Der vor 5 Jahren gegründete DNS-Provider Quad9 verlässt Kalifornien und verlagert sein Hauptquartier in die Schweiz. Das kündigten Vertreter von Quad9 und Switch, des Schweizer Uni-Netzbetreibers und der ch-Registry auf einer Pressekonferenz in Zürich an. Den Ausschlag für die Schweiz gaben rechtliche Zusagen des Bundes, dass Quad9 nicht zur Speicherung und Ausleitung von DNS-Daten seiner weltweiten Nutzer verpflichtet wird.

Seit 2017 unterhält Quad9 ein Netz von DNS-Resolvern an 150 Standorten in 90 Ländern. Internet-Nutzerinnen und -Nutzer können die DNS-Resolver von Quad9 kostenlos und ohne Anmeldung für die Beantwortung von DNS-Anfragen anstatt der vom Internet-Provider vorgegebenen Resolver auswählen. Der Name ist Programm: Um die unverschlüsselten Resolver von Quad9 zu nutzen, trägt man die IP-Adresse 9.9.9.9 im Router oder PC oder Smartphone ein. Allerdings unterhält Quad9 für Anfragen per IPv6 oder für Resolver, die beispielsweise Kinderschutzfilter enthalten, diverse weitere IP-Adressen. Auch der Zugriff über die verschlüsselten Protokolle DNS-over-HTTPS, DNS-over-TLS und DNSCrypt ist möglich. Eine Übersicht sowie Kurzanleitungen für macOS und Windows hält Quad9 auf seinen Webseiten vor.

Ähnliche Angebote anderer Unternehmen und Institutionen sprießen zurzeit an vielen Standorten, wobei die Interessen und Finanzierungsmodelle nicht immer klar sind. Zumindest bei großen DNS-Anbietern wie Google liegt eine Verbindung zwischen der Erfassung der Surf-Ziele aus den DNS-Anfragen und den Werbeaktivitäten nahe. Deshalb muss ein externer DNS-Resolver aus Datenschutzsicht nicht immer besser sein als der, den der Provider dem Kunden-Router beim Verbindungsaufbau nennt.

Besser als DSGVO

Doch die Betreiber des Quad9-Dienstes betonen, den Datenschutz von Beginn an groß geschrieben zu haben. Der von einem Konsortium aus Packet Clearing House, IBM und der Global Cyber Security Alliance gestartete Dienst sei von Beginn an als Alternative zur kommerziellen Konkurrenz gedacht gewesen. Weil man anders als Googles 8.8.8.8 oder Cloudflares 1.1.1.1 nicht gewinn-orientiert arbeitet, muss man nicht nach wertvollen Nutzerdaten gieren. Finanziert wird der Dienst über Spenden, auch von der öffentlichen Hand und Behörden.

Bereits seit der Gründung habe man nach einem Nicht-US-Standort für den Hauptsitz gesucht, erklärte Quad9-Geschäftsführer John Todd. Ein Ziel des Umzugs sei die Dezentralisierung, denn so seien nicht alle großen öffentlichen Resolver im gleichen Rechtsraum angesiedelt, sagte Bill Woodcock, Chef von Packet Clearing House. Der Entscheidung gingen über zwei Jahre währende Gespräche mit den Schweizer Behörden voraus. Die Schweiz erschien als Standort attraktiv, weil sie Jedermann Schutz durch die Datenschutzgesetze verspricht.

Auch die der Datenschutzgrundverordnung (DSGVO) unterstehenden europäischen Mitgliedsstaaten seien Kandidaten für den neuen Standort von Quad9 gewesen, berichten Todd und Woodcock. Bereits heute entspreche der Dienst den DSGVO-Anforderungen. Doch fühle man sich letztlich nicht nur den wegweisenden Bestimmungen der DSGVO verpflichtet, sondern dem bestmöglichen Datenschutzstandard.

Vor allem der Verzicht der Schweizer Behörden auf den Zwang zur Geheimhaltung von Überwachungsanordnungen habe am Ende den Ausschlag für die Schweiz gegeben. Eine Entsprechung der National Security Letters, die Provider zum Ausleitung von Datenverkehren und zum Stillschweigen im Interesse der nationalen Sicherheit verpflichten, gebe es nicht, so Woodcock. „Das konnten wir in keinem anderen Land bekommen“, sagte er.

Keine Speicherpflicht, keine Glücksspielfilter

Zwei rechtliche Zusagen haben sich Quad9 und Switch von der Regierung in Bern vor dem Umzug nach Zürich geben lassen. Einerseits ist Quad9 von der Registrierungspflicht seiner Nutzer ausgenommen und untersteht auch nicht den Speicher- und Überwachungspflichten so wie Schweizer Telekommunikationsprovider.

Durch die Einstufung als Nicht-Telekommunikationsdienst entgeht man auch der Verpflichtung zur Filterung von nicht-lizenzierten Online-Glücksspielseiten. Solange solche Glücksspielseiten nicht kompromittiert seien, also Malware verbreiteten oder sonst wie betrügerisch seien, werde man diese nicht sperren, versicherte Woodcock. "Wir zensieren nicht". Dazu seien die Internet Service Provider verpflichtet.

Das Filtern von Malware-Seiten gehört demgegenüber zum Grundangebot von Quad9. Identifikation und Indizierung entsprechender Angebote ist einer der Bereiche, bei dem Switch und Quad9 bereits seit längerem zusammenarbeiten.

Sonderweg

Tom Kleiber und Martin Leuthold von der Switch, und der Schweizer Delegierte für Cybersicherheit, Florian Schütz, begrüßten den Umzug als starkes Signal für datenschutzbewusste Nutzer. Spannend wird es aber, ob andere Anbieter Anstoß nehmen am rechtlichen Status von Quad9.

Gegen den Zugriff von US-Behörden auf Quad9-Resolver in den USA sieht Woodcock den Dienst einigermaßen geschützt, vor allem durch den Verzicht auf eine Speicherung von DNS-Anfragen. Weil Quad9 nun kein US-Anbieter ist, würden auch Verpflichtungen via National Security Letter schwierig. Nichtsdestotrotz blieben das spannende Fragen.

Wie man den beliebten AdBlocker Pi-Hole mit einem verschlüsselnden DNS-Proxy ergänzt und beispielsweise Quad9-Resolver auf einen Schlag für das ganze Heimnetz konfiguriert, hat c't erst kürzlich ausführlich beschrieben:

• Doppelt verschlüsselt - DNS-Sicherheit: Pi-hole, Stubby und DNSCrypt-Proxy kombinieren

