Die EU-Kommission will einen eigenen DNS-Resolver für Europa anschaffen und hat deswegen eine Ausschreibung veröffentlicht. Aus dieser geht hervor, dass die EU-Kommission auch den Betrieb von Filterlisten und Netzsperren plant. Das EU-Projekt heißt DNS4EU und soll „Schutz vor Cybersicherheitsbedrohungen auf dem neuesten Stand der Technik“ bieten.
Hinter dem Kürzel DNS versteckt sich das Domain Name System. Ein DNS-Resolver ist vereinfacht gesagt dafür verantwortlich, dass eine Abfrage einer Domain wie netzpolitik.org zu der IP-Adresse bzw. dem Server führt, auf dem netzpolitik.org läuft. Das passiert in der Regel ohne aktives menschliches Tun, also im Hintergrund. Die Resolver sind ein zentrales Element des Internet, denn sie weisen die technischen Routen, sind also wichtige Wegweiser. DNS-Resolver werden derzeit vor allem von großen US-Unternehmen betrieben.
In der Begründung zum EU-DNS-Resolver heißt es deswegen auch, man wollen sich einerseits unabhängig machen davon und Datenschutzrisiken minimieren. Eine der Anforderungen sind aber auch Websperren, wenn es unter dem Punkt „Rechtmäßige Filterung“ heißt, das System solle eine „Filterung von URLs, die zu illegalen Inhalten führen“, leisten. Diese Filterung solle „auf der Grundlage der in der EU oder in nationalen Gerichtsbarkeiten geltenden rechtlichen Anforderungen (z. B. auf der Grundlage von Gerichtsbeschlüssen), in voller Übereinstimmung mit den EU-Vorschriften“ vonstattengehen. Bislang sind europaweite Websperren technisch nicht möglich. Neben diesen Websperren soll das System auch die Möglichkeit bereithalten, einen Kinderschutz per Opt-In zu aktivieren.
Politisch fragwürdiges Instrument
Websperren stehen seit jeher in der Kritik, auch wenn sie mit beispielsweise Virtual Private Networks (VPN) recht leicht zu umgehen sind. So befürchten Kritiker:innen, dass diese zu einer schnellen Ausweitung und zu Overblocking führen können. Netzsperren werden in zahlreichen, in der Regel autoritären Staaten eingesetzt, um die Meinungs- und Informationsfreiheit einzuschränken.
Viele Websperren richten sich in demokratischen Staaten bislang gegen Urheberrechtsverletzungen. So haben große deutsche Provider im letzten Jahr begonnen, mit Websperren gegen illegale Streamingdienste vorzugehen. Über solche Websperren entscheidet in Deutschland die Clearingstelle Urheberrecht im Internet (CUII), der große Provider genauso wie Verbände der Unterhaltungsindustrie angehören. Gegen die CUII gibt es kartellrechtliche Bedenken und Kritik wegen Kollateralschäden für legale Kommunikation.
Markus Beckedahl kritisierte zu Einführung der Websperren damals in einem Kommentar:
DNS-Sperren sind eines der beliebtesten Mittel beim Aufbau einer Zensurinfrastruktur und genau das ist die Gefahr. Der Einsatz von Netzsperren in demokratischen Staaten normalisiert dieses gefährliche Instrument. […] Darüber hinaus werden einmal eingeführte Kontrollinstrumente in der Regel nicht mehr zurückgenommen, sondern ausgeweitet.
Auf Netzsperren wollen zudem Jugendschützer zurückgreifen. Sie wollen damit gegen Porno-Plattformen vorgehen, die keine funktionierenden Altersverifikationssysteme vorhalten. Vorangetrieben wird der Konflikt zwischen Pornoseiten und deutschem Jugendschutz durch die Landesmedienanstalt Nordrhein-Westfalen. Sie hat sich unter anderem Deutschlands meistbesuchte Pornoseite xHamster vorgeknöpft. Nach Informationen von netzpolitik.org gibt es aktuell Gespräche mit den größten deutschen Internetprovidern über eine Netzsperre.
Find ich ok. Dann kann man sich aussuchen, von wem man lieber überwacht wird ;)
Wem die Filter nicht passen, kann sich ja immer noch einen anderen DNS-Provider aussuchen.
„Wem die Filter nicht passen, kann sich ja immer noch einen anderen DNS-Provider aussuchen.“
Klar, das kann man vielleicht. Zumindest bis die Katze aus dem Sack ist und man es doch nicht mehr kann. Das sch?ne neue DNS4EU kann ganz schnell verpflichtend werden oder sonst wie per Gesetz unumg?nglich gemacht werden.
Es ist prinzipiell eine schlechte Idee so zu tun als w?re man von „optionaler Zensur“ nicht betroffen.
?Wem die Filter nicht passen, kann sich ja immer noch einen anderen DNS-Provider aussuchen.“
Nicht zu vergessen, dass das ?ndern der DNS-Einstellungen über die durchschnittliche digitale Bildung hinausgeht. Es sollte auch nicht zum Repertoire geh?ren müssen.
Hat aber auch niemand gesagt, dass das der Default-DNS-Dienst sein wird.
Logisch w?re es schon: keine Pflicht, kein Verbot.
Also d.h. Telcos müssen den als default setzen bzw. proxy spielen, so ist nicht mal der Schnorchelgrund gef?hrdet.
Die paar Spezialisten abzus?gen, das ben?tigt noch umfassenderen Totaldurchgriff, das werden die jetzt wohl nicht ad hoc machen. Wenn irgendwann die mei?ten sowieso l?ngst den EU-Server nutzen, und gar keinen Unterschied bemerken, wenn der Griff nach allen Sachen erfolgt, dann ist es ein noch kleinerer Schritt.
Walter Ulbricht sagte am 15.06.1961 z.b Niemand hat die Absicht eine Mauer zu errichten… Wenig Sp?ter war Die Mauer die Ost und West Deutschland trennte… Fertig….
Ist hier das selbe Prinzip…. Ich nutze deshalb schon seit je her immer mal wieder VPN Server auserhalb der EU.. wenn ich tiefer im Netz nach etwas grabe ????
„Es sollte auch nicht zum Repertoire geh?ren müssen.“
Eigentlich m?chte ich da … zum Teil widersprechen. Das ist eher eine Benutzbarkeitsfrage. Wer einen (einfach zu bedienenden) Router aufsetzt, ein WLAN-Asswort setzt, kann auch nach einer Checkliste gucken, ob ein vertrauenswürdiger DNS-Server gesetzt werden soll.
Sonst setzt jeder Softwarehersteller einen eigenen DNS-Server inklusive Werbevertrag usw. Vom Regelungsbedarf her ist da so viel zu tun, dass Defaults schon ein Problem darstellen. Dann kommt noch der Browser, und macht sein eigenes Ding (in gewisser Weise eine sinnvolle Option, bricht allerdings alles wieder auf).
@Anonymous
„Find ich ok. Dann kann man sich aussuchen, von wem man lieber überwacht wird ;)…“
Wenn die EU einen DNS4EU betreibt, wird eine EU-Verordnung verabschiedet, welche die in der EU ans?ssigen ISPs zur ausnahmslosen Aufl?sung über dieses(r) DNS n?tigt. Ansonsten ein weiteres EU Debakel.
Was k?nnte die EU besser machen als Quad9, der CCC oder Cloudflare?
Nur weil EU?
„Was k?nnte die EU besser machen als Quad9, der CCC oder Cloudflare?
Nur weil EU?“
Hier kann ich nicht widerstehen: „Die maximal m?glichen Nachteile der Technik implementieren?“ Oder so: „Den maximalen Schaden an Ziviligesellschaft, Demokratie, und der F?higkeit des Internets an ersteren sinnhaft teilzuhaben, anrichten.“
Also jeder Hobbyist, na ja, jeder zweite vielleicht, betreibt doch mittlerweile seine eigenen rekursiven Nameserver, um von Provider-Nameservern und Company-betriebenen Nameservern unabh?ngig zu sein. Da bleiben doch eigentlich nur die Neul?ndler übrig, die bei „DNS“ eher an verpassten Biologieunterricht denken als an Namensaufl?sung. Oder ist der Artikel eher ironisch gemeint, in Hinsicht auf was sich die EU mittlerweile datentechnisch zuzutrauen glaubt?
Auch hier gilt wohl, was Mr. Tea schon sagte. Denn kein Mensch muss datentechnische Verrenkungen machen, wenn rechtliche M?glichkeiten ausgesch?pft werden k?nnen, um endlich vom Internet zum Kindernet zu gelangen. Ports und IPs sperren, DPI, alles machbar, wenn die Provider mitspielen. über China haben die Nerds auch erst gel?chelt. Zensur? Hi hi. wir nehmen einfach Tor. Das kriegt nie jemand gesperrt. Da müssten die ja, da müssten die ja das ganze Land mit DeepPackeInspection und so – NEVER. Na ja, war wohl doch nicht so schwer.
Die Selbstübersch?tzung ist die Grenze der digitalen Selbstverteidigung. Manche Probleme müssen wir wohl einfach sozial und politisch l?sen. Und nicht technisch.
„… Denn kein Mensch muss datentechnische Verrenkungen machen, wenn rechtliche M?glichkeiten ausgesch?pft werden k?nnen…“ – grins, das klingt so ?hnlich wie „kein Mensch braucht ein Schloss an der Tür, wenn es rechtliche Mittel gegen Einbruchsdiebstahl gibt“.
Der DNS-Dienst ist zur Umsetzung durch eine private Firma ausgeschrieben. Das würde also keine EU-Institution selbst machen.
„Der DNS-Dienst ist zur Umsetzung durch eine private Firma ausgeschrieben. Das würde also keine EU-Institution selbst machen.“
Was ?ndert das?
Frontex als privater Sicherheitsdienst… irgendwas so ?hnliches gab es doch mal…
DAs ist der Einstig zur europ?ischen gro?en Firewall. Als erstes bleibt noch Wahlfreiheit, dann sperren die Provider den Zugang auf ander Nameserver. Mit DPI ist das alles kein Problem. Als n?chstes kommt dann das VPN Verbot ins au?ereurop?ische Ausland, wo das Internet noch halbwegs Internet ist. Ich kann nur ganz ausdrücklich davor warnen. Aber seitdem das neue Feindbild Russland hei?t, hei?t von China lernen, siegen lernen.
Wieder mal ein Fall von Lernresistenz :-(
Als damals die uns?gliche Zensursula ihren schwachsinnigen Vorschlag pr?sentiert hat hat es gerade mal 5min gedauert, bis die ersten Anleitungen im Netz waren, wie das zu umgehen ist. Aber ne, dumm geboren, vom Pferd gefallen und immer noch nichts dazugelernt, also wird es erneut versucht. Dabei hat sich damals gezeigt, das mit dem Ansatz l?schen statt sperren wesentlich mehr zu erreichen ist. Je nachdem um welches Problem es sich im einzelnen handelt lassen sich dafür bestimmt sinnvollere Ans?tze finden. Das würde allerdings bedeuten, das gewisse Menschen darüber nachdenken müssten. Und nachdenken f?llt erschreckend vielen Menschen nach wie vor schwer (oder sie sind einfach nur zu faul dazu).
Und erneut schl?gt die Lernresistenz zu. Für viele gesellschaftlichen Probleme ist schon der Ansatz zum scheitern verurteilt, das auf technischem Wege zu l?sen. Reines Silicon-Valley-basiertes Wunschdenken, das es für jedes noch so gro?e Problem eine technische L?sung gibt. Gabs noch nie und wirds nie geben.
Das gesagte bezieht sich auf Websperren und Filter. Die Idee eine eigene EU-weite DNS-L?sung zu betreiben, die im Vergleich zum Ami-Pendant deutlich datenschutzfreundlicher ausgelegt wird ist ausdrücklich zu begrü?en. Allerdings geht jede Glaubwürdigkeit fl?ten, wenn das Bemühen um Datenschutz durch Websperren und Filter gleich wieder ausgehebelt wird.
„Die Idee eine eigene EU-weite DNS-L?sung zu betreiben, die im Vergleich zum Ami-Pendant deutlich datenschutzfreundlicher ausgelegt wird ist ausdrücklich zu begrü?en.“
Berücksichtige dabei, das in der EU tausende, eher hunderttausende Systeme, die das machen, was die EU zu realisieren beabsichtigt, bereits in Betrieb sind. Jeder der will kann sich, was im Artikel „DNS Resolver“ genannt wird, mit geringem Aufwand zusammenbasteln: rekursive Nameserver, die unter Umgehung der von verschiedenen Anbietern (providern) angebotenen das gleiche macht wie deren: Die ben?tigten und weitergegebenen Informationen an der Quelle holen, statt sich darauf zu verlassen, dass ein anderes Ger?t diese Information bereits in Erfahrung gebracht hat, und man darum diese nur noch zu fragen braucht (das ist, was die „resolver“ in haushaltsüblichen WLAN-Routern üblicherweise tun, indem sie beim provider fragen, der damit zum einen auch die Kontrolle hat über die gegebenen Antworten, und zum anderen ein Liste von dem, wofür sich der Kunde interessiert. Manche provider machen diese übrigens zu Geld, mittels Verkauf dieser Information). Und EU sagt jetzt „toll, das wollen wir doch auch, wenn jeder Hobbyist das machen kann, kriegen wir das wom?glich auch hin. Mit „Datenschutz“ haben die „EU Resolver“ recht wenig zu tun – die heimischen WLAN-Router werden nach wie vor bei den Provideren um diese Information fragen. Oder vor wessen neugierigen Augen sollen welche Daten geschützt werden?
Zur Erg?nzung: “ Die Idee eine eigene EU-weite DNS-L?sung zu betreiben, die im Vergleich zum Ami-Pendant deutlich datenschutzfreundlicher ausgelegt wird…“ –
die Verwaltung der europ?ischen Domains (was mit „EU resolver“, also dem erkl?rten Ziel, erstmal nicht viel zu tun hat) sind nicht in amerikanischer Hand, sondern wird von der EURid in Brüssel vorgenommen. Diese hat in ihren Servern so etwas wie Weiterleitungen zu den Servern, die die Antworten auf Anfragen zu diesen Domains kennen (EURid kennt die Antworten nicht selbst)
Allerdings sind viele der Server, die auf die Server der EURid verweisen, ?hnlich wie die EURid Server ebenfalls weiterverweisen, in amerikanischer Hand.
Die „EU Resolver“ sind eher mit Zwischenstationen vergleichbar. So etwas wie ein Merkdienst, der Antworten auf Anfragen nach unbekannten Namen in Erfahrung bringen kann und mit diesen Antworten dann die Anfrage beantwortet. „Merken“, so dass der die nicht immer wieder erneut in Erfahrung bringen muss, sondern beantworten kann aus der Sammlung, die er schon kennt. Diese „EU Resolver“ erzeugen keine Daten (abgesehen von der Sammlung an Information, wer worum fragt), und haben damit auch nicht viel zu Datenschutz beizutragen – sie holen Daten ein, die bereits ?ffentlich zug?nglich sind, als ein „lass mich das mal für dich tun“-Dienst.
Zu hoffen, dass damit irgendwie und irgendwo dem Datenschutz gedient wird, wenn solche „Resolver“ in europ?ischer Hand sind, ist damit leider auch nur das, eine unbegründete Hoffnung: Es gibt an der Stelle nichts zu schützen, was nicht sowieso bekannt ist – diese Resolver holen lediglich ?ffentlich zug?ngliche Daten ein.
Was diese Resolver aber k?nnen k?nnten, ist: Lügen.
Dies ist, was im allgemeinen „filtern“ genannt wird.
Einen eigenen DNS für Europa ist eigentlicht nicht n?tig, da es genug davon gibt. Das Problem ist das routing der DNS. Wer eine deutsche Seite aufrufen m?chte und dann auf Ami Server oder Holl?ndische groutet wird, macht viele Umwege und jeder k?nnte mitlesen. Viele deutsche Seiten schützen sich mit ausl?ndischen Loadbalancer um DOS Attacken vorzubeugen. Wenn man zum Beispiel Heise aufrufen m?chte über die direkte IP geht das nicht, da die Schutzserver in Amerika stehen, kann man mit tracert nachverfolgen. Telekom leitet viel über Holland, da der MUC in Frankfurth alle Netze in Deutschland verbindet, ist man als Telekomkunde trotzdem mit Vodaphone oder Acor verbunden und man weis nicht, wie diese weiteverbinden. Da ich nur deutsche DNS Server (Dot Doh DNSsec) benutze habe ich trotzdem das Problem, das diese Server Verbindungen über das Ausland leiten, selbst wenn ich eine Berliner Seite aufrufen m?chte. Ich blocke zwar viele DNS Server in der Fritzbox, doch man hat nur 500 Eintr?ge zur Verfügung, die man für Domain′s wie info,uk, gov, co u.s.w. nutzt den Rest muss man in der Windows hosts Datei machen. Das geht aber wieder auf den Arbeitsspeicher, wenn man tausende Eintr?ge in der hosts hat. Ideal ist ein Raspi als Proxy mit Iptables, da der die aufgerufenen Seiten zwischenspeichert und alles blockert, was man einstellt. Der Energieverbrauch für den Raspi liegt vergleichsweise bei einer Fritzbox, also etwa 18-20 W. Die Sicherheit für das eigene Netzwerk ist erh?ht, wenn man Windows benutzt. Wer mit Whois mal die DNS Server in der Welt abfragt, wird feststellen, das sie fast alle zu einer Firma Markmonitor geh?ren, ob Windows (akamai) oder Google (e100.net) oder Amazone und Cloudflare, alle haben ein Namen, Markmonitor. H?rt sich doch schon allüberwachend an.
„Whois mal die DNS Server in der Welt abfragt, wird feststellen, das sie fast alle zu einer Firma Markmonitor geh?ren“ – da wird es aber notwendig sein, zwischen „nameserver“ und „nameserver“ zu unterscheiden. Gleiche Bezeichnung bedeutet nicht gleiche Funktion und auch nicht gleicher Zweck.
Worauf sich „DNS resolver“ aus Artikel bezieht, und was EU m?chte, sind nameserver mit einer anderen Aufgabenstellung als die nameserver, die du in whois siehst. Welche da stehen, bestimmt übrigens jeder, der eine Domain registriert, selbst (oder auch derjenige, dem er den Auftrag gibt, eine Domain für ihn zu registrieren). Ganz einfach versucht zu erl?utern: die, die du mit (u.a.) whois sehen kannst – aber geeigneter sind tools wie „dig“ oder „drill“, weil korrekter – , sind die nameserver, die entweder die Details zur Domain selbst kennen, und der Ursprung dieser Information sind, oder auch wissen, wer zu fragen ist für weitere Details zur Domain (spezifisch zu Details von Subzonen), oder auch beides zugleich.
Der Typ nameserver, die EU m?chte, sind solche, die das nicht selbst wissen, damit auch nicht der Ursprung der Informationen sind, und selbst andere fragen müssen.
Das k?nnen die schon machen, wird nur keiner benutzen. Den selbst ohne konkreten Grund werden immer mehr Menschen zur wahrung der Netzneutralit?t alternativen verwendet. Also eine reine Geldverschwendung die ohne Zwang nicht funktionieren wird. Und Zwang im Web ist nur sehr schwer und nur mit sehr gro?en Aufwand umsetzbar. Nur noch ein Grund vermehrt auf dezentrale Systeme zu setzen und alles was durch Regulation entstehen wird abzulehnen.
@Chris: +1