Die EU-Kommission hat ein Projekt für einen europäischen DNS-Resolver ausgeschrieben, der neben der primären Aufgabe der Domain-Auflösung auch umfangreiche Filterfunktionen mitbringen soll. Hintergrund sind EU-Pläne für eine souveräne europäische Digitalsphäre, die von den Diensten der US-Riesen zunehmend unabhängig werden soll. Kritiker geben zu bedenken, dass ein nach den Vorstellungen europäischer Gesetzgeber gefiltertes DNS vielleicht gar nicht so attraktiv sein könnte.

Ein DNS-Resolver ist ein Schlüsselelement des Domain-Name-Systems (DNS). Er beantwortet millionenfach Anfragen nach den zu Domainnamen (www.heise.de) passenden IP-Adressen und weist die Route dorthin. Internetunternehmen wie Cloudflare (1.1.1.1) oder Google (8.8.8.8) betreiben solche Resolver, die ihre Routingdaten stets untereinander austauschen. Wie zentral die Funktion der Resolver für das Internet ist, hat der weltweite Ausfall von Facebook, Instagram und Whatsapp gezeigt, nachdem Facebooks Resolver durch eine Fehlkonfiguration sämtliche Routing-Informationen zurückgezogen hatten.

Digitale Souveränität

EU-Internetnutzer seien für die Auflösung dieser DNS-Anfragen zunehmend auf die Dienste weniger öffentlicher DNS-Resolver angewiesen, heißt es in der vergangene Woche veröffentlichten Ausschreibung der Kommission. Die zunehmende Konzentration der Daten in wenigen Händen berge Ausfall- und Datenschutzrisiken. Mit dem Projekt "DNS4EU" will die Kommission deshalb einer europäischen Resolver-Infrastruktur auf die Beine helfen. Dafür stellt die EU zunächst 14 Millionen Euro zur Verfügung, dieselbe Summe soll noch einmal von den Projektpartnern kommen.

Seit Ende 2020 geistert die Idee eines europäischen DNS-Resolvers durch politische Debatten in der EU. Der Kommission schwebt ein Konsortium mit Unternehmen aus drei oder mehr EU-Ländern vor. Joint-Ventures mit Unternehmen außerhalb der Union sind laut Aussage eines Kommissionsbeamten unerwünscht. Zu den möglichen Bewerbern könnten Länderregistries oder andere DNS-Anbieter gehören, aber auch die Netzbetreiber – die mit den von US-Unternehmen wie Mozilla, Google und Apple gepushten DNS-Verschlüsselungsideen nicht immer einverstanden waren.

Unser DNS, unsere Blocklisten

Während die Idee einer Alternative zu den Googles und Cloudflares des Netzes von Experten begrüßt wird, halten viele die von der Kommission vorgegebenen Filter für problematisch. Der EU-Resolver solle "auf Grundlage der rechtlichen Vorschriften der EU oder der Jurisdiktionen der Mitgliedsstaaten URLs filtern, die zu illegalen Inhalten führen", heißt es in der Ausschreibung der Kommission.

Der DNS4EU-Resolver soll darüber hinaus "Schutz gegen Cybersecurity-Bedrohungen" bieten, indem er "Malware, Phishing und andere Gefahren" blockiert. Dabei sollen neben eigenen Erkenntnissen auch Informationen "vertrauenswürdiger Partner" wie der Computer Emergency Response Teams (CERT) und andere Blocklisten berücksichtigt werden, und zwar mit besonderem Augenmerk auf "besondere lokale Bedrohungen" in den verschiedenen EU-Sprachen.

Auch hinsichtlich der verwendeten Hardware und eventueller Subunternehmern hat die Kommission konkrete Vorstellungen. Es dürfe "kein sicherheitsrelevantes Equipment von Anbietern aus Drittstaaten" geben, erläuterte ein Kommissionsvertreter. Die Bewerber hätten dazu einen "Eigentums-Kontroll-Fragebogen" auszufüllen.

Wettbewerbsnachteil DNS-Filter

Die Frage ist, wie sich der EU-Resolver in der Zukunft finanzieren soll, sagte Vittorio Bertola vom Mail- und DNS-Provider Open-Xchange gegenüber The Record. Der Zwang zur Regelkonformität könne ein Wettbewerbsnachteil sein. "Die globalen Resolver werben damit, nicht den nationalen Blockpflichten in der EU etwa gegen Pirate Bay oder SciHub zu unterliegen", sagte Bertola. "Tatsächlich ist der Zugang zu illegalen Websites die stärkste Motivation für Nutzer, die Resolver ihres Providers gegen einen globalen Anbieter zu tauschen."

Urteile wie das des Hamburger Landgerichts gegen den DNS-Resolver Quad9 im Dezember könnten ein Vorgeschmack sein, was in einem EU-Resolver noch alles gefiltert werden muss. Das Vertrauen der Nutzer in einen "gesäuberten" DNS-Resolver könnte durch derartige Eingriffe leiden. Quad9 war von der deutschen Sony-Tochter auf Sperrung der Domains einer Plattform in Anspruch genommen worden, über die laut Sony-Recherchen urheberrechtlich geschützte Musiktitel des Labels getauscht worden waren.

(vbr)