Ein europäischer DNS-Resolver, bald Realität?

Die Europäische Union könnte bald über einen eigenen DNS-Resolver verfügen. DNS steht für Domain Name System, welches dafür verantwortlich ist, URLs in IP-Adressen umzuwandeln und umgekehrt. Oft hört man deshalb auch die Bezeichnung „Telefonbuch des Internets“. Die Initiative „DNS4EU“ zielt darauf ab, eine europäische Infrastruktur für DNS-Resolving zu schaffen, die Internetnutzern mit Sitz in der EU eine datenschutzfreundliche und sichere DNS-Auflösung für den Zugriff auf Online-Ressourcen bieten soll. Warum ist das wichtig und welche Anforderungen gibt es?
Von   Steffen Eid   |  Manager, Solution Architects – Central Europe   |  Infoblox
4. November 2022

Um einen Betreiber für diesen zukünftigen Dienst auszuwählen, veröffentlichte die Europäische Kommission im Januar 2022 eine Aufforderung zur Einreichung von Vorschlägen. Der ausgewählte Anbieter sollten laut Ausschreibung im August dieses Jahres veröffentlicht werden. Die DNS4EU-Initiative wurde von der EU erstmals im Jahr 2020 mit der Ankündigung der Europäischen Cybersicherheitsstrategie erwähnt. Die Beschleunigung des Projekts fällt in eine Zeit, in der die EU allgemein Schritte unternimmt, um seine digitale Souveränität zu erhöhen und seine Abhängigkeit von ausländischen Akteuren zu verringern.

Warum ein EU-Resolver?

Die Europäische Kommission möchte mit einem rekursiven europäischen DNS-Resolver zum einen die Wirtschaft und Privatpersonen, die das Internet in Europa nutzen unterstützen und gleichzeitig für eine hohe Zuverlässigkeit sowie Schutz vor Cyberbedrohungen sorgen. Durch eine Änderung der bestehenden Regeln, würden diese großen Ziele jedoch nicht erreicht werden können. Denn dafür müsste sie auch Unternehmen wie Google und Cloudflare oder auch das in der Schweiz beheimatete Quad9 inkludieren, die sich aufgrund ihrer nicht-EU-Firmensitze aber nicht reglementieren lassen.

In ihrer Begründung für ein DNS4EU führt die Kommission aus, dass eine solche Infrastruktur bislang nicht auf europäischer Ebene verfügbar sei. DNS-Auflösung wird aktuell meist kostenlos angeboten, deshalb streben Anbieter wie beispielsweise Google auch gar nicht unbedingt eine sichere DNS-Auflösung an und lassen sich ihre Dienste mit Daten der Nutzer bezahlen. Der Europäischen Kommission gefällt es nicht, dass sich EU-Bürger und Organisationen auf einige wenige öffentliche DNS-Resolver, die von Nicht-EU-Einrichtungen betrieben werden, verlassen. Sie sieht darin u.a. ein Hindernis für die Entwicklung von Infrastrukturen, die die Erkennung und Filterung lokaler Cyber-Bedrohungen begünstigen, die erhebliche sozioökonomische Auswirkungen haben könnten.

Welche Anforderungen werden an einen Europäischen Resolver gestellt?

In den kommenden Wochen sollte bekannt werden, welches Unternehmen die Ausschreibung für DNS4EU gewonnen hat. Es ist unwahrscheinlich, dass es sich um ein kleines Start-up-Unternehmen mit großen Ambitionen handelt. Jedoch ist der Betrag, den Europa bereit ist, für das Projekt zur Seite zu legen, eher gering. Laut Ausschreibung steht nur eine einmalige Summe von 14 Millionen Euro für den Aufbau des Projekts zur Verfügung.

Folgende Anforderungen stellt die Kommission an das Projekt:

·       Souveränität und Datenschutz

Grundsätzlich geht es um die digitale Souveränität Europas. Alle Daten und Metadaten der DNS-Auflösung müssen in der EU verarbeitet werden. Die Ausschreibung erwähnt jedoch nicht die Nationalität des potenziellen Anbieters, was bedeutet, dass die an der Verarbeitung dieser Daten beteiligten Rechenzentren zwar in Europa stehen müssen, der Hauptsitz des ausgewählten Unternehmens jedoch überall auf der Welt liegen kann.

Selbstverständlich muss der DNS4EU-Resolver die DSGVO einhalten. Gegebenenfalls muss er auch die nationalen Datenschutz- und Privatsphärevorschriften der einzelnen Länder einhalten.

·       Infrastruktur

Um die Anforderungen an eine große geografische Abdeckung, hohe Zuverlässigkeit und niedrige Latenzzeiten zu erfüllen, benötigt der Anbieter eine große Anzahl von Servern, um in Bezug auf Leistung und Kapazität mit einem Dienst wie Google oder Cloudflare konkurrieren zu können. Selbstverständlich sollten die Server nur Europa abdecken. Dennoch sind dafür Server in Frankreich, den Benelux-Staaten, Skandinavien, Spanien, den osteuropäischen Ländern etc. erforderlich. Dies ist hauptsächlich auf die Latenz zurückzuführen: ein Nutzer in Schweden, der einen Server in Spanien nutzt, wird schnell unter einer langsamen Verbindung leiden. Stabilität und Redundanz sind ebenfalls wichtig. Wenn diese gewährleistet sind, können die Server zu Wartungszwecken offline genommen werden, ohne dass es zu einer Unterbrechung des Dienstes kommt. Daher kann nur ein Unternehmen, das bereits über eine umfangreiche DNS-Infrastruktur verfügt, diese Anforderung erfüllen.

Ein DNS-Resolver benötigt noch einige andere Techniken, die sehr wartungsintensiv sind. Beispielsweise muss der Anbieter über eine gute Anycast-Infrastruktur verfügen, damit die Nutzer immer die gleiche IP-Adresse verwenden können.

Cybersicherheit

Die Europäische Kommission betonte die Notwendigkeit, dass die gewählte Infrastruktur alle neuesten Standards in Bezug auf Sicherheit und Datenschutz erfüllen muss. Beispielsweise muss sie die neuesten Sicherheitsstandards wie HTTPS, DNSSEC und DNS-Verschlüsselungsprotokolle wie DNS over TLS (DoT) und DNS over HTTPS (DoH) erfüllen. Das Projekt muss außerdem vollständig mit IPv6, der neuesten Version des Kommunikationsprotokolls, konform sein.

Das Projekt muss außerdem einen hochmodernen Schutz vor Malware, Phishing und anderen Bedrohungen bieten. Zu diesem Zweck muss der Anbieter seine eigenen Bedrohungsinformationen sowie Informationen von vertrauenswürdigen Partnern wie den CERT-Teams (computer emergency response teams) analysieren. Diese Expertengruppen analysieren Bedrohungen, warnen die Öffentlichkeit vor neuen schadhaften Aktivitäten und koordinieren die Reaktionen auf Cyberangriffe.

Eines der Kriterien der EU-Ausschreibung ist die Notwendigkeit, URLs zu filtern, die auf illegale Inhalte verweisen. Es gibt jedoch eine große Grauzone um die Frage, welche Inhalte als „legal“ oder „illegal“ gelten. Wenn es um Command-and-Control-Server geht, ist natürlich klar, dass jeder, mit Ausnahme einiger Sicherheitsforscher, ein Interesse daran hat, dass diese Seiten gesperrt werden. Aber darüber hinaus ist das Thema nicht mehr so eindeutig. Was passiert, wenn jemand eine Anleitung zum Bau einer Bombe online veröffentlicht? Was ist mit hetzerischen Texten? Was ist mit Pornografie? Mit Inhalten von Glücksspielen? Aus diesem Grund ist es wichtig, dass die Nutzung jeglicher Resolver freiwillig ist, wie es der Plan derzeit vorsieht. Außerdem sind solide Definitionen, was ein solcher Filter bedeutet notwendig.

DNS4EU schon jetzt in der Kritik

In der Tat ist die Freiwilligkeit des Resolvers der Schlüssel zu dieser Initiative. Es bleibt jedoch abzuwarten, in welchem Umfang der zukünftige europäische Resolver genutzt wird. Stéphane Bortzmeyer fragt sich in einem heise-Artikel, ob der zukünftige DNS4EU-Resolver von den Nutzern angenommen wird. Er weist darauf hin, dass viele Nutzer noch immer ihren eigenen DNS-Resolver oder den ihres Internetanbieters verwenden, und betont die relative Sicherheit von stärker dezentralisierten und lokalen Resolvern. Er ist dabei eine von vielen kritischen Stimmen seit Januar 2022 über die Sinnhaftigkeit eine Europäischen DNS-Resolvers. Es bleibt abzuwarten, wann die Europäische Union die nächsten Schritte ihrer DNS4EU-Initiative verkündet. Auf jeden Fall kommt sie zu einer Zeit, in der die EU digital unabhängiger werden möchte. DNS-Auflösung ist dafür auf jeden Fall ein sehr grundlegender Dienst, mit dem die EU hofft, ihre digitale Souveränität und Cybersicherheit zu stärken.

Steffen Eid ist Manager Solution Architects für Central Europe bei Infoblox. Als Fachinformatiker kennt er die Branche von der Pike auf. Seit 2016 begleitet er Infoblox auf der Reise vom Netzwerkmanagement unternehmen zum SaaS-Anbieter für DDI-basierte Netzwerk- und Securitylösungen.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

32134

share

Artikel teilen

Top Artikel

Ähnliche Artikel