Abkürzung mit Tücken

Wie und warum die EU den Google-DNS-Resolvern das Wasser abgraben will

Die EU bewertet die Sicherheit und Vertrauenswürdigkeit der Internet-Namensauflösung in der EU als unzureichend und schiebt mit DNS4EU ein eigenes Projekt an. Das verwundert auf den ersten Blick, aber es gibt andere gute Gründe dafür.

Von Monika Ermert und Dušan Živadinović

Die EU-Kommission hat neben vielen anderen Infrastrukturen auch die Namensauflösung im Internet untersucht und als kritisch eingestuft. Das ist nachvollziehbar, denn ohne die Übersetzung von Domainnamen zu IP-Adressen (DNS-Anfragen) funktioniert heute so gut wie kein Internetdienst mehr. Diese Arbeit erledigen DNS-Resolver im Hintergrund; eine Kurzbeschreibung finden Sie im Kasten „Resolver-Arbeit“.

Zugleich befand die EU, dass das Sicherheits- und Vertraulichkeitsniveau dieses essenziellen Dienstes in der EU unzureichend sei und initiierte deshalb das Projekt DNS4EU. Das verwundert, denn große Internet-Provider wie die Telekom, Telefónica, Vodafone oder 1&1 verstehen ihr Handwerk, einschließlich des Resolver-Betriebs. Diesen Widerspruch löst die EU zwar nicht auf, aber näher besehen gibt es offensichtliche Gründe für eine europaweit koordinierte Infrastruktur.

Die wichtigsten sind Monitoring und Gefahrenabwehr, Eindämmung des Datenabflusses zu Resolver-Anbietern außerhalb der EU, die Einhaltung der Datenschutzgrundverordnung und die auf die EU beschränkte Erfassung und Bearbeitung der DNS-Anfragen. Nebenbei will die EU so die Unabhängigkeit von Resolvern großer US-Provider wie Google oder Cloudflare fördern.

EU-weite Gefahrenabwehr

Der vermutlich wichtigste Punkt ist das Monitoring. Dafür wertet man anonymisierte und aggregierte DNS-Anfragen möglichst vieler Nutzer aus und kann so Malware-Kampagnen oder auch Command-and-Conquer-Server von Angreifern früh identifizieren. Zwar bieten große Resolver-Betreiber wie Google, Cloudflare oder OpenDNS solche Frühwarndienste seit Langem an, aber die Verfechter des EU-Projekts monieren, dass diese eher global orientierten Betreiber lokale Attacken nicht im gleichen Maße berücksichtigen. Eine EU-weite Koordination fehlt bisher, jeder Resolver-Betreiber erledigt das für sich und seine Kunden auf eigene Art.

Robert Šefr, CTO des tschechischen Security-Spezialisten Whalebone, glaubt, dass das von seiner Firma aufgebaute Projekt DNS4EU bei der Gefahrenabwehr in der EU schneller und genauer sein wird als etablierte Anbieter wie Google und Cloudflare., Bild: Robert Šefr — Robert Šefr, CTO des tschechischen Security-Spezialisten Whalebone, glaubt, dass das von seiner Firma aufgebaute Projekt DNS4EU bei der Gefahrenabwehr in der EU schneller und genauer sein wird als etablierte Anbieter wie Google und Cloudflare.
*Bild: Robert Šefr*

Die Sache hat jedoch einen Haken: Generell funktioniert die Frühwarnung umso besser, je größer der Datenbestand ist. Doch der Anteil der DNS-Daten, den Provider der EU erhalten, schrumpft seit einigen Jahren. Dieses Phänomen haben Provider von autoritären Staaten und Überwachungsbehörden ausgelöst, indem sie DNS-Anfragen zensiert und zur Profilerstellung von Internetnutzern verwertet haben. Denn herkömmliche DNS-Anfragen sind unverschlüsselt, Resolver-Betreiber können sie wie Surf-Tagebücher lesen. Daraufhin hat unter anderem die Internet Engineering Task Force Methoden zur Verschlüsselung entwickelt, beispielsweise DNS-over-HTTPS (DoH). Browser wie Firefox und Chrome nutzen DoH, um ihre Anfragen geschützt an unzensierte Resolver von Google, Cloudflare oder anderen Anbietern zu schicken.

Leidtragende sind seriöse Provider, für die diese DNS-Anfragen unsichtbar sind. Das schmälert die Datenbasis für die Gefahrenabwehr und verhindert den Zugriff auf netzinterne Dienste, die Provider exklusiv für ihre Nutzer anbieten. Auch deshalb fördert die EU eigene Resolver.

13 Millionen für 13 Partner

Den Zuschlag für den Aufbau erhielt Ende Dezember 2022 die tschechische Firma Whalebone zusammen mit 12 Partnern (siehe ct.de/y6fy). Das mit 13 Millionen Euro geförderte Projekt hat Whalebone Mitte Januar vorgestellt. Beim Aufbau wollen die 13 Partner auf Infrastrukturen von Internetprovidern zurückgreifen. Die großflächige Verteilung und Unabhängigkeit soll gegen DDoS-Attacken schützen. Am Ende sollen es „viel, viel mehr als einer pro Mitgliedsstaat“ werden, erklärte Robert Šefr, CTO von Whalebone, im Gespräch mit c’t.

DNS4EU wird nicht von der EU unterhalten; die 13 Millionen Euro sind nur als Anschubfinanzierung gedacht. Das Konsortium hat daher ein Konzept entwickelt, um den Betrieb über kommerzielle Angebote zu finanzieren. An erster Stelle stehen jedoch kostenlose öffentliche Cloud-Resolver für jedermann, dazu leicht zu bedienende Apps, mit denen Anwender ihre Geräte für die Nutzung von DNS4EU konfigurieren sollen. Das erinnert an Smartphone-Apps von Cloudflare und anderen Betreibern. DNS4EU könnte aber laut Šefr auch mit Jugendschutzfiltern oder Werbeblockern locken.

Laut Messungen der DNS-Spezialisten Geoff Huston und Joao Damas stellen immer mehr Nutzer ihre Internetgeräte um und verschmähen die Resolver ihrer Provider zugunsten von Google und Cloudflare., Bild: Geoff Huston — Laut Messungen der DNS-Spezialisten Geoff Huston und Joao Damas stellen immer mehr Nutzer ihre Internetgeräte um und verschmähen die Resolver ihrer Provider zugunsten von Google und Cloudflare.
*Bild: Geoff Huston*

Für Internetprovider sind Cloud-Resolver und fertige, für deren Netze ausgelegte Resolver vorgesehen. Unter anderem sollen die DNS4EU-Resolver Sicherheitsprotokolle von DNSSEC bis zum verschlüsselten DNS-over-QUIC beherrschen und so Providern die Pflege solcher Dienste ersparen. Auch die Cyberthreat-Plattform, über die Informationen über laufende Angriffe gebündelt und ausgetauscht werden, soll es als kostenlose Basis- und kostenpflichtige Premiumvariante geben.

Dabei werde man mit lokalen Sicherheitsteams zusammenarbeiten, aber auch mit Finanzdienstleistern und Regierungen, um lokale Attacken auszufiltern. Grundlage werde ein hierarchisches Meldesystem sein, über das lokale Teams laufend Phishing- und Malware-Kampagnen melden. Die lokale Analyse und Abwehr sowie Schnelligkeit sieht Whalebone als die größten Vorzüge des europäischen Resolvers.

Hier wolle man schneller und besser sein als die Konkurrenz, betont Šefr, und setzt auf ein Netz von Partnern. Dazu gehören die technische Universität Prag, Sicherheitsteams von Italien, Polen, Portugal und Ungarn, F-Secure und die Berliner DNS-Spezialisten von deSEC. Laut Šefr können die Ergebnisse der Analysen an Interessenten verkauft werden. Anfragen von Strafverfolgern zur Herausgabe von Nutzerdaten werde man aber nicht beantworten können, weil man derartige Daten nicht speichere. Funktionsumfang und genaue Preise stehen noch nicht fest.

Resolver-Arbeit

Mit der Namensauflösung im Internet ist die Übersetzung von Domainnamen zu IP-Adressen gemeint. Zum Beispiel ist der Webserver von c’t mittelbar über den Domainnamen ct.de erreichbar; tatsächlich benötigt ein Browser zum Öffnen der c’t-Webseite entweder die IPv6- oder die IPv4-Adresse des Webservers (zurzeit 2a02:2e0:3fe:1001:302:: und 193.99.144.80).

Die Auflösung der Domain zur IP-Adresse ist für fast jede Internetverbindung zwingend erforderlich und die Übersetzungsarbeit erledigen die Resolver des Domain Name System (weltweite, hierarchisch organisierte Datenbank von Domainnamen, IP-Adressen und vielen anderen Informationen). Deshalb kann man Resolver als technische Plattform sehen, die in den Logs die Surf-Ziele der Anwender prinzipiell mitschreiben kann.

In Europa sind die meisten Router so konfiguriert, dass sie für diese Namensauflösung die Resolver des vom Kunden gewählten Internetproviders verwenden. Laut einer Studie der ICANN nutzen etwa 12 Prozent der Teilnehmer in der EU derzeit einen nicht-europäischen DNS-Anbieter wie Google oder OpenDNS. Die Nutzung von Googles öffentlichen Resolvern nimmt stetig zu.

Zensurrichtlinien

Ob Nutzer auf DNS4EU in Massen umsteigen werden, hängt auch an der Frage der Zensur und da stehen die Mitbewerber besser da. Denn die EU hat in ihrer Ausschreibung auch das Ausfiltern von Inhalten zur Pflicht gemacht, um EU-Recht und die Vorschriften der 27 Mitgliedsstaaten zu erfüllen. Somit werden die Betreiber von DNS4EU auch Gerichtsentscheidungen zum Sperren von Webseiten umsetzen müssen, die als illegal eingestuft sind. Man werde aber nichts tun, versicherte Šefr, was nicht „100 Prozent rechtlich vorgeschrieben ist“. Google & Co. versprechen aber, überhaupt nicht zu filtern und das ist bisher der Hauptgrund für Anwender, auf solche Resolver auszuweichen.

Šefr hält dagegen, dass die aktuellen Blocklisten der Mitgliedsländer kurz seien. Aus der tschechischen Republik kenne man etwa die Sperren gegen im Land nicht zugelassene Glücksspielbetreiber. Whalebone sei aber noch nicht sicher, ob nur die DNS4EU-Resolver der Provider die lokalen Sperrlisten umsetzen müssten oder auch die offenen Cloud-Instanzen. „Wir holen dazu noch rechtlichen Rat ein“, sagte er.

Mit Großen mithalten

So richtig attraktiv oder dringend erforderlich erscheint DNS4EU bisher nicht. Es gibt viele schnelle Resolver, die auch die Privatsphäre durch Verschlüsselung schützen. Und seriöse Resolver-Anbieter sichern in ihren AGB zu, keine DNS-Anfragen zu protokollieren. Mit kurzen Antwortzeiten glänzen beispielsweise Google, Cloudflare, OpenDNS und Quad9 schon seit Jahren und es wird spannend zu beobachten sein, ob DNS4EU da mithalten wird. (dz@ct.de)

Ausschreibung für DNS4EU: ct.de/y6fy