Das Domain Name System (DNS) ist sozusagen das Telefonbuch des Internets und deshalb bei jeder Netzwerkverbindung im Spiel. Trotzdem – oder gerade deswegen – verlassen sich viele Anwender auf die Voreinstellungen im Router: Die funktionieren meist reibungslos, sind aber in puncto Sicherheit und Datenschutz nicht ideal. Deswegen setzen findige Angreifer und Datenschnüffler hier gerne an, um Netzwerkgeräte zu übernehmen oder sensible Daten wie Passwörter abgreifen zu können.
Gut für Sie: Die meisten Router bieten Einstellungen, mit denen sich die Risiken von DNS schnell und einfach reduzieren lassen. Darüber hinaus kann eine clevere DNS-Konfiguration auch die Geschwindigkeit Ihrer Internetverbindung verbessern. Weil DNS aber unbedingt funktionieren muss, damit Sie eine Webseite im Browser aufrufen können, sollten Sie beim Sicherheits- und Tempotuning nicht übertreiben.
Wir zeigen mit vielen Beispielen, wie Sie bei DNS den optimalen Kompromiss zwischen geschütztem und stabilem Datentransfer erzielen.
Ratgeber: So decken Sie in Ihrem Heimnetz Schwachstellen auf
Von der URL zur IP-Adresse: So funktioniert DNS
Nur mit Hilfe eines DNS-Servers kann Ihr Router eine Internetverbindung aufbauen. Normalerweise müssen Sie sich um diese Einstellungen nicht kümmern – sollten Sie aber.
IDG
Jedes Ziel in einem Netzwerk erreichen Sie über eine IP-Adresse. Das gilt im Internet für eine Webseite wie www.google.de und im Heimnetz, wenn Sie zum Beispiel auf den Router, Ihre NAS oder einen Rechner mit Freigaben zugreifen wollen. Während Sie die IP-Adresse von Heimrouter und NAS wahrscheinlich auswendig können, dürfte das für Webseiten nicht gelten, denn www.google.de lässt sich leichter merken als 142.251.36.227.
Bei der Netzwerkhardware ist es genau umgekehrt: Ihr Router braucht eine IP-Adresse, um die Anfrage zum Aufruf einer Webseite dorthin weiterzuleiten.
DNS (Domain Name System) sorgt dafür, dass Ihr Router Sie versteht und umgekehrt. Die Funktion übersetzt den Namen einer Webseite in deren IP-Adresse. Deshalb kontaktiert der Router für den Aufruf einer Webseite als Erstes immer den DNS-Server, der in seinem Menü eingetragen ist: Dieser meldet ihm die IP-Adresse zurück, die zur angeforderten Webseite gehört.
In den meisten Fällen handelt es sich dabei um den DNS-Server Ihres Internetproviders – genauer gesagt, um einen DNS-Resolver: Denn eigentlich findet die Übersetzung zwischen Namen und IP-Adressen nicht dort statt, sondern der Resolver kontaktiert schlussendlich einen Nameserver im Internet: In dessen Datenbank ist die IP-Adresse verzeichnet, die zu einer Webseite gehört.
Wenn Sie häufig dieselben Webseiten aufrufen, funktioniert diese DNS-Übersetzung schneller, denn der DNS-Resolver des Providers merkt sich die passende IP-Adresse – wie übrigens auch Browser, Betriebssystem und Router. Dieses DNS-Caching macht die Abfrage bei einem Nameserver überflüssig und beschleunigt den Aufruf der Webseite.
Lesetipp: Die 6 größten WLAN-Fehler – und ihre Lösungen
DNS-Probleme: Wenig Schutz vor Hackern und Tracking
Spezielle Webseiten wie www.dnsleaktest.com zeigen die DNS-Server an, die Ihr Router bei einer Internetverbindung abfragt. Meist sind es die des Internetanbieters, hier von der Telekom.
IDG
DNS funktioniert in den meisten Fällen schnell und zuverlässig. Deshalb beschäftigen sich viele Anwender nicht mit den DNS-Einstellungen in Clients und Routern und verlassen sich auf die Vorgaben der Gerätehersteller oder des Internetproviders.
Ihr Router bekommt dann einen DNS-Server wie seine IP-Adresse automatisch vom Internetanbieter zugewiesen: Die entsprechende Einstellung finden Sie zum Beispiel im Menü einer Fritzbox unter „Internet –› Zugangsdaten –› DNS-Server“, wo die Option „Vom Internetanbieter zugewiesenen DNS-Server verwenden“ markiert ist.
Welchen DNS-Server der Router aktuell anfragt, steht unter „Internet –› Online-Monitor“ in der Zeile „Genutzte DNS-Server“. Bei einem Telekom Speedport finden Sie diese Information unter „Internet –› Internetverbindung –› IP-Adressinformationen“. Anstatt das Routermenü aufzurufen, können Sie die verwendeten DNS-Server auch über Testseiten wie www.dnsleaktest.com herausfinden.
Diese Vorgabe kann aus verschiedenen Gründen nicht optimal sein: Wenn zum Beispiel dieser DNS-Server langsam oder gerade überlastet ist, verzögert sich die Anzeige einer Webseite. Sie müssen außerdem darauf vertrauen, dass die DNS-Server geschützt sind: Bekommt ein Angreifer die Kontrolle, kann er die dort hinterlegten Einträge verändern, um Sie auf eine manipulierte Webseite umzuleiten.
Über einen DNS-Server lassen sich auch Zensurmaßnahmen umsetzen: Der Internetprovider führt dann die Namensauflösung für bestimmte Webseiten nicht durch, zum Beispiel aufgrund rechtlicher Vorgaben, die Pornografie und Copyrightverletzungen unterbinden sollen. In diesem Fall bekommen Sie die gewünschte Webseite nicht zu sehen und werden meist auf eine andere Seite umgeleitet.
Dass dabei Fehler passieren, zeigt ein Beispiel vom März, als die Webseite des Heise-Verlags mehrere Tage für einige Kunden von 1&1 nicht erreichbar war: Die Domain war fälschlicherweise im DNS-Server des Providers gesperrt worden.
Nicht zuletzt können DNS-Einstellungen den Datenschutz aushebeln: Der Betreiber eines DNS-Servers könnte anhand der Protokolldateien nachvollziehen, wann Sie welche Webseite besucht haben, und diese Informationen verkaufen. Da ein Client DNS-Anfragen normalerweise unverschlüsselt an den DNS-Resolver überträgt, kann auch ein Angreifer an diese Informationen kommen, indem er in einem offenen WLAN-Hot-Spot Ihren Datenverkehr mitschneidet.
Diesen Problemen sollten sie begegnen, indem Sie die DNS-Einstellungen in Ihrem Router unter die Lupe nehmen: Dort können Sie einen anderen oder mehrere alternative DNS-Server eintragen. Außerdem bieten viele Router zusätzliche Funktionen, mit denen sich die möglichen Gefahren von DNS reduzieren lassen.
So ändern Sie den eingestellten DNS-Server in Ihrem Router
Bei einem Speedport-Router lässt sich ein alternativer DNS-Server erst einstellen, wenn Sie im Routermenü die Option „Anderer Anbieter“ aktivieren.
IDG
Sie müssen nicht den voreingestellten DNS-Server des Internetanbieters nutzen. Kostenlose öffentliche DNS-Server bieten dieselben Funktionen: So können Sie wählen, ob Sie einen schnellen Server benötigen, einen mit hoher Sicherheit oder einen, dessen Anbieter auf Tracking verzichtet. Sie brauchen lediglich die IP-Adresse des DNS-Servers, um Ihr Netzwerk damit zu verbinden. Eine Auswahl beliebter öffentlicher DNS-Server bietet diese Übersicht:
| Anbieter | IPv4-Adresse | IPv6-Adresse |
|---|---|---|
| Cloudflare | 1.1.1.1 | 2606:4700:4700::1111 |
| Cloudflare (alternativer Server) | 1.0.0.1 | 2606:4700:4700::1001 |
| Digitalcourage | 5.9.164.112 | 2a01:4f8:251:554::2 |
| DNS Watch | 84.200.69.80 | 2001:1608:10:25::1c04:b12f |
| DNS Watch (alternativer Server) | 84.200.70.40 | 2001:1608:10:25::9249:d69b |
| 8.8.8.8 | 2001:4860:4860::8888 | |
| 8.8.4.4 | 2001:4860:4860::8844 | |
| Quad9 | 9.9.9.9 | 2620:fe::fe |
| Quad9 | 149.112.112.112 | 2620:fe::9 |
Um dessen IP-Adresse im Router zu hinterlegen, rufen Sie bei einer Fritzbox im Menü die Einstellung „Internet –› Zugangsdaten –› DNS-Server“ auf. Markieren Sie jetzt die Option „Andere DNSv4-Server verwenden“: Darunter tragen Sie die IP-Adressen des bevorzugten Servers ein sowie die Adresse eines zweiten, alternativen Servers: Den kontaktiert die Fritzbox, falls der oben eingetragene DNS-Server nicht antwortet. Genauso gehen Sie im Abschnitt „DNSv6-Server“ vor, wenn die Fritzbox einen Server über das IPv6-Protokoll ansprechen soll.
Wichtig: Die eingetragenen IP-Adressen müssen korrekt sein, ansonsten kommt keine Internetverbindung zustande, weil die Fritzbox ohne den DNS-Server ja nicht weiß, wohin sie Datenpakete schicken soll. Falls Sie einen Eintrag für einen DNS-v6- Server vornehmen, sollten Sie sich vergewissern, dass das neue Internetprotokoll in der Fritzbox aktiviert ist: Dafür muss unter „Internet –› Zugangsdaten –› IPv6“ die Option „IPv6-Unterstützung aktiv“ markiert sein.
Bei anderen Routern lässt sich ebenfalls meist im Menü für den Internet- oder WAN-Zugang ein anderer DNS-Server als der des Onlineanbieters eintragen. Bei einem Asus-Router setzen Sie zum Beispiel bei den WAN-DNS-Einstellungen die Option „Automatisch mit DNS-Server verbinden“ auf „Nein“, um anschließend die IP-Adresse alternativer Server einzutragen.
Bei einem Speedport-Router der Telekom müssen Sie zunächst unter „Internet –› Internetverbindung“ einen anderen Anbieter als die Telekom auswählen. In der Standardeinstellung fehlt nämlich das Menü, in dem Sie einen DNS-Server eintragen können. Bei einigen älteren Telekom-Routern wie dem Speedport Hybrid können Sie grundsätzlich keinen anderen DNS-Server als den des Internetanbieters eintragen.
WPA2 oder WPA3: Welchen Sicherheitsstandard nutzt Ihr WLAN?
Wenn Sie den DNS-Server im Router einstellen, sparen Sie sich Arbeit: Denn alle Clients im Heimnetz, die mit dem Router verbunden sind, nutzen dann automatisch diesen Server für ihre DNS-Anfragen. Voraussetzung ist, dass der Router die Clients per DHCP mit IP-Adressen versorgt. Manchmal ist es aber besser, DNS-Server direkt in den Einstellungen des Clients einzutragen – zum Beispiel, wenn sich die DNS-Einstellungen im Router nicht verändern lassen oder Sie wie in einem öffentlichen WLAN keinen Zugriff aufs Routermenü haben.
Bei einem Windows-Rechner gehen Sie dafür in die Einstellungen zu „Netzwerk und Internet“ und klicken anschließend auf „WLAN“ beziehungsweise „Ethernet“, je nachdem, wie der Client mit dem Router verbunden ist. Anschließend rufen Sie die Eigenschaften dieser Verbindung auf. Dort gehen Sie in der Zeile „IP-Zuweisung“ beziehungsweise bei „IP-Einstellungen“ auf „Bearbeiten“. Wählen Sie aus dem Drop-down-Menü „Manuell“ und aktivieren Sie das Internetprotokoll, für das Sie einen DNS-Server eintragen wollen.
Anschließend tragen Sie die IP-Adressen des bevorzugten und alternativen DNS-Servers ein und speichern sie. In den Zeilen „IP-Adresse“, „Subnetzmaske“ und „Gateway“ müssen Sie nichts eintragen – diese Informationen holt sich der Client weiterhin per DHCP vom Router. In der Zeile „DNS-Server“ zeigt Windows nun die neu eingetragenen IP-Adressen an.
Einstellungen für schnelle und zuverlässige Verbindungen
Ab Fritz-OS 7.50 können Sie die Fritzbox anweisen, dass sie beim Ausfall eines eingetragenen DNS-Servers automatisch auf einen verfügbaren öffentlichen DNS-Server umschaltet, damit die Onlineverbindung nicht abbricht.
IDG
Wie schnell Ihre Internetverbindung ist, merken Sie oft daran, ob sich Webseiten nach Eingabe der URL rasch aufbauen. Neben Netzwerkhardware und Betriebssystem spielt dabei auch der DNS-Server eine wichtige Rolle: Je schneller der Router von ihm die IP-Adresse erfährt, die zu einer Webseite gehört, umso schneller gehen die Datenpakete an den richtigen Ort.
Neben dem Tempo sollte ein DNS-Server auch immer verfügbar sein: Kann er den Domainnamen nicht in eine IP-Adresse übersetzen, sehen Sie im Browser eine Fehlermeldung, aber keine Webseite.
Schnelle und zuverlässige DNS-Server finden Sie zum Beispiel auf dnsperf.com. Wählen Sie dort unter „Location“ die Option „Europe“ und klicken Sie auf „PUBLIC DNS RESOLVERS“. Die angezeigten DNS-Server sind dann nach ihrer Antwortgeschwindigkeit („Query Speed) sortiert. Zum Recherchezeitpunkt war der öffentliche DNS-Server von Cloudflare mit der IP-Adresse 1.1.1.1 mit Abstand am schnellsten. Nach Verfügbarkeit lassen sich die Server durch einen Klick auf „Uptime“ sortieren.
Webseiten wie dnsperf.com ordnen öffentliche DNS-Server nach ihrer Geschwindigkeit und Verfügbarkeit. So lassen sich alternative Server finden, mit denen der Router Webseiten schneller oder zuverlässiger anzeigt.
IDG
Weitere Webseiten für den Vergleich von DNS-Servern sind www.publicdnsserver.com/germany, wo Sie auf der rechten Seite die Verfügbarkeit („Reliability“) in Prozent sowie die Antwortzeit in Millisekunden („Speed“) sehen. Die Seite www.ungefiltert-surfen.de/nameserver/de.html listet ebenfalls öffentliche DNS-Server aus Deutschland auf.
Die Fritzbox bietet seit Fritz-OS 7.50 eine neue Funktion, die die Internetverbindung aufrecht erhält, wenn die eingetragenen DNS-Server ausfallen sollten: Markieren Sie dafür die Option „Öffentliche DNS-Server“ unter „Internet –› Zugangsdaten –› DNS-Server“. Der Router weicht dann auf DNS-Server von Google, Cloudflare und Quad9 aus. Ob und wann das passiert, können Sie über eine Meldung im Ereignisprotokoll der Fritzbox nachvollziehen.
Bevor Sie den DNS-Server im Router wechseln, sollten Sie probieren, ob eine andere Lösung Ihr Tempo-Problem beim Webseitenaufbau behebt: Sie können zum Beispiel einen anderen Browser nutzen oder Browser, Rechner und den Router neu starten.
DNS-Sicherheit: Hier lauern die Gefahren fürs Heimnetz
Für verbesserten Schutz beim Zugriff auf einen DNS-Server sorgt DNS over TLS, das sich zum Beispiel in einer Fritzbox aktivieren lässt. Der Router überträgt dann seine Abfragen verschlüsselt an den DNS-Resolver.
IDG
Die Struktur von DNS ist vor allem auf schnelle Übertragung ausgelegt, weniger auf Sicherheit – zum Beispiel nutzt es das einfache Übertragungsprotokoll UDP. Deshalb nehmen Angreifer häufig DNS-Server ins Visier: Sie versuchen sie zum Beispiel durch viele DNS-Abfragen zu überlasten, um dadurch Onlineverbindungen lahmzulegen (DNS Flood).
DNS-Spoofing zielt auf die Cachedateien eines DNS-Servers ab: Der Angreifer manipuliert sie, damit der DNS-Server eine falsche IP-Adresse für einen Domainnamen zurückgibt. Damit leitet er die Opfer auf eine eigene Webseite um, die der ursprünglich gesuchten ähnelt, um dort zum Beispiel Passwörter abzugreifen.
Wenn Ihr Router seine DNS-Abfragen an einen manipulierten DNS-Server stellt, sind auch Sie betroffen. Grundsätzlich müssen Sie daher darauf vertrauen, dass der Anbieter des Servers seine Geräte ausreichend schützt – zum Beispiel mit dem Sicherheitsprotokoll DNS Security Extensions (DNSSEC), was bei den meisten DNS-Resolvern der Fall ist.
Allerdings gibt es auch DNS-Attacken auf Router: Sie nutzen zum Beispiel Sicherheitslücken in deren DNS-Software. Daher gilt auch bezüglich DNS-Sicherheit der grundsätzliche Rat, dass Sie immer eine aktuelle Firmware auf Ihrem Router und anderen Netzwerkgeräten einsetzen.
Wenn ein Angreifer außerdem Zugang zu Ihrem Router und Netzwerk bekommt, kann er direkt die DNS-Einstellungen manipulieren, um DNS-Anfragen umzuleiten. Deshalb sollten Sie den Zugriff auf das Routermenü mit einem starken Passwort und – wenn möglich – am besten per Zwei-Faktor-Authentifizierung schützen.
DNS-Verschlüsselung: Besserer Schutz mit Fritzbox & Co.
Im Routerprotokoll meldet die Fritzbox, wenn sie eine erfolgreiche verschlüsselte Verbindung zu einem DNS-Server hergestellt hat, der DNS over TLS unterstützt. Auch wenn die Verbindung nicht mehr besteht, bekommen Sie einen Hinweis in der Logdatei.
IDG
Einige Router bieten einen erweiterten Schutz vor diesen DNS-Angriffen durch DNS over TLS (DoT). Bei einer Fritzbox aktivieren Sie es unter „Internet –› Zugangsdaten –› DNS-Server –› DNS over TLS (DoT)“.
DoT verschlüsselt die DNS-Kommunikation zwischen Router und DNS-Resolver, wenn beide Seiten diese Technik unterstützen. Das verhindert, dass ein Angreifer die Verbindung abhören und manipulieren kann, um Ihren Datenverkehr an einen Server umzuleiten, der unter seiner Kontrolle steht (Man-in-the-Middle-Attacke). Zudem lassen sich damit auch Filter- und Zensurregeln umgehen, die auf DNS basieren.
Dem Datenschutz hilft DoT nur, wenn Sie dem Anbieter des DNS-Resolvers, der im Router hinterlegt ist, vertrauen können: Dort wird die verschlüsselte DNS-Verbindung wieder entschlüsselt, sodass er auf jeden Fall erfährt, welche Webseite Sie per DNS-Abfrage erreichen wollen. Übrigens bekommt auch Ihr Internetanbieter mit, wohin Sie surfen: Zwar erfährt er nichts zu den DNS-Abfragen, wenn Sie einen alternativen Server nutzen, kennt aber spätestens dann Ihr Ziel, wenn Sie die gewünschte Seite tatsächlich aufrufen. Das lässt sich nur mit einem VPN verhindern.
Wenn Sie in der Fritzbox DoT aktiviert haben, müssen Sie im Kasten unter „Auflösungsnamen der DNS-Server“ die vollständigen Domainnamen der Server hinterlegen – sie enthalten meist die Zeichenfolge „dns“.
Eine Auswahl bekannter DNS-Server, die DoT unterstützen, finden Sie zum Beispiel unter https://dnsprivacy.org/public_resolvers/ oder https://wiki.ipfire.org/dns/publicservers im Abschnitt „DNS-over-TLS-Service“. Der Auflösungsname, den Sie in der Fritzbox eintragen, steht in der Spalte „Hostname for TLS authentication“ beziehungsweise „DNS over TLS Hostname“. Auch die Telekom (dns.telekom.de) und Google (dns.google) betreiben DNS-Server für DoT.
Am besten setzen Sie auch einen Haken bei der Option „Fallback auf unverschlüsselte Namensauflösung im Internet zulassen“: Falls die Fritzbox den DNS-Server mit DoT nicht mehr erreichen kann, wechselt sie zu dieser Alternative, damit die Internetverbindung erhalten bleibt.
Mehr Datenschutz: Diese DNS-Server verraten nichts
Wie der Anbieter eines öffentlichen DNS-Servers mit Ihren Daten umgeht, sollte er ausführlich auf seiner Webseite darlegen: Diesen Angaben müssen Sie Glauben schenken.
IDG
Welche Webseiten Ihr Internetanbieter im DNS-Server sperrt, lässt sich kaum feststellen. Einige aktuelle Beispiele finden sich in einer Liste der Bundesnetzagentur: Sie enthält vor allem Webseiten russischer Medienunternehmen, die deutsche Provider aufgrund von EU-Sanktionen sperren müssen.
Bei öffentlichen DNS-Resolvern müssen Sie sich beim Datenschutz auf die Angaben des Anbieters verlassen: Quad9 oder DNS-Watch zum Beispiel erklären, dass sie auf Inhaltsfilter verzichten und Domains nur aus Sicherheitsgründen blockieren, damit sie unterbinden können, dass die Server fürs Phishing oder zum Verteilen von Malware mißbraucht werden. Auch die Initiative Digitalcourage betreibt einen nach eigenen Angaben zensurfreien DNS-Server unter dns3.digitalcourage.de, der zudem DoT unterstützt.
Ähnlich ist es beim Datenschutz: Viele Anbieter öffentlicher DNS-Server versprechen, IP-Adressen, von denen sie Anfragen erhalten, nicht über einen längeren Zeitraum zu speichern beziehungsweise höchstens in anonymisierter Form. So schreiben es zum Beispiel Cloudflare und Quad9 in ihre Nutzungsbedingungen. Google verzichtet laut eigener Aussage auf das Speichern personenbezogene Daten, behält sich in seinen AGBs aber vor, den ungefähren Standort festzuhalten, von dem die DNS-Anfrage an seine Server kommen.