Malaysias Politik der DNS-Zensur: Gefahr für die Freiheit des Internets weltweit
Die malaysische Kommunikations- und Multimediakommission (MCMC) hat kürzlich für Aufregung gesorgt, indem sie die Internetdienstanbieter (ISPs) des Landes angewiesen hat, DNS-Anfragen an alternative DNS-Anbieter auf ihre eigenen Server umzuleiten.
Die MCMC erklärte, dass diese Maßnahme dazu dient, die Bevölkerung vor „schädlichen Inhalten“ zu schützen, also vor Websites, „die mit Online-Glücksspiel, Pornografie, Urheberrechtsverletzungen, Betrug und anderen Verstößen gegen malaysisches Recht in Verbindung stehen“.
Bevor wir weiter ins Detail gehen, sollten wir kurz klären, was DNS ist und welche Rolle es in der Internetinfrastruktur spielt.
DNS steht für Domain Name System und funktioniert im Grunde wie ein Wörterbuch des Internets. Wenn Sie eine Webadresse in Ihren Browser eingeben, zum Beispiel www.example.com, muss Ihr Computer diese menschenlesbare Adresse in eine IP-Adresse umwandeln. Diese numerische Bezeichnung identifiziert einen bestimmten Server im Internet. Diese Umwandlung erfolgt durch einen DNS-Resolver, der normalerweise von Ihrem ISP oder einem Drittanbieter-DNS-Dienst betrieben wird, den Sie auf Ihrem Gerät eingestellt haben.
Im Zusammenhang mit der Anordnung der malaysischen Regulierungsbehörde bedeutet die Umleitung von DNS-Anfragen durch die ISPs, dass Anfragen von Nutzer:innen, die alternative DNS-Anbieter wie Google DNS, Cloudflare DNS oder AdGuard DNS nutzen möchten, abgefangen und auf die eigenen DNS-Server des ISPs umgeleitet werden. Dies soll angeblich dazu dienen, die Nutzer:innen vor „schädlichen“ Websites zu schützen.
Wie leicht können ISPs den Datenverkehr abfangen und umleiten?
Technisch gesehen ist es für Internetdienstanbieter (ISPs) möglich, den Datenverkehr abzufangen und umzuleiten, da sie den DNS-Verkehr in ihren Netzen kontrollieren. Ein wichtiger Unterschied ist jedoch zu beachten: Wenn Sie einen unverschlüsselten DNS-Server nutzen, der entweder IPv4 oder IPv6 zur Rückgabe von IP-Adressen verwendet, kann Ihr ISP sehen, welche Websites Sie besuchen. Das bedeutet, dass Ihre Anfragen und Antworten von jedem, der Zugang zum Netzwerkverkehr hat — insbesondere von Ihrem ISP — gelesen, abgefangen oder sogar verändert werden können. In der Vergangenheit war der DNS-Verkehr unverschlüsselt, was für die meisten Nutzer:innen ein Risiko darstellt.
Für ISPs wird es jedoch deutlich schwieriger, dasselbe mit Anfragen an verschlüsselte DNS-Server zu tun. Verschlüsselte DNS-Protokolle sind zwar noch nicht weit verbreitet, gewinnen jedoch zunehmend an Bedeutung, da sie die Datenschutzprobleme unverschlüsselter DNS-Verbindungen lösen. Hierbei kommen verschiedene sichere Protokolle zum Einsatz. Die bekanntesten sind DNS-over-HTTPS (DoH) und DNS-over-TLS (DoT). Neu ist auch das Protokoll DNS-over-QUIC (DoQ), das in Bezug auf Geschwindigkeit und Zuverlässigkeit überlegen ist, sich jedoch noch in der Anfangsphase der Einführung befindet: AdGuard DNS war der erste öffentliche Resolver, der es unterstützte.
Obwohl die Nutzung eines verschlüsselten DNS-Servers Ihren Webverlauf vor dem Zugriff Ihres ISPs schützt, kann dieser dennoch erkennen, dass Sie einen alternativen DNS-Server verwenden. Dies geschieht durch einen Prozess namens „Bootstrap“. Wenn Ihr Gerät erstmals versucht, einen verschlüsselten DNS-Server zu nutzen, muss es zunächst die IP-Adresse dieses Servers über das herkömmliche, unverschlüsselte DNS ermitteln. In diesem ersten Schritt wird eine unverschlüsselte DNS-Abfrage an den DNS-Server Ihres ISPs gesendet, um die IP-Adresse des verschlüsselten Servers zu erhalten. Dadurch erhält Ihr ISP einen Hinweis darauf, dass Sie wahrscheinlich einen anderen DNS-Anbieter verwenden.
Dieses Verfahren ist jedoch nicht eindeutig und könnte zu vielen Fehlalarmen führen. Ob ISPs mehr tun werden als nur den Verkehr umzuleiten, bleibt abzuwarten. Vieles hängt davon ab, wie weit die Verordnung geht und welche Pflichten ein ISP hat. Auf den ersten Blick scheint die einzige Möglichkeit für ISPs, sicherzustellen, dass Nutzer:innen mit verschlüsseltem DNS nicht auf alternative Anbieter zurückgreifen, darin zu bestehen, sie vom Internet abzuschneiden — eine wirklich extreme Maßnahme.
Fazit: Wenn Sie ein verschlüsseltes DNS verwenden, haben Sie bessere Chancen, sich vor der erzwungenen Umleitung Ihres DNS-Verkehrs zu schützen.
Die Durchsetzung der Anordnung wird vorerst ausgesetzt: Mögliche Probleme
Wenige Tage nach der Verabschiedung der Verordnung hat die MCMC deren Durchsetzung auf Eis gelegt. Am 9. September erklärte die stellvertretende malaysische Ministerin für Kommunikation, Teo Nie Ching, dass die Behörden die führenden Vertreter der Branche konsultieren sollten, bevor sie die Anordnung in Kraft setzen. Sie betonte, dass dieser Konsultationsprozess nun stattfinden werde, ohne jedoch einen konkreten Zeitrahmen zu nennen. „Wir möchten, dass die MCMC eine angemessene und umfassende Konsultation durchführt. Wenn sie dafür einen Monat brauchen, sollen sie es tun. Wenn sie drei Monate brauchen, ist das auch in Ordnung“, sagte sie.
Der Rückzieher der malaysischen Regierung folgt auf die negative Reaktion der MCMC, nachdem sie Internetdienstanbieter zur Befolgung ihrer Anweisungen gezwungen hatte. Berichten zufolge konnten Nutzer:innen der öffentlichen DNS-Resolver von Google und Cloudflare nicht mehr auf das Internet zugreifen. Zudem gab es Beschwerden von Websites, die rechtmäßige Inhalte hosten und aufgrund dieser Situation nicht mehr erreichbar waren. Die MCMC riet den Betreibern dieser Seiten, sich an ihren ISP zu wenden und, falls das nicht funktioniere, direkt mit der MCMC Kontakt aufzunehmen — doch das schien nicht auszureichen, um die Probleme zu lösen, weshalb die Durchsetzung der Anordnung nun auf unbestimmte Zeit ausgesetzt wurde.
Es gibt mehrere Szenarien, was schiefgehen könnte. Zunächst müssen wir jedoch einen wichtigen Punkt ansprechen: Wir sind der Meinung, dass solche Verordnungen in der heutigen digitalen, vernetzten Welt keinen Platz haben. Der Geist dieser Verordnung steht im Widerspruch zur Idee eines freien Internets und greift zudem in unser Grundrecht ein, den Dienst auszuwählen, der unseren Bedürfnissen am besten entspricht.
Obwohl es möglicherweise das Ziel ist, Nutzer:innen vor schädlichen Inhalten zu schützen, ist es riskant, der Regierung so viel Kontrolle zu übertragen. Das öffnet Tür und Tor für potenziellen Missbrauch. Wir sind überzeugt, dass jeder selbst entscheiden sollte, welche Inhalte er konsumiert und welche er blockieren möchte. Kostenlose öffentliche DNS-Dienste wie AdGuard DNS bieten verschiedene Modi an — sei es für Werbeblockierung oder Kindersicherung — um den Nutzer:innen zu helfen, ihre Online-Erfahrung selbst zu gestalten. Die Nutzer:innen sollten das Sagen haben, nicht die Dienstanbieter.
Neben der Unzufriedenheit in der Bevölkerung könnte eine weitere Herausforderung darin bestehen, dass die von der Regierung genehmigten DNS-Server sofort mit Anfragen überlastet werden könnten, die von den auf einer schwarzen Liste stehenden DNS-Servern umgeleitet werden. In einigen Fällen könnte es auch zu Fehlalarmen gekommen sein, wenn scheinbar legitime Websites nicht erreichbar waren.
Wie geht es weiter?
Die malaysischen Behörden haben die Verordnung zur Überarbeitung zurückgeschickt, aber sie sind nicht wieder an die Reißbretter gegangen. Die Idee bleibt auf dem Tisch, und die Chancen stehen gut, dass sie umgesetzt wird — vielleicht nicht nächste Woche, aber irgendwann in diesem Jahr.
Die MCMC hat außerdem erklärt, dass sie im Rahmen der Durchsetzung der Anordnung keine virtuellen privaten Netzwerke (VPNs) verbieten wird. Die Verschlüsselung, die ein VPN bietet, sorgt dafür, dass der Internetanbieter (ISP) die DNS-Anfragen des Nutzers oder andere Daten nicht einsehen kann. Der ISP kann zwar erkennen, wenn ein Nutzer mit einem VPN verbunden ist, und die IP-Adresse des VPN-Servers identifizieren, aber er hat keinen Zugriff auf den Inhalt des Datenverkehrs oder kann diesen ändern, einschließlich der über das VPN durchgeführten DNS-Anfragen. Diese werden von den eigenen DNS-Servern des VPN bearbeitet.
Auf den ersten Blick erscheint es seltsam, dass VPN-Dienste nicht verboten werden, da deren Nutzung wahrscheinlich die Wirksamkeit der Anordnung untergraben würde. Eine mögliche Erklärung könnte sein, dass die Behörden nicht davon ausgehen, dass viele Menschen sich die Mühe machen werden, VPNs zu nutzen, um die Beschränkungen zu umgehen.
Indem die malaysische Regierung nicht gegen VPNs vorgeht, schafft sie ein Schlupfloch für den Zugang zu gesperrten Inhalten. Allerdings wirft die Verordnung Bedenken hinsichtlich des Datenschutzes und der Sicherheit der Nutzer:innen auf: Sie könnte ISPs und der Regierung ungehinderten Zugriff auf die Liste der besuchten Domainnamen (wie google.com oder dailymail.com oder pornhub.com) ermöglichen. Wenn verschlüsselten DNS-Nutzern der Zugang zum Internet verwehrt würde, würde dies — gelinde gesagt — das Nutzererlebnis und die Sicherheit beeinträchtigen und die Online-Sicherheitsstandards im Allgemeinen zurückwerfen.
Abgesehen von diesen Bedenken könnte eine solche Politik anderen Ländern, insbesondere solchen, die demokratische Freiheiten nicht respektieren, als Beispiel dienen und einen potenziell gefährlichen Präzedenzfall schaffen. Die Community muss gemeinsam gegen diese Bedrohungen des freien Internets vorgehen und ihre Missbilligung zum Ausdruck bringen. Heute ist es vielleicht Malaysia, aber Ihr Land könnte das nächste sein.