Wer in seinem Internetbrowser den Namen einer Webseite, etwa meinexbeliebigebank.de, eintippt und die Enter-Taste drückt, nutzt in diesem Moment einen der ältesten Dienste des Internets: das Domain Name System (DNS). Dieser Dienst ist mit einem Telefonbuch vergleichbar. Er übersetzt den Domain-Namen, also in diesem Beispiel „meinexbeliebigebank“ und das nach dem Punkt folgende Ländersuffix, also das bekannte „de“, in eine für Computer lesbare Serveradresse. Das Ergebnis im Test-Fall lautet dann „212.227.116.221“.
Damit funktioniert das kurz DNS genannte System wie ein Verzeichnis für Anschriften oder ein Telefonbuch. Statt sich komplizierte Nummern zu merken, kann der Nutzer einfach unter einem Namen nachschlagen. Und während das Telefonbuch für den Namen Max Müller aus der Mustermannstraße noch genau eine Telefonnummer ausspuckte, sorgt das DNS dafür, dass eine leicht zu merkende Internetadresse einwandfrei mit einer kryptischen Zahl verbunden wird.
Dieser Vorgang passiert über sogenannte DNS-Server. Sie sind quasi die Seiten des modernen Telefonbuchs und sorgen dafür, dass die leicht zu merkende Internetadresse auch zur korrekten kryptischen Zahlenkombination passt. Gibt der Nutzer also eine Internetadresse ein, wird diese URL an einen DNS-Server weitergeleitet, dieser leitet den Nutzer dann an die zugehörige IP-Adresse weiter – und damit auf die Internetseite.
Bislang stellen Provider wie die Deutsche Telekom oder Vodafone diese DNS-Server für ihre Kunden bereit. Doch damit soll Schluss sein. Zumindest, wenn es nach dem Willen der beiden Browser-Hersteller Google und Mozilla geht. Ihr Argument: Der klassische DNS-Dienst sei unsicher geworden. Deswegen wollen sie, vereinfacht gesagt, selbst das Telefonbuch kontrollieren und dabei die Adressanfragen ihrer Nutzer vor potenziellen Mitlesern und Lauschangriffen verstecken.
Unsichere WLANS in Hotels und Cafés
Damit versuchen sie jedoch, eine grundlegende Kompetenz im Netz zu sich zu ziehen, die bisher den Internetdienstanbietern vorbehalten waren.
Denn diese können bislang über den Betrieb der DNS-Server genau nachverfolgen wohin ihre Kunden im Netz surfen – mehr noch: Sie können Einfluss darauf nehmen, wohin ihre Kunden nicht surfen dürfen, indem sie Einträge in ihrem Telefonbuch sperren. Die eingetippte Internetadresse führt dann nicht mehr zur gewünschten kryptischen Zahlenkombination und der Nutzer läuft ins digitale Nichts.
In Großbritannien etwa blockieren Provider bereits diverse Porno-Seiten oder Zugang zu Seiten, auf denen illegale Raubkopien getauscht werden. Auch diverse Kinderschutzsysteme basieren darauf, bestimmte Adressen auf Ebene des DNS-Servers zu blockieren. Wer einen Internetanschluss mit aktivierten Schutzfiltern nutzt, wird bei Eingabe einer gesperrten Adresse auf eine Fehler- oder Blockadeseite umgeleitet.
Doch auch Kriminelle nutzen gerne aus, dass das Domain Name System ein über 30 Jahre alter Dienst ohne Sicherheitsfunktionen ist. Die Standardtechnik für Kriminelle nennt sich „DNS-Hijacking“. Damit gaukeln Angreifer ihrem Opfer einen manipulierten DNS-Server als den Richtigen vor – und liefern dann die falsche Adresse auf eine Anfrage. Steuern Nutzer dann die Internetadresse meinexbeliebigebank.de an, dann landen sie plötzlich nicht mehr auf der Seite einer Bank, sondern auf eine gefälschten Seite der Angreifer. Das Ziel: Die Kriminellen wollen dort an die Login-Daten ahnungsloser Nutzer gelangen.
Problematisch ist die DNS-Sicherheit insbesondere in Hotel-WLANS oder öffentlichen Cafés. Denn dort wissen die Nutzer der Internetverbindung gar nicht, wer den DNS-Server kontrolliert. So könnten Anfragen beispielsweise erst über den Server einer Hotelkette geleitet werden. Spionieren also andere mit, wohin Nutzer surfen? Das bleibt unklar.
Auch Google will DoH aktivieren
Mozilla arbeitet bereits seit Längerem an einer Alternative zum klassischen DNS: Künftig soll der Firefox-Browser die Adressanfragen der Nutzer direkt verschlüsseln und an einen vertrauenswürdigen globalen Server leiten. „DNS over HTTPS“, abgekürzt DoH, heißt dieser neue Standard. Dank der Verschlüsselung schleust diese Methode alle Informationen über die Ziele der Nutzer im Netz an den lokalen Internetprovidern vorbei. Deren Einfluss schwindet somit, lokale Blockadelisten oder auch Kinderschutzsysteme greifen nicht mehr.
Die Lobby der Internetprovider reagierte empört: Der britische Verband ISPA etwa nominierte Mozilla im Sommer prompt als „Internet-Bösewicht“ des Jahres. Mozilla selbst zeigte sich darüber überrascht, einige Tage später zogen die Provider ihre Nominierung wieder zurück. Der Protest jedoch zeigt, dass sich die Interessen der Provider und Nutzer an Sicherheit nicht notwendigerweise decken. Während die einen Schmuddelfilme und Raubkopien blockieren wollen, möchten die anderen sicher surfen, egal wohin.
„Als Gesellschaft muss man private Sicherheitsinteressen und öffentliche Sicherheitsinteressen ausbalancieren“, kommentiert Mitchell Baker, die Vorsitzende der Mozilla-Stiftung, im Gespräch mit WELT. „Wir glauben, das hier der Aspekt der privaten Sicherheit überwiegt, sind aber in Gesprächen mit den Providern.“ Trotzdem lenkt Mozilla bereits ein und will den neuen DoH-Dienst in Umgebungen mit aktiven Kinderschutzfiltern ausschalten. Aktiviert wird DoH zunächst ohnehin nur für US-Nutzer.
Auch Google will in seinem Browser, Google Chrome, zukünftig DoH aktivieren und testete die Funktion in den vergangenen Wochen bereits. Die Folge: Auch in Amerika protestierten die Internetprovider – und prompt geriet Google ins Visier der US-Politik. Die Lobby-Organisationen NCTA, CTIA und US-Telecom argumentierten gemeinsam, Google nutze seine Marktmacht, um ihnen die Surfdaten der Nutzer vorzuenthalten.
In den USA ist es bislang üblich, dass die Provider die Surfdaten ihrer Nutzer für gezielte Werbung auswerten – oder sogar per DNS-Hijacking auf eigene Werbeplattformen umlenken. Angesichts dessen ist es den Verbänden durchaus bewusst, dass ihr Argument „DoH ist gemein, weil wir unseren Nutzern nicht mehr hinterspionieren können“ zumindest ein wenig absurd klingt. Deswegen führen sie gegenüber dem US-Kongress auch den Schutz von Minderjährigen und den Kampf gegen Internetpiraterie ins Feld.
Kritiker sehen Kernidee des Internets in Gefahr
Offener argumentiert die Deutsche Telekom, die auf Anfrage von WELT ein klares, eigenes Interesse an den Surfdaten ihrer Nutzer ins Feld führt: „In vielen Branchen ist ein Wettkampf über den Zugang und den Besitz von Daten entbrannt. In diesem Fall möchten die Browserhersteller latent das komplette Produktionsmodel des Internets umdrehen“, sagt Thomas Tschersich, Chief Security Officer der Telekom.
„Die Folgen sind noch gar nicht in Gänze abzusehen. Im Sinne des Verbrauchers kann es eigentlich nicht sein, wenn letztendlich die Browserhersteller völlige Transparenz über das Surfverhalten der Benutzer bekommen, da nur sie die DNS-Anfragen bekommen und beantworten.“ Zwar nutzen die Telekom und andere deutsche Provider das Domain Name System nicht für Werbezwecke, trotzdem sind die Daten wertvoll – sei es, um die eigene Netzauslastung zu optimieren.
Das zuständige US-Kongresskomitee forderte Ende September trotzdem erst einmal weitere Informationen von Google an. Der Konzern hatte jedoch bereits zuvor versichert, dass die Daten des eigenen DNS-Dienstes nicht für Werbezwecke ausgewertet werden. Damit bleibt beim geplanten „DNS over HTTPS“ die Frage, welchem DNS-Service die Nutzer überhaupt vertrauen sollten.
Mozilla nutzt in den USA den DNS-Service „1.1.1.1“ des Netzwerkbetreibers Cloudflare, um möglichst schnelle Antworten zu bekommen. Kritiker der Mozilla-Initiative argumentieren nun, dass Cloudflare damit eine kritische Rolle im Netz einnimmt, da das Unternehmen sämtliche Adressanfragen aller Firefox-Nutzer für die Optimierung seiner Netze auswerten kann. Zudem könnten US-Behörden an einer Quelle einfach Surfdaten von Nutzern weltweit abrufen und ihren Weg durch das Netz sogar manipulieren.
Weitere Kritik kommt von Protokollentwicklern wie dem Niederländer Bert Hubert, die darauf hinweisen, dass Mozilla künftig ohne Wissen der Nutzer das „Telefonbuch“ ändern kann. Die Kernidee des Internets – eine möglichst dezentrale, ausfallsichere Struktur – würde durch zentrale DNS-Server geschwächt.
Ähnlich argumentieren die Google-Kritiker, die von der Nutzung von Googles DNS-Server unter der Adresse „8.8.8.8“ abraten. Die Nutzer müssen deswegen für sich entscheiden, welchem DNS-Anbieter sie ihre Surf-Daten anvertrauen wollen: Ihrem lokalen Provider, Google, Cloudflare oder Alternativdiensten wie etwa OpenDNS. Angesichts der Kritik will die Internet-Standardisierungsorganisation IETF nun bei ihrem nächsten Treffen im November eine eigene Arbeitsgruppe einsetzen, um den alten DNS-Standard sicherer zu machen – ohne dass dabei neue, zentrale Datenpools entstehen.
Dieser Artikel erschien zuerst bei Welt.de.