Zuschlag der EU-Kommission geht an ein europäisches Konsortium unter tschechischer Führung. Kritisch gesehen werden die in der Ausschreibung enthaltenen Filtervorgaben.
Im IKT-Sektor unabhängiger von den Tech-Riesen aus den USA zu werden, hat sich die EU-Kommission schon seit Längerem auf die Fahnen geschrieben: Digitale Souveränität heißt das Zauberwort. Dies manifestiert sich nicht nur in Initiativen wie der EU-Cloud GAIA-X, sondern auch in den Bestrebungen zur Etablierung eines unabhängigen, rekursiven DNS-Resolver-Dienstes als europäische Alternative zu offenen Resolvern von Anbietern wie Google oder Cloudflare, für den die Kommission Anfang 2022 eine Ausschreibung unter dem Projektnamen DNS4EU lancierte.
Kurz vor Weihnachten wurde dann bekannt, dass ein Konsortium unter der Führung des tschechischen Unternehmens Whalebone künftig die vollständig in der EU angesiedelte, über mehrere Länder verteilte öffentliche Resolver-Infrastruktur betreiben wird.
13 Konsortialpartner aus 10 Mitgliedstaaten
Bei Whalebone handelt es sich um einen Anbieter für IT-Sicherheitsprodukte mit Erfahrung im Betrieb der von der EU geforderten Infrastruktur – unter anderem einem „protective DNS resolver for ISP cybersecurity“. Insgesamt gehören dem Konsortium 13 Sicherheitsanbieter aus 10 Ländern an, darunter der Betreiber des tschechischen Forschungsnetzes CESNET, die Technische Universität Prag und die DNS-Registry CZ.NIC, die mit dem Knot-Resolver und -Server seit vielen Jahren eigene quelloffene DNS-Software entwickelt und anbietet. Aus Deutschland ist der DNSSEC-Spezialist deSEC eingebunden, aus Finnland der Viren- und Malwareexperte F-Secure. Die übrigen Partner sind das bulgarische Ministerium für Digitale Verwaltung, die rumänische IT-Sicherheitsdirektion sowie die Länder-CERTs von Portugal, Polen und Ungarn. Spezialwissen sollen offenbar die belgische, auf Innovationsrecht spezialisierte Kanzlei Time.Lex und die Forschungsabteilung des italienischen Bankenvereins Abi Lab beisteuern.
Welche Rolle die einzelnen Partner bei der Umsetzung des Projekts spielen werden, ist noch nicht im Detail bekannt. CZ.NIC erklärte aber, in erster Linie seine Software-Suite Knot beizutragen; eine Beteiligung am operativen Betrieb sei nicht geplant.
Rahmenbedingungen und Ziele
Zielmarke ist es, mit DNS4EU 100 Millionen Nutzer zu erreichen. Die direkte Verbindung von DNS4EU mit der DNS-Infrastruktur von Telekommunikationsunternehmen und ISPs soll es diesen ermöglichen, den Betrieb der eigenen Resolver quasi an das Konsortium „auszulagern“. Im Kontext der EU-Cybersicherheitsstrategie wird den Konsortialpartnern für den Aufbau des Resolverdienstes eine Anschubfinanzierung von insgesamt 13 Millionen Euro bereitgestellt.
In einer virtuellen Pressekonferenz im Januar gab die Whalebone-Geschäftsführung weitere Einzelheiten zum Geschäftsmodell und zur geplanten Implementierung von DNS4EU bekannt. Der Livegang des Dienstes ist für 2026 anvisiert.
Bedenken
Skeptiker monieren die Filtervorgaben, die Bestandteil der Ausschreibung des Resolverdienstes waren und etwa Phishing oder Malware-Angriffe auf Ebene des DNS verhindern sollen, beispielsweise auf Grundlage der Informationen einzelner CERTs. Demnach verpflichten sich die Betreiber zum „Filtern von URLs, die zu illegalen Inhalten führen, basierend auf gesetzlichen Anforderungen, die in der EU oder in nationalen Gerichtsbarkeiten (z. B. basierend auf Gerichtsbeschlüssen) gelten, unter vollständiger Einhaltung der EU-Vorschriften". Auch DENIC sieht – wie viele andere europäische ccTLD-Betreiber – die vorgegebenen Filterregeln kritisch.
Nicht zuletzt wegen dieser Bedenken wurde von der RIPE-Community im Dezember eine Taskforce aufgesetzt, die Prinzipien für den Betrieb eines öffentlichen Resolvers entwickeln soll. Einen ersten Diskussionsentwurf will die Taskforce im 1. Quartal 2023 vorstellen, einen finalen Entwurf vor dem nächsten RIPE-Meeting im Mai.
