Konnektivität

DNS: das Glied, das niemand härtet

Warum DNS-Anfragen im Klartext ein unterschätzter Überwachungsvektor sind und wie man DoH oder DoT in 10 Minuten aktiviert. Quad9, NextDNS, Mullvad, Self-Hosting: wofür was taugt.

Veröffentlicht am 28. August 2025 14 Min. Lesezeit Allgemein

Zuletzt überprüft: 1. Februar 2026

An einen Switch angeschlossene Netzwerkkabel

Netzwerk-Audit eines mittelständischen Industrieunternehmens, ein Vormittag. Ich stecke eine passive Sonde an den Mirror-Port des Haupt-Switches und schaue dem Verkehr beim Vorbeiziehen zu. Alles ist in HTTPS, der Personalleiter ist stolz auf seine neue Firewall für 18.000 €. Nur dass auf Port 53, im Klartext, das komplette Surfen des Unternehmens vorbeiläuft: die am Vortag aufgerufene Domain der Anwaltskanzlei, die Website des potenziellen Käufers, die Bank, der Betriebsarzt, der Konkurrent. In zwanzig Minuten habe ich eine vertrauliche M&A-Akte rekonstruiert, ohne eine einzige Verbindung zu entschlüsseln. Das DNS hat mir alles gegeben.

Angle de lecture

Particulier RSSI / DSI

Die übliche Falle

Alle haben verinnerlicht, dass HTTPS schützt. Das grüne Schloss, das „s” in der Adressleiste, die interne Schulung, die wiederholt „prüfen Sie, dass die Seite in HTTPS ist”: Der Reflex ist erworben. Und er ist richtig — der Inhalt Ihrer Austausche ist tatsächlich verschlüsselt zwischen Ihrem Browser und dem Server. Das Problem ist, dass dieser Reflex genau dort aufhört, wo er anfangen sollte, sich Fragen zu stellen. Niemand fragt sich, was vor der HTTPS-Verbindung passiert. Und davor steht das DNS.

Bevor Ihr Browser eine verschlüsselte Verbindung zu bank-postfach.de öffnet, muss er diesen Namen in eine IP-Adresse übersetzen. Diese Übersetzung geht in der Standardkonfiguration praktisch aller Geräte des Planeten im Klartext hinaus, auf Port 53, zum Resolver Ihres Internetanbieters oder Ihres Mobilfunkbetreibers. Keine Verschlüsselung, keine Authentifizierung, keine Vertraulichkeit. Das ist das Protokoll von 1987, und es ist 2026 noch die Voreinstellung. Der Inhalt Ihres Austauschs mit der Bank ist geschützt. Die Tatsache, dass Sie mit dieser Bank sprechen, zu welcher Uhrzeit, wie oft, von welchem Gerät: sichtbar für jeden auf dem Weg.

Der vorherrschende Diskurs über „Netzwerksicherheit” erhält dieses Loch aufrecht. Man verkauft Next-Generation-Firewalls, Web-Gateways, Verkehrsinspektionslösungen für fünfstellige Beträge, während der elementarste Leckkanal weit offen bleibt. Schlimmer: Viele dieser Geräte zwingen das DNS, im Klartext über sie zu laufen, unter dem Vorwand der „Sichtbarkeit”. Der Reflex „ich habe HTTPS, ich bin sicher” ist zu einem kollektiven blinden Fleck geworden. Das DNS ist das Glied, das niemand härtet, weil niemand es anschaut — und genau das macht es zu einem so rentablen Überwachungsvektor für jeden, der zuzuhören weiß.

Reales Bedrohungsmodell: Was das DNS verrät und wem

Denken Sie an das DNS wie an das Adressbuch des Internets. Jedes Mal, wenn ein Gerät einen Dienst erreichen will, befragt es einen Resolver: „Was ist die Adresse dieser Domain?” Diese Frage, tausendfach pro Tag und pro Gerät wiederholt, zeichnet ein Porträt von erschreckender Genauigkeit. Nicht den Inhalt — die Absicht. Und die Absicht genügt weitgehend.

Im unverschlüsselten DNS ist Folgendes für jeden lesbar, der zuhört: jede Domain, die Sie besuchen, der exakte Zeitstempel, die Häufigkeit. Das sind nicht nur die Seiten, die Sie von Hand im Browser öffnen. Ihre mobilen Apps machen permanent DNS-Anfragen — Ihr Mail-Client befragt den Server jede Minute, Ihr verschlüsselter Messenger löst seine Relay-Domain auf, Ihre vernetzten Geräte rufen ihre Cloud, Ihre automatischen Updates kontaktieren ihre Server. Das DNS verrät die Liste Ihrer Apps, Ihre Schlafgewohnheiten (die Uhrzeit der ersten Anfrage am Morgen), Ihre Arbeitsrhythmen, die von Ihnen genutzten Bank- und Gesundheitsdienste, manchmal Ihren impliziten Standort über die Wahl der regionalen Resolver und der CDN.

Wer sieht diese Daten? Drei Akteure, mindestens. Ihr Internetanbieter oder Mobilfunkbetreiber zuerst, der den Standard-Resolver betreibt — in Deutschland und in der ganzen Union werden die Verbindungsmetadaten gesetzlich gespeichert, und mehrere Provider verwerten diese Daten kommerziell oder leiten nicht existierende Domains auf ihre eigenen Werbeseiten um. Dann jeder, der im lokalen Netzwerk zuhört: das Hotel-WLAN, das Café, der Flughafen, der Konferenzsaal, dort, wo Sie nichts kontrollieren und wo Port 53 im Klartext unter der Nase aller anderen Clients läuft. Schließlich Ihr Resolver selbst, welcher auch immer es ist — einen Resolver zu wählen, heißt zu wählen, wem Sie Ihren gesamten Surfverlauf anvertrauen.

Es gibt eine Feinheit, die die Leute vergessen. Selbst wenn Sie das DNS verschlüsseln, enthält der TLS-Handshake noch die Server Name Indication (SNI) im Klartext — den Namen der Domain, sichtbar für jeden Netzwerkbeobachter. Der Mechanismus Encrypted Client Hello (ECH), standardisiert über die RFC 9460, verschlüsselt diese SNI, aber sein Rollout bleibt 2026 partiell und hängt davon ab, dass die Zielseite es serverseitig unterstützt. Anders gesagt: Das DNS zu härten ist notwendig, aber das ist nur ein Teil des Bildes. Das DNS bleibt dennoch der breiteste, systematischste und am einfachsten zu stopfende Leckvektor.

Ein weiterer Punkt, den ich im Audit hämmern muss, weil er ständig wiederkommt: Das DNS im Klartext ist nicht nur ein Vertraulichkeitsproblem, es ist auch ein Integritätsproblem. Auf dem nicht authentifizierten Port 53 kann jeder Akteur auf dem Netzwerkweg an Ihrer Stelle antworten — das ist das DNS-Spoofing. Sie fragen nach der Adresse Ihrer Bank, ein Angreifer im Hotel-WLAN antwortet mit der IP seines Phishing-Servers, und Ihr Browser geht brav zu ihm. HTTPS und die Zertifikatsvalidierung fangen einen Teil des Schlags auf (die gefälschte Seite wird nicht das richtige Zertifikat haben), aber nicht immer, und nicht bei den zahlreichen Datenströmen, die das Zertifikat nicht strikt validieren. Das DNS zu verschlüsseln und zu authentifizieren schließt diese Tür zugleich mit dem Abhören. Zwei Probleme, eine einzige Maßnahme.

Und man muss sich von der Idee lösen, dass „mich betrifft das nicht, ich habe nichts zu verbergen”. Das reale Bedrohungsmodell ist nicht „jemand liest meine Google-Suchen”. Es ist ein Aggregat: Ihr Betreiber verkauft ein Verhaltensprofil, ein Datenhändler kreuzt es mit anderen Quellen, ein Versicherer oder ein potenzieller Arbeitgeber kauft es, ein Staat fordert es an, oder ein gezielter Angreifer rekonstruiert Ihre Gewohnheiten, um ein glaubwürdiges Spear-Phishing vorzubereiten. Die isolierte DNS-Anfrage ist harmlos. Der komplette DNS-Strom über sechs Monate ist eine Akte.

Der richtige Ansatz: Do53, DoT, DoH und der richtige Resolver

Der Wechsel ist einer der rentabelsten der gesamten operativen Sicherheit: wenig Aufwand, sofortige Wirkung, in den meisten Fällen kostenlos. Aber man muss die drei Modi verstehen, um nicht den falschen Kampf zu führen.

Do53 — das klassische DNS, Port 53, im Klartext. Das ist die Voreinstellung auf all Ihren Geräten. Keine Verschlüsselung, keine Authentifizierung der Antwort. Ihr Resolver sieht Ihre Anfragen im Klartext, und jedes Gerät auf dem Netzwerkweg ebenso. Das ist es, was Sie verlassen wollen.

DoT — DNS over TLS, Port 853. Die Anfragen sind in einem dedizierten TLS-Tunnel verschlüsselt, definiert durch die RFC 7858. Niemand kann sie mehr im Transit lesen. Der Nachteil: Der Port 853 ist als „verschlüsselter DNS-Verkehr” identifizierbar. Ein feindliches Netzwerkgerät kann ihn blockieren, was manche Systeme zwingt, im Klartext auf Port 53 zurückzufallen. Das ist der native und sauberste Modus auf Mobilgeräten (das „private DNS” von Android), weil er für das gesamte System gilt.

DoH — DNS over HTTPS, Port 443. Die Anfragen sind in Standard-HTTPS-Verkehr gekapselt, gemäß der RFC 8484. Doppelter Vorteil: die Verschlüsselung und vor allem die Ununterscheidbarkeit — Ihre DNS-Anfragen sehen aus wie jede beliebige Web-Verbindung. DoH zu blockieren, ohne den gesamten HTTPS-Verkehr zu zerstören, ist extrem schwierig, was es zur Waffe der Wahl gegen aktive Netzwerküberwachung macht. Das ist der bevorzugte Modus im Browser und in Kontexten, in denen das lokale Netzwerk feindlich ist.

Verwechseln Sie das alles nicht mit DNSSEC, das in der Diskussion oft wiederkommt. DNSSEC signiert kryptografisch die DNS-Antworten — es garantiert die Integrität (die Antwort wurde unterwegs nicht gefälscht), verschlüsselt aber nichts. DNSSEC und DoH/DoT sind komplementär, keine Konkurrenten: Das eine schützt vor Fälschung, die anderen vor Abhören.

Ist der Modus einmal gewählt, bleibt die wahre Entscheidung: der Resolver. Das ist die Instanz, die die echten Anfragen für Sie macht, also die, die alles sieht. Ihn zu wechseln ist die wirkungsvollste Aktion für den geringsten Aufwand.

Quad9 (9.9.9.9) — betrieben von einer gemeinnützigen Schweizer Stiftung, dokumentierte No-Log-Richtlinie, Filterung bösartiger Domains standardmäßig aktiv (aggregierte Bedrohungsdatenbank), Unterstützung von DoH und DoT. Meine Standardwahl für jeden, der Sicherheit ohne Konfiguration will. Wenn ich jemandem, der nichts einstellen will, einen einzigen Resolver empfehlen müsste, dann diesen.
Mullvad DNS — auf reine Vertraulichkeit ausgerichtet. Wenn Sie bereits Mullvad VPN nutzen, läuft das DNS durch den Tunnel. Mullvad bietet auch öffentliche Resolver an, die allein nutzbar sind, mit Varianten, die Werbung und Tracking filtern. Keine Sicherheitsfilterung standardmäßig: Wahl der Privatsphäre, nicht der Sicherheit.
NextDNS — der konfigurierbare. Sie erstellen ein Profil: Blockieren von Werbung, Tracking, Malware, Kategorien. Logs optional — aktivierbar, um Ihren Verkehr zu auditieren, vollständig deaktivierbar. Freemium: 300.000 Anfragen/Monat kostenlos, dann etwa 2 €/Monat. Hervorragend für Familien und KMU, die beherrschte Sichtbarkeit wollen.
Cloudflare (1.1.1.1) — der schnellste bei der Latenz, teilweise auditierter No-Log-Anspruch. Vorbehalt: Cloudflare ist ein US-amerikanischer Megakonzern, der bereits einen massiven Bruchteil des Webs hostet. Ihre Sichtbarkeit auf die Datenströme ist kolossal. Akzeptabel für die breite Öffentlichkeit, weniger für jeden, der die Risikokonzentration bei einem einzigen, dem US-Recht unterworfenen Akteur vermeiden will.
Provider standardmäßig — zu meiden. Kommerzielles Profiling, Werbeumleitungen, gesetzliche Speicherung. Das ist genau der Resolver, den Sie verlassen wollen.
Self-Hosted (Unbound + Pi-hole) — vollständige Kontrolle. Unbound löst rekursiv direkt bei den Root-Servern auf, ohne Dritte. Pi-hole filtert Werbung und Tracking lokal für das gesamte Netzwerk. Sie tragen die Wartung, und es folgt Ihnen nicht in die Mobilität (außer per Rück-VPN). Die richtige Wahl für das gehärtete Zuhause, nicht für die Reise.

Ein Wort zum Self-Hosting, denn dort machen sich die Leute am meisten Illusionen. Pi-hole ist ein lokaler Resolver, der Blockierlisten konsultiert: Wenn ein Gerät die IP von doubleclick.net oder einer Telemetrie-Domain anfragt, antwortet Pi-hole „NXDOMAIN”, und die Verbindung kommt nie zustande. Das ist mächtig — es blockiert Werbung und Tracking auf Netzwerkebene für alle Geräte, einschließlich des SmartTV, der Konsole und der vernetzten Geräte, die man nicht einzeln konfigurieren kann, und es gibt Ihnen vollständige Sichtbarkeit darauf, was jedes Gerät anruft. Aber Pi-hole allein verschlüsselt nichts. Alles, was es nicht blockiert, geht im Klartext zu Ihrem Internetanbieter. Die Kombination, die hält, ist Pi-hole für die Filterung, Unbound dahinter für die direkte rekursive Auflösung und ein verschlüsselter Upstream (DoT) für die Anfragen, die trotzdem hinausgehen. Komplexer aufzusetzen, aber es ist der einzige Aufbau, der Ihnen zugleich Filterung, Vertraulichkeit und Kontrolle gibt. Und behalten Sie im Kopf, dass manche Apps mit fest einprogrammiertem DoH (Firefox, bestimmte Google-Dienste) Pi-hole schlicht umgehen — die Netzwerkfilterung hat ihre Grenzen gegenüber Anwendungen, die über ihren eigenen Resolver entscheiden.

Was das konkret bedeutet

Angle de lecture

Particulier RSSI / DSI

Für Sie als Privatperson

Ihr Surfverlauf ist für Ihren Betreiber öffentlich, solange Sie Ihr DNS nicht gehärtet haben. Das ist keine abstrakte Bedrohung: Es ist eine Information, die existiert, die gespeichert wird und die Sie dieses Wochenende in zehn Minuten kappen können, ohne etwas zu zahlen. Hier die Prioritätenreihenfolge.

Aktivieren Sie DoH in Ihrem Hauptbrowser — jetzt, 2 Minuten. In Firefox: Einstellungen > Datenschutz und Sicherheit > DNS über HTTPS > „Maximaler Schutz”, Resolver NextDNS oder benutzerdefiniert Quad9. In Chrome/Edge: Einstellungen > Datenschutz > Sicherheit > „Sicheres DNS verwenden”. Das ist partiell (nur Browser), aber es ist die sofortige Geste, die das Wesentliche Ihres sichtbaren Surfens abdeckt.
Konfigurieren Sie das DNS auf Systemebene auf Ihrem Telefon — 5 Minuten. Auf iOS 14+: Installieren Sie das von der App NextDNS oder Cloudflare generierte Konfigurationsprofil (Einstellungen > DNS-Profil), der gesamte Verkehr des Telefons läuft dann in DoH/DoT, nicht nur Safari. Auf Android 9+: Einstellungen > Netzwerk und Internet > Privates DNS > geben Sie dns.quad9.net ein (oder Ihre Kennung xxxxxx.dns.nextdns.io). Das ist nativ, kostenlos, und es deckt alle Ihre Apps ab.
Prüfen Sie, dann denken Sie an die Reise. Gehen Sie auf dnsleaktest.com(opens in a new tab) und bestätigen Sie, dass die Anfragen zu Quad9 oder NextDNS hinausgehen, nicht zu Ihrem Internetanbieter. Denken Sie daran: Eine zu Hause gemachte Konfiguration folgt Ihnen nicht automatisch. Im öffentlichen WLAN eines Hotels oder in 4G im Ausland hält nur das auf Systemebene konfigurierte DNS. Das iOS-Profil und das private Android-DNS reisen mit Ihnen.

Gesamtkosten: null Euro. Wenn Sie den Komfort eines bezahlten NextDNS-Profils mit Statistiken und erweitertem Blockieren wollen, rechnen Sie mit etwa 2 €/Monat. Sie sind weit unter 200 €, und Sie haben gerade den einfachsten Überwachungskanal geschlossen, der existiert.

Für Sie als CISO / IT-Leitung / Geschäftsführung

In einem Enterprise-Deployment ist das DNS nicht nur ein zu stopfender Leckvektor — es ist oft der einzige Sichtbarkeitskanal, der Ihnen über den Netzwerkverkehr außerhalb des Perimeters bleibt. Wenn HTTPS alles verschlüsselt und Ihre Mitarbeitenden im Homeoffice sind, ist das DNS der einzige Ort, an dem Sie noch sehen, welche Domain aufgerufen wird. Es korrekt zu behandeln löst zwei Probleme zugleich: die Vertraulichkeit Ihrer Mitarbeitenden und Ihre Erkennung.

1. Das interne DNS mit Logging ist das billigste Erkennungssignal Ihres Arsenals. Ein zentralisierter Resolver, der protokolliert (Cisco Umbrella, NextDNS for Business, Infoblox), fängt die Command-and-Control-Domains, die Exfiltrationen per DNS-Tunneling, die Kontakte zu bekannten bösartigen Infrastrukturen ab. Direkte Konsequenz: Für ein paar tausend Euro im Jahr erhalten Sie ein Signal, das Ihr sechsstelliges EDR nicht immer sieht — und Sie hängen es in einem Tag an Ihr SIEM.

2. Das nicht beherrschte DoH auf den Endgeräten ist ein Verlust an Sichtbarkeit, kein Sicherheitsgewinn. Wenn Firefox oder eine App ihr eigenes DoH zu einem fest einprogrammierten externen Resolver aktiviert, umgeht sie Ihren Unternehmens-Resolver — und damit Ihre Protokollierung und Ihre Filterung. Direkte Konsequenz: Deaktivieren Sie das anwendungsseitige DoH per GPO/MDM und erzwingen Sie den Unternehmens-Resolver als einzigen Verschlüsselungspunkt, in DoH oder DoT zu Ihrem Endpunkt, nicht direkt zu Cloudflare.

3. Die Abdeckung muss auf Netzwerk- und Endgeräteebene erfolgen, nicht im Browser. Eine DNS-Härtung, die nur in Chrome hält, lässt den Mail-Client, die Systemdienste und die Fachanwendungen im Klartext. Direkte Konsequenz: Schieben Sie die Konfiguration per MDM auf die Mobilflotte aus, per GPO auf den Windows-Bestand und auf Router-/Firewall-Ebene für das Netzwerk der Zentrale. Der Browser allein deckt nur einen Bruchteil des realen Verkehrs ab.

Fehler, die man ständig sieht

DoH nur im Browser konfigurieren. Konstruktionsbedingt partiell. Der Mail-Client, die mobilen Apps, die Systemdienste und die vernetzten Geräte machen weiter mit dem Standard-Resolver im Klartext. Man hakt ein Kästchen an und glaubt sich für 100 % des Verkehrs gedeckt, während man einen Bruchteil davon abdeckt.
Glauben, dass Pi-hole die Anfragen verschlüsselt. Pi-hole filtert, es verschlüsselt nicht. Ohne konfigurierten DoH- oder DoT-Upstream geht alles, was Pi-hole nicht blockiert — also die große Mehrheit — im Klartext zu Ihrem Internetanbieter. Pi-hole ohne verschlüsselten Upstream ist Werbefilterung, keine Vertraulichkeit.
Das DNS auf Reisen vergessen. Eine zu Hause gesetzte DoH-Konfiguration gilt nicht in 4G oder im Hotel-WLAN, wenn sie nur im Browser lebt. Im Ausland übernimmt der Resolver des lokalen Betreibers wieder das Ruder. Nur das DNS auf Systemebene (iOS-Profil, privates Android-DNS) reist mit Ihnen.
Den Provider als Resolver lassen, „weil es funktioniert”. Es funktioniert, ja, und genau das ist das Problem: Es funktioniert, während es Ihr komplettes Surfen einem Akteur preisgibt, der es speichert und kommerziell verwertet.
Niemals testen. Viele glauben, in DoH zu sein, und lecken in Wirklichkeit zum Resolver des Providers. dnsleaktest.com(opens in a new tab) und ipleak.net(opens in a new tab) entscheiden die Frage in zehn Sekunden. Eine nicht überprüfte DNS-Konfiguration ist eine Hypothese, kein Schutz.

Umsetzbare Checkliste

N1 DoH oder DoT auf Systemebene auf allen Geräten aktivieren, nicht nur im Browser
N1 Quad9 (9.9.9.9) für die Sicherheit wählen, oder Mullvad/NextDNS je nach Bedarf an Vertraulichkeit oder Sichtbarkeit
N1 Nach jeder Änderung das Fehlen eines DNS-Lecks mit dnsleaktest.com prüfen
N2 Auf iOS 14+: das DNS-Profil NextDNS oder Cloudflare installieren (Einstellungen > DNS-Profil)
N2 Auf Android 9+: das private DNS (DoT) aktivieren in Einstellungen > Netzwerk und Internet
N2 Prüfen, dass das DNS auf Reisen auf Systemebene hält, nicht nur im Browser
N2 Zu Hause: Pi-hole für die Filterung + Unbound in rekursiver Auflösung + verschlüsselter Upstream
N3 Im Unternehmen: interner DNS-Resolver mit Logging (Umbrella, NextDNS Business, Infoblox) ans SIEM angebunden
N3 Im Unternehmen: das wilde anwendungsseitige DoH per GPO/MDM deaktivieren, den beherrschten Resolver als einzigen Verschlüsselungspunkt erzwingen
N3 Den Anteil der über den beherrschten Resolver laufenden Anfragen (> 98 %) und die Erkennungszeit bösartiger Domains verfolgen

Zum Weiterlesen

Die normativen Referenzen stehen im Frontmatter: Die RFC 8484 spezifiziert DoH, die RFC 7858 spezifiziert DoT, und die RFC 9460 beschreibt die SNI-Verschlüsselung über ECH, die das Bild vervollständigt. Auf der Resolver-Seite detaillieren die Datenschutzrichtlinien von Quad9 und NextDNS genau, was protokolliert wird — lesen Sie sie, bevor Sie Ihren Verlauf irgendjemandem anvertrauen. Das BSI dokumentiert seinerseits die Empfehlungen zur DNS-Sicherheit und zur sicheren Namensauflösung im behördlichen Kontext.

Das DNS ist nur ein Teil der Netzwerk-Härtung. Um zu verstehen, was ein VPN wirklich schützt und was es nicht berührt — einschließlich der Falle des DNS-Lecks außerhalb des Tunnels —, siehe VPN: 95 % des Marketings sind gelogen. Für die nicht beherrschten Netzwerke, in denen das DNS im Klartext am stärksten exponiert ist, lesen Sie Öffentliches WLAN: das reale Risiko. Und um diese Härtung auf Ebene des Betriebssystems statt Anwendung für Anwendung anzuwenden, siehe Sein OS härten.

Quellen und weiterführende Literatur

RFC 8484 — DNS Queries over HTTPS (DoH) [rfc]
RFC 7858 — Specification for DNS over TLS (DoT) [rfc]
RFC 9460 — SVCB and HTTPS Resource Records (ECH) [rfc]
Quad9 — Privacy policy [official]
NextDNS — Privacy policy [official]
Mozilla — DNS over HTTPS (Trusted Recursive Resolver) [official]
BSI — DNS-Sicherheit und sichere Namensauflösung [official]