Quad9 warnt die EU: DNS-Anbieter haben nichts mit einer Piraterie-Polizei gemeinsam und sollten nicht zum Content-Blocking gezwungen werden.
Quad9 schlägt Alarm. In einem offenen Brief an das EU-Parlament und den Rat der EU warnt der gemeinnützige DNS-Dienstleister davor, rekursive DNS in zukünftige Maßnahmen zur Pirateriebekämpfung hineinzuziehen. Was auf dem Papier nach „effektiver Durchsetzung von Rechten Dritter“ aussieht, könnte eine sicherheitsrelevante Schicht des Internets beschädigen und den Nutzern, deren Schutz sich die EU ja angeblich verpflichtet hat, Schaden zufügen. Man sieht sich selbst als neutrale Instanz und nicht als eine Art Piraterie-Polizei, die man dazu zwingen will, die Rechte Dritter durchzusetzen.
Was Quad9 eigentlich macht
Quad9 ist kein Hoster, keine Streamingplattform oder Cloudanbieter. Die gemeinnützige Stiftung ist ein rekursiver DNS Resolver-Anbieter und blendet beim Verbindungsaufbau lediglich Bedrohungsdaten ein. Einfach gesagt: Wer eine Domain anfragt, die sich in der Liste eines Sicherheitsanbieters wie Spamhaus befindet, landet nicht auf der Webseite des Phishers oder auf einem malwareverseuchten Server, sondern erhält als Antwort eine Blockademeldung. Darin steht, dass die Website wegen Malware- oder Pishingverdachts gesperrt ist. Quad9 hält keine Daten vor, loggt nichts und verteilt auch nichts. Sie sind lediglich ein neutraler Vermittler und blockieren bei aktuellen Einträgen in ihren Listen schadhafte Seiten. Ob der „Sicherheitsanbieter“ Spamhaus wirklich seriös ist, darüber lässt sich freilich streiten. Über Spamhaus haben wir schon einmal in einem Hintergrundbericht ausführlich berichtet.
Genau diese technische Neutralität, Daten durchzureichen, Angriffe abzuwehren und sich sonst aus Inhalten jeglicher Art herauszuhalten, ist die Botschaft des offenen Briefes von Quad9. Sie beschreiben sich selber als wichtigen Bestandteil der Sicherheitsinfrastruktur, die Nutzer schützt, und nicht als Mittel, um Urheberrechtsverletzung einzudämmen.
Milliardenverluste durch Betrug und DNS als Schutzschicht
Im Brief führt Quad9 eine Zahl an, die man sich auf der Zunge zergehen lassen muss. In den letzten 12 Monaten bis Mitte 2025 soll allein uns deutschen Verbrauchern ein Schaden in Höhe von 10,6 Milliarden Euro durch Onlinebetrug inklusive Phishing, Kontoübernahmen sowie Malware gestützte Maßnahmen und ähnliches entstanden sein. Im gleichen Zeitraum hat Quad9 nach eigenen Angaben mehrere Milliarden Verbindungsversuche auf Infrastruktur blockiert, die schädlich war. Mit der Blockade verliefen unzählige Versuche Menschen zu betrügen oder ihre Computer zu verseuchen, ins Leere.
Die Argumentation ist logisch. Wer hier regulieren möchte und aus einer Sicherheitsinstanz eine Urheberrechtsinstanz macht, riskiert Kollateralschäden. Wenn die Politik auf DNS-Ebene die Pirateriekarte ausspielt, stehen die Sicherheitsfunktionen hinten an. Das Betreiben eines DNS für die Allgemeinheit wird durch zusätzliche sinnlose Regulierungen, Rechtsunsicherheit, unklare Pflichten und Haftungsrisiken zu einem Ritt auf der Rasierklinge und damit sehr unattraktiv.
Ein DNS ist keine Plattform und Quad 9 keine Piraterie-Polizei
Einer der Hauptpunkte des Schreibens ist die Trennung zwischen zwei sehr unterschiedlichen Rollen im Internet. Auf der einen Seite stehen Online-Dienste, die Inhalte wirklich verbreiten, wie beispielsweise Webhoster, Cloudspeicher oder Streamingdienste. Auf der anderen Seite stehen Dienste, die im Hintergrund agieren und das Internet am Laufen halten sowie Angriffe filtern.
Quad9 erinnert den Moloch in Brüssel daran, dass DNS-Resolver eindeutig in die zweite Kategorie gehören. Sie sind ein Bestandteil der Transport- und Sicherheitsinfrastruktur des Internets. Sie sind aber kein Verlag, Mediathek oder ein Forum. Wer an dieser Stelle Content-Blocking einbauen möchte, verwischt diese klare Grenze. Das wird nicht nur Folgen für DNS-Dienste, sondern auch für Dienste auf allen Ebenen des Internets haben, die sich bisher aus jeglichen Inhaltsfragen herausgehalten haben.
Von Sony bis Piracy Shield – Der Druck auf DNS-Resolver wächst stetig
Dass die Warnung nicht aus dem Nichts kommt, zeigt die Vorgeschichte. Quad9 war jahrelang im Rechtsstreit mit Sony Music und ist von Gericht zu Gericht gezogen. Ausgangspunkt war eine einstweilige Verfügung des Landgerichts Hamburg, die Quad9 verpflichten sollte, bestimmte Domains nicht mehr aufzulösen, da sich dort nachweislich Links zu urheberrechtsverletzenden Werken befanden.
2023 drehte das Oberlandesgericht den Fall jedoch. Die Richter stellten ein für alle Mal klar, dass ein DNS-Resolver keine zentrale Rolle bei Urheberrechtsverletzungen spielt. Er darf deshalb nicht wie ein Täter behandelt werden.
Damit fiel die Blockadepflicht für sie weg. Es war ein Etappensieg, dass die Infrastruktur nicht zur Piraterie-Polizei der Rechtsverwerter gemacht werden darf.
Parallel dazu werden an anderer Stelle die Schrauben weiter angezogen. In Italien zwingt das System „Piracy Shield” Provider, VPN- und DNS-Dienste innerhalb von 30 Minuten zu blockieren, wenn Behörden Piraterieseiten auf ihre Liste setzen. Das hat bereits zu Fehlalarmen, massiver Überblockierung und dem temporären Auslöschen der Domains großer Konzerne geführt. In der Folge hat sich auch schon der erste VPN-Anbieter aus Italien zurückgezogen.
Seit Monaten warnen Branchenverbände vor einem sinnlos fragmentierten Netz aus unterschiedlichen Sperrregeln. Mal sind es IP-Adressen, mal der DNS, manchmal auch die CDNs. Oft geschieht dies ohne jegliche Transparenz und ohne schnelle Korrekturmöglichkeit für Betroffene.
Eigener Resolver statt Zwangs-DNS
Wer unsere Anleitungen zum Thema Tailscale oder Technitium und AdGuard Home kennt, weiß, dass dies der perfekte Gegenentwurf ist. Es geht nicht darum, einen „pseudo-sicheren” Public-DNS auszuwählen, dessen Hintergrund nicht bekannt ist. Es geht darum, den DNS-Server selbst zu hosten und den gesamten Weg der DNS-Anfrage selbst zu sichern und zu kontrollieren. Der wichtigste Punkt ist dabei der eigene VPS, auf dem der Technitium DNS Resolver rekursiv läuft – gut versteckt hinter Tailscale. Es gibt keine Sperrlisten anderer, kein Tracking und keine Werbung. In dem Fall gibt es einfach nur eine simple DNS-Auflösung, die niemand außer dem Nutzer selbst kontrolliert.
Natürlich steht Technitium nicht offen im Netz, sondern ist in Tailnet versteckt und kann auch nur darüber kommunizieren und die DNS-Auflösung realisieren. Für Hotspots, Hotel-WLANs und Provider sieht der Traffic klassisch wie ein verschlüsselter Tunnel aus, aber alles bleibt unter meiner Kontrolle. Im Heimnetz speist Tailscale den DNS-Traffic über die Tail.Net-IP des VPS bei AdGuard Home* ein, welches ihn als klassische IPv4-Adresse an den Router weiterleitet. So profitiert das gesamte Heimnetz davon. Geräte wie mein Pixel mit Graphene OS haben so das Tailnet in Kombination mit AdGuard Home und Mullvad als Exit-Node bzw. als VPN.
Selfhosting als Antwort auf die Zensur
Es ist nur schwerlich nachzuvollziehen, wieso man sich kein eigenes VPS holt, wie es aktuell bei Deluxhost für 1,59 € im Monat möglich ist, und sich die einmalige Arbeit macht, alles unabhängig von Dritten aufzubauen. Dann hat man eine zensurresistente Infrastruktur, die nicht einfach die DNS ändert oder die Seiten sperrt. Ein alter Raspberry Pi oder ein neuer Raspi Zero 2W* mit „nur” 512 MB RAM schaffen eine zukunftssichere Infrastruktur, egal was irgendwelche Regierungen beschließen. Die Listen von Adguard Home* aktualisieren sich automatisch alle 24 Stunden, nachdem man sie einmal konfiguriert hat.
Rechteverwerter drängen, Infrastrukturbetreiber wehren sich
Auf der anderen Seite des Tisches sitzt ein starker, fast mafiös organisierter Haufen von Rechteverwertern. Veranstalter von Live-Sport-Events und diverse Verbände verschiedener Sportarten fordern schon lange europaweit einheitliche, härtere Regeln gegen Livestream-Piraterie samt flexiblen, dynamischen Sperrverfügungen, die auch die dahinterliegende Infrastruktur blockieren. In ihren Positionspapieren kam bereits mehrfach die Forderung nach wirksamen DNS- und IP-Sperren auf, da ihnen die lokalen Regeln und freiwilligen Maßnahmen nicht weit genug gehen und ein Dorn im Auge sind.
Für Quad9 ist klar, wohin die Reise gehen wird. Wenn Brüssel den Phantasieforderungen der Industrie weiterhin ungeprüft folgt, geraten nicht nur Access Provider und Hoster, sondern auch die DNS-Resolver ins Visier. Genau dann müssen die Online-Dienste, die die Leute heute vor Betrug und Phishing schützen, morgen Listen von Rechteverwertern einbauen. Dies ist verknüpft mit allen Haftungs- und Missbrauchsproblemen, wie man sie bereits aus der Vergangenheit von solchen Sperrverfügungen kennt.
Was Quad9 von der Europäischen Union verlangt
In einem offenen Brief formuliert Quad9 eine Reihe klarer und unmissverständlicher Forderungen an den Gesetzgeber und die jeweils zuständigen Aufsichtsbehörden. DNS-Resolver, die als Sicherheitsdienstleister auftreten, sollten nicht gezwungen werden, DNS-Antworten aus inhaltlichen Gründen zu manipulieren. Es darf keine allgemeine Blockadepflicht für DNS-Resolver geben, wenn es um das Urheberrecht geht. Gemeinnützige Infrastrukturanbieter wie Quad9, DSforge etc. sollten in diesem Rahmen nicht wie große Internet-Plattformen oder Hoster behandelt werden.
Die EU soll ein Umfeld schaffen, in dem ein Sicherheits-DNS nicht zum Spielball nationaler Experimente wird, wie es bei uns mit der CUII und den DNS der teilnehmenden Internet-Provider der Fall ist. Man sollte dies als Schutzschild betrachten, welches man sicher und ohne rechtliche Spitzfindigkeiten betreiben sollte.
Was das für jeden Einzelnen von euch bedeutet
Für die meisten klingt DNS wie graue Theorie, in der Praxis hängt jedoch sehr viel davon ab. Wer DNS-Resolver wie Quad9, NextDNS, Adguard DNS, DNSforge und Co. nutzt, bekommt nicht nur aktuelle DNS-Protokolle, sondern auch einen Schutz gegen Phishing-Domains, Malware und sonstige betrügerische Seiten.
Wie wir leider wissen, sind die DNS unserer großen deutschen ISPs inzwischen alle Zensur-DNS geworden. Die Internetprovider bieten uns nicht nur das Internet an, sie sind gleichzeitig auch als Rechteverwerter tätig. Wir sind daher jetzt schon gezwungen, unseren DNS zu ändern, um der Zensur zu umgehen, wenn wir auf einige Seiten gehen wollen. Noch reichen dafür die domain name server, die uns die Anbieter von rekursiven DNS zur Verfügung stellen. Wie lange wird das noch der Fall sein, wenn die EU die Gier der Rechteverwerter unterstützt? Es steht zu befürchten, das bald selbst große Anbieter wie Google oder Cloudflare ihre DNS mit Sperrlisten ausstatten müssen. Sie wären dann auch Bestandteil der von der EU geforderten Piraterie-Polizei.
Das Fazit dieser katastrophalen Entwicklung
Quad9 warnt ausdrücklich davor, dass die EU reine Infrastruktur nicht mit Plattformen verwechseln sollte, da sie damit das schwächt, was heutzutage als Schutz im Internet essenziell ist.
Die eigentliche Frage ist daher nicht, ob man etwas gegen Piraterie tun will. Die Frage lautet, auf welcher Basis man es realisieren möchte. Quad9 versucht, die EU daran zu erinnern, dass die Infrastruktur stark und zensurresistent sein sollte und nicht in die Position eines Urheberrechtssheriffs gezwungen werden sollte, da dies nicht ihre Aufgabe ist. Wenn man sie dazu zwingt, kann es sehr schnell passieren, dass man die Sicherheit und Freiheit im Netz verliert. Dass dies auch auf EU-Ebene schnell passieren kann, sehen wir in Deutschland, wo wir mit den Sperren der CUII bereits ein Zensursystem haben.
(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.
