Auf Nummer sicher
Lücken in der DNS-Verschlüsselung finden und schließen
Viele Betriebssysteme, Browser und Router können ihre DNS-Anfragen verschlüsseln. Damit schützen sie die Privatsphäre und Sicherheit der Anwender beim Surfen. Blind verlassen sollten Sie sich darauf aber nicht, denn Apps können diese Einstellungen ignorieren und Lücken in das Sicherheitskonzept reißen. Erfahren Sie, wie Sie solche DNS-Lecks aufspüren und stopfen.
Spätestens seit Snowden ist klar, dass man möglichst alles verschlüsseln sollte, was man durchs Internet schickt. Dies gilt besonders für die DNS-Kommunikation: Sie gibt detailliert Aufschluss darüber, welche Websites Sie ansteuern und welche Dienste Sie verwenden. Denn mit jeder Website, die Sie aufrufen, verschickt Ihr Browser zahlreiche DNS-Anfragen an einen Resolver, um die IP-Adressen der verwendeten Domains zu erfragen, bevor er diese kontaktieren kann – er fragt zum Beispiel nach heise.de und bekommt als Antwort die IP 193.99.144.80. Darüber hinaus sind die DNS-Anfragen ein gefundenes Fressen für Angreifer, denn wer sie manipulieren kann, der kann Sie auf beliebige Server lotsen.
Die gute Nachricht ist, dass dieses Problem längst gelöst ist und es mehrere Verfahren gibt, um DNS-Verkehr vor Schnüfflern und Angreifern zu schützen: Etwa können aktuelle Betriebssysteme, die meisten Browser und manche Router den DNS-Verkehr bis zum Resolver verschlüsseln. Zu den gängigen Verfahren gehören DNS-over-HTTPS (DoH) und DNS-over-TLS (DoT). Darüber hinaus gibt es das schnelle, aber seltene DNS-over-QUIC (DoQ), das anonymisierende Oblivious-DNS und noch proprietäre DNS-Verschlüsselungen wie DNSCrypt. [1] Die DNS-Verschlüsselung lässt sich oft mit wenigen Klicks einschalten, etwa in den Windows-Einstellungen.