DNS4EUEU will eigenen DNS-Server mit Filterlisten und Netzsperren

Die EU-Kommission möchte einen eigenen europäischen DNS-Resolver aufbauen. Der Schritt kann in Europa einerseits zu mehr Unabhängigkeit von den großen, oft von Konzernen betriebenen DNS-Servern führen. Andererseits soll das neue System Netzsperren auf EU-Ebene bringen.

Server
(Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Taylor Vick

Die EU-Kommission will einen eigenen DNS-Resolver für Europa anschaffen und hat deswegen eine Ausschreibung veröffentlicht. Aus dieser geht hervor, dass die EU-Kommission auch den Betrieb von Filterlisten und Netzsperren plant. Das EU-Projekt heißt DNS4EU und soll „Schutz vor Cybersicherheitsbedrohungen auf dem neuesten Stand der Technik“ bieten.

Hinter dem Kürzel DNS versteckt sich das Domain Name System. Ein DNS-Resolver ist vereinfacht gesagt dafür verantwortlich, dass eine Abfrage einer Domain wie netzpolitik.org zu der IP-Adresse bzw. dem Server führt, auf dem netzpolitik.org läuft. Das passiert in der Regel ohne aktives menschliches Tun, also im Hintergrund. Die Resolver sind ein zentrales Element des Internet, denn sie weisen die technischen Routen, sind also wichtige Wegweiser. DNS-Resolver werden derzeit vor allem von großen US-Unternehmen betrieben.

In der Begründung zum EU-DNS-Resolver heißt es deswegen auch, man wollen sich einerseits unabhängig machen davon und Datenschutzrisiken minimieren. Eine der Anforderungen sind aber auch Websperren, wenn es unter dem Punkt „Rechtmäßige Filterung“ heißt, das System solle eine „Filterung von URLs, die zu illegalen Inhalten führen“, leisten. Diese Filterung solle „auf der Grundlage der in der EU oder in nationalen Gerichtsbarkeiten geltenden rechtlichen Anforderungen (z. B. auf der Grundlage von Gerichtsbeschlüssen), in voller Übereinstimmung mit den EU-Vorschriften“ vonstattengehen. Bislang sind europaweite Websperren technisch nicht möglich. Neben diesen Websperren soll das System auch die Möglichkeit bereithalten, einen Kinderschutz per Opt-In zu aktivieren.

Politisch fragwürdiges Instrument

Websperren stehen seit jeher in der Kritik, auch wenn sie mit beispielsweise Virtual Private Networks (VPN) recht leicht zu umgehen sind. So befürchten Kritiker:innen, dass diese zu einer schnellen Ausweitung und zu Overblocking führen können. Netzsperren werden in zahlreichen, in der Regel autoritären Staaten eingesetzt, um die Meinungs- und Informationsfreiheit einzuschränken.

Viele Websperren richten sich in demokratischen Staaten bislang gegen Urheberrechtsverletzungen. So haben große deutsche Provider im letzten Jahr begonnen, mit Websperren gegen illegale Streamingdienste vorzugehen. Über solche Websperren entscheidet in Deutschland die Clearingstelle Urheberrecht im Internet (CUII), der große Provider genauso wie Verbände der Unterhaltungsindustrie angehören. Gegen die CUII gibt es kartellrechtliche Bedenken und Kritik wegen Kollateralschäden für legale Kommunikation.

Markus Beckedahl kritisierte zu Einführung der Websperren damals in einem Kommentar:

DNS-Sperren sind eines der beliebtesten Mittel beim Aufbau einer Zensurinfrastruktur und genau das ist die Gefahr. Der Einsatz von Netzsperren in demokratischen Staaten normalisiert dieses gefährliche Instrument. […] Darüber hinaus werden einmal eingeführte Kontrollinstrumente in der Regel nicht mehr zurückgenommen, sondern ausgeweitet.

Auf Netzsperren wollen zudem Jugendschützer zurückgreifen. Sie wollen damit gegen Porno-Plattformen vorgehen, die keine funktionierenden Altersverifikationssysteme vorhalten. Vorangetrieben wird der Konflikt zwischen Pornoseiten und deutschem Jugendschutz durch die Landesmedienanstalt Nordrhein-Westfalen. Sie hat sich unter anderem Deutschlands meistbesuchte Pornoseite xHamster vorgeknöpft. Nach Informationen von netzpolitik.org gibt es aktuell Gespräche mit den größten deutschen Internetprovidern über eine Netzsperre.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

22 Ergänzungen

  1. Find ich ok. Dann kann man sich aussuchen, von wem man lieber überwacht wird ;)
    Wem die Filter nicht passen, kann sich ja immer noch einen anderen DNS-Provider aussuchen.

    1. „Wem die Filter nicht passen, kann sich ja immer noch einen anderen DNS-Provider aussuchen.“

      Klar, das kann man vielleicht. Zumindest bis die Katze aus dem Sack ist und man es doch nicht mehr kann. Das schöne neue DNS4EU kann ganz schnell verpflichtend werden oder sonst wie per Gesetz unumgänglich gemacht werden.
      Es ist prinzipiell eine schlechte Idee so zu tun als wäre man von „optionaler Zensur“ nicht betroffen.

    2. „Wem die Filter nicht passen, kann sich ja immer noch einen anderen DNS-Provider aussuchen.“

      Nicht zu vergessen, dass das Ändern der DNS-Einstellungen über die durchschnittliche digitale Bildung hinausgeht. Es sollte auch nicht zum Repertoire gehören müssen.

        1. Logisch wäre es schon: keine Pflicht, kein Verbot.
          Also d.h. Telcos müssen den als default setzen bzw. proxy spielen, so ist nicht mal der Schnorchelgrund gefährdet.
          Die paar Spezialisten abzusägen, das benötigt noch umfassenderen Totaldurchgriff, das werden die jetzt wohl nicht ad hoc machen. Wenn irgendwann die meißten sowieso längst den EU-Server nutzen, und gar keinen Unterschied bemerken, wenn der Griff nach allen Sachen erfolgt, dann ist es ein noch kleinerer Schritt.

        2. Walter Ulbricht sagte am 15.06.1961 z.b Niemand hat die Absicht eine Mauer zu errichten… Wenig Später war Die Mauer die Ost und West Deutschland trennte… Fertig….

          Ist hier das selbe Prinzip…. Ich nutze deshalb schon seit je her immer mal wieder VPN Server auserhalb der EU.. wenn ich tiefer im Netz nach etwas grabe 😂😂

      1. „Es sollte auch nicht zum Repertoire gehören müssen.“

        Eigentlich möchte ich da … zum Teil widersprechen. Das ist eher eine Benutzbarkeitsfrage. Wer einen (einfach zu bedienenden) Router aufsetzt, ein WLAN-Asswort setzt, kann auch nach einer Checkliste gucken, ob ein vertrauenswürdiger DNS-Server gesetzt werden soll.

        Sonst setzt jeder Softwarehersteller einen eigenen DNS-Server inklusive Werbevertrag usw. Vom Regelungsbedarf her ist da so viel zu tun, dass Defaults schon ein Problem darstellen. Dann kommt noch der Browser, und macht sein eigenes Ding (in gewisser Weise eine sinnvolle Option, bricht allerdings alles wieder auf).

    3. @Anonymous
      „Find ich ok. Dann kann man sich aussuchen, von wem man lieber überwacht wird ;)…“

      Wenn die EU einen DNS4EU betreibt, wird eine EU-Verordnung verabschiedet, welche die in der EU ansässigen ISPs zur ausnahmslosen Auflösung über dieses(r) DNS nötigt. Ansonsten ein weiteres EU Debakel.

      Was könnte die EU besser machen als Quad9, der CCC oder Cloudflare?
      Nur weil EU?

      1. „Was könnte die EU besser machen als Quad9, der CCC oder Cloudflare?
        Nur weil EU?“

        Hier kann ich nicht widerstehen: „Die maximal möglichen Nachteile der Technik implementieren?“ Oder so: „Den maximalen Schaden an Ziviligesellschaft, Demokratie, und der Fähigkeit des Internets an ersteren sinnhaft teilzuhaben, anrichten.“

  2. Also jeder Hobbyist, na ja, jeder zweite vielleicht, betreibt doch mittlerweile seine eigenen rekursiven Nameserver, um von Provider-Nameservern und Company-betriebenen Nameservern unabhängig zu sein. Da bleiben doch eigentlich nur die Neuländler übrig, die bei „DNS“ eher an verpassten Biologieunterricht denken als an Namensauflösung. Oder ist der Artikel eher ironisch gemeint, in Hinsicht auf was sich die EU mittlerweile datentechnisch zuzutrauen glaubt?

    1. Auch hier gilt wohl, was Mr. Tea schon sagte. Denn kein Mensch muss datentechnische Verrenkungen machen, wenn rechtliche Möglichkeiten ausgeschöpft werden können, um endlich vom Internet zum Kindernet zu gelangen. Ports und IPs sperren, DPI, alles machbar, wenn die Provider mitspielen. Über China haben die Nerds auch erst gelächelt. Zensur? Hi hi. wir nehmen einfach Tor. Das kriegt nie jemand gesperrt. Da müssten die ja, da müssten die ja das ganze Land mit DeepPackeInspection und so – NEVER. Na ja, war wohl doch nicht so schwer.
      Die Selbstüberschätzung ist die Grenze der digitalen Selbstverteidigung. Manche Probleme müssen wir wohl einfach sozial und politisch lösen. Und nicht technisch.

      1. „… Denn kein Mensch muss datentechnische Verrenkungen machen, wenn rechtliche Möglichkeiten ausgeschöpft werden können…“ – grins, das klingt so ähnlich wie „kein Mensch braucht ein Schloss an der Tür, wenn es rechtliche Mittel gegen Einbruchsdiebstahl gibt“.

      1. „Der DNS-Dienst ist zur Umsetzung durch eine private Firma ausgeschrieben. Das würde also keine EU-Institution selbst machen.“

        Was ändert das?
        Frontex als privater Sicherheitsdienst… irgendwas so ähnliches gab es doch mal…

  3. DAs ist der Einstig zur europäischen großen Firewall. Als erstes bleibt noch Wahlfreiheit, dann sperren die Provider den Zugang auf ander Nameserver. Mit DPI ist das alles kein Problem. Als nächstes kommt dann das VPN Verbot ins außereuropäische Ausland, wo das Internet noch halbwegs Internet ist. Ich kann nur ganz ausdrücklich davor warnen. Aber seitdem das neue Feindbild Russland heißt, heißt von China lernen, siegen lernen.

  4. Wieder mal ein Fall von Lernresistenz :-(
    Als damals die unsägliche Zensursula ihren schwachsinnigen Vorschlag präsentiert hat hat es gerade mal 5min gedauert, bis die ersten Anleitungen im Netz waren, wie das zu umgehen ist. Aber ne, dumm geboren, vom Pferd gefallen und immer noch nichts dazugelernt, also wird es erneut versucht. Dabei hat sich damals gezeigt, das mit dem Ansatz löschen statt sperren wesentlich mehr zu erreichen ist. Je nachdem um welches Problem es sich im einzelnen handelt lassen sich dafür bestimmt sinnvollere Ansätze finden. Das würde allerdings bedeuten, das gewisse Menschen darüber nachdenken müssten. Und nachdenken fällt erschreckend vielen Menschen nach wie vor schwer (oder sie sind einfach nur zu faul dazu).
    Und erneut schlägt die Lernresistenz zu. Für viele gesellschaftlichen Probleme ist schon der Ansatz zum scheitern verurteilt, das auf technischem Wege zu lösen. Reines Silicon-Valley-basiertes Wunschdenken, das es für jedes noch so große Problem eine technische Lösung gibt. Gabs noch nie und wirds nie geben.
    Das gesagte bezieht sich auf Websperren und Filter. Die Idee eine eigene EU-weite DNS-Lösung zu betreiben, die im Vergleich zum Ami-Pendant deutlich datenschutzfreundlicher ausgelegt wird ist ausdrücklich zu begrüßen. Allerdings geht jede Glaubwürdigkeit flöten, wenn das Bemühen um Datenschutz durch Websperren und Filter gleich wieder ausgehebelt wird.

    1. „Die Idee eine eigene EU-weite DNS-Lösung zu betreiben, die im Vergleich zum Ami-Pendant deutlich datenschutzfreundlicher ausgelegt wird ist ausdrücklich zu begrüßen.“
      Berücksichtige dabei, das in der EU tausende, eher hunderttausende Systeme, die das machen, was die EU zu realisieren beabsichtigt, bereits in Betrieb sind. Jeder der will kann sich, was im Artikel „DNS Resolver“ genannt wird, mit geringem Aufwand zusammenbasteln: rekursive Nameserver, die unter Umgehung der von verschiedenen Anbietern (providern) angebotenen das gleiche macht wie deren: Die benötigten und weitergegebenen Informationen an der Quelle holen, statt sich darauf zu verlassen, dass ein anderes Gerät diese Information bereits in Erfahrung gebracht hat, und man darum diese nur noch zu fragen braucht (das ist, was die „resolver“ in haushaltsüblichen WLAN-Routern üblicherweise tun, indem sie beim provider fragen, der damit zum einen auch die Kontrolle hat über die gegebenen Antworten, und zum anderen ein Liste von dem, wofür sich der Kunde interessiert. Manche provider machen diese übrigens zu Geld, mittels Verkauf dieser Information). Und EU sagt jetzt „toll, das wollen wir doch auch, wenn jeder Hobbyist das machen kann, kriegen wir das womöglich auch hin. Mit „Datenschutz“ haben die „EU Resolver“ recht wenig zu tun – die heimischen WLAN-Router werden nach wie vor bei den Provideren um diese Information fragen. Oder vor wessen neugierigen Augen sollen welche Daten geschützt werden?

  5. Zur Ergänzung: “ Die Idee eine eigene EU-weite DNS-Lösung zu betreiben, die im Vergleich zum Ami-Pendant deutlich datenschutzfreundlicher ausgelegt wird…“ –

    die Verwaltung der europäischen Domains (was mit „EU resolver“, also dem erklärten Ziel, erstmal nicht viel zu tun hat) sind nicht in amerikanischer Hand, sondern wird von der EURid in Brüssel vorgenommen. Diese hat in ihren Servern so etwas wie Weiterleitungen zu den Servern, die die Antworten auf Anfragen zu diesen Domains kennen (EURid kennt die Antworten nicht selbst)

    Allerdings sind viele der Server, die auf die Server der EURid verweisen, ähnlich wie die EURid Server ebenfalls weiterverweisen, in amerikanischer Hand.

    Die „EU Resolver“ sind eher mit Zwischenstationen vergleichbar. So etwas wie ein Merkdienst, der Antworten auf Anfragen nach unbekannten Namen in Erfahrung bringen kann und mit diesen Antworten dann die Anfrage beantwortet. „Merken“, so dass der die nicht immer wieder erneut in Erfahrung bringen muss, sondern beantworten kann aus der Sammlung, die er schon kennt. Diese „EU Resolver“ erzeugen keine Daten (abgesehen von der Sammlung an Information, wer worum fragt), und haben damit auch nicht viel zu Datenschutz beizutragen – sie holen Daten ein, die bereits öffentlich zugänglich sind, als ein „lass mich das mal für dich tun“-Dienst.

    Zu hoffen, dass damit irgendwie und irgendwo dem Datenschutz gedient wird, wenn solche „Resolver“ in europäischer Hand sind, ist damit leider auch nur das, eine unbegründete Hoffnung: Es gibt an der Stelle nichts zu schützen, was nicht sowieso bekannt ist – diese Resolver holen lediglich öffentlich zugängliche Daten ein.

    Was diese Resolver aber können könnten, ist: Lügen.
    Dies ist, was im allgemeinen „filtern“ genannt wird.

  6. Einen eigenen DNS für Europa ist eigentlicht nicht nötig, da es genug davon gibt. Das Problem ist das routing der DNS. Wer eine deutsche Seite aufrufen möchte und dann auf Ami Server oder Holländische groutet wird, macht viele Umwege und jeder könnte mitlesen. Viele deutsche Seiten schützen sich mit ausländischen Loadbalancer um DOS Attacken vorzubeugen. Wenn man zum Beispiel Heise aufrufen möchte über die direkte IP geht das nicht, da die Schutzserver in Amerika stehen, kann man mit tracert nachverfolgen. Telekom leitet viel über Holland, da der MUC in Frankfurth alle Netze in Deutschland verbindet, ist man als Telekomkunde trotzdem mit Vodaphone oder Acor verbunden und man weis nicht, wie diese weiteverbinden. Da ich nur deutsche DNS Server (Dot Doh DNSsec) benutze habe ich trotzdem das Problem, das diese Server Verbindungen über das Ausland leiten, selbst wenn ich eine Berliner Seite aufrufen möchte. Ich blocke zwar viele DNS Server in der Fritzbox, doch man hat nur 500 Einträge zur Verfügung, die man für Domain´s wie info,uk, gov, co u.s.w. nutzt den Rest muss man in der Windows hosts Datei machen. Das geht aber wieder auf den Arbeitsspeicher, wenn man tausende Einträge in der hosts hat. Ideal ist ein Raspi als Proxy mit Iptables, da der die aufgerufenen Seiten zwischenspeichert und alles blockert, was man einstellt. Der Energieverbrauch für den Raspi liegt vergleichsweise bei einer Fritzbox, also etwa 18-20 W. Die Sicherheit für das eigene Netzwerk ist erhöht, wenn man Windows benutzt. Wer mit Whois mal die DNS Server in der Welt abfragt, wird feststellen, das sie fast alle zu einer Firma Markmonitor gehören, ob Windows (akamai) oder Google (e100.net) oder Amazone und Cloudflare, alle haben ein Namen, Markmonitor. Hört sich doch schon allüberwachend an.

    1. „Whois mal die DNS Server in der Welt abfragt, wird feststellen, das sie fast alle zu einer Firma Markmonitor gehören“ – da wird es aber notwendig sein, zwischen „nameserver“ und „nameserver“ zu unterscheiden. Gleiche Bezeichnung bedeutet nicht gleiche Funktion und auch nicht gleicher Zweck.

      Worauf sich „DNS resolver“ aus Artikel bezieht, und was EU möchte, sind nameserver mit einer anderen Aufgabenstellung als die nameserver, die du in whois siehst. Welche da stehen, bestimmt übrigens jeder, der eine Domain registriert, selbst (oder auch derjenige, dem er den Auftrag gibt, eine Domain für ihn zu registrieren). Ganz einfach versucht zu erläutern: die, die du mit (u.a.) whois sehen kannst – aber geeigneter sind tools wie „dig“ oder „drill“, weil korrekter – , sind die nameserver, die entweder die Details zur Domain selbst kennen, und der Ursprung dieser Information sind, oder auch wissen, wer zu fragen ist für weitere Details zur Domain (spezifisch zu Details von Subzonen), oder auch beides zugleich.
      Der Typ nameserver, die EU möchte, sind solche, die das nicht selbst wissen, damit auch nicht der Ursprung der Informationen sind, und selbst andere fragen müssen.

  7. Das können die schon machen, wird nur keiner benutzen. Den selbst ohne konkreten Grund werden immer mehr Menschen zur wahrung der Netzneutralität alternativen verwendet. Also eine reine Geldverschwendung die ohne Zwang nicht funktionieren wird. Und Zwang im Web ist nur sehr schwer und nur mit sehr großen Aufwand umsetzbar. Nur noch ein Grund vermehrt auf dezentrale Systeme zu setzen und alles was durch Regulation entstehen wird abzulehnen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.