Verkaufsabteilung: +48 789 594 102
Schreiben Sie unsLive Chat WissensbasisBlog
Kundenlogin

DNS4EU – Die neueste Initiative der EU

DNS4EU
16 Juni 2025  in Nachricht, Sicherheit

DNS4EU ist eine Initiative der Europäischen Union, die am 9. Juni 2025 gestartet wurde und einen öffentlichen, kostenlosen und DSGVO-konformen DNS-Resolver bietet. Das Projekt zielt darauf ab, die digitale Souveränität Europas zu stärken, indem es eine Alternative zu globalen DNS-Diensten schafft, die außerhalb der EU verwaltet werden. Der Dienst wird von der EU kofinanziert und von der Europäischen Agentur für Cybersicherheit (ENISA) unterstützt; Betreiber ist ein Konsortium aus 10 Organisationen verschiedener Mitgliedsstaaten. DNS4EU verfolgt nicht nur das Ziel, eine Alternative zu marktbeherrschenden, häufig nicht-europäischen Resolvern (z. B. Google Public DNS oder Cloudflare) bereitzustellen, sondern auch „Privacy by Design“ und „Privacy by Default“-Prinzipien umzusetzen und die Resilienz kritischer Infrastrukturen in der EU zu stärken.

Kontext und Ziel des Projekts.

In den letzten Jahren wurde die Dominanz weniger globaler DNS-Anbieter (z. B. Google 8.8.8.8 oder Cloudflare 1.1.1.1) als Risiko strategischer Abhängigkeit wahrgenommen. Die globalen DNS-Ausfälle in den Jahren 2019 und 2020 haben gezeigt, welche großflächigen Störungen in ganz Europa entstehen können, wenn zentrale Resolver ausfallen. DNS4EU soll diese Risiken minimieren, indem eine verteilte Infrastruktur vollständig innerhalb der EU errichtet wird – im Einklang mit der EU-Cybersicherheitsstrategie und der NIS2-Richtlinie. Zudem wurde schon lange beobachtet, dass ein erheblicher Teil des DNS-Verkehrs europäischer Nutzer außerhalb der EU verarbeitet wird, was Bedenken hinsichtlich DSGVO-Konformität sowie politischer Eingriffe und Cyberbedrohungen aufwirft. Im Rahmen der Digital- und der neuen Cybersicherheitsstrategie der EU wird die Notwendigkeit eigenständiger, vertrauenswürdiger Infrastrukturlösungen betont. DNS4EU erfüllt diese Anforderungen, indem der Dienst vollständig in Rechenzentren innerhalb der Mitgliedsstaaten gehostet wird.

Konsortium und institutionelle Unterstützung

Das DNS4EU-Konsortium besteht aus nationalen Domain-Registraren, Forschungseinrichtungen und Technologieanbietern:

  • Whalebone (Konsortiumsleiter, Tschechien) – DNS-Sicherheits-Engine.
  • CZ.NIC und CVUT (Tschechien) – Infrastruktur und Forschung.
  • Time.lex (Belgien) – Rechtliche Aspekte und DSGVO-Konformität.
  • deSEC (Deutschland) – Open-Source-DNS-Lösungen.
  • HUN-REN (Ungarn), ABILAB (Italien), NASK (Polen), DNSC (Rumänien) – nationale CERT-Zentren und Forschungslabore.
  • Strategische Partner: F-Secure (Finnland) und CESNET (Tschechien).

ENISA koordiniert Sicherheitsfragen und den Austausch zusätzlicher Bedrohungsinformationen, um eine schnelle Reaktion auf Angriffe auf europäischer Ebene zu ermöglichen. Die EU-Finanzierung deckt den Zeitraum 2023–2025 ab; anschließend plant das Konsortium den Übergang zu einem operativ eigenständigen Modell über kommerzielle Angebote.

Technische Architektur

DNS-Engine und Anycast
Kern des Systems ist die Open-Source-Software Knot Resolver 6, die in Cloud-Infrastrukturen weit verbreitet ist. Die DNS4EU-Knoten sind geografisch in mindestens 14 EU-Mitgliedsstaaten verteilt und über Anycast-Routing verbunden, was geringe Latenzen und hohe Redundanz gewährleistet. Betreiber nutzen europäische Cloud-Anbieter (Datapacket, Scaleway), um Abhängigkeiten von Nicht-EU-Anbietern zu vermeiden.

Unterstützung verschlüsselter Protokolle und DNSSEC
Alle DNS4EU-Konfigurationen bieten:

  • DNS-over-HTTPS (DoH).
  • DNS-over-TLS (DoT).
  • DNSSEC-Signaturprüfung zum Schutz vor Spoofing und Cache-Poisoning.

Die Endpunkte für DoH und DoT sind öffentlich dokumentiert, z. B. protective.joindns4.eu/dns-query oder unfiltered.joindns4.eu:853

Dienstkonfigurationen und Adressierung
Der öffentliche DNS4EU-Resolver bietet fünf Varianten, jeweils mit dedizierten IPv4- und IPv6-Adressen:

Variante IPv4 IPv6 Funktionen
Unfiltered 86.54.11.100 2a13:1001::86:54:11:100 Basisauflösung ohne Filter
Protective Resolution 86.54.11.1 2a13:1001::86:54:11:1 Blockierung bekannter bösartiger und Phishing-Domains
Protective + Child Protection 86.54.11.12 2a13:1001::86:54:11:12 Zusätzlich Blockierung kinderunfreundlicher Inhalte
Protective + Ad Blocking 86.54.11.13 2a13:1001::86:54:11:13 Werbefilterung neben Bedrohungsschutz
Protective + Child + Ad Blocking 86.54.11.11 2a13:1001::86:54:11:11 Vollschutz (Bedrohungen + Familie + Werbung)

Quelle: DNS4EU-Dokumentation
Das öffentliche Anfrage-Limit liegt bei 1.000 qps pro IP; für kommerzielle Kunden sind dedizierte Instanzen ohne Limits vorgesehen.

Threat-Intelligence-Pipeline
Die Sicherheitsschicht basiert auf der Whalebone-Engine, die DNS-Anfragen mit folgenden Methoden analysiert:

  • IOC-Datenbanken – über 20 Mio. bösartige Domains, ~150.000 Aktualisierungen täglich.
  • ML- und DGA-Erkennung – Identifikation algorithmisch generierter Domains (Entropie- und Sprachmodelle).
  • Verhaltensanalyse – Anomalieerkennung auf Sitzungsebene.
  • Infrastrukturkorrelation – WHOIS-, TLS-Zertifikats- und Hosting-Zusammenhänge. Meldet ein CERT-Zentrum eine neue Bedrohung, synchronisiert MISP automatisch Blockregeln und schützt so in Echtzeit in der gesamten EU.

Datenschutz und Anonymisierung DNS4EU verfolgt eine strikte Zero-Log-Politik und IP-Anonymisierung:

  • Client-IP wird nur im RAM für die Dauer der Anfrage gehalten (Millisekunden).
  • Anonymisierung über HMAC-SHA256 mit täglich um Mitternacht UTC rotierenden Schlüsseln.
  • Keine Persistenzspeicherung, kein Nutzerprofiling. Dieses Vorgehen erfüllt die DSGVO-Anforderungen und „Privacy by Design“-Richtlinien.

Integration und Rollout in Unternehmensumgebungen

Typische Einsatzszenarien:

  • Hybrid DNS: Europäischer Verkehr zu DNS4EU, globaler Verkehr zu 1.1.1.1 oder 8.8.8.8.
  • Schutz kritischer Systeme: Isolierte Resolver-Instanzen mit dedizierten Filtern.
  • SIEM-Integration: Anonymisierte Logs in Splunk, Elastic etc.
  • Telekommunikationsanbieter: ISP können DNS4EU als Service für Endkunden bereitstellen.

Regulatorische Konformität

  • DSGVO/GDPR: Alle Anfragedaten werden ausschließlich in der EU verarbeitet; kein Transfer in Drittstaaten.
  • Netzneutralität: Keine Inhaltsmanipulation, außer auf Wunsch des Nutzers/der Organisation im Rahmen von Anti-Malware/Adblock/Kinderschutz.
  • Keine Zensur: Der Dienst ist freiwillig und ohne Inhaltsbeschränkung durch die Anbieter – Filterung bleibt in der Entscheidungshoheit des Nutzers/der Organisation.

Die gesamte Betriebsumgebung von DNS4EU unterliegt der EU-Gerichtsbarkeit, und Anfragelogdaten werden nach maximal 24 Stunden gelöscht. Die Nutzung der Daten zu Profilierungs- oder Verkaufszwecken ist untersagt. Der Dienst folgt vollständig dem „Privacy by Design“-Prinzip, bestätigt durch ein DSGVO-Audit von Time.lex, einem der Rechts­partner im Konsortium.

Service-Angebot

Privatanwender:

  • Öffentlicher, kostenfreier Zugriff auf Resolver mit Filteroptionen.
  • Einfache Konfiguration in Betriebssystemen und Browsern, inklusive DoH/DoT-URL-Listen.

Öffentlicher Sektor:

  • DNS-as-a-Service-Lösungen für Ministerien, Verwaltungen, Gesundheits- und Bildungseinrichtungen mit erweiterten SLAs und Reporting.

Telekommunikationsanbieter und ISPs:

  • White-Label-Integration in Betreiberinfrastruktur, Cluster-Management per API und kosteneffiziente Servicebereitstellung für Endkunden.

Rollout und Betrieb

– Phasen:

  • Pilotphase (1. Quartal 2023) – Funktionstests in ausgewählten Ländern.
  • Ausbau der PoPs (2023–2024) – Inbetriebnahme Dutzender Anycast-Standorte.
  • Öffentlicher Launch (09.06.2025).

– Cloud- und Hosting-Anbieter: Scaleway, DataPacket, Hetzner, lokale Provider. – Monitoring: Prometheus + Grafana für Metriken, Alerts und SLA-Analysen in Echtzeit.
Seit dem 9. Juni 2025 ist DNS4EU öffentlich verfügbar. Jeder Nutzer und jede Institution kann die folgenden Anycast-Adressen konfigurieren:

  • Anycast IPv4: 185.24.16.0/24
  • Anycast IPv6: 2a04:fe80::/32

Die technische Dokumentation und Implementierungsanleitungen finden sich auf der Projektwebseite: https://www.joindns4.eu.

Entwicklungsperspektiven und Roadmap

  • Knot Resolver 7+: Geplante Unterstützung für DNS-over-QUIC (DoQ) gemäß RFC 9000/9001 für Multiplexing und noch geringere Latenzen.
  • Integration von RPKI/ROA: Verifikation der IP-Präfix-Herkunft während der Anfrage, um BGP-Hijacking zu reduzieren.
  • IoT/5G-Support: Leichte Edge-Knoten bei Mobilfunkanbietern mit lokalem Cache und Filterung für zahlreiche Geräte.

So entsteht eine umfassende, verteilte und hochsichere DNS-Infrastruktur, die nicht nur EU-Anforderungen (NIS2, GDPR) erfüllt, sondern auch fortschrittliche Observability-, Automatisierungs- und Resilienz­mechanismen bietet. DNS4EU markiert einen Meilenstein in der digitalen Souveränitätsstrategie Europas. Durch Anycast-Verteilung, moderne Sicherheitsprotokolle (DNSSEC, DoH, DoT) und strikte Datenschutz­regulierung stellt das Projekt eine robuste Alternative zu globalen DNS-Anbietern dar. Für Organisationen, die in Europa eine private, leistungsfähige und unabhängige DNS-Lösung suchen, eröffnet DNS4EU neue Möglichkeiten zum Schutz und zur Kontrolle des Netzwerkverkehrs. Mit der Einführung von DNS4EU werden nicht nur technologische Abhängigkeiten reduziert, sondern auch die Widerstandsfähigkeit europäischer Infrastrukturen gegen Cyberbedrohungen gestärkt – ein entscheidender Schritt hin zur langfristigen digitalen Autonomie der EU.