Quad9: Datenschutzfreundliche Alternative zum Google-DNS

Wer Google nicht wesentliche Teile seines Surfverhaltens anvertrauen möchte, kann ab sofort auf einen alternativen DNS-Dienst ausweichen: 9.9.9.9 statt 8.8.8.8. Doch auch dort gibt es Besonderheiten.

Ein Konsortium, gebildet vom Packet Clearing House (PCH), der Global Cyber Alliance (GCA), IBM und weiteren Partnern, gibt heute den Startschuss für ein globales Netz von DNS-Resolvern. Der neue DNS-Dienst soll keine Daten über Nutzer sammeln und gleichzeitig alle Vorzüge eines gut gemanagten, gegen Phishing und Malware-Attacken gewappneten Resolver-Netzes bieten. Die von IBM beigesteuerte Adresse 9.9.9.9 für Quad9 klingt wie eine Kampfansage an den Platzhirsch 8.8.8.8, Googles öffentlichen DNS-Resolver.

Praktisch jeder Aktivität im Netz geht eine Anfrage nach den IP-Adressen einer Domain voran, egal ob Nutzer eine Internetseite ansteuern, eine E-Mail verschicken oder ein Programm installieren wollen. Diese Anfragen an das Domain Name System (DNS) sind ein begehrtes Gut für allerlei Marketing- und Profiling-Aktivitäten. In den vergangenen Jahren hat Google mit seinem Public-DNS-Netz mehr und mehr davon an sich gezogen. So können Internetprovider an der eigenen Infrastruktur sparen; ihren Kunden hilft es manchmal, eine Zensurhürde zu überspringen. Aber die Daten der Nutzer landen bei Google.

Anfangs einhundert Quad9-Server, die über die ganze Welt verteilt sind, sollen eine datenschutzfreundliche Alternative bieten. Der Dienst wird durch Spenden und Beiträge der öffentlichen Hand finanziert, darunter die Londoner und New Yorker Polizei. Man werde keinerlei persönliche Daten der Nutzer sammeln oder deren Clickstream-Daten vermarkten, versichert Bill Woodcock, geschäftsführender Direktor von PCH.

Quad9 erlaubt Nutzern als erstes großes Resolver-Netz überhaupt, ihre DNS-Anfragen über TLS zu verschlüsseln. Damit wird ein Abgreifen durch Dritte auf dem Weg zu den neuen Resolvern unterbunden. Weil Quad9 auf das DNS-Anycast-Netz von PCH zurückgreifen kann, ist auch der Weg zur autoritativen Antwort kurz. Das vermindert die Angriffsfläche und liefert schneller Antworten, als wenn der Verkehr quer durch die Welt gejagt wird.

Ein weiteres Sicherheitsfeature des neuen Resolver-Netzes ist die Validierung von DNSSEC-signierten Domains. Das stellt die Authentiziät der DNS-Antworten sicher, verhindert Phishing und kann staatliche DNS-Blockaden sichtbar machen. Mehr Sicherheit für Domainnutzer ist eines der Hauptanliegen des Quad9-Initiators GCA. GCA wurde 2015 von Büro des Staatsanwalts in Manhattan, der Londoner Polizei und dem Center für Internet Security gegründet.

GCA hat dafür gesorgt, dass Quad9 neben dem DNS-Filter des Sicherheitsdienstes IBM X-Force auch die Security Alerts und Listen von 18 weitere Filteranbietern integriert. Das Filtern von DNS-Verkehr, um sich gegen Angriffe zu schützen, gehört für große Unternehmen heute zum Standard, sagte Phil Reitinger, Präsident und CEO der GCA. Kleine oder mittlere Unternehmen oder Verbraucher blieben dagegen auf der Strecke. Mit Quad9 biete man eine Lösung, und zwar kostenlos.

2017-11-17T09:02:43+00:00