Die EU baut ihren eigenen DNS-Dienst auf. Was haben Sie davon?
Die EU ist seit langem ein Vorreiter beim Schutz der Privatsphäre und der Sicherheit im Internet. Die Allgemeine Datenschutzgrundverordnung (DSGVO) der EU gilt weithin als Goldstandard für den Datenschutz. Seit sie 2018 in Kraft getreten ist, wurde das Gesetz wiederholt und erfolgreich genutzt, um hartnäckige Datenschutzverletzer in der Big Tech zu bestrafen. Zu denjenigen, die das Gesetz zu spüren bekommen haben, gehören Meta, Apple, Microsoft und Google — Tech-Giganten, die in anderen Teilen der Welt weitgehend freie Fahrt genießen.
Was die Online-Sicherheit angeht, so hat die EU die Entwicklung eines öffentlichen europäischen DNS-Resolvers mit eingebauten Filterfunktionen vorangetrieben. Erklärtes Ziel des Projekts ist die Stärkung der „digitalen Souveränität“ der EU, aber auch der Schutz öffentlicher Einrichtungen, Unternehmen und einzelner Nutzer:innen in der EU vor Phishing-Angriffen und Malware.
Das Projekt mit der Bezeichnung DNS4EU wurde erstmals im Dezember 2021 von der Europäischen Kommission skizziert. Jetzt, ein Jahr später, nimmt es endlich Gestalt an. Im Dezember erhielt ein Konsortium aus 13 öffentlichen und privaten Unternehmen aus zehn europäischen Ländern den Zuschlag für den Aufbau eines auf die EU zugeschnittenen öffentlichen DNS-Resolvers. Das Konsortium wird von dem Softwareunternehmen Whalebone aus Chezh geleitet. Laut Richard Malovič, CEO von Whalebone, wird das Projekt in mehreren Phasen umgesetzt, aber die Öffentlichkeit und die Netzbetreiber werden bereits in diesem Jahr einen frühen Zugang zu einer „begrenzten ersten Version“ des Dienstes erhalten. Die Einführung wird insgesamt drei Jahre dauern, in denen das Konsortium plant, 100 Millionen Menschen an Bord zu holen — ein ehrgeiziges Ziel der EU.
Bevor wir auf die Einzelheiten des Plans eingehen und was er für normale Nutzer:innen bedeutet, möchten wir Ihr Gedächtnis auffrischen, worum es bei DNS und DNS-Auflösung überhaupt geht.
DNS-Auflösung — ein wesentlicher Bestandteil der Internet-Infrastruktur
DNS steht für „Domain Name System“ und wird oft als das „Adressbuch des Internets“ bezeichnet. Genau wie das Adressbuch Ihres Telefons, das es Ihnen erspart, die Nummern Ihrer Kontakte auswendig zu lernen, erspart DNS Ihnen die Mühe, sich die IP-Adressen jeder einzelnen Website, die Sie besuchen möchten, zu merken.
Das Problem ist, dass Computer keine Ahnung haben, was Sie mit wikipedia.org oder google.com meinen, weil sie ausschließlich in Zahlen sprechen. An dieser Stelle kommen DNS-Resolver zum Einsatz. Sie übersetzen die Namen der Websites in etwas, das Browser verstehen können, nämlich in IP-Adressen. Wenn Sie also google.com in die Adressleiste eingeben, sendet Ihr Browser eine DNS-Anfrage an einen DNS-Resolver, bei dem es sich für die meisten Menschen um den DNS-Server ihres Internetdienstanbieters handelt. Dieser Server gibt die IP-Adresse der angefragten Domäne an den Browser zurück: für google.com ist dies 142.250.191.46.
Auf diese Weise macht DNS das Surfen im Internet benutzerfreundlich. Die meisten Menschen ändern nie den Standard-DNS-Server von ihrem Internetanbieter. Das ist aber vielleicht nicht die beste Wahl.
Es gibt mehrere Gründe, warum Sie Ihre DNS-Einstellungen ändern sollten:
- Wenn Sie eine schnellere Internetverbindung wünschen
- Wenn Sie befürchten, dass Ihr Internetanbieter Sie über DNS verfolgt und Ihre Daten verkauft
- Wenn Sie zusätzlichen Schutz vor Phishing- und Malware-Seiten wünschen
- Wenn Sie Funktionen wie Kindersicherung und Werbeblockierung nutzen möchten, die der DNS-Server Ihres Internetanbieters möglicherweise nicht bietet
Da sich immer mehr Menschen Sorgen um ihre Online-Privatsphäre und Sicherheit machen, wächst die Nachfrage nach kostenlosen und einfach zu konfigurierenden Tools zum Schutz vor bösartigen Akteuren. Dies wiederum treibt das Wachstum der öffentlichen DNS-Resolver an. Und es ist ein Trend, den sich die EU-Politiker:innen mit ihrer Unterstützung für ein öffentliches DNS4EU zunutze machen wollen.
Was ist der Grund für DNS4EU?
Eines der erklärten Ziele, die hinter der Einrichtung des neuen DNS-Dienstes stehen, ist es, die digitale Infrastruktur der EU weniger abhängig von ausländischen Dienstleistern, insbesondere von US-amerikanischen Technologieunternehmen, zu machen und so eine größere Diversifizierung zu erreichen.
Die „Konsolidierung der DNS-Auflösungen in den Händen weniger Resolver“ stellt ein Sicherheitsrisiko dar, da sie den Auflösungsprozess anfällig macht „im Falle von bedeutenden Ereignissen, wo ein großer Anbieter betroffen ist“, argumentiert die EU-Kommission.
Die überwiegende Mehrheit der Nutzer:innen (auch in der EU) wechselt zwar nicht die von ihren Internetanbietern bereitgestellten DNS-Server. Aber diejenigen, die zu Alternativen wechseln, bevorzugen in der Regel die von US-Unternehmen betriebenen. Im Januar 2022 nutzten etwa 12,2 % der EU-Bürger:innen öffentliche Resolver, die von Unternehmen mit Sitz in Kalifornien verwaltet werden: Google Public DNS, Cloudflare und Cisco OpenDNS. Anfragen an nicht-öffentliche Resolver innerhalb der EU machten nur 0,2 % der Gesamtanfragen aus, während die Anfragen an nicht-öffentliche Resolver außerhalb der EU 0,9 % ausmachten.
Quelle: ICANN
Ob digitale Souveränität in der heutigen interdependenten Welt erreichbar ist, ist eine komplexe Frage und für den einzelnen Nutzer vielleicht nicht von großem Interesse. Aber es gibt noch einen anderen Grund, warum die EU ihr eigenes DNS will — um ihre strengen Datenschutz- und Privatsphäre-Regeln durchzusetzen. Und das kann sich positiv auf das Leben der Menschen auswirken.
Um für den Zuschuss in Frage zu kommen, musste ein potenzieller DNS-Anbieter für die EU also eine Reihe von Datenschutz- und Sicherheitsanforderungen erfüllen:
- Garantieren, dass DNS-Auflösungsdaten und Metadaten in Europa in voller Übereinstimmung mit den EU-Vorschriften verarbeitet werden
- Sicherstellen, dass persönliche Daten nicht monetarisiert werden
- Premium-Dienste für mehr Sicherheit anbieten, wie z. B. Ad-hoc-Filterung
- Kindersicherungs-Filterdienste anbieten
- Modernsten Schutz vor Cybersecurity-Bedrohungen durch Blockieren von Malware und Phishing bieten
- Die neuesten Sicherheitsstandards wie HTTPS, DNSSEC, DoH, DoT und IPv6 werden unterstützen
Robert Šefr, CTO von Whalebone, erklärte außerdem, dass DNS4EU in Zukunft DNS-over-QUIC (DOQ), einen vorgeschlagenen und vielversprechenden Standard für die Verarbeitung von DNS-Anfragen, unterstützen wird.
Viele AdGuard-Produkte, darunter AdGuard DNS, unterstützen den DoQ-Standard bereits vollständig.
Wie wird DNS4EU also aussehen?
Laut Richard Malovič, CEO von Whalebone, wird das Projekt aus vier Hauptkomponenten bestehen.
Die erste und wichtigste Komponente ist ein öffentlich zugänglicher Cloud-Resolver mit mehreren IP-Adressen und integrierter Inhaltsfilterung. DNS-Resolver und -Knoten werden „sehr stark“ über ganz Europa verteilt sein, um niedrige Latenzzeiten zu erreichen. Malovič: „Sie können sicher sein, dass Ihre Daten nicht an andere Länder außerhalb der Europäischen Union weitergegeben werden und dass jemand in der Lage sein wird, ein Profil von Ihnen zu erstellen und Ihnen Werbung zukommen zu lassen.”
Die zweite Komponente ist ein lokaler Resolver, der Mobilfunknetzbetreibern und Internetdiensteanbietern zur Verfügung gestellt wird. Dieser lokale Resolver wird die gleichen IP-Adressen haben wie der öffentliche Cloud-Resolver.
Die dritte Komponente wird eine Plattform für den Austausch von Informationen über lokale Bedrohungen innerhalb der EU sein. Laut Whalebone würden die DNS-Daten, die für die Sicherheitsforschung genutzt werden könnten, anonymisiert und nicht für andere Zwecke verwendet.
Die vierte Komponente von DNS4EU wird ein Premium-Dienst sein, der auf offenen öffentlichen Resolvern aufbaut. Er sollte das Projekt langfristig rentabel machen.
Was die Filterung von Inhalten angeht, so ist DNS4EU an die lokalen Gesetze gebunden, was manche als Nachteil empfinden könnten. Wenn also ein Gericht in einem bestimmten EU-Land eine bestimmte Website sperrt, dann können die Nutzer:innen in diesem Land nicht darauf zugreifen.
Da DNS4EU derzeit von der EU finanziert wird (nach Angaben der EU-Kommission beschloss sie, wegen des „fehlenden Geschäftsmodells“ einzugreifen), stellt sich die Frage, ob die EU die Umsetzung an igrendwelche Bedingungen knüpft.
Wird die Nutzung von DNS4EU obligatorisch sein und wer wird sie kontrollieren?
Diejenigen, die Zweifel an der Nutzung eines von der Regierung unterstützten Dienstes haben, können aufatmen. Zumindest im Moment hat die EU nicht vor, DNS4EU den Bürger:innen aufzudrängen, auch wenn sie es öffentlichen und staatlichen Organisationen zur Verbesserung der Internetsicherheit empfehlen könnte.
Außerdem sagt das von Whalebone geleitete Konsortium, dass die EU keinen Einfluss darauf hat, wie der Dienst betrieben wird. „Jeder DNS-Benutzer in der EU kann den Resolver frei verwenden, es gibt also keinen Zwang. Keine Regierungsbehörde, keine EU-Behörde hat irgendeine Kontrolle darüber, was im DNS für die EU konfiguriert wird, es liegt allein in der Verantwortung des Konsortiums“, sagte Robert Šefr, CTO von Whalebone.
Auf die Frage, ob die örtlichen Strafverfolgungsbehörden in der Lage wären, die DNS-Abfragen einer einzelnen Person einzusehen, d. h. ihren Browserverlauf, versicherte Šefr, dass dies nicht der Fall sei. „Es werden keine Protokolle gespeichert, die mit den IP-Adressen bestimmter Personen verknüpft sind. eSlbst wenn wir eine solche Anfrage erhielten, könnten wir ihr nicht nachkommen“, erklärte er.
Auf den ausgetretenen Pfaden
Der Plan der EU, eine DNS-Infrastruktur mit eingebauter Filterung zu entwickeln, ist lobenswert. Was die Sicherheit der Nutzer:innen angeht, ist dies ein Schritt in die richtige Richtung. Die EU-Bürger:innen erhalten kostenlosen Schutz vor Malware und Phishing-Bedrohungen, können Kindersicherung einrichten und Tracker blockieren —zweifellos ist das eine gute Sache.
Aber die Lösung selbst ist nicht revolutionär, denn die Nutzer:innen von datenschutzfreundlichen öffentlichen Resolvern profitieren schon lange von deren Vorteilen. Während DNS4EU noch in den Kinderschuhen steckt und erst noch realisiert werden muss, gibt es bereits nicht-US-basierte Resolver, und AdGuard DNS ist einer davon. Wir haben den Weg, den DNS4EU gerade erst einschlägt, bereits beschritten und dabei Erfahrungen und Know-how gesammelt. Wir haben AdGuard DNS 2016 zunächst als öffentliche Beta-Version gestartet und 2018 offiziell freigegeben. Unser öffentlicher DNS-Dienst ist absolut kostenlos, unterstützt alle modernen DNS-Verschlüsselungsprotokolle, blockiert Werbung und bösartige Websites und hat keine Einschränkungen hinsichtlich der Anzahl der Geräte.
Sie können sich entweder manuell mit unserem öffentlichen DNS-Server verbinden oder eine AdGuard-App mit DNS-Unterstützung installieren. Sie können auch unseren privaten DNS-Server mit anpassbaren Filteroptionen ausprobieren.