In der Nacht vom 5. auf den 6. Mai 2026 war ein großer Teil des deutschen Internets nicht erreichbar. Schuld war eine Genossenschaft in Frankfurt — und ein winziger kryptografischer Schlüssel mit der Nummer 33834. Was wirklich passiert ist, warum es so weh tat und was wir daraus lernen sollten.
Es war kurz vor 22 Uhr am Dienstagabend, als die ersten Nutzer Alarm schlugen. Bahn-App: Fehlermeldung. Sparkassen-Login: hängt. Spiegel Online, ZDF, GMX, Web.de, sogar tagesschau.de — alles weg. Auf Allestörungen.de schoss die Kurve in die Höhe, als hätte jemand den Stecker gezogen. Tatsächlich war es genau das. Nur eben kein echter Stecker, sondern ein digitaler.
Bis kurz vor Mitternacht stand fest: Das ist kein lokales Problem irgendeines Providers, sondern etwas viel Größeres. Telekom, Vodafone, O2, DHL, Postbank, Amazon Deutschland, Aldi, Strato, Ionos, Hetzner — die Liste der betroffenen Dienste las sich wie das Telefonbuch der deutschen Online-Wirtschaft. Erst gegen 2 Uhr morgens normalisierte sich die Lage langsam. Am frühen Morgen meldete die DENIC: alle Systeme wieder operativ.
Wer ist eigentlich diese DENIC?
Die DENIC eG ist eine Genossenschaft mit Sitz in Frankfurt am Main. Ihre Aufgabe: die zentrale Verwaltung aller deutschen Internetadressen mit der Endung .de. Davon gibt es rund 17 Millionen — eine der größten Top-Level-Domain-Zonen der Welt.
Wer sich noch nie mit der DENIC beschäftigt hat: kein Wunder. Sie arbeitet im Hintergrund, leise, technisch, unauffällig. Genau das ist der Punkt. Wenn diese Genossenschaft hustet, hustet das halbe Land mit. Und in dieser Nacht hat sie ordentlich gehustet.
Das Telefonbuch des Internets — und der Sicherheitsstempel
Um zu verstehen, was passiert ist, hilft ein Bild. Stell dir das Internet wie ein riesiges Telefonbuch vor. Wenn du im Browser „bahn.de“ eintippst, schaut dein Computer dort nach, welche Nummer dazugehört — eine sogenannte IP-Adresse. Erst damit kann er die Webseite überhaupt anrufen. Dieses Telefonbuch für alle deutschen Adressen verwaltet die DENIC.
Jetzt kommt die Komplikation: Damit niemand das Telefonbuch fälschen kann — etwa um dich auf eine gefälschte Banking-Seite umzuleiten — gibt es eine Sicherheitsebene namens DNSSEC. Das funktioniert wie ein digitaler Stempel. Jede Adresse bekommt eine kryptografische Signatur. Stimmt der Stempel nicht, weigern sich die DNS-Server weltweit, die Adresse anzunehmen. Eigentlich eine kluge Sache. In dieser Nacht wurde sie zum Problem.
Was wirklich schiefging
Die DENIC wechselt regelmäßig die Stempel — alle fünf Wochen den Zone Signing Key, kurz ZSK. Routine. In der Unglücksnacht passierte ein Anfängerfehler mit Riesenwirkung: Die DENIC signierte die Zonendaten mit einem neuen Schlüssel — Keytag 33834, falls du es ganz genau wissen willst — vergaß aber, den dazugehörigen öffentlichen Schlüssel im DNSKEY-Eintrag zu veröffentlichen. Übersetzt: Die DENIC hat den Sicherheitsstempel erneuert, aber vergessen, allen anderen die neue Stempelvorlage zu schicken.
Die Folge: Jeder DNSSEC-validierende Resolver auf der Welt sah die Antwort, prüfte den Stempel, fand keine Vorlage und antwortete mit „SERVFAIL“. Übersetzt: „Das hier sieht manipuliert aus, das gebe ich nicht weiter.“ Pikant ist die Symbolik dieser Panne. Ausgefallen ist nicht das System selbst, sondern ausgerechnet die Sicherheitskomponente, die vor Manipulation schützen soll. Mehr Sicherheit bedeutet eben auch mehr Komplexität — und mehr Komplexität bedeutet mehr potenzielle Fehlerquellen.
Warum gar nichts half, was sonst hilft
Viele probierten in der Nacht, im Router einen anderen DNS-Server einzutragen. Google 8.8.8.8, Quad9, Cloudflare. Half nicht. Denn am Ende holen sich auch diese großen Anbieter die .de-Adressen von den DENIC-Servern. Stempel ungültig — Antwort verweigert. Ende.
Cloudflare reagierte als Einziger pragmatisch und zog einen Notnagel namens Negative Trust Anchor. Klingt kryptisch, ist aber im RFC 7646 standardisiert: Der Anbieter schaltete die DNSSEC-Prüfung für .de mitten in der Nacht ab. Damit bekamen Cloudflare-Nutzer ihre deutschen Webseiten wieder. Sicherheitslücke? Ja. Aber besser eine theoretische Lücke als ein praktisch ausgefallenes Land.
Nicht das erste Mal
Wer glaubt, das sei ein einmaliger Ausrutscher, hat die Geschichte der DENIC nicht ganz auf dem Schirm. Es gab bereits 2010 einen größeren Vorfall, als Nameserver fälschlich „Domain existiert nicht“ zurückmeldeten — wegen einer gekürzten Zonendatei. 2016 gab es Probleme im Zusammenhang mit einem Infrastrukturumzug. Und 2018 war die DENIC schon einmal von einem DNSSEC-Ausfall betroffen, damals durch abgelaufene Signaturen.
Das ist keine Häme — die DENIC arbeitet generell zuverlässig und hat den Vorfall in dieser Nacht professionell gelöst. Aber es zeigt: Solche Pannen sind nicht der berühmte schwarze Schwan. Sie sind eingebaute Risiken eines hochkomplexen Systems mit einem einzigen Verantwortlichen.
Die eigentliche Lehre
Was diesen Abend besonders macht, ist die Größenordnung. IT-Experten sprechen von der bisher massivsten DNS-Störung in der deutschen Geschichte. Ein einzelner Fehler bei einer einzelnen Genossenschaft in einer einzelnen Stadt — und halb Deutschland ist offline. Ein IT-Dienstleister berichtete im heise-Forum, von einigen hundert betreuten .de-Domains sei keine einzige erreichbar gewesen, egal ob mit oder ohne DNSSEC. Die wirtschaftlichen Schäden lassen sich noch nicht beziffern. Tagsüber wäre der Schaden vermutlich gewaltig gewesen.
Wir reden derzeit viel über digitale Souveränität in Europa. Diese Nacht hat vorgeführt, was das in der Praxis bedeutet — und wo die Sollbruchstellen liegen. Wir können stolz darauf sein, dass Deutschland eine eigene, gemeinwohlorientierte Genossenschaft für seine Top-Level-Domain hat, statt das einem Konzern oder einer ausländischen Behörde zu überlassen.
Aber Souveränität ohne Redundanz ist nur ein Wort. Solche zentralen Knoten brauchen ausfallsichere Architekturen, transparente Tests vor jedem kritischen Eingriff und ein Krisenmanagement, das auch dann funktioniert, wenn die eigene Statusseite ausgefallen ist. Genau das war nämlich der ironische Tiefpunkt dieser Nacht: Die DENIC wollte über status.denic.de informieren — und die war zwischenzeitlich selbst nicht erreichbar.
Die DENIC hat eine transparente Aufarbeitung versprochen. Gut so. Denn aus diesem Abend lässt sich einiges lernen. Vor allem die schlichte Erkenntnis: Wir merken erst, wie sehr wir auf etwas angewiesen sind, wenn es plötzlich kurz weg ist.
