Vor einigen Jahren enthüllte Edward Snowden, dass der amerikanische Geheimdienst NSA die Spuren von überwachten Personen im Internet unter anderem anhand ihrer DNS-Abfragen verfolge. DNS steht für Domain Name System (oder Server) und bezeichnet die Art und Weise, wie etwa ein Anwender im Internet mit der Website www.pcwelt.de verbunden wird. Denn tatsächlich steht dahinter eine IP-Adresse – im Falle der PC-WELT ist es 13.227.153.44.
Tippen Sie www.pcwelt.de ein, so führt Ihr Browser eine DNS-Abfrage durch, um die IP-Adresse zu ermitteln. Dabei wendet er sich normalerweise an den DNS-Server Ihres Providers. Ein solcher Server wird DNS-Resolver genannt. Dieser Resolver ist Teil des weltweiten DNS-Systemes, über das sich Millionen von DNS-Servern untereinander austauschen. Darüber leiten sie auch Abfragen, die sie selbst nicht beantworten können, an einen anderen Server weiter. Obwohl das System sehr kompliziert ist, liefert es Ihnen in der Regel in wenigen Millisekunden das gewünschte Ergebnis.
In der Vergangenheit erfolgten DNS-Abfragen generell unverschlüsselt. Es war aus diesem Grund möglich nachzuvollziehen, wann welcher Anwender welche Seiten angesteuert hatte. In Europa ist das Anlegen von entsprechenden Profilen durch den Provider oder durch die werbetreibende Wirtschaft nicht erlaubt, in anderen Ländern jedoch schon. Die Geheimdienste interessieren sich ebenfalls für diese Informationen.
Seit einigen Jahren gibt es daher Bestrebungen, DNS-Abfragen zu verschlüsseln. Entsprechende Verfahren heißen DNS-Crypt, DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) oder auch Oblivious DNS-over-HTTPS (ODoH) für anonyme DNS-Anfragen.Das jeweilige Verfahren muss sowohl vom Betriebssystem als auch vom DNS-Resolver unterstützt werden. Falls der DNS-Server Ihres Providers keine Verschlüsselung anbietet, können Sie in Windows oder auch in Android einen anderen Server einstellen, etwa den DNS-Server von Google, der unter den IP-Adressen 8.8.8.8 und 8.8.4.4 erreichbar ist. Eine Liste von verschlüsselnden DNS-Servern finden Sie unter https://dnsprivacy.org/public_resolvers. Windows unterstützte die DNS-Verschlüsselung bislang nicht. Mit der Version 11 hat sich das jetzt geändert. Allerdings müssen Sie die entsprechende Option zunächst über die Registrierdatenbank aktivieren.
Öffnen Sie über einen Klick auf die Lupe in der Taskleiste das Suchfeld und geben Sie regedit ein. Klicken Sie sich durch zum Ordner „HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NT“. Dort legen Sie daraufhin einen neuen Unterschlüssel an: Klicken Sie mithilfe der rechten Maustaste auf „Windows NT“ und wählen Sie „Neu –› Schlüssel“. Geben Sie dem neuen Schlüssel die Bezeichnung „DNSClient“. Diesem Schlüssel weisen Sie nun einen DWORD-Wert zu. Markieren Sie „DNS-Client“, klicken Sie in die rechte Fensterhälfte und gehen Sie auf „Neu –› DWORD-Wert (32-Bit)“.
Benennen Sie den neuen Eintrag „DoHPolicy“. Klicken Sie ihn dann doppelt an und tragen Sie als Wert „2“ ein. Der Wert „1“ bedeutet, dass Windows keine verschlüsselte Namensauflösung über DNS durchführt. Alles bleibt so, wie es schon immer war. Mit einer „2“ geben Sie an, dass das Betriebssystem sowohl klassische als auch verschlüsselte DNS-Abfragen anbieten soll. Geben Sie eine „3“ ein, akzeptiert Windows nur noch verschlüsselte Abfragen per HTTPS, das heißt nach dem Verfahren DNS-over-HTTPS (DoH).
Rufen Sie jetzt die „Einstellungen“ von Windows auf und öffnen Sie daraufhin „Netzwerk und Internet“. Bei einer kabelgebundenen Ethernet-Verbindung scrollen Sie nach unten und klicken neben „DNS-Serverzuweisung“ auf „Bearbeiten“. Stellen Sie im folgenden Fenster um auf „Manuell“ und schieben Sie den Schalter bei „IPv4“ auf „Ein“. Tippen Sie bei „Bevorzugter DNS“ einen verschlüsselnden DNS-Server ein, zum Beispiel den Google-Server mit der Adresse 8.8.8.8. Dank der Änderung an der Registry sehen Sie darunter das neue Menü „Bevorzugte DNS-Verschlüsselung“.
Stellen Sie nun dort entweder „Nur verschlüsselt (DNS über HTTPS)“ oder „Verschlüsselt bevorzugt, unverschlüsselt zulässig“ ein. Auf Wunsch können Sie bei „Alternativer DNS“ einen weiteren Server eintragen. Zum Schluss klicken Sie auf „Speichern“. Falls Sie über ein WLAN mit dem Netzwerk beziehungsweise mit dem Internet verbunden sind, klicken Sie bitte bei „Netzwerk und Internet“ zunächst auf „WLAN“ und anschließend auf „[WLAN-Name]-Eigenschaften“. Scrollen Sie dann nach unten zu „DNS-Serverzuweisung“.
Autor: Roland Freist
Roland Freist bearbeitet als freier IT-Fachjournalist Themen rund um Windows, Anwendungen, Netzwerke, Security und Internet.