EU-Kommission erteilt Zuschlag für europäische DNS-Resolver
Wer DNS-Resolver betreibt, weiß, wohin seine Nutzer surfen. Die EU will eigene Resolver als Gegengewicht zu Anbietern wie Google und Cloudflare aufbauen.
- Monika Ermert
Der tschechische Dienstleister Whalebone führt das siegreiche Konsortium für die geplanten öffentlichen DNS-Resolver in Europa (DNS4EU) an. Laut einem Sprecher Whalebones hat die EU-Kommission den insgesamt 13 Konsortialmitgliedern insgesamt 13 Millionen Euro zugesagt, für den Aufbau einer europäischen Alternative zu offenen Resolvern von Anbietern wie Google und Cloudflare. Nicht zum Zug gekommen ist laut Beobachtern ein italienisch-geführtes Konsortium.
Das Domain Name System (DNS), gerne als "Telefonbuch fürs Internet" bezeichnet, enthält die Zuordnung von IP-Adressen zu Domainnamen wie ct.de (IPv6: 2a02:2e0:3fe:1001:302::, IPv4: 193.99.144.80). So muss man sich keine IP-Adresse merken, um einen Server im Internet zu finden, sondern nur den Domainnamen. Und Admins können die IP-Adressen ihrer Server nach Bedarf ändern, oder mehr als einen Server verwenden, ohne Nutzer darüber informieren zu müssen. Die korrekte Zuordnung enthält das weltweite DNS. Die erforderlichen Antworten liefern die weltweit verteilten DNS-Resolver, die im Hintergrund von Endgeräten oder beispielsweise Heim-Routern befragt werden.
Diese Architektur hat zur Folge, dass in Resolver-Logs die Surfziele der zugehörigen Nutzer-IP-Adressen auflaufen. Vor allem große Resolver-Betreiber wie Google und Cloudflare sehen sich daher unter Druck, die Privatsphäre der Nutzer zu schützen, und verpflichten sich in ihren AGBs dazu, individueller Nutzeraktivitäten nicht zu protokollieren.
Zivilgesellschaft bietet Alternativen
Auch setzen sich Initiativen für den Schutz der Privatsphäre ein und bieten Resolver ohne Protokollierung an, darunter etwa die Schweizer Institutionen Quad9 und Digitale Gesellschaft, das dänische UncensoredDNS oder die Bielefelder Initiative Digitalcourage. Zusätzlichen Schutz versprechen VPN-Anbieter sowie Apple und Google mit kryptografischen Methoden zum Entkoppeln der Benutzerauthentifizierung vom Nutzerverkehr (Blind Signatures).
Dennoch will die EU mit dem Projekt DNS4EU eigene öffentliche Resolver anbieten, um vor allem Alternativen zu US-Firmen wie Google und Cloudflare zu schaffen. Außerdem wertet die EU DNS-Resolver als kritische Infrastruktur und will deren Verfügbarkeit nicht Dritten oder dem Zufall überlassen. Die schon Anfang 2022 von der EU-Kommission im Rahmen der Cybersicherheitsstrategie ausgelobten Mittel für das "europäische DNS" mussten noch vor Jahresende vergeben werden. Das hat man gerade noch geschafft.
Bunte Mischung, tschechisches Herz
13 Partner aus zehn Ländern machen sich unter der Leitung Whalebones an die Arbeit. Wo das Herz der künftigen DNS4EU-Resolver schlägt, zeigt allerdings die kleine Übermacht tschechischer Partner. Neben Whalebone sind dies der Provider des tschechischen Forschungsnetz-Providers CESNET, der Technischen Universität Prag und die DNS-Registry des kleinen Landes, CZ.nic, die mit dem Knot-Resolver und -Server seit vielen Jahren eigene quelloffene DNS-Software entwickelt und anbietet.
Welche Rolle die einzelnen Partner spielen, konnte der Sprecher zunächst nicht beantworten. Alle Mitspieler würden ihre speziellen Kompetenzen einbringen. Ondrej Filip, der Geschäftsführer von CZ.nic, teilte auf Anfrage der c't mit, CZ.nic werde in erster Linie die Software-Suite Knot beitragen. Beteiligung am operativen Betrieb sei nicht geplant.
Lesen Sie auch im heise-online-Archiv
Studie: So heftig wird das Domain Name System manipuliert
DNS over Amateurfunk in London
Aus Deutschland mit dabei ist der Berliner DNS-Betreiber deSEC, der Werkzeuge und Dienste rund um DNS entwickelt, vor allem aber DNSSEC-abgesichertes DNS-Hosting. Die übrigen Partner sind das bulgarische MInisterium für Digitale Verwaltung, die rumänische IT-Sicherheitsdirektion sowie drei CERTs (Computer Emergency Response Teams), und zwar das portugiesische, das polnische und das ungarische. Spezialwissen sollen offenbar die belgische, auf Innovationsrecht spezialisierte Kanzlei Time.Lex und die Forschungsabteilung des italienischen Bankenvereins Abi Lab beisteuern. Zudem ist Viren- und Malwareexperte F-Secure dabei.
Das mit öffentlichen Mitteln aufgesetzte DNS4EU soll laut der Pressemitteilung Whalebones "aktuelle Telekommunikations- und ISP Infrastruktur mit neuen, öffentlichen DNS-Resolvern verbinden." Besonders die klassischen Internet-Provider standen DNS4EU von Anfang an positiv gegenüber, auch weil sie durch den raschen Start der neuen, verschlüsselten DNS-Variante DNS-over-HTTP ein Abwandern von DNS-Anfragen in Richtung Browser und großer Plattformen befürchten. Alejandro Plater von der A1 Telekom Austria Group bezeichnete die Entscheidung der EU als "fantastisches Beispiel, wie europäische Telcos mit ihren internationalen Wettbewerbern mithalten können."
EU-gefiltertes DNS?
Während Whalebone in seiner Mitteilung nochmals den Aspekt der "digitalen Unabhängigkeit" von den großen Tech-Plattformen als Motiv für DNS4EU unterstreicht, herrscht unter technischen Experten eine gewisse Skepsis. DNS-Abfragen innerhalb der EU zu beantworten, klingt zwar unter dem Aspekt des Datenschutzes gut. Aber Experten warnen vor den Filtervorgaben, welche ein Bestandteil der Ausschreibung waren.
Eine immer wieder geäußerte Sorge in der Community lautet, die DNS4EU-Resolver könnten künftig im Kampf gegen sexualisierte Gewalt, Hate Speech oder Urheberrechtsfragen als Filterwerkzeug eingesetzt werden. Whalebones Pressemitteilung spricht immerhin schon mal recht forsch davon, die Europäische Kommission plane, "100 Millionen Nutzer auf eine neue EU-basierte DNS-Infrastruktur zu bringen."
Sollten europäische Internet-Provider tatsächlich einen Großteil der DNS-Anfragen an DNS4EU zu schicken, wäre das ein großer Erfolg mit womöglich unerwünschten Folgen für Nutzer, die zensurfrei surfen wollen. Angesichts dieser Sorge haben Administratoren und DNS-Experten bei der europäischen IP-Adressverwaltung RIPE just eine Task Force auf die Beine gestellt, die Prinzipien für den Betrieb eines öffentlichen Resolvers entwickeln soll.
Betrieb
Für das erst 2016 gestartete Unternehmen Whalebone ist DNS4EU wohl eine gute Ergänzung seines Angebotes für Internet Service Provider und andere Unternehmen. Sichere on-Premise-DNS-Server mitsamt der Sicherheitstechnik DNSSEC können um EU-eigenes DNS-Resolving ergänzt werden.
Möglicherweise erlaubt dies dem Unternehmen, jenen Betrieb zu finanzieren, der nicht von der EU-Ausschreibung abgedeckt wird. Wie die anderen Partner da hineinpassen, muss sich zeigen; und auch, ob man Filterlisten eines ungarischen CERTs fürchten muss.
[Update]: 23.12.22, 13:33, Bewertung der Resolver als kritische Infrastruktur ergänzt.
(dz)