Der Vollständigkeit halber sollen noch die Nameserver der einzelnen Registries erwähnt werden. Damit sind die Nameserver gemeint, die jeweils die Personen- und anderen Verwaltungsdaten zu den Domains einer Top Level Domain führen. Zusätzlich „wissen“ sie, welcher Authoritative Nameserver letztendlich für jede Domain zuständig ist. Damit sind sie in dem hier angesprochenen Kontext von geringer Relevanz.
Manipulationsmöglichkeiten
Bei bösartigem Umgang mit dem Caching eröffnet sich hier eine Manipulationsmöglichkeit. Wer auf den Cache Zugriff hat, kann auch den Inhalt verändern und Umleitungen einbauen. Und das wiederum hat auf die Bewertung von öffentlichen Resolvern großen Einfluss. Ein zweites Problem liegt in der Möglichkeit zum Protokollieren (Überwachen?) der Abfragen: wer fragt nach welchen URLs? Und das betrifft natürlich den Datenschutz.
Wer betreibt die öffentlichen Resolver und warum?
Wir kennen drei Arten von Betreibern öffentlicher Resolver:
- Access-Provider für Endverbraucher:
Vodafone, Deutsche Telekom, E-Plus, 1&1 (und weitere). Sie bieten den DNS-Service als kostenfreien Dienst an. Ihren Kunden werden die „hauseigenen“ Resolver als Default (Standardeinstellung“ bereits vorgegeben. Da es sich hiermeist um Privatanwender handelt, wird an diesen Einstellungen selten etwas geändert. - International tätige Service-Anbieter:
Dazu gehören zum Beispiel Google, Cloudflare, Quad9. Auch diese Dienste sind kostenfrei. Man muss sie aber aktiv einrichten. - Lokale und überregional engagierte Betreiber:
Diese behaupten mehr oder weniger glaubhaft, die DNS-Antworten nicht zu zensieren oder sonstwie auszuwerten. Meistens stimmt es, aber eine Überprüfung fällt schwer. Auch diese müssen aktiv eingerichtet werden.
Welche Interessen haben die Anbieter?
Wer einen Resolver betreibt, weiss, von welcher IP-Adresse aus welche Domains angesprochen werden. Das betrifft z.B. Web- und Mail-Anfragen. Google verdient direkt an der Auswertung solcher Informationen. Bei 1&1 ist dies über die Konzernmutter United Internet ähnlich.
Die Netzbetreiber können mit Hilfe ihrer Resolver Priorisierungen herausfiltern. Hier geht es also um Netzneutralität. Priorisierung mal eben um 180 Grad gedreht bedeutet ausbremsen bzw. sperren.
Einige wenige andere Anbieter von öffentlichen Resolvern erbringen diesen Service aus Überzeugung. Sie begründen dies mit der Ausnutzung durch die grossen Konzerne und die belegbare DNS-Manipulation mit und ohne gerichtliche Aufforderung.
Alternative Resolver Lösungen
Wer den Wunsch hat, keine der negativen Auswirkungen der Nutzung öffentlicher Resolver akzeptieren zu müssen, kann durchaus alternative Wege gehen. Die einzig richtige Antwort ist dann der Betrieb eines eigenen Resolvers, der dann nur und ausschliesslich aus dem eigenen Netzwerk heraus erreichbar ist.
Dieser eigene Resolver ist mit relativ geringen Mitteln einzurichten und zu betreiben. Nicht nur fallen dann sämtliche Manipulationsmöglichkeiten durch Netzbetreiber oder andere Marktteilnehmer weg. Vielmehr kann so ein lokaler Resolver zur Netzwerksicherheit beitragen. So könnte eine eigene Liste mit nicht erreichbaren Domains oder URLs gepflegt werden, die das eigene Netz vor dem Zugriff auf diese Adressen schützen.
DNSSEC als sinnvolles Ad-on
Die Verwendung von DNSSEC kann, wenn eine Zone signiert wurde, durch den eigenen Resolver erzwungen werden. Das unerwünschte „mitlesen“ der eigenen Aktivitäten im Netz kann weitgehend verhindert, wenigstens stark behindert werden. Die Anwendungsmöglichkeiten sind vielfältig, die Benutzung eines eigenen lokalen Resolvers hat sehr viel mit digitaler Souveränität zu tun.
Und was ist jetzt mit der EU?
Was hat das alles nun mit dem Plan der EU zu tun? Man will einen weiteren öffentlichen Resolver aufbauen, der noch dazu ganz klar einerseits vor „Abgreifern“ ausserhalb der EU schützen soll. Andererseits der eigenen Manipulation Tür und Tor öffnen soll? (Hä, wer [EU?] will was manipulieren und warum?)
Wer darauf hofft, auf einen eigenen lokalen DNS-Resolver verzichten zu können, spielt auf Risiko. Denn erstens erhält dieser geplante EU-DNS wohl nur dann seine zentrale Bedeutung, wenn seine Nutzung per Gesetz vorgeschrieben ist. Zweitens glauben wir, dass er gar nicht erst aufgebaut wird, oder zumindest nicht sehr schnell. Schließlich ist die Finanzierungsmöglichkeit für die Infrastruktur bisher nicht gegeben.
Also kommen Sie nicht darum herum, über den Betrieb einer eigenen entsprechenden Infrastruktur nachzudenken. Dadurch bestimmen Sie über Qualität und Umfang der Sicherheit. Und damit sorgen Sie für Ihre eigene digitale Souveränität.
