Die EU bietet nun einen eigenen DNS-Auflösungsdienst (Resolver) an und möchte ihren Bürgern damit helfen, unabhängiger von Angeboten großer US-Unternehmen wie Cloudflare und Google zu werden. Der Dienst heißt DNS4EU und filtert Internetadressen auf Nutzerwunsch vor: Neben Phishing- und Betrugsseiten sperrt er jugendgefährdende Websites und Werbung.
Ein DNS-Resolver gehört zu den fast unsichtbaren Basisdiensten für stabile Internetzugänge: Er werkelt im Hintergrund, meist beim Provider und sorgt dafür, dass Internetadressen wie www.heise.de zu IP-Adressen wie 2a02:2e0:3fe:1001:7777:772e:2:85 übersetzt werden. Doch in vielen Ländern – auch in Deutschland – werden Sperrverfügungen durch Lobbyverbände oder Jugendschutzbehörden oft auf DNS-Ebene umgesetzt. Deswegen und aus Geschwindigkeitsgründen behelfen sich Nutzer oft mit alternativen Anbietern wie Google, die mit dem Resolver 8.8.8.8 nicht nur eine der schönsten IP-Adressen nutzen, sondern auch über eine Billion Anfragen am Tag beantworten. Auch Cloudflare (1.1.1.1) und Quad9 (9.9.9.9) betreiben offene Resolver. Problematisch: Viele dieser Server sind in den USA, weswegen das Quad9-Konsortium seinen Sitz bereits nach Zürich verlegte.
Mit DNS4EU möchte die EU nun eine eigene Alternative zu den Anbietern außerhalb des Unionsgebiets schaffen und startet mit einem Angebot für Bürger. Sie können einen DNS-Resolver auswählen (und z.B. als DNS-Server im Router eintragen), der ihre Bedürfnisse abdeckt. Zum Start gibt es vier verschiedene Varianten, die zudem kombinierbar sind:
Ungefilterte DNS-Antworten für Nutzer, die zum Beispiel eigene Filterlisten pflegen oder solche nicht wünschen,eine Sperrliste für betrügerische und gefährliche Webseiten wie Malware und Phishing,auf Jugendschutz optimierte Filterung, die jugendgefährdende, gewaltverherrlichende und andere unerwünschte Inhalte ausblendet undein Ad-Blocker auf DNS-EbeneDer Dienst steht sowohl mit Resolver-Adressen in IPv4 und IPv6 als auch per DoH (DNS over HTTPS) oder DoT (DNS over TLS) bereit. Die Adressen finden sich auf der Projekt-Webseite (welche ironischerweise CloudFlare als Proxy und dDoS-Schutz verwendet) nach Filterzweck geordnet. Um die Ausfallsicherheit zu verbessern, liefert DNS4EU sowohl für DNS-Abfragen in IPv4 als auch für solche in IPv6 jeweils eine zweite IP-Adresse mit.
Für die Filterlisten bedient sich DNS4EU nach eigenen Angaben öffentlicher Listen wie der Bon-Apetit-Liste pornografischer Domains und der Werbe-Blockliste Goodbyeads. Falls eine Domain fälschlich blockiert wird oder in einer Liste fehlt, stellt der Anbieter ein Meldeformular bereit.
Wer Schmuddelkram aufrufen möchte, scheitert an der optionalen Kinderschutzfunktion des DNS4U-Filters
(Bild: heise online / cku)
Die Betreiber betonen, dass die DNS4U-Resolver keine "rechtliche Filterung" durchführen und auch nicht als Zensur-Vehikel gedacht seien. Tatsächlich ergab eine Stichprobe mit einigen Domains der "CUII-Liste", dass keine der verzeichneten Adressen durch die Resolver zensiert wird – die Adressen werden genauso aufgelöst wie etwa beim Google-Nameserver. Auch bei manchen Anbietern gesperrte Domains wie die des Pornoportals YouPorn löst DNS4EU brav zu IP-Adressen auf – sofern der Nutzer keinen Kinderschutz-Filter aktiviert hat.
Hinter dem Projekt stecken verschiedene Domainregistrare und DNS-Unternehmen, darunter deSEC aus Berlin. Mit Ablauf der EU-Förderung Ende 2025 soll DNS4EU "kommerzialisiert" werden, also in den Betrieb durch ein gewinnorientiertes Unternehmen übergehen. Diese Kommerzialisierung hat indes bereits begonnen: Unternehmen und Regierungsinstitutionen soll das Spin-Off "Whalebone"helfen, per DNS Bedrohungen zu erkennen und Angriffe zu verhindern.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare