DNS-Resolver für die EU: Wir sind die Guten

Inhaltsverzeichnis

Ende Dezember 2022 beauftragte die EU-Kommission die tschechische Firma Whalebone und 12 Partner mit dem Aufbau eines europäischen Systems zur Namensauflösung im Internet und gab damit den Startschuss für ihr Projekt DNS4EU. Am heutigen Dienstag stellten Whalebone und Partner das Projekt im Rahmen einer virtuellen Pressekonferenz öffentlich vor. "DNS4EU soll Nutzern in Europa schnelleres, sicheres und vertraulicheres Internet bringen", erklärte Richard Malovič, CEO von Whalebone. EU-Bürger und Firmen würden damit unabhängiger von US-amerikanischen Anbietern. Die EU schiebt das Projekt mit 13 Millionen Euro an.

"Die EU-Kommission stuft die Namensauflösung im Internet als kritische Infrastruktur ein", erklärte Malovič. Doch bisher werde in der EU das erforderliche Sicherheits- und Vertraulichkeitsniveau nicht erreicht, weshalb sich die EU entschlossen habe, ein eigenes Projekt anzuschieben.

Souveränität

Konkret geht es um die Auflösung von Domainnamen wie ct.de zu IP-Adressen. Zum Beispiel ist der Webserver von c't mittelbar über den Domainnamen ct.de erreichbar; tatsächlich benötigt ein Browser zum Öffnen der c't-Webseite entweder die IPv6- oder die IPv4-Adresse des Webservers (zurzeit 2a02:2e0:3fe:1001:302:: und 193.99.144.80). Die Auflösung der Domain zur IP-Adresse ist für fast jede Internet-Verbindung zwingend erforderlich und die Übersetzungsarbeit erledigen DNS-Resolver. Deshalb kann man Resolver als technische Plattform sehen, die in den Logs die Surf-Ziele der Anwender prinzipiell mitschreiben kann.

Die meisten Router sind so konfiguriert, dass sie für diese Namensauflösung die Resolver des Internet-Providers verwenden. Spezielle Anwendungen, darunter die Browser Firefox und Chrome, können die DNS-Anfragen aber auch zu großen Resolver-Anbietern wie Cloudflare und Google senden.

Der EU-Kommission bewertet die Unabhängigkeit von Resolvern großer US-Provider wie Google oder Cloudflare als Schritt zu mehr Souveränität, selbst wenn die außereuropäischen Resolver-Anbieter in den AGBs zusichern, keine DNS-Anfragen zu protokollieren.

Resolvernetz

Whalebone will nun gemeinsam mit 12 Partnern ein in mehreren EU-Ländern verteiltes Resolvernetz aufbauen und dabei auf bestehende Infrastrukturen von Telcos und ISPs zurückgreifen, sagte Whalebones CTO Robert Šefr. Die Verteilung und Unabhängigkeit der einzelnen Resolver soll gegen DDoS-Attacken schützen.

Die von Content-Delivery-Netzen verwendeten Geo-Zuordnungen zum ruckelfreien Ausspielen von Audio-, Video- und Gaming-Datenströmen werde man nicht beschränken, erklärte Šefr. Offen blieb, wie viele Resolverinstanzen aufgebaut werden sollen.

Um die Sicherheit zu wahren, werde man mit lokalen CERTs und CSIRTs zusammenarbeiten, aber auch mit Finanzdienstleistern und Regierungen, um etwaige lokale Attacken über DNS4EU ausfiltern zu können. Anfragen von Strafverfolgern zur Herausgabe von Surf-Profilen der Nutzer werde man nicht beantworten können, weil man derartige Daten nicht speichere.

Soweit vorhanden, sollen andere Daten für eigene Forschungszwecke genutzt werden. Ob sie solche Daten auf Anfrage an externe Wissenschaftlern weitergeben würden, ließen die Betreiber offen.

Vier Säulen

Die Frage zur Wirtschaftlichkeit der nur anschubfinanzierten Unternehmung beantwortete CEO Malovič. Demnach setzt das Konsortium auf vier Säulen. Es werde einen öffentlichen Cloud-Resolver für jedermann geben und für TK-Unternehmen und Mobilfunkbetreiber On-Premise-Instanzen als kostenlose Basis- und als Premiumversion. Damit dürften Zusatzfunktionen wie Kinderschutzfilter gemeint sein. Auch die geplante Cyberthreat-Plattform, auf der Informationen über laufende Angriffe ausgetauscht und gebündelt werden, soll es als Basis- und Premiumvariante geben.

Internet-Provider können ihre eigenen DNS-Resolver ersetzen, und zwar wahlweise mit einem Cloud-Resolver von DNS4EU oder einer DNS4EU-Instanz im eigenen Netz. Das könnte manche Provider interessieren, weil die DNS4EU-Resolver Sicherheitsprotokolle von DNSSEC bis zum verschlüsselten DNS-over-TLS beherrschen sollen. Auch DNS-over-QUIC werde man, sobald es vollständig standardisiert sei, einführen.

Was Endnutzer bekommen

Mit der vierten Säule richtet sich das Konsortium an Endnutzer. Für Anwender ohne Vorkenntnisse sei eine App vorgesehen, welche die DNS-Anfragen eines Geräts an Resolver von DNS4EU umlenkt. Damit könnte eine Alternative zu Apps wie "1.1.1.1" von Cloudflare gemeint sein, die es für viele Plattformen gibt, darunter für Android. Die Variante von DNS4EU soll ebenfalls Jugendschutzfilter anbieten, wiederum als Basis- und Bezahlversionen. Wie dabei Vertraulichkeit und Datenschutz sichergestellt werden, darüber wird noch gebrütet.

Einen guten Teil der Pressekonferenz nahm die Diskussion über kritische Fragen ein. Whalebones CMO Petr Hloušek Peter Soukenik, VP of International Business Development, hielt diesen entgegen, dass DNS4EU als "positiver Beitrag für mehr Vertraulichkeit, Sicherheit und Datenschutz für die Nutzer" gedacht sei. Es soll Europa weniger abhängig von nicht-europäischen Diensten machen.

Europäische Zensurfantasien?

Mache Fachleute sehen jedoch Anlass zur Sorge, dass mit den neuen Resolvern in Europa eine für die Zensur ausgelegte Infrastruktur Einzug halten könnte. Denn laut Ausschreibung müssen die Resolver sowohl EU-Recht als auch nationale Filterlisten berücksichtigen. Entsprechend räumte CTO Sefr ein, dass praktisch alle EU-Länder kleine Filterlisten führen.

Für welchen EU-Bürger welche Filterliste zur Anwendung kommt, das solle – wohl eher grob – anhand der Geo-Location vorsortiert werden. Man setze dabei auf die Zusammenarbeit mit den lokalen ISPs. Ein Prozedere für Widersprüche gegen mutmaßlich fälschlich gesperrte Adressen ist geplant, die Resolver-Betreiber seien aber auch selbst bemüht, False Positives zu erkennen, sagte Sefr.

Mehr werde DNS4EU aber nicht zensieren: "Wir werden uns an das halten, was auch lokale Provider aktuell machen", versicherte das Whalebone-Team. Etwaige Gerichtsurteile zu Sperrwünschen, wie es etwa der Musikkonzern Sony gegen Quad9 anstrebt, werde man sich auf der Basis geltenden Rechts beugen, ergänzte der CEO.

Doch Zensur über einen EU-eigenen DNS-Resolver hält Malovič für eine unbegründete Sorge. Einerseits bleibe DNS4EU eine private Infrastruktur. Andererseits sei das Sperren eines bestimmten Servers nicht mit den Regeln des freien Marktes in der EU vereinbar. Vorstellbar sei allenfalls, dass bestimmte Kriterien in Bezug auf die Sicherheit oder Vertraulichkeit für kritische Infrastruktur und DNS-Server festgelegt werden.

Offene Tür für Interessenvertreter

"Sehen sie DNS4EU doch als etwas Positives", riet Soukenik und verwies auf die Mitsprachemöglichkeiten, die man der Community eröffnen will. Interessenvertreter sollen die Entwicklungen von DNS4EU begleiten.

[Update]: 11.01.23, 10:09, Namenskorrektur Peter Soukenik anstatt Petr Hloušek.

[Update]: 11.01.23, 14:05, Whalebones CTO Robert Šefr erklärte nach Erscheinen dieses Artikels, DNS-over-QUIC implementieren zu wollen, sobald es standardisiert sei; DNS-over-HTTPS habe er in diesem Zusammenhang nicht gemeint. (dz)