Der kleine Ort Culpeper im US-Bundesstaat Virginia liegt ein paar Meilen außerhalb der Zone, die nach einem Atombombenangriff auf Washington, D.C. vom radioaktiven Fallout betroffen wäre. Genau deswegen wurde er ausgewählt. In Culpeper gibt es ein gut gesichertes Rechenzentrum, darin stehen in einem fensterlosen Raum hinter drei verschlossenen Türen zwei Tresore. In den Tresoren liegen verschlossene Metallboxen. In diesen Boxen liegen ein paar Schlüssel.

Das klingt ein wenig nach Verschwörungstheorie und Paranoia. Aber diese Schlüssel sind der zentrale Bestandteil einer komplizierten Zeremonie, die seit Mitte 2010 alle drei Monate stattfindet. Anne-Marie Eklund Löwinder sagt, die Zeremonie wurde erfunden, um Vertrauen ins Internet zu schaffen, und in jene, die es verwalten. Die Schwedin muss es wissen: Sie hat den Schlüssel zu einer der Metallboxen.

Es geht um Vertrauen in ein wichtiges Stück Internet-Infrastruktur namens Domain Name System oder kurz DNS. Das wird häufig "Telefonbuch des Internets" genannt. Seine Server übersetzen Buchstabenfolgen wie www.zeit.de in einmalige, aber schwer zu merkende IP-Adressen wie 217.13.68.220 und leiten die Anfrage nach dieser Adresse über mehrere Ebenen an den Server weiter, auf dem die Internetseite liegt. Von dort kann der Browser dann die Inhalte der Seite herunterladen und anzeigen. Das Ganze passiert so schnell und so häufig, dass es die meisten Menschen es längst als selbstverständlich betrachten.

Der Inhalt der Metallboxen in den Tresoren in Culpeper aber erinnert daran, dass es auch anders sein könnte. Denn ohne DNS wäre das ganze Netz nutzlos. Es wäre eine Art Roulette, bei dem niemand wirklich wüsste, wo er landet, nachdem er auf einen Link geklickt oder eine Adresse eingegeben hat.

Schlüsselbesitzerin Eklund Löwinder

Eklund Löwinder gehört zu jenen, die sich sehr intensiv mit dem DNS und diesem theoretischen Extremfall auseinandergesetzt haben. Deshalb wurde sie ausgewählt, diesen Schlüssel zu tragen, als einer von 14 Menschen auf der Welt.

Im Stockholmer Stadtteil Södermalm, im neunten Stock eines Bürogebäudes, erzählt die 54-Jährige, warum es ausgerechnet 14 Menschen sind und warum sie dazu gehört. Es ist eine lange Geschichte mit vielen technischen Begriffen. Sie veranschaulicht, wie fragil das Internet ist, und in welchen Maßstäben die technische Community denkt, die es vor Schaden bewahren will.

"Immer, wenn ein Ingenieur eine brillante Idee hat, versucht ein anderer Ingenieur, sie kaputtzumachen", sagt Eklund Löwinder. Das Konzept heißt Fortschritt, aber es hat so seine Tücken. Paul Mockapetris hatte das DNS in den frühen achtziger Jahren erfunden, Steven Bellovin entdeckte im Jahr 1990 den ersten von vielen Wegen, mit denen das gesamte System korrumpiert werden könnte, ohne dass seine Nutzer es merken würden.

Wie jedes System hat auch das DNS Sicherheitslücken, sie heißen Cache Poisoning oder Kaminsky-Bug. Ihre Gemeinsamkeit ist, dass sie das Aufrufen von Internetseiten zu einem Glücksspiel machen würden: Anfragen nach IP-Adressen könnten auf falsche Server umgeleitet, E-Mails unterwegs abgefangen und mitgelesen werden. Um das auszuschließen, brauchte das DNS eine zusätzliche Sicherheitsebene. Die gibt es seit 1997, sie heißt Domain Name System Security Extensions, kurz DNSSEC. 

Stark vereinfacht ausgedrückt setzt DNSSEC auf digitale Signaturen, mit denen große Teile des Internet-Telefonbuchs unterschrieben werden. Diese Unterschrift kann bei jedem Abruf einer Website vom Provider des Internetnutzers überprüft werden. Der Provider erkennt dann, ob die Daten, die an den Nutzer gesendet werden, vom richtigen Server kommen und ob sie unterwegs manipuliert wurden – und bricht die Anfrage gegebenenfalls ab, um den Nutzer zu schützen.

Das Herzstück von DNSSEC sind kryptografische Schlüssel, die zum Erstellen der Signaturen notwendig sind. Die wichtigsten Schlüssel heißen Zone Signing Key (ZSK) und Key Signing Key (KSK). Mit dem ZSK wird die sogenannte Root Zone des Internets unterschrieben, das ist die oberste Hierarchie-Ebene des DNS. Jede Anfrage nach einer IP-Adresse landet zuerst dort und wird dann über die niedrigeren Ebenen bis zum Zielserver weitergeleitet.

Damit DNSSEC vertrauenswürdig sein kann, muss auch dieser oberste Teil des Telefonbuchs unterschrieben werden. Das geschieht alle drei Monate mit einem erneuerten Root Zone ZSK. Der wiederum wird mit dem KSK signiert. Der KSK ist damit sozusagen der Schlüssel aller Schlüssel.

Aufbewahrt wird der KSK an zwei Orten: eben in dem fensterlosen Tresorraum in Culpeper, Virginia und in einer zweiten, ähnlich gesicherten Anlage in der Nähe des Flughafens von Los Angeles. An diesen beiden Orten finden immer im Wechsel die vierteljährlichen Zeremonien statt, in denen jeder neue ZSK mit dem KSK signiert wird.

Die Tresore der Icann in Culpeper, Virginia

Es sei ihre Idee gewesen, das Ganze auch offiziell eine Zeremonie zu nennen, sagt Eklund Löwinder, "um zu unterstreichen, wie wichtig der Vorgang ist". Wichtig für das Vertrauen in DNSSEC und erst recht in diejenigen, die das System kontrollieren.

Das ist in erster Linie die Internet Corporation for Assigned Names and Numbers (Icann), die Oberaufseherin über das DNS. Sie ist vom US-Handelsministerium mit dieser Aufgabe betraut worden. Das US-Unternehmen VeriSign wiederum ist von der US-Regierung damit beauftragt, notwendige Änderungen an der Root Zone durchzuführen. Außerdem gehören Icann und VeriSign zusammen mit einigen anderen US-Einrichtungen zu den 13 Betreibern der rund 200 Root Server, die in aller Welt verteilt sind.