It’s all about domains… | Robert Šefr (Whalebone)

Hatten Sie schon mal Probleme damit, auf eine Website zuzugreifen aufgrund einer Störung in den Core Protocols des Internets? Eine Ursache für solche Störungen ist ein Angriff auf das Domain Name System (DNS), das Domains in numerische IP-Adressen umwandelt.

In der Europäischen Union (EU) sind die meisten Unternehmen auf öffentliche DNS-Resolver angewiesen. Sie werden von Einrichtungen außerhalb der EU betrieben, was sie anfällig für Cyberthreats und geopolitische Zwischenfälle macht. Angesichts dieser Schwachstelle hat die Europäische Kommission die Initiative DNS4EU ins Leben gerufen – einen öffentlichen DNS-Resolver, der im Rahmen der European Alliance for Industrial Data, Edge and Cloud eingerichtet wurde. DNS4EU zielt darauf ab, eine sicherere Alternative für den globalen Internetzugang zu bieten und die Sicherheit und den Schutz der digitalen Infrastruktur Europas zu gewährleisten. Diese Initiative ist auf die europäische Cybersecurity Strategie vom 19. Februar 2020 abgestimmt und hält sich an die neuesten Standards für Sicherheit, Datenschutz und Privatsphäre.

DNS4EU wird derzeit von einem Konsortium von Unternehmen unter der Leitung des tschechischen Unternehmens für Cybersecurity, Whalebone, entwickelt. Heute sprechen wir mit einem besonderen Gast, der uns hilft, das Projekt zu verstehen: Robert Šefr, Co-Founder und CTO des Unternehmens. Als Visionär im Bereich Cybersicherheit bringt er Erfahrung in den Bereichen IT und Sicherheit aus seiner früheren Tätigkeit bei McAfee VAD Comguard mit, wo er als CTO von Comguard tätig war.

Robert wird die Bedeutung von DNS4EU und dessen zentrale Rolle bei der Gestaltung der digitalen Infrastruktur Europas aufzeigen und gibt uns einen Einblick in die Zukunft der europäischen Cybersicherheit. Erfahren Sie mehr über das innovative und faszinierende Projekt DNS4EU.

1 Was steckt hinter dem EU-Projekt, einen eigenen DNS-Resolver zu implementieren? Und welche Probleme soll DNS4EU lösen?

DNS4EU wurde vor dem Hintergrund initiiert, dass eine beträchtliche Anzahl öffentlicher und marktdominierender Resolver von Unternehmen außerhalb der EU betrieben werden. Die Europäische Kommission unterstützt nun Unternehmen und Organisationen innerhalb der EU bei der Entwicklung eines alternativen Dienstes.

Ein DNS-Resolver ist ein Service, der Domains in numerische IP-Adressen übersetzt, damit User auf Websites zugreifen können.

DNS4EU demonstriert das Engagement der EU für die Verbesserung der digitalen Sicherheit und des Datenschutzes. Es dient als starker Schutz gegen externe und interne Risiken und sichert gleichzeitig die digitale Stärke der Europäischen Union. Die Implementierung eines robusten und datenschutzkonformen DNS-Resolvers in Europa ermöglicht es europäischen Bürger:innen, Unternehmen und Organisationen, das Internet userfreundlich zu nutzen. Dadurch wird sichergestellt, dass Informationen sicher und Online-Aktivitäten stabil bleiben – trotz der sich entwickelnden Cyberthreats.

DNS4EU wird nicht direkt von der Europäischen Kommission entwickelt. Diese wichtige Aufgabe wurde an ein Konsortium aus CERTs, akademischen Einrichtungen und dem privaten Sektor delegiert. Die Kommerzialisierung des Dienstes wird von der Europäischen Kommission gefördert, da erwartet wird, dass das Projekt auch ohne operative Kosten der EU tragfähig bleibt.

2 Was sind die Ziele und Absichten hinter DNS4EU?

Das Hauptziel von DNS4EU ist die Wahrung der digitalen Souveränität der EU durch die Bereitstellung einer privaten, sicheren und unabhängigen Lösung. Dadurch wird der EU ermöglicht, die Kontrolle über Online-Aktivitäten zu behalten und sensible Daten vor äußeren Einflüssen zu schützen.

DNS4EU verfolgt mehrere Ziele, die sich in vier verschiedene Bereiche unterteilen lassen:

-> Eine digitale Souveränität für die EU

DNS4EU setzt sich dafür ein, die digitale Souveränität der EU durch mehrere strategische Ansätze zu stärken:

• Ein europäisches Konsortium wird den Service verwalten, der auf europäischen Technologien basiert und Souveränität auf mehreren Ebenen gewährleistet.
• DNS4EU baut auf europäischen Technologien auf und stärkt die Unabhängigkeit und Eigenständigkeit der EU im digitalen Bereich. Dieser Schwerpunkt auf europäischen Technologien trägt dazu bei, die Souveränität auf mehreren Ebenen der DNS-Infrastruktur zu wahren.
• DNS4EU garantiert, dass alle User-Daten sicher im EU-Raum gespeichert sind, um unbefugten Zugriff zu verhindern und die Daten-Souveränität der EU zu wahren.

-> Einbindung von 100 Millionen Usern

Das ehrgeizige Ziel, 100 Millionen User in das Internet einzubinden, unterstreicht, wie wichtig es ist, sich nicht nur auf einen öffentlichen Resolver zu verlassen. Dieses Ziel geht weit über das hinaus, was öffentliche Resolver erreichen können, da es eine manuelle Konfiguration durch die Enduser erfordern würde. Daher ist es notwendig, DNS4EU über verschiedene Methoden bereitzustellen. Glücklicherweise kann das Ziel des Projekts, nämlich die kommerzielle Tragfähigkeit, durch die Zusammenarbeit mit ISPs und Telcos (Telekommunikationsunternehmen) erreicht werden. Diese Zusammenarbeit kann den Kund:innen eine sichere und EU-konforme Lösung bieten, die Reichweite von DNS4EU vergrößern und das Projekt seinem Ziel näher bringen.

-> Mehr Privatsphäre

Ein Hauptziel von DNS4EU ist es, die Privatsphäre der EU-Bürger:innen zu priorisieren und zu verbessern, indem die größtmögliche Sicherheit und der Schutz von Daten gewährleistet werden. Dieses Commitment beinhaltet die strikte Einhaltung der DSGVO-Vorschriften sowie anderer datenschutzbezogener Initiativen. Dadurch wird sichergestellt, dass die gesamte Datenverarbeitung ausschließlich innerhalb der EU stattfindet. Durch die Aufrechterhaltung dieses Datenschutz-Levels soll das Projekt DNS4EU das Vertrauen der EU-Bürger:innen stärken, damit sie sich vertrauensvoll an Online-Aktivitäten beteiligen können und gleichzeitig ihre sensiblen Daten schützen.

-> Verbesserung der Sicherheit

Traditionelle globale Dienste und Security-Produkte erweisen sich oft als unzureichend, wenn es darum geht, lokale, länderspezifische Online-Threats zu erkennen und zu entschärfen. Im Gegensatz dazu bietet DNS4EU mit seiner Konzentration auf die EU-Mitgliedstaaten den Bürger:innen der EU einen außergewöhnlichen Schutz. DNS4EU ist in der Lage, länderspezifische Online-Threats besser zu erkennen, vorzubeugen und auf sie zu reagieren. Dadurch wird das digitale Umfeld der EU geschützt, indem es einen umfassenden und lokalisierten Ansatz für die Online-Sicherheit bietet.

3 Was können User von DNS4EU bzgl. Datenschutz und Sicherheit erwarten? Und welche Maßnahmen werden ergriffen, um ein mögliches Tracking oder Monitoring des Online-Verhaltens der User zu verhindern?

Die Gewährleistung größtmöglicher Sicherheit ist unser wichtigstes Anliegen beim DNS4EU-Projekt. Durch die Implementierung robuster Sicherheitsmaßnahmen wollen wir einen DNS-Resolver bereitstellen, der potenzielle Threats wie Malware, Phishing und unbefugten Zugriff proaktiv erkennt und abwehrt. Unser Ziel ist es, einen Service zu entwickeln, der gegen DDoS-Angriffe widerstandsfähig ist und unsere Verpflichtungen in Bezug auf Datenschutz und Integrität erfüllt. Da DDoS-Angriffe eine besondere Herausforderung für DNS-Services darstellen, implementieren wir ein umfassendes Konzept, das eine angemessene Skalierung, Leistungsoptimierungen, DoS-Gegenmaßnahmen und den Schutz des Data Centers umfasst. Diese Maßnahmen sollen die Verfügbarkeit des Services maximieren, da wir eine Erreichbarkeit von nahezu 100% anstreben.

Das Konsortium diskutiert aktiv über die Datenschutzbestimmungen und die Sicherheit des Services, um Vollständigkeit und Inklusivität zu gewährleisten. Dabei werden mehrere Blickwinkel berücksichtigt, um transparente und leicht verständliche Datenschutzbestimmungen zu entwickeln, die mit Best Practices und den Erwartungen der User übereinstimmen. Außerdem wird der öffentliche Service von DNS4EU Anonymität priorisieren. Die Protokolle werden ausschließlich dazu verwendet, neue Threats innerhalb des Traffics zu identifizieren und aggregierte Reports zu erstellen, z. B. über die Top X böswilliger Domains. Wichtig ist, dass dieser Prozess ohne jegliche Verbindung zur ursprünglichen Identität des Users oder seines Geräts durchgeführt wird.

Unser primärer Fokus im Backend-Level liegt darauf, ein gründliches Verständnis des Data Flows zu gewährleisten und gleichzeitig den Informationsaustausch zwischen den einzelnen Services zu minimieren. Wo immer es möglich ist, setzen wir Encryption ein, um die Sicherheit zu erhöhen. Unsere Services werden außerdem regelmäßig überprüft, um bekannte Schwachstellen oder Fehlkonfigurationen zu erkennen und zu beheben. Außerdem suchen wir proaktiv potenzielle Sicherheitslücken innerhalb der Lieferkette und führen regelmäßig externe Penetrationstests durch, um unsere Sicherheitsmaßnahmen zu verstärken und die Widerstandsfähigkeit des Systems gegen mögliche Angriffe zu bewerten.

4 Was sind die wichtigsten Funktionen von DNS4EU, von denen Regierungen profitieren?

DNS4EU bietet nicht nur Tausenden von Organisationen auf DNS-Ebene Schutz, sondern auch speziell zugeschnittene Lösungen für Regierungen und öffentliche Einrichtungen wie Krankenhäuser, Schulen, Gemeinden, Banken und Justizbehörden. Dabei sind weder eine Installation, Wartung oder Vorkenntnisse erforderlich – ein völlig anderer Use Case als nur ein öffentlicher Resolver.

Wir haben die perfekte Lösung auf nationaler Ebene, die sich mit Security Threats wie Phishing, Ransomware und anderen Risiken in Bezug auf die Sicherheit befasst. Der Regierungssektor konzentriert sich auf Multi-Tenancy, so dass eine zentrale Regierung leicht auf alle Protokolle und Details zugreifen und zentrale Listen mit gesperrten oder erlaubten Domains erstellen kann. Das wird Regierungen durch den architektonischen Ansatz ermöglicht und ist von entscheidender Bedeutung: Kleinere Institutionen können ihren DNS Traffic an den Perimeter vom ISP auf DNS4EU umleiten. Größere Institutionen können ihre eigene Instanz des Resolvers innerhalb ihres Netzwerks betreiben, um so mehr Kontrolle und Transparenz zu erhalten. Beide Optionen sind verfügbar und können auch miteinander kombiniert werden.

5 Welche Rolle spielen Telcos und ISPs bei der Sicherstellung des Erfolgs von DNS4EU?

Um einen weit verbreiteten Zugang zur DNS4EU-Resolution innerhalb der EU zu gewährleisten, betrachten wir Telcos und ISPs als wichtige Partner. 

Die meisten DNS-Resolutions werden derzeit von Telcos durchgeführt. Der Fokus liegt darauf, ihnen bei der Einhaltung von Vorschriften, der zentralen Konfiguration, dem Support neuer Standards und der Überwachung zu helfen. Wir bieten DNS4EU-Resolver über Telco-Netzwerke an und verwalten den gesamten DNS-Traffic. Auf diese Weise können wir Telcos bei der Bereitstellung einer bemerkenswerten Servicequalität und der Einhaltung von Vorschriften unterstützen und gleichzeitig eine transparente Datenschutzpolitik für die Enduser sicherstellen.

DNS4EU für Telcos

In den europäischen Mitgliedstaaten werden in immer kürzeren Abständen regulatorische Anforderungen an den DNS-Traffic gestellt, und die Last, diese zu erfüllen, liegt bei den Telekommunikationsunternehmen. Wir helfen dabei, die verschiedenen Blocklists auf dem neuesten Stand zu halten und angemessen anzuwenden, und erklären dem Enduser, warum der Zugang blockiert wurde, indem wir eine angemessene Sprache, ein entsprechendes Branding und Kontext verwenden. Neben einfachen Sperrlisten führen viele Länder die optionale Filterung von Inhalten für Erwachsene ein oder erwägen, diese von den Telcos zu verlangen.

Auch Telcos zögern oft, verschlüsselte DNS-Protokolle einzuführen. Wir sind bereit, sie mit dem Standard-Support durch verschiedene Netze zu unterstützen. Während Expert:innen heutzutage über das Upgrade von DNS zu QUIC diskutieren, müssen die meisten Telcos  noch von TLS oder HTTPS zu DNS wechseln. Außerdem können wir auch bei der Registrierung für Protokolle in den Anwendungen oder Betriebssystemen helfen und den Lebenszyklus von Zertifikaten verwalten.

6 Wird DNS4EU bestimmte Inhalte filtern?

Der öffentliche Service wird nach den Präferenzen der Enduser handeln. Wenn sie ein ungefiltertes DNS wünschen, wird dieses verfügbar sein. Der Resolver wird sich strikt an den DNS-Standard halten, ohne Umwege oder Blocklists. Wir wollen jedoch in erster Linie die IP-Adresse mit dem enthaltenen Sicherheitsfilter kommunizieren. Diese Sicherheitsebene sollte Teil eines jeden digitalen Lebens sein. Es wird keine regulatorische Blocklist eingeführt, da sich solche Listen nicht auf DNS-Services auswirken, sondern auf Internetdienstanbieter. Das Angebot für Telcos und ISPs wird jedoch Unterstützung für regionale Blocklists beinhalten. Denn die Gesetzgebung können Telcos nicht umgehen und müssen sie bei jeder DNS-Technologie ihrer Wahl einführen, sei es DNS4EU oder eine andere. Soweit wir wissen, gibt es keine Blocklist für politische, religiöse oder ähnliche Zensuren in der EU.