Öffentlicher DNS-Resolver: Neue RIPE-Taskforce zu den Dos and Don'ts

Inhaltsverzeichnis

Seit Monaten brütet die Europäische Kommission über Bewerbungen für einen "souveränen", öffentlichen DNS-Resolver für Europas Bürger und Bürgerinnen. Eine neue Taskforce bei der IP-Adressverwaltung RIPE will jetzt Empfehlungen dazu verabschieden, welche Features ein solcher Resolver haben sollte.

RIPE Task Force: Der gute Resolver

Die neue Arbeitsgruppe der IP-Adressverwaltung RIPE will eine Empfehlung für das Aufsetzen öffentlicher DNS-Resolver erarbeiten. Die Initiative der Vorsitzenden der DNS-Arbeitsgruppe des RIPE versteht sich auch als Antwort auf den von der EU-Kommission Anfang des Jahres ausgelobten Betrieb eines EU-DNS-Resolvers (DNS4EU). Beim RIPE-Treffen in Belgrad riefen sie zur Mitarbeit an "Best Practices für Public Resolver" auf.

DNS-Resolver ordnen angefragten Namen die zugehörigen IP-Adressen zu und erlauben damit die Navigation durchs Netz. Öffentliche DNS-Resolver bieten sich Internetnutzern mehr und mehr als Alternative zu den DNS-Diensten ihrer Internetzugangsprovider (ISP) an. In manchen Ländern sind die Provider verpflichtet, bestimmte Seiten im DNS zu blockieren. Zudem veranlasst auch der wachsende Aufwand, sicheres und zunehmend verschlüsseltes DNS aufzusetzen, kleinere Dienstleister dazu, auf solche öffentliche Resolver zurückzugreifen, anstatt den Dienst selbst vorzuhalten.

Keine "ganz furchtbare Idee"

Die EU-Ausschreibung zum Betrieb eines öffentlichen DNS-Resolvers innerhalb der EU, als Alternative zu den öffentlichen Resolvern von Google (8.8.8.8), Cloudflare (1.1.1.1) oder Quad9 (9.9.9.9), hatte der Europäischen Kommission Anfang des Jahres mächtig Kritik eingetragen. Weil die Kommission auf Datenschutz und Werbefreiheit pochte, zugleich aber nur eine Anschubfinanzierung ins Auge fasste, fragten viele nach dem Geschäftsmodell. Zugleich schreckte viele die von der Kommission formulierte Anforderung an das Ausfiltern von irgendwo in der EU illegalen Inhalten ab.

Man anerkenne mittlerweile, dass ein öffentlicher Resolver in der EU keine "ganz furchtbare Idee" sei, sagte beim Treffen in Belgrad Shane Kerr, scheidender Vorsitzenden der DNS-Arbeitsgruppe. "Man muss den Betrieb öffentlicher Resolver nicht ganz allein US-Firmen überlassen", so Kerr.

Betriebspraktiken und der Umgang mit Daten

Mit der neuen Taskforce wolle man von der Gemeinschaft von Technikern und Netzbetreibern entwickelte Regelungen und Verfahren niederlegen, an die sich die Betreiber solcher öffentlicher Resolver halten könnten, erläuterte Joao Damas, Initiator der Taskforce und Vorsitzender der DNS-Arbeitsgruppe. Die von der "Community" gemeinsam entwickelten Handlungsempfehlungen sollen laut Damas etwaigen Anweisungen von Regierungsseite zuvorkommen, die möglicherweise "unausgegoren und nicht durchdacht" seien.

Die Empfehlungen werden laut Damas Betriebspraktiken und den Umgang mit Daten betreffen, also auch das Thema Vertraulichkeit. Der Spanier, der im Lauf seiner Karriere bei der BIND-Schmiede Internet Software Consortium und beim DNS-Provider Dyn gearbeitet hat, ist aktuell Forscher für RIPEs asiatische Schwester APNIC. Die Public Resolver-Taskforce sei aber ein Projekt der RIPE DNS-Arbeitsgruppe.

DNS4EU: Zwei förderwürdige Kandidaten

Wenn die Empfehlungen für den oder die künftigen DNS4EU-Betreiber noch rechtzeitig kommen sollen, müssen Damas und Kerr sich beeilen. Ein Blick auf die Ausschreibungsseite der EU zeigt, dass diese inzwischen tatsächlich zwei von drei Bewerbern als förderungsfähig ausgewählt hat. Bereits im November könnten Verträge mit den ausgewählten Betreibern unterzeichnet werden, heißt es in der Ankündigung vom 12. Oktober.

Ob wirklich beide Kandidaten am Ende zum Zug kommen und wie viel Geld sie bekommen, hänge aber noch davon ab, wie viel Geld letztlich zur Verfügung stehe und wie die Kommission am Ende entscheide, so die offizielle Notiz. Zusammengenommen hatten die beiden förderfähigen Kandidaten immerhin 10,58 Millionen Euro gefordert. Ausgelobt hatte die Kommission ursprünglich 14 Millionen. Um wen oder um welche Konsortien es sich handelt, ist aktuell noch nicht bekannt.

Sorge um Einstieg in DNS-Filterung bleibt

Eine Gretchenfrage für den DNS4EU-Resolver bleibt die, wie er es mit Netzfiltern hält. Laut der Ausschreibungsübersicht gehört "Rechtmäßiges Filtern" von "URLs (sic!), die zu illegalen Inhalten führen", zu den Standardanforderungen an den oder die Betreiber.

Moritz Körner, Abgeordneter der Faktion der Liberalen (Renew) im Europäischen Parlament, hat gleich zweimal bei der Kommission nachgefragt, auf welcher Rechtsgrundlage am DNS4EU-Resolver gesperrt werden soll, beziehungsweise ob die neue Verordnung zur Chatkontrolle einschlägig sein wird.

In ihrer jüngsten Antwort versichert EU Kommissarin Ylva Johansson, Sperranordnungen würden "an einen oder mehrere bestimmte Anbieter von Internetzugangsdiensten gerichtet werden und haben somit keine EU-weite Wirkung" und "da es sich bei DNS4EU nicht um einen Anbieter von Internetzugangsdiensten handelt, kann das System nicht Adressat von Sperranordnung im Rahmen der vorgeschlagenen Verordnung sein."

Für Körner ist die Auskunft wenig beruhigend. "Die Kommission spielt ein falsches Spiel", schreibt er auf eine Anfrage von heise online. Es gebe kein Marktproblem, das DNS4EU löse, so der Liberale. Jüngste Zahlen hatten gezeigt, dass in Europa 90 Prozent der Nutzer ihr DNS über ihre lokalen ISP beziehen. Johanssons Auskunft, DNS4EU sei kein potentieller Adressat europaweiter Sperren, sieht Körner skeptisch. Es sei zu befürchten, dass erst eine scheinbar unverdächtige Zensurinfrastruktur geschaffen und dann die praktischen Zensur-Anwendungen durch spätere Gesetzesänderungen nachgereicht werden. "Von der Leyen will einen zentralen europäischen DNS-Resolver kreieren, der Internetseiten europaweit blockieren können soll", warnt er.

Die von der Taskforce geplanten Anforderungen an einen guten öffentlichen Resolver wird ein zur Filterung genutzter DNS4EU-Resolver kaum erfüllen.

(bme)