EU-Pläne für eigene DNS-Resolver: Kritiker befürchten fragmentiertes Netz
Ohne Resolver funktioniert heute keine Internet-Anwendung. Zugleich sind sie ein Loch im Privatsphärenschutz. Die EU will helfen, schwört aber Probleme herauf.
Ohne DNS-Resolver kein Internet – auf diese Faustformel lässt sich die Bedeutung dieser kritischen Infrastruktur herunterbrechen. Doch übliche Resolver sind auch Brennpunkte, an denen der Betreiber prinzipiell ablesen kann, welche Nutzer welche Ziele im Internet ansteuern und damit ein Loch in der Privatsphäre der Anwender.
Denn Internet-Anwendungen wie Browser steuern ihre Ziele nicht anhand von Domainnamen wie ct.de, sondern über deren IP-Adressen an (z. B. 193.99.144.80). Die Bezüge zwischen Domains und Adressen stehen im weltweiten Domain Name System (DNS) und Resolver holen die Adressen von dort und reichen sie an die Geräte der Anwender weiter (DNS-Auflösung). Weil die DNS-Auflösung weitgehend unverschlüsselt abläuft, sind DNS-Anfragen und -Antworten beliebte Beute von Spionen, Staatsschützern und Werbetreibenden.
EU versus Google
Nun will die EU Nutzerinnen und Nutzern eine Alternative mit eingebautem Privatsphärenschutz bieten und sucht in einer Ausschreibung nach Unternehmen oder Konsortien, die die Infrastruktur aufsetzen und betreiben.
Die Technik der DNS-Auflösung befindet sich seit einigen Jahren in einem großen Umbruch. Während Computer zu Beginn der Internet-Ära ihre DNS-Anfragen fast ausschließlich an Resolver von Internet-Providern gesendet haben, können Anwender inzwischen unter vielen Resolverbetreibern wählen. US-Konzerne wie Google und Cloudflare stechen mit sehr schnellen weltweiten Resolver-Infrastrukturen hervor.
Dem will nun die EU eigene Resolver entgegensetzen. Die Infrastruktur soll DNS4EU heißen und DNS-Anfragen der Nutzer gemäß EU-Datenschutzgesetzen und EU-Filterregeln auflösen. Die Mittel zur Finanzierung hat die EU-Kommission am 12. Januar bereitgestellt und damit die Ausschreibung in Gang gesetzt [1].
Das Interesse daran ist beträchtlich. Das zeigte sich in einer Diskussion Ende Januar [2], die die europäische IP-Adressverwaltung RIPE organisiert hatte. Zu der illustren Runde gehören TLD-Registries und Telekommunikationsunternehmen und vielleicht werfen noch Organisationen wie das RIPE selbst ihren Hut in den Ring.
ccTLD- und Telco-Konsortien
Unter anderem haben zehn Mitglieder des europäischen Dachverbands nationaler Domain-Registries CENTR (Council of European National Top Level Domain Registries) ein Konsortium gebildet, um ein Angebot für den Aufbau und Betrieb der Infrastruktur abzugeben. Zu den Mitgliedern des CENTR zählen beispielsweise Denic (Betreiber der .de-Domain) und Schwesterorganisationen wie nic.at und cznic.
Ex-British Telekom-Experte und Berater Andrew Campling berichtete von einigem Interesse bei Netzbetreibern. Er sei dabei, ein Konsortium zusammenzuführen, sagte Campling. "Die Haltung der Telcos in Bezug auf DNS4EU ist gemischt", verriet er. Es gebe jedoch Netzbetreiber, die "im Prinzip" interessiert seien.
Für alle Interessenten heißt es, die Beine in die Hand zu nehmen, denn die EU hat eine knappe Frist für Angebote gesetzt. Nicht einmal zwei Monate bleiben den potenziellen Interessenten. In Mitgliedsstaaten, die eine Genehmigung durch den lokalen Regulierer erfordern, ist der Zeitdruck noch größer. Eine schwedische Bewerbung etwa müsse bereits bis zum 6. Februar beim Telekomregulierer angezeigt werden, sagte Patrik Fältström, CEO von Netnod.
"Wir machen da nicht mit"
Für Fältström steht auch die Frage im Raum, wohin ein solches Angebot führt. Denn die DNS-Antworten eines solchen Resolvers müssen laut dem Ausschreibungstext der Kommission auf Basis von EU-Gesetzen und Gerichtsbeschlüssen der Mitgliedsländer gefiltert werden, liefern also einen Ausschnitt aus dem weltweiten Internet. Für den Schweden wäre das ein Schritt in Richtung Fragmentierung des Netzes. Paradoxerweise beklage aber gerade die EU die Fragmentierung. "Wir machen da nicht mit, auch wenn es jetzt Geld dafür gibt", sagte er.
Michele Neylon, Geschäftsführer des irischen Registrars Blacknight, findet die Vorstellung besorgniserregend, dass die Nutzung der EU-Resolver künftig verpflichtend gemacht werden könnte, etwa vor dem Hintergrund strengerer Sicherheitsanforderungen. Neylon mahnte, die Versuchung für ein solches Mandat könne wachsen, wenn die DNS4EU-Resolver zu wenig Zuspruch fänden.
Zentral oder dezentral
Vittorio Bertola, Head of Policy & Innovation bei Open-Xchange, nannte ein solches Szenario unrealistisch. Die EU sei schließlich kein autoritäres Regime. Bertola gehört zur Gruppe von Fachleuten, die eine europäische Alternative zu den Angeboten der US-Riesen begrüßen. Er nannte die Ausfallsicherheit einen Vorteil, analog zum Satellitennavigationsprojekt Galileo. Bertola bemängelte aber, dass aufgrund fehlender Datenschutzgarantien von US-Konzernen eine Datenschutz-verträgliche Nutzung der US-Dienste praktisch unmöglich sei.
Afnic-Entwickler Stephane Bortzmeyer widersprach Bertola: "Anders als beim Navigationsdienst GPS gibt es Alternativen", kritisierte er das Vorhaben. Bortzmeyer stellte heraus, dass viele Anwender nach wie vor die DNS-Resolver ihrer Internet-Provider oder sogar eigene Resolver nutzen. Es sei bittere Ironie, dass sich DNS4EU als Maßnahme gegen die zunehmende Zentralisierung verstehe, zugleich aber selbst ein neuer zentraler Dienst werde. Wesentlich besser und auch sicherer seien mehr dezentrale, lokale Resolver, bis hin zu Resolvern in der eigenen Home- oder Firmen-Infrastruktur.
Auch die Unterstützung der vor wenigen Jahren aufgekommenen DNS-Verschlüsselungen hält er für sinnvoll. Zu den neuen Methoden gehören DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) und Oblivious DoH (siehe dazu den c't-Beitrag Auskunft anonym - Wie ODoH und DNSCrypt Ihre Privatsphäre schützen [3]).
Doch weil das von den Browserbetreibern favorisierte DoH die Wahl des Resolvers in die Hände von Anwendungen legt (z. B. den Internet-Browsern Mozilla Firefox und Google Chrome), sei ein zentraler DNS4EU-Resolverdienst als Gegengewicht notwendig. Nur so könne der Abfluss von DNS-Daten zu Google oder Cloudflare gebremst werden, sagte Ralf Weber, Principal Architect bei Akamai.
Finger von der Ausschreibung lassen
"Es gibt sehr viele Gründe, die Finger von der Ausschreibung zu lassen", sagte Hans Petter Holen, Geschäftsführer des RIPE NCC, "und es gibt ein paar Gründe, sich zu beteiligen." Zur langen Liste der Bedenken gehört, dass die EU-Kommission im Ausschreibungstext fordert, DNS-Antworten auf Basis von URLs zu filtern. Das sei im Rahmen eines reinen DNS-Dienstes unmöglich, sagen Experten. Holen glaubt auch, dass sich das RIPE NCC überlegen müsse, die eigenen Mitglieder beim Aufbau und Betrieb dezentraler Resolver zu unterstützen.
Manche Teilnehmer der RIPE-Veranstaltung stellen sich gegen die Idee, dass das RIPE NCC sich selbst um den Aufbau und Betrieb der DNS4EU-Resolver bewirbt. Denn dann würde es möglicherweise gegen eigene Mitglieder ins Rennen gehen. Der Dachverband CENTR ist in einer ähnlichen Lage. Er berät 10 Mitglieder, die Bewerbungen in Betracht ziehen, verriet CENTR-Geschäftsführer Peter van Roste.
Knifflige Frage
Eine spannende Frage wird sich jeder der Interessenten selbst beantworten müssen, nämlich, wie der Betrieb der EU-Resolver nach Ablauf der Anschubfinanzierung von 14 Millionen finanziert werden soll. Nutzerdaten für Werbezwecke ausschlachten geht schließlich nicht. Und sollten die EU oder Mitgliedsstaten granulare Filterregime fordern, dürfte das teuer werden. Während Endnutzer auch künftig für DNS-Auflösungen nicht bezahlen werden, sondern allenfalls für Kinderschutz- oder Malware-Filter. (dz [4])
URL dieses Artikels:
https://www.heise.de/-6346631
Links in diesem Artikel:
[1] https://www.heise.de/news/Digitale-Souveraenitaet-EU-Kommission-schreibt-europaeischen-DNS-Resolver-aus-6334782.html
[2] https://www.ripe.net/participate/meetings/open-house/ripe-ncc-open-house-dns4eu
[3] https://www.heise.de/select/ct/2021/21/2120909362113083629
[4] mailto:dz@ct.de
Copyright © 2022 Heise Medien