DNS übersetzt benutzerfreundliche Domainnamen in computerfreundliche IP-Adressen. Privates DNS verschlüsselt DNS-Anfragen, die dein Gerät an einen DNS-Server stellt. Wenn es mit einem DNS-Dienst eines Drittanbieters verwendet wird, der deine Privatsphäre respektiert, kann privates DNS deine Online-Privatsphäre verbessern. Ein privates DNS wird jedoch bei der Verwendung eines VPNs nicht benötigt und kann deine VPN-Verbindung tatsächlich weniger sicher machen.
In diesem Artikel sehen wir uns an, was privates DNS ist, wie es zum Schutz deiner Privatsphäre beitragen kann und wie du es auf deinem Gerät aktivierst, aber auch, warum du es nicht mit einem VPN verwenden solltest.
- Was ist DNS?
- Warum DNS ein Problem für die Privatsphäre darstellt
- Was ist der private DNS-Modus?
- Private DNS-Protokolle
- Privates DNS ist nicht so privat wie ein VPN
- Verwende privates DNS und ein VPN nicht zusammen
- So verwendest du privates DNS
Was ist DNS?
Das Domain Name System (DNS) ordnet benutzerfreundliche Domainnamen den entsprechenden computerfreundlichen numerischen IP-Adressen zu.
Die Website von Proton VPN verwendet beispielsweise den Domainnamen protonvpn.com, der der IP-Adresse 185.159.159.140 entspricht. Wenn du www.protonvpn.com in die Adresszeile deines Browsers eingibst, muss der Domainname in die entsprechende IP-Adresse umgewandelt werden, damit Computer ihn verstehen können.
Dieser Umwandlungsprozess wird normalerweise von speziellen DNS-Servern durchgeführt, die von deinem Internetdienstanbieter (ISP) betrieben werden.
Warum DNS ein Problem für die Privatsphäre und Zensur darstellt
Wer auch immer deine DNS-Anfragen auflöst, kann sehen, welche Websites du besuchst (aber nicht, was du dort tust). Wenn du kein VPN verwendest oder deine DNS-Einstellungen nicht aktiv änderst, ist es dein ISP, der deine DNS-Anfragen auflöst.
Es ist wichtig zu verstehen, dass dein ISP standardmäßig überwachen kann, was du online tust, selbst wenn er deine DNS-Anfragen nicht auflöst. Dies ist jedoch der einfachste (und daher günstigste) Weg für ihn, deinen Browserverlauf zu protokollieren.
Die meisten ISPs, die den Browserverlauf ihrer Kunden protokollieren (was auf die meisten ISPs zutrifft), wählen daher den Weg des geringsten Widerstands und beschränken sich auf die Protokollierung der DNS-Einträge der Kunden. In den meisten Ländern ermöglicht diese minimale Protokollierung den ISPs, all ihre gesetzlichen Verpflichtungen zur Protokollierung des Browserverlaufs von Benutzern zu erfüllen.
Ebenso fordern Regierungen, wenn sie Internetinhalte aus sozialen, religiösen, politischen oder „moralischen“ Gründen zensieren wollen, inländische ISPs auf, diese Sperren durchzusetzen. Und der einfachste Weg hierzu besteht darin, DNS-Anfragen an bestimmte Websites und Apps zu blockieren. Die Verwendung eines internationalen DNS-Resolvers eines Drittanbieters kann diese einfachen (aber effektiven) Zensursperren umgehen

Graffiti in Istanbul, das Menschen dazu ermutigt, Google DNS-Server zu nutzen, um ein hartes Durchgreifen der Regierung bei der Internetzensur im Jahr 2014(neues Fenster) zu umgehen
Was ist der private DNS-Modus?
Im Gegensatz zu den meisten Verbindungen zu Websites, die durch HTTPS geschützt(neues Fenster) sind, werden DNS-Anfragen normalerweise im unverschlüsselten Klartext gesendet. Das bedeutet, dass jeder, der Zugriff auf die DNS-Anfragen hat (wie dein ISP), diese lesen kann, selbst wenn sie von einem Drittanbieter aufgelöst werden.
Wenn ein ISP zusätzlichen Aufwand betreiben würde, um seine Kunden auszuspionieren (wie es von einer restriktiveren Regierung verlangt werden könnte), könnte er einfach die DNS-Anfragen an Drittanbieter-Resolver überwachen und protokollieren. Mithilfe ausgefeilterer Technologien könnte er auch eine Zensur implementieren, indem er diese Anfragen filtert.
Privates DNS verhindert dies, indem es deine DNS-Anfragen auf dem Weg zwischen deinem Gerät und einem DNS-Server eines Drittanbieters verschlüsselt. Dadurch wird sichergestellt, dass dein ISP (oder jeder andere, der deine Internetverbindung überwacht) deine DNS-Anfragen nicht sehen kann.
Privates DNS stellt daher eine erhebliche Verbesserung der DNS-Privatsphäre und -Sicherheit gegenüber herkömmlichen unverschlüsselten DNS-Anfragen dar. Es hat jedoch auch einige Einschränkungen, auf die wir später noch eingehen werden.
Private DNS-Protokolle
Privates DNS wird durch eines von drei Sicherheitsprotokollen realisiert: DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) und DNSCrypt.
DNS-over-TLS
DoT verschlüsselt DNS-Anfragen mithilfe des Transport Layer Security(neues Fenster)-Protokolls (TLS) und stellt so sicher, dass die Daten nicht so einfach abgefangen oder verändert werden können. DoT läuft über Port 853, was es für Netzwerke einfacher macht, DoT-Verkehr gezielt zu blockieren oder zu überwachen, da er sich nicht mit anderen Arten von Datenverkehr vermischt.
Dies macht DoT zur bevorzugten Wahl in Netzwerken, die eine gewisse Kontrolle über den durch sie fließenden Datenverkehr haben möchten. Zudem ist DoT auf Serverebene weniger komplex zu implementieren als DoH.
DNS-over-HTTPS
DoH verwendet HTTPS – das Protokoll, das alle sensiblen Informationen im Internet sichert –, um DNS-Anfragen zu verschlüsseln. Wie DoT verwendet auch DoH TLS, um die DNS-Anfragen zu verschlüsseln, aber DoH-Verbindungen laufen über Port 443, sodass sie mit regulärem HTTPS-Webverkehr vermischt werden. Dies macht es für Beobachter schwierig, DNS-Verkehr von anderen Arten von Webverkehr zu unterscheiden, was DoH privater und zensurresistenter als DoT macht.
Mehr über HTTPS erfahren(neues Fenster)
DNSCrypt
Das älteste private DNS-Protokoll, DNSCrypt, ist DoH sehr ähnlich, bietet jedoch einige zusätzliche Funktionen, die DoH verbessern. DNSCrypt wird jedoch von Betriebssystemen und Browsern nicht weithin unterstützt und erfordert daher die Ausführung von Software von Drittanbietern(neues Fenster).
Was ist also am besten? Alle diese privaten DNS-Protokolle bieten enorme Verbesserungen der Privatsphäre und Sicherheit im Vergleich dazu, überhaupt kein privates DNS zu verwenden, und haben einen vernachlässigbaren Einfluss auf deine Surfgeschwindigkeit. Es gibt legitime Gründe dafür, dass einige Netzwerke DoT bevorzugen, aber für die meisten Endbenutzer macht die größere Privatsphäre, die DoH bietet, dieses zur besseren Option von beiden.
In vielerlei Hinsicht und obwohl es die älteste Option ist, ist DNSCrypt in puncto Privatsphäre immer noch die beste Option. Die mangelnde Unterstützung im gesamten DNS-Ökosystem schränkt jedoch seine Attraktivität ein. Im weiteren Verlauf dieses Artikels werden wir sich auf DoT und DoH konzentrieren, da diese Protokolle nicht erfordern, dass du zusätzliche Software herunterlädst.
Privates DNS ist nicht so privat wie ein VPN
Privates DNS bietet einige Vorteile für die Privatsphäre, aber diese greifen nur, wenn ISPs (oft auf Geheiß von Regierungen) den Weg des geringsten Widerstands gehen und keinen wirklichen Aufwand betreiben, um Inhalte zu zensieren oder dich auszuspionieren. Obwohl es zusätzlichen Aufwand erfordert, kann ein ISP deine Verbindungen zurückverfolgen, um deinen Browserverlauf zu ermitteln, und den Datenverkehr zu bestimmten IP-Adressen direkt blockieren.
Um zu verhindern, dass ein ISP sehen kann, was du online tust (und es somit potenziell zensiert), solltest du ein VPN verwenden. Dieses verschlüsselt deine Verbindung zwischen deinem Gerät und dem VPN-Server, sodass dein ISP den Inhalt deiner Daten nicht sehen kann. DNS-Anfragen werden über die verschlüsselte Verbindung (auch bekannt als VPN-Tunnel) geleitet, um von deinem VPN-Anbieter aufgelöst zu werden. Auf diese Weise kann dein ISP nicht wissen, welche Websites oder anderen Ressourcen du im Internet besuchst.

Ebenso können die Websites, die du besuchst, deine echte IP-Adresse nicht sehen. Alles, was sie sehen können, ist die IP-Adresse des VPN-Servers.

Ein VPN bietet daher weitaus mehr Privatsphäre als ein privater DNS-Dienst.
Verwende privates DNS und ein VPN nicht zusammen
Alle guten VPN-Anbieter betreiben ihre eigenen DNS-Server. Bei Verwendung eines VPN werden DNS-Anfragen durch den VPN-Tunnel geleitet und vom VPN-Dienst aufgelöst. Da der VPN-Tunnel verschlüsselt ist, sind auch die DNS-Anfragen verschlüsselt, ohne dass ein privates DNS-Protokoll erforderlich ist.
Darüber hinaus erhöht die Konfiguration eines DNS-Dienstes eines Drittanbieters auf deinem System die Wahrscheinlichkeit, dass DNS-Anfragen außerhalb des VPN-Tunnels weitergeleitet werden. Ein privates DNS erhöht das Risiko hierfür, da die Verschlüsselung der DNS-Anfragen es für die Schutzmaßnahmen der VPN-Software erschwert sicherzustellen, dass diese ordnungsgemäß durch den VPN-Tunnel geleitet werden.
Ein privates DNS ist also bei Verwendung eines VPNs nicht nur unnötig, es kann auch ein DNS-Leak verursachen.
So verwendest du privates DNS
Um privates DNS zu verwenden, musst du zuerst einen DNS-Resolver auswählen, der entweder DoT oder DoH unterstützt (es ist auch möglich, einen DNS-Server selbst zu hosten, aber das erfordert ernsthafte technische Fachkenntnisse). Zu den beliebten DNS-Diensten, die privates DNS unterstützen und der Privatsphäre zumindest Lippenbekenntnisse zollen, gehören:
- Cloudflare 1.1.1.1 — Dieser große kommerzielle DNS-Dienst erfasst nur „anonymisierte DNS-Anfragedaten, die an den Cloudflare-Resolver gesendet werden“. Cloudflare unterstützt DoT und DoH.
- Quad9 — ein gemeinnütziger DNS-Dienst, der keine personenbezogenen Daten über seine Benutzer sammelt. Wichtig ist, dass die IP-Adressen der Benutzer bei einer Abfrage nicht gespeichert werden. Quad9 unterstützt DoH.
- OpenNIC — OpenNIC versteht sich selbst als dezentraler, offener, unzensierter und demokratischer DNS-Anbieter und ist eine Sammlung von ehrenamtlich betriebenen DNS-Servern auf der ganzen Welt. Im Gegensatz zu den meisten DNS-Diensten, bei denen dich eine einzige DNS-Adresse (wie 1.1.1.1) mit dem Netzwerk von DNS-Servern verbindet, wählst du bei OpenNIC einen einzelnen DNS-Server aus, mit dem du dich verbindest. Die Protokollierungsrichtlinien und die Frage, ob privates DNS unterstützt wird (oft in Form des älteren DNSCrypt-Protokolls), hängen ganz davon ab, wer den von dir ausgewählten DNS-Server betreibt.
Sobald du dich für einen DNS-Anbieter entschieden hast, hast du zwei Optionen. Du kannst dein Betriebssystem (OS) so konfigurieren, dass es alle DNS-Abfragen an den von dir gewählten Anbieter leitet, oder du kannst nur deinen Browser so konfigurieren, dass er einen privaten DNS-Dienst verwendet.
Alle modernen Betriebssysteme unterstützen DoT oder DoH (oder beides), ebenso wie alle modernen Browser. Standardmäßig verbindet sich Firefox automatisch über DoH mit den Cloudflare 1.1.1.1-Servern.

Abschließende Gedanken zu privatem DNS
Privates DNS ist weitaus privater, sicherer und zensurresistenter als normales unverschlüsseltes DNS, und zumindest einige DNS-Anbieter legen viel mehr Wert auf deine Privatsphäre als dein ISP. Wenn du also kein VPN verwendest, solltest du dein System oder deinen Browser so konfigurieren, dass sie einen vertrauenswürdigen DNS-Dienst verwenden, der privates DNS unterstützt.
Ein VPN bietet jedoch weitaus mehr Privatsphäre und ist viel effektiver bei der Umgehung von Zensur als die Verwendung von privatem DNS. Sei dir nur bewusst, dass du kein privates DNS verwenden solltest (und auch nicht musst), wenn du ein VPN verwendest.






