Neues aus der IT-Welt

Die EU bietet nun einen eigenen DNS-Auflösungsdienst (Resolver) an und möchte ihren Bürgern damit helfen, unabhängiger von Angeboten großer US-Unternehmen wie Cloudflare und Google zu werden. Der Dienst heißt DNS4EU und filtert Internetadressen auf Nutzerwunsch vor: neben Phishing- und Betrugsseiten sperrt er jugendgefährdende Websites und Werbung.

Ein DNS-Resolver gehört zu den fast unsichtbaren Basisdiensten für stabile Internetzugänge: er werkelt im Hintergrund, meist beim Provider und sorgt dafür, daß Internetadressen wie www.wits.at zu IP-Adressen wie 80.245.192.95 übersetzt werden. Doch in vielen Ländern – auch in Deutschland und Österreich – werden Sperrverfügungen durch Lobbyverbände oder Jugendschutzbehörden oft auf DNS-Ebene umgesetzt. Deswegen und aus Geschwindigkeitsgründen behelfen sich Nutzer oft mit alternativen Anbietern wie Google, die mit dem Resolver 8.8.8.8 nicht nur eine der schönsten IP-Adressen nutzen, sondern auch über eine Billion Anfragen am Tag beantworten. Auch Cloudflare (1.1.1.1) und Quad9 (9.9.9.9) betreiben offene Resolver. Problematisch: viele dieser Server sind in den USA, weswegen das Quad9-Konsortium seinen Sitz bereits nach Zürich verlegte.

Mit DNS4EU möchte die EU nun eine eigene Alternative zu den Anbietern außerhalb des Unionsgebiets schaffen und startet mit einem Angebot für Bürger. Sie können einen DNS-Resolver auswählen (und z.B. als DNS-Server im Router eintragen), der ihre Bedürfnisse abdeckt. Zum Start gibt es vier verschiedene Varianten, die zudem kombinierbar sind:

• Ungefilterte DNS-Antworten für Nutzer, die zum Beispiel eigene Filterlisten pflegen oder solche nicht wünschen,
• eine Sperrliste für betrügerische und gefährliche Webseiten wie Malware und Phishing,
• auf Jugendschutz optimierte Filterung, die jugendgefährdende, gewaltverherrlichende und andere unerwünschte Inhalte ausblendet und
• ein Ad-Blocker auf DNS-Ebene

Der Dienst steht sowohl mit Resolver-Adressen in IPv4 und IPv6 als auch per DoH (DNS over HTTPS) oder DoT (DNS over TLS) bereit. Die Adressen finden sich auf der Projekt-Webseite (welche ironischerweise CloudFlare als Proxy und dDoS-Schutz verwendet) nach Filterzweck geordnet. Um die Ausfallsicherheit zu verbessern, liefert DNS4EU sowohl für DNS-Abfragen in IPv4 als auch für solche in IPv6 jeweils eine zweite IP-Adresse mit.

Für die Filterlisten bedient sich DNS4EU nach eigenen Angaben öffentlicher Listen wie der Bon-Apetit-Liste pornografischer Domains und der Werbe-Blockliste Goodbyeads. Falls eine Domain fälschlich blockiert wird oder in einer Liste fehlt, stellt der Anbieter ein Meldeformular bereit.

Die Betreiber betonen, daß die DNS4U-Resolver keine "rechtliche Filterung" durchführen und auch nicht als Zensur-Vehikel gedacht seien. Tatsächlich ergab eine Stichprobe mit einigen Domains der "CUII-Liste", daß keine der verzeichneten Adressen durch die Resolver zensiert wird – die Adressen werden genauso aufgelöst wie etwa beim Google-Nameserver. Auch bei manchen Anbietern gesperrte Domains wie die des Pornoportals YouPorn löst DNS4EU brav zu IP-Adressen auf – sofern der Nutzer keinen Kinderschutz-Filter aktiviert hat.

Hinter dem Projekt stecken verschiedene Domainregistrare und DNS-Unternehmen, darunter deSEC aus Berlin. Mit Ablauf der EU-Förderung Ende 2025 soll DNS4EU "kommerzialisiert" werden, also in den Betrieb durch ein gewinnorientiertes Unternehmen übergehen. Diese Kommerzialisierung hat indes bereits begonnen: Unternehmen und Regierungsinstitutionen soll das Spin-Off "Whalebone"helfen, per DNS Bedrohungen zu erkennen und Angriffe zu verhindern.

Statement von WITS.AT:

Seit uns nicht Böse, aber immer wenn die EU irgendetwas "gutes" einführt, ist irgendein Hintergedanke meiner Ansicht nach schon eingeplant! Im Ländle würde man sagen, es hat "a G'schmäckle". Wenn alle brav diesen Resolver nutzen, können instant Seiten gesperrt werden oder - im schlimmsten Fall - sogar (absichtlich) umgeleitet. Natürlich werden jetzt einige Leser sagen, "das könnte Google ja theoretisch jetzt auch machen!". Dabei haben Sie technisch gesehen nicht unrecht! Doch wir glauben, die US-Unternehmen werden nicht so wirklich auf Wüsche der EU hören (sieht man ja jetzt schon Stichwort Faktencheck bei Facebook). Deswegen ist es doch viel einfacher, man macht einen eigenen Resolver.