Zoom zoomt nicht mehr: Warum aktive Überwachung unerlässlich ist

22. April 2025

Am 16. April 2025 kam es bei Zoom zu einer erheblichen weltweiten Störung, die die Videokonferenzdienste und den Zugriff auf die Website für Tausende von Nutzern sowie die Unternehmens-E-Mails aller Mitarbeiter beeinträchtigte. Das Problem wurde schnell als Problem mit dem Registrierungsstatus des Domainnamens identifiziert. Obwohl es sich um einen für Zoom kritischen Namen handelte, wurde der Status irgendwie auf „serverHold“ geändert. Die Störung begann gegen 14:40 Uhr EDT und dauerte fast zwei Stunden. Während dieser Zeit erhielten die Nutzer die Fehlermeldung „Verbindung nicht möglich“ und konnten sich nicht anmelden oder auf die Domain zoom.us zugreifen.

Wie konnte das passieren?

Selbst wenn Sie ein DNS-Experte sind, können Sie von katastrophalen Ausfällen betroffen sein, da vieles, was mit Ihrem Domainnamen geschieht, außerhalb Ihrer Kontrolle liegt. In diesem Fall wurde die Schuld für den Domainstatus der Lieferkette gegeben, die für die Registrierung des Domainnamens und die .us-TLD verantwortlich ist:

„Am 16. April zwischen 14:25 Uhr ET und 16:12 Uhr ET war die Domain zoom.us aufgrund einer Serverblockierung durch GoDaddy Registry nicht verfügbar. Diese Blockierung war das Ergebnis eines Kommunikationsfehlers zwischen dem Domain-Registrar von Zoom, Markmonitor, und GoDaddy Registry, der dazu führte, dass GoDaddy Registry die Domain zoom.us fälschlicherweise abschaltete.“

An der korrekten Registrierung einer Domain sind viele Organisationen beteiligt. In diesem Fall handelte es sich um ein Problem zwischen MarkMonitor, dem Domain-Registrar von Zoom, und GoDaddy, dem vom US-Handelsministerium mit der Verwaltung der Top-Level-Domains .us beauftragten Unternehmen.

Was bedeuten Domain-Statusmeldungen?

Der Status einer Domain gibt Auskunft darüber, welche Vorgänge mit ihr durchgeführt werden können und in welchem rechtlichen und technischen Zustand sie sich befindet.

Es gibt zwei verschiedene Arten von EPP-Statuscodes: Client- und Server-Codes. Client-Statuscodes werden von Registraren festgelegt, Server-Codes von Registries. Wenn ein Server-Statuscode gesetzt ist, ist dies ungewöhnlich und kann oft auf einen Konflikt hindeuten.

Eine vollständige Anleitung finden Sie hier, aber hier sind einige der häufigsten Statusmeldungen für generische Top-Level-Domainnamen (gTLDs).

Registrierungscodes

• ok: Es bedeutet, dass keine Übertragungssperren oder andere Kennzeichnungen aktiviert sind, wodurch die Domain durch Social Engineering missbraucht werden kann.
• Inaktiv: Wird nicht aufgelöst.
• autoRenewPeriod: Teil des Ablaufzyklus der Domain, bedeutet, dass die Domain abgelaufen ist und sich in einer Nachfrist befindet.
• pendingTransfer: Die Domain wird von einem Registrar zu einem anderen übertragen.
• redemptionPeriod: Eine weitere Nachfrist. Die Domain steht kurz vor der Löschung, kann aber noch verlängert werden.
• pendingDelete: Es ist zu spät. Die Domain wird gelöscht und ist bald frei verfügbar.

Registrar-Codes

• clientHold: In der Regel ein Hinweis auf einen Rechtsstreit oder eine Rechnungsstreitigkeit. Bedeutet, dass die Namenserver-Delegierung für die Domain entfernt wurde.
• clientDeleteProhibited: Löschanfragen können erst bearbeitet werden, wenn der Status entfernt wurde.
• clientTransferProhibited: Übertragungsanfragen können erst bearbeitet werden, wenn der Status entfernt wurde.
• clientUpdateProhibited: Aktualisierungsanfragen können erst bearbeitet werden, wenn der Status entfernt wurde.
• clientRenewProhibited: Die Domain kann in ihrem aktuellen Zustand nicht verlängert werden.

War dies vermeidbar?

Aller Wahrscheinlichkeit nach nicht durch Zoom selbst. Zum jetzigen Zeitpunkt scheint das Problem ausschließlich in der Lieferkette zu liegen. Die Top-Level-Domain „.us“ ist weit verbreitet und zuverlässig, und wie die meisten Unternehmen nutzt Zoom eine renommierte Organisation für die Verwaltung seines Domainnamenportfolios.

Wahrscheinlich erfolgte diese Änderung so schnell, dass kein Domain-Prüftool Zoom vor den Beschwerden von 300 Millionen Nutzern auf dieses Problem aufmerksam gemacht hätte.

Dennoch ist es unerlässlich, dass Unternehmen sich nicht auf ihre Registrare verlassen, um eine aktuelle Übersicht über ihre Domainnamen und deren Status zu behalten. Die meisten Unternehmen haben Domainnamen bei mehreren Registraren, und oft fehlt den Sicherheitsteams eine zentrale Übersicht, die ihnen Auskunft über alle Domainnamen im Besitz des Unternehmens gibt und ob diese korrekt registriert sind.

Aktive Überwachung mit Red Sift ASM

Red Sift ASM bietet eine kontinuierliche Erkennung und Überwachung der externen Assets eines Unternehmens, einschließlich Domains und DNS-Konfigurationen. Durch die proaktive Identifizierung von Fehlkonfigurationen und potenziellen Schwachstellen ermöglicht Red Sift ASM Unternehmen, Probleme zu beheben, bevor sie zu Ausfällen eskalieren.

Im Fall von Zoom hätte Red Sift ASM Anomalien im Domain-Registrierungsstatus erkennen können, wodurch eine zeitnahe Behebung und möglicherweise die Ausfallzeit verhindert worden wäre.

Red Sift ASM-Überwachung und -Bewertung von Zoom Video Communications, Inc.

Der Ausfall von Zoom erinnert daran, wie wichtig ein proaktives Management der Angriffsfläche ist. Die Implementierung von Lösungen wie Red Sift ASM kann Unternehmen dabei helfen, die Integrität ihrer digitalen Assets zu wahren und einen unterbrechungsfreien Service für ihre Nutzer zu gewährleisten. Wenn Sie mehr erfahren möchten, fordern Sie noch heute eine Demo an.

Source: Red Sift-Blog

---

Sie haben Fragen? Ihr Ansprechpartner für D/A/CH

Do you have any questions? Your contact person for D/A/CH

Julian Wulff, Director Cyber Security Central Europe at Red Sift

* Kontakt über LinkedIn

Red Sift bei LinkedIn

---

Bild/Quelle: https://depositphotos.com/de/home.html