispiele betroffener Dienste |
|---|---|
| Kommunikation | Web.de, GMX, T-Online |
| Logistik & Transport | DHL, Deutsche Bahn (App) |
| Medien & Information | ZDF, Spiegel Online |
| Finanzen | Sparkassen, Postbank |
| Hosting & Cloud | Hetzner, Strato, IONOS |
| Handel | Aldi, Amazon Deutschland |
| Behörden | Diverse Portale |
Für Unternehmen bedeutete das: stundenlang keine erreichbare Website, keine eingehenden Bestellungen, keine Kundenkontakte – und damit handfeste wirtschaftliche Schäden.
Besonders ironisch: Die Statusseite der DENIC, auf der sie über die Störung informieren wollte, war aufgrund des Fehlers zeitweise selbst nicht erreichbar.
Zusammenfassend: Betroffen waren Millionen
.de-Domains quer durch alle Branchen – von der Arztpraxis bis zum Großkonzern. Der Ausfall traf die deutsche Internet-Infrastruktur an einem ihrer zentralen Knotenpunkte.
Du konntest als Nutzer gar nichts tun
Das ist der Punkt, der mich am meisten beschäftigt – und der für viele vermutlich frustrierend war.
Weder Router-Neustart noch ein Wechsel auf 8.8.8.8 (Google DNS) oder 1.1.1.1 (Cloudflare) hat geholfen. Symptom war SERVFAIL bei validierenden Resolvern. Das Problem saß nicht bei deinem Internet-Anbieter, nicht in deinem Heimnetz, nicht auf dem Server der Website – sondern an der Wurzel der DNS-Hierarchie selbst.
Liegt eine Domain noch lokal im Cache vor, kann sie ohne neue Anfrage geladen werden. Sobald jedoch eine frische DNS-Auflösung notwendig ist, greift die Störung unmittelbar. Das erklärt das seltsame Bild gestern Abend: Wer eine Seite kurz vorher besucht hatte, konnte sie vielleicht noch laden. Wer eine frische Anfrage schickte, sah nur eine Fehlermeldung.
Technisch versierte Nutzer hatten eine Notlösung: Sie konnten DNS-Server ohne DNSSEC-Validierung nutzen. Allerdings erkauft man sich damit eine Sicherheitslücke – und für Otto Normalverbraucher war das ohnehin keine Option.
Cloudflare hat auf globaler Ebene reagiert: Dane Knecht, CTO bei Cloudflare, gab bekannt, dass man die DNSSEC-Validierung für .de-Domains deaktiviert habe – per sogenanntem „Negative Trust Anchor“, einem im RFC 7646 vorgesehenen Verfahren, das DNSSEC-Validierungsfehler temporär für eine bestimmte Domain umgeht.
Zusammenfassend: Als Endnutzer war man machtlos. Kein Trick mit Router, DNS-Server oder Browser hätte das Problem grundsätzlich gelöst – nur Seiten im lokalen Cache funktionierten noch. Die Lösung musste von der DENIC selbst kommen.
Die Lösung: Neu signieren, warten, Cache leeren
Der Weg aus dem Chaos war im Prinzip klar. Da es sich um einen Fehler beim Zone-Signing-Prozess handelte und keinen Cyberangriff, war der Lösungsweg prinzipiell klar: Die .de-Zone musste mit einem korrekten DNSKEY-Set neu signiert werden.
Gesagt, getan – wenn auch nicht sofort. Die DENIC-Teams arbeiteten durch die Nacht. Um 2:00 Uhr morgens hat die DENIC das Ende der Störung bekannt gegeben.
Damit war das Problem aber noch nicht für jeden sofort weg. Es kann nach dem Fix noch einige Stunden dauern, bis die weltweiten DNS-Caches aktualisiert sind. Wer am Mittwochmorgen noch Probleme hatte, litt unter alten negativen Cache-Einträgen – ein Resolver-Neustart oder gezielter Flush schafft in dem Fall Abhilfe.
Timeline des Ausfalls:
| Uhrzeit | Ereignis |
|---|---|
| ~21:50 Uhr | Erste SERVFAIL-Fehlermeldungen bei Nutzern |
| 23:28 Uhr | Offizielle Störungsmeldung der DENIC |
| ~00:25 – 02:00 Uhr | DENIC gibt Behebung bekannt |
| Morgen, 06.05. | Alle DENIC-Systeme wieder „Operational“ |
Zusammenfassend: Die DENIC hat die Störung in der Nacht behoben. Die
.de-Zone wurde korrekt neu signiert. Danach liefen die Dienste nach und nach – je nach Cache-Zustand der Resolver – wieder stabil an.
Was dieser Ausfall uns zeigt
Die DENIC verwaltet mit über 17 Millionen Einträgen eine der größten Domain-Zonen weltweit. Das System ist hochkomplex, weshalb selbst kleine Konfigurationsfehler direkte Auswirkungen auf die Erreichbarkeit haben. Ein Ausfall einer gesamten Länderkennung passiert außergewöhnlich selten.
Genau deswegen hat dieser Vorfall auch eine fast lehrbuchartige Qualität. Er zeigt eindrücklich, wie fragil das DNS als zentrale Infrastruktur des Internets ist – und wie ein einzelner fehlerhafter Schritt bei einem einzigen Betreiber Millionen Domains vom Netz nehmen kann.
„Ein DNSSEC-Fehler bei einer TLD-Registry ist wie ein Druckfehler im einzigen Telefonbuch einer Stadt – niemand findet mehr irgendjemanden, obwohl alle noch da sind.“
Der Vorfall zeigt eindrücklich: Selbst technisch korrekt konfigurierte Domains können durch Fehler bei zentralen Registrierungsstellen von einem Moment auf den anderen ausfallen.
Für die DENIC bedeutet das Hausaufgaben: eine transparente Post-Mortem-Analyse, die erklärt, wie es zum fehlerhaften ZSK-Rollover kommen konnte, und welche Maßnahmen künftig ähnliche Vorfälle verhindern sollen. Eine ausführliche Post-Mortem-Erklärung von DENIC steht zum Zeitpunkt dieses Beitrags noch aus, ist aber in den nächsten Tagen zu erwarten.
Fazit
Der .de-Ausfall vom 5. Mai 2026 ist behoben. Die Ursache war ein fehlerhafter DNSSEC-ZSK-Rollover bei der DENIC – kein Angriff, kein Hardwareversagen, sondern ein Konfigurationsfehler mit maximaler Reichweite. Millionen von Websites, E-Mail-Postfächer und Apps waren für mehrere Stunden nicht erreichbar. Die DENIC hat die Störung in der Nacht behoben; alle Systeme laufen seit dem Morgen des 6. Mai 2026 wieder stabil.
