Wie ODoH und DNSCrypt Ihre Privatsphäre schützen

Netzwerkgeräte senden zur Auflösung von Domainnamen in IP-Adressen laufend DNS-Anfragen ins Internet. Doch damit liegen die Surfgewohnheiten der Nutzer auch für Dritte offen. Jeder, der die DNS-Anfragen und -Antworten im lokalen Netz, in der Firma, beim Provider oder an Internetknoten wie dem DE-CIX mitliest, kann anhand der Quell-IP-Adressen erkennen, welche User welche Webseiten oder Dienste im Internet nutzen. Apple macht sich nun stark, um die DNS-Anfragen gegen unerwünschte Protokollierung abzusichern. Ab dem Herbst sollen Apples iCloud+-Abonnenten diese (und andere Schutzfunktionen) als „Private Relay“ aktivieren können.

Der Plan passt gut zu Apples Aktivitäten rund um den Privatsphärenschutz, denn alle für die Internetkommunikation ausgelegten Geräte müssen das Domain Name System (DNS) befragen, um Verbindungen zu den Zielservern aufbauen zu können. Das DNS übersetzt menschenlesbare Domainnamen wie ct.de in maschinenlesbare IP-Adressen (z. B. 193.99.144.80 und 2a02:2e0:3fe:1001:302::). Die allermeisten Geräte – PCs, Smartphones, Smart-TVs, Router – befragen das DNS aber so wie 1987 spezifiziert, nämlich unverschlüsselt. Darauf antwortet das DNS ebenfalls im Klartext. Deshalb sind DNS-Anfragen und -Antworten für Lauscher und Werbetreibende eine leicht zugängliche Quelle zum Erstellen von Nutzerprofilen. Den Ablauf der DNS-Kommunikation und auch die Stellen, an denen DNS-Daten abgefischt werden, zeigt die Infografik „Übliche DNS-Hierarchie“.