In diesem Jahr wird in Deutschland und der EU neben Künstlicher Intelligenz auch viel über digitale Souveränität diskutiert. Es ist kein Geheimnis, dass Europa bei IT-Anwendungen, Diensten und -Produkten den Anschluss an Nordamerika und Asien verloren hat bzw. sich freiwillig in eine Abhängigkeit begeben hat. Da erscheint DNS4EU wie ein kleiner LIchtblick.
Ein DNS-Dienst, betrieben in der EU, konform zur Datenschutz-Grundverordnung (DSGVO). Das hört sich erstmal gut an — ist es aber nicht.
Wie eine Recherche des IT-Consultant Jens Link ergab: „…,geht im Prinzip der gesamte Traffic durch Netze einer Firma außerhalb der EU.“ Genau gesagt durch Großbritanien, welches seit 2020 nicht mehr Mitglied der EU ist. Das ist aus mindestens den folgenden zwei Gründen ungünstig.
DNS-Datenverkehr ist meistens unverschlüsselt. Jede Person mit Zugriff auf den Datenverkehr kann mitlesen, wer wann welche Internetseite oder genauer gesagt Domain aufruft. Das ist nunmal so, unabhängig davon welche Route der Datenverkehr im Internet einschlägt.
England ist Mitglied der sogenannten Five Eyes, einer engen Kooperation der Geheimdienste aus Australien, Canada, England, Neuseeland und den USA. Für die Dienste dieser Staaten sind EU-Bürgerinnen und Bürger Angehörige von Drittstaaten, deren Daten zu geheimdienstlichen Zwecken gesammelt und ausgewertet werden dürfen. Spätestens seit der globalen Überwachungs- und Spionageaffäre ist bekannt, dass dies auch geschieht.
Was nützt es also, einen Dienst zu haben, dessen Betreiber sich zwar an die DSGVO im speziellen und die europäische Rechtsordnung im allgemeinen halten müssen, der gesamte Datenverkehr aber über jemanden geleitet wird, der daran nicht gebunden ist?
Den Ansatz und die Idee hinter DNS4EU finde ich gut, die Umsetzung mangelhaft. Solange der Datenverkehr den Rechtsraum der EU verlässt, bietet DNS4EU keinen Mehrwert zu bestehenden Diensten. Da bleibe ich lieber bei dnsforge.de oder den DNS-Resolvern meiner Internetdiensteanbieter.
Weitere Artikel zum Thema DNS in diesem Blog:
- Spielerei mit DNS-Abfragen
- DNS over HTTPS (DoH) — Was ändert sich für den Nutzer?
- Let’s Encrypt: Nutzung des DNS-Alias-Modus mit dem acme.sh-Client
- DNS-Konfiguration mit Ansible
Als ich das erste Mal von DNS4EU gelesen hab, hatte ich schon ein ungutes Gefühl, was sich wohl bestätigt. Ich hatte zwar nicht in diese Richtung gedacht, daß man einen nationalen (hier im Sinne der EU) auslagert (also außerhalb der EU betreibt), sondern dachte eher an Überwachung und Zensur. Trotzdem ist es mehr als peinlich was sich jetzt herausstellt.
Was mich aber schon seit einiger Zeit immer wieder zum gleichen Gedanken kommen läßt, immer wenn ich über DNS was lese: Wieso überhaupt einen Upstream-DNS verwenden?
Egal welchen man nutzt, man begibt sich immer in eine Abhängigkeit. Mindestens der DNS-Betreiber (sei es der Internet-Provider, oder gleich Google) kann die DNS-Abfragen mitlesen. Und wenn das nicht schon schlimm ist, es wird auch zensiert. Sei es nur, um die eigenen Inhalte in den Vordergrund zu stellen und unerwünschte Konkurrenz auszublenden, oder um Inhalte generell auszublenden.
Ich nutze schon seit vielen Jahren meinen Pi-Hole. Irgendwann hatte ich unbound dazu genommen und bin ehrlich gesagt ziemlich begeistert. Ich nutze also keinen Upstream-DNS mehr sondern ich nutze die recursive Namensauflösung von unbound. Er fragt also immer den autorativen DNS an der für diese Zone gültig ist. Also keinen Mittelsmann.
Einzelheiten würden hier zu weit führen, wenn man aber erstmal die Kette verstanden hat, möchte man keinen Upstream-DNS mehr nutzen.
Hallo Hans,
Danke für Deinen Kommentar.
Ich mache es heute so ähnlich wie du. Auf meiner OPNsense läuft ein Unbound und ich habe einige DNS-Denylists konfiguriert, um mein Heimnetzwerk vor Werbung und zu vielen Trackern zu schützen.
Allerdings ist die große Mehrheit der Menschen mit internetfähigen Geräten heute gar nicht in der Lage die verwendeten DNS-Resolver zu ändern oder Lösungen wie Pi-Hole selbst zu betreiben. Dies sollten wir als technisch versierte Menschen nicht vergessen.
Wer nun die DNS-Resolver seines Internetdienste-Anbieters nutzt, teilt seine Daten halt mit jenem. Jedoch ist die Sammlung dort im Vergleich zu der von Google oder noch größeren Anbietern vermutlich eher klein und deutschem Recht unterworfen.
In meinen Augen lohnt sich der Aufwand jedenfalls nicht, die eigenen Geräte für DNS4EU zu konfigurieren.
Viele Grüße
Jörg
Eine Ergänzung zu DNS4EU.
Zitat von heise.de:
„…Hinter dem Projekt stecken verschiedene Domainregistrare und DNS-Unternehmen, darunter deSEC aus Berlin. Mit Ablauf der EU-Förderung Ende 2025 soll DNS4EU „kommerzialisiert“ werden, also in den Betrieb durch ein gewinnorientiertes Unternehmen übergehen. Diese Kommerzialisierung hat indes bereits begonnen: Unternehmen und Regierungsinstitutionen soll das Spin-Off „Whalebone“helfen, per DNS Bedrohungen zu erkennen und Angriffe zu verhindern. …“
Quelle: https://www.heise.de/news/Digitale-Souveraenitaet-EU-startet-eigenen-DNS-Dienst-mit-praktischen-Funktionen-10438361.html