Ein Konsortium, gebildet vom Packet Clearing House (PCH), der Global Cyber Alliance (GCA), IBM und weiteren Partnern, gibt heute den Startschuss für ein globales Netz von DNS-Resolvern. Der neue DNS-Dienst soll keine Daten über Nutzer sammeln und gleichzeitig alle Vorzüge eines gut gemanagten, gegen Phishing und Malware-Attacken gewappneten Resolver-Netzes bieten. Die von IBM beigesteuerte Adresse 9.9.9.9 für Quad9 klingt wie eine Kampfansage an den Platzhirsch 8.8.8.8, Googles öffentlichen DNS-Resolver.

Praktisch jeder Aktivität im Netz geht eine Anfrage nach den IP-Adressen einer Domain voran, egal ob Nutzer eine Internetseite ansteuern, eine E-Mail verschicken oder ein Programm installieren wollen. Diese Anfragen an das Domain Name System (DNS) sind ein begehrtes Gut für allerlei Marketing- und Profiling-Aktivitäten. In den vergangenen Jahren hat Google mit seinem Public-DNS-Netz mehr und mehr davon an sich gezogen. So können Internetprovider an der eigenen Infrastruktur sparen; ihren Kunden hilft es manchmal, eine Zensurhürde zu überspringen. Aber die Daten der Nutzer landen bei Google.

Anfangs einhundert Quad9-Server, die über die ganze Welt verteilt sind, sollen eine datenschutzfreundliche Alternative bieten. Der Dienst wird durch Spenden und Beiträge der öffentlichen Hand finanziert, darunter die Londoner und New Yorker Polizei. Man werde keinerlei persönliche Daten der Nutzer sammeln oder deren Clickstream-Daten vermarkten, versichert Bill Woodcock, geschäftsführender Direktor von PCH.

Der öffentliche DNS-Dienst Quad9 startet im November 2017 mit 100 Servern, die auf fast alle Kontinente verteilt sind.

Privatsphäre eingebaut

Quad9 erlaubt Nutzern als erstes großes Resolver-Netz überhaupt, ihre DNS-Anfragen über TLS zu verschlüsseln. Damit wird ein Abgreifen durch Dritte auf dem Weg zu den neuen Resolvern unterbunden. Weil Quad9 auf das DNS-Anycast-Netz von PCH zurückgreifen kann, ist auch der Weg zur autoritativen Antwort kurz. Das vermindert die Angriffsfläche und liefert schneller Antworten, als wenn der Verkehr quer durch die Welt gejagt wird.

Ein weiteres Sicherheitsfeature des neuen Resolver-Netzes ist die Validierung von DNSSEC-signierten Domains. Das stellt die Authentiziät der DNS-Antworten sicher, verhindert Phishing und kann staatliche DNS-Blockaden sichtbar machen. Mehr Sicherheit für Domainnutzer ist eines der Hauptanliegen des Quad9-Initiators GCA. GCA wurde 2015 von Büro des Staatsanwalts in Manhattan, der Londoner Polizei und dem Center für Internet Security gegründet.

GCA hat dafür gesorgt, dass Quad9 neben dem DNS-Filter des Sicherheitsdienstes IBM X-Force auch die Security Alerts und Listen von 18 weitere Filteranbietern integriert. Das Filtern von DNS-Verkehr, um sich gegen Angriffe zu schützen, gehört für große Unternehmen heute zum Standard, sagte Phil Reitinger, Präsident und CEO der GCA. Kleine oder mittlere Unternehmen oder Verbraucher blieben dagegen auf der Strecke. Mit Quad9 biete man eine Lösung, und zwar kostenlos.

Gute Filter ...

Könnten gerade öffentlichen Partner wie die US-amerikanischen und britischen Strafverfolger nicht in Versuchung kommen, bei Quad9 eigene Filtervorstellungen durchzusetzen? Für den Launch des Resolver-Netzes haben die Partner gemeinsam formuliert: "Quad9 liefert Sicherheit, nicht Zensur. Wir blockieren Verbindungen wegen krimineller Angriffe auf die Nutzer, nicht wegen der Inhalte auf den Seiten."

Woodcock erklärt, gegen einen Übergriff wappne die breite Basis an Geldgebern. Kein einzelner Quad9-Financier könne das Projekt durch seinen Rückzug ernsthaft bedrohen. Aber er anerkennt durchaus, dass die weltweit wuchernden Blocking-Auflagen das vielleicht schwierigste Thema werden, auf das Quad9 zusteuere.

... böse Filter

Früher oder später muss Quad9 mit entsprechenden Anfragen rechnen und man werde jenen nachkommen, für die man Gerichtsbeschlüsse vorgelegt bekomme. Da, wo man zur Überzeugung gelange, dass man lokales Recht nicht umsetzen könne oder wolle, bleibe am Ende nur der Rückzug. "Solange wir vor Ort bleiben, werden wir uns aber an nationale Gesetze halten", sagt Woodcock. Doch soll dann auch nur lokal gefiltert werden.

So schnell wie möglich soll überdies ein Feature folgen, das die Filterungen transparent macht. Statt einer einfachen nxdomain-Antwort (Domain existiert nicht) bekommen die Nutzer dann eine Webseite mit Angaben zum Filtergrund zu sehen, verspricht John Todd, Geschäftsführer von Quad9.

Außer dem gefilterten und DNSSEC-gesicherten Namensdienst auf 9.9.9.9 (2620:fe::fe) und dem ungefilterten ohne DNSSEC (9.9.9.10, 2620:fe::10) will Quad9 später zwei weitere mit unterschiedlichen Funktionen für Content Delivery Networks und IoT-Anwendungen bereitstellen.

Filterlos ungeprüft und IoT-freundlich

Hartgesottene erhalten übrigens von Beginn an einen Weg um die in der Standard-Quad9-Version eingepflegten Filter herum: Wer statt 9.9.9.9 (oder dem IPv6-Pendant 2620:fe::fe) die Adresse 9.9.9.10 (2620:fe::10) befragt, erhält ungefilterte, jedoch nicht DNSSEC-geprüfte Antworten. Den DNSSEC-Check erledigt sinnvollerweise ohnehin besser ein lokaler Resolver.

Zwei weitere Profile, die man in der Mache hat, sind für IoT-Geräte und Content Delivery Networks (CDNs) vorgesehen. IoT-Geräte, die von starker Filterung profitieren, bekommen grundsätzlich nxdomain-Meldungen. Warum etwas geblockt wird, würden sie ohnehin nicht "lesen". Für die IoT-Nutzer gibt es weitere Pläne: per White Listing unterstützte, noch aggressivere Filterung und eine spezielle Firewall. Den CDNs will man, aus Datenschutzgründen mit gewissen Einschränkungen, auch Mitteilungen zum Standort schicken. (ea)