Oberstes Gebot des Datenschutzes ist die Datensparsamkeit. Daten, die nicht erhoben werden, müssen auch nicht geschützt werden. Wer diesen Grundsatz beherzigt, erspart sich viele Folgeprobleme. Auf keinen Fall sollte man sich von blumigen Werbeversprechen blenden lassen, die statt zu mehr Datenschutz nur zu größeren Datenbergen führen. Dann ist die gewonnene Mehrheit durch neue Schutzmaßnahmen schnell wieder verloren.
Mein jüngstes Beispiel ist NextDNS. In meinem Artikel über Tracking-Blocker für Android tauchte der Dienst als Kommentar auf. Eine kleine Recherche hat mir gezeigt, dass der Dienst oft als Frage oder Hinweis unter entsprechenden Artikeln auftaucht. Ich möchte das hier nicht bewerten.
Die Seite ist professionell gestaltet und wirbt mit vielen interessanten Funktionen. Im Kern geht es bei NextDNS darum, den Internetverkehr der Endgeräte zu filtern. Das ist heute zum Schutz vor Tracking und ausufernder Werbung unerlässlich, kann aber natürlich auch für “Parental Control” und andere Dinge genutzt werden. Da die Datenfilterung nicht lokal auf dem Gerät, sondern über den entfernten DNS-Resolver erfolgt, muss der Nutzer dem Anbieter vertrauen. In dieser Hinsicht konkurriert NextDNS mit anderen Produkten wie Rethink DNS oder auch VPN-Anbietern wie Mullvad.
Deshalb wollte ich mir ein Bild vom Anbieter machen. Ein Impressum fehlt ebenso wie ein Hinweis auf den Dienstanbieter. Die Twitter-Links im unteren Bereich führen zu einer Login-Maske über X/Twitter. Über Umwege lassen sich im zugehörigen GitHub-Account zwei Entwickler zuordnen, die als Wohnort Paris angeben. Der Sitz von NextDNS ist also vermutlich Frankreich. Die Domain NextDNS.io ist laut Whois über Cloudflare registriert und auch die IP der Seite wird über Cloudflare betrieben. Zugegeben, ich habe nur ein paar Minuten investiert, aber mehr kann man von einem interessierten Nutzer eines (kostenpflichtigen) Angebots, dem er vertrauen will und soll, auch nicht erwarten.
Im Gegensatz zu anderen Produkten ist NextDNS als Cloud-Dienst konzipiert. Für die Nutzung ist eine Registrierung mit E-Mail und Passwort erforderlich. Dieser dient nicht nur dem optionalen Erwerb eines Premium-Zugangs, sondern auch der Verwaltung von Profilen und der Steuerung von Einstellungen. Die Geräte werden über die App und/oder über eine entsprechende DNS-Konfiguration mit NextDNS verbunden. In den Einstellungen des Gerätes, z.B. des Android-Smartphones, wird nach der Installation ein DNS-Server hinzugefügt. Dies funktioniert aber auch für Desktop-Systeme, indem entsprechende Konfigurationen z.B. bei Linux für systemd-revolved hinterlegt werden. Die IP-Auflösungen laufen dann über den NextDNS DNS-Server, der mit entsprechenden Filtern und Blocklösungen ausgestattet werden kann. Das ist sehr schön und einfach zu konfigurieren.
Der Accountzwang und die Cloudfunktionen sind für mich nicht das größte Problem. Auch bei Mullvad brauche ich einen für die Zahlungsabwicklung. Was mich bei NextDNS wirklich stört, sind zwei Punkte. Erstens ist die Protokollierung des Datenverkehrs standardmäßig aktiviert. Dieses Protokoll wird nicht lokal auf dem Gerät gespeichert, sondern bei NextDNS selbst und kann z.B. im Browser eingesehen werden. Als Speicherort ist standardmäßig ein US-amerikanischer Server hinterlegt. Bei Bedarf kann auf einen EU-Server oder einen Schweizer Server umgeschaltet werden und unterliegt dann den dortigen Datenschutzbestimmungen. Die Protokollierung kann auch ganz ausgeschaltet werden. Dann wird (hoffentlich) nichts im Hintergrund gespeichert. Wie bei allen Dienstleistern ist man hier auf Treu und Glauben angewiesen. Die Datenschutzerklärung ist eher schmal und nicht so aussagekräftig.
Der Mehrwert durch die Möglichkeit, den Netzwerkverkehr zu filtern und damit unerwünschte Tracker oder Verbreiter von Malware auszusperren, ist unbestritten. Dies wird aber meiner Meinung nach durch die zentrale Accountbindung mit Speicherung des gesamten Netzwerkverkehrs als Standardeinstellung konterkariert. Ausgerechnet auf einem US-Server. Damit bindet der Nutzer faktisch die DNS-Protokolle aller Geräte an einen Account, der wiederum in der Regel mit Bezahldaten personalisiert und auf einem Server außerhalb seiner Reichweite gespeichert wird. Konfiguriert der Anwender hier nichts, speichert er seinen kompletten DNS-Resolver-Verlauf in den USA. Damit wird ein immanenter Grundsatz des Datenschutzes verletzt, nämlich die Datensparsamkeit. Während der Nutzer auf diese Weise seine Datenspur gegenüber den Trackerbetreibern verkürzt, schafft er gleichzeitig einen riesigen neuen Datenpool.
Ich sehe den Mehrwert des Dienstes einfach nicht. Es gibt verschiedene Arten von Apps. Alle haben Vor- und Nachteile:
- Es gibt lokale Filteranwendungen, die den Datenverkehr auf dem Gerät über ein virtuelles VPN filtern oder im System hinterlegt sind. Eine lokale Datenverarbeitung ist immer vorteilhaft, da die Daten nicht in fremde Hände gelangen. Sie kann jedoch den Akkuverbrauch erhöhen und zu Leistungseinbußen führen.
- Es gibt DNS-Resolver mit hinterlegten Sperrlisten. Hier muss der Nutzer zwar dem Anbieter des DNS-Resolvers vertrauen, hinterlegt aber in der Regel keine personenbezogenen Zahlungsdaten, da die meisten dieser DNS-Resolver von Freiwilligen oder Projekten getragen werden.
- Als letzte Möglichkeit gibt es VPN-Anbieter. Diese halten meines Erachtens oft nicht, was sie versprechen, haben aber den technischen Vorteil, dass der gesamte Datenverkehr wirklich getunnelt wird. Das kann bei offenen Netzen ein Sicherheitsvorteil sein oder um Geo-Blocking zu umgehen. Auch bei VPN-Anbietern muss man dem Anbieter vertrauen, hier gibt es aber seriöse und geprüfte Anbieter wie Mullvad mit Firmenadresse.
Ich weiß nicht, welche Lücke NextDNS hier schließen will. Sollte ich etwas übersehen haben, freue ich mich wie immer über Kommentare.
Sofern ich es richtig verstanden habe ist NextDNS so etwas wie Pi-hole, nur eben in der Cloud.
Die Vorteile sind, aus meiner Sicht, dass es sich auch für Nicht-IT-Experten leicht einrichten (einfach am Computer oder Smartphone den DNS ändern) und konfigurieren lässt, die Oberfläche ist übersichtlich und hübsch, außerdem benötige ich dafür keinen eigenen Server, spare also Hardwarekosten und Strom.
Der Nachteil ist sicher, dass ich dem Anbieter vertrauen muss, z.B. dass er die Protokollierung wirklich abschaltet.
Zahlungsdaten müssen erst bei einem kostenpflichtigen Account angeben werden, bei einem kostenfreien Account nicht. Der kostenfreie Account enthält 300.000 Abfragen pro Monat.
Im Firefox lässt sich NextDNS im Bereich DNS-over-HTTPS als Alternative zu Cloudflare auswählen (auch ohne Account). Daraus schließe ich, dass zumindest Mozilla dem Anbieter vertraut. Das macht ihn auch für mich glaubwürdiger.
Laut eigener Website wurde der Dienst von zwei Franzosen (Romain Cointepas und Olivier Poitrey) 2019 in den USA gegründet: https://help.nextdns.io/t/y4hmv0n/who-is-behind-nextdns
Letzlich steht und fällt alles damit, ob ich dem Anbieter vertraue… wie bei beinahe jedem Dienst;)
Ein Pi-Hole funktioniert per default erst mal nur im eigenen (Heim)Netzwerk. NextDNS kann aus allen öffentlichen Netzwerken funktionieren.
Ich kenne keine DNS Funktionalität auf Endgeräten, in der man sagen kann “versuche erst DNS01 und wenn der nicht funktioniert dann DNS02”. Damit wird das heimische Pi-Hole nicht verwendet, wenn NextDNS eingerichtet ist.
Nur als Hinweis.
DNS1 und DNS2 kann man schon nutzen, wenn auch nicht direkt. Ich verwende zuhause Pi-Hole und WireGuard VPN. Ist VPN aktiv, nutze ich den Pi-Hole als DNS, ist VPN nicht aktiv, nutze ich den vom Provider zugewiesenen DNS.
Zusätzlich zu Pi-Hole nutze ich zuhause auch unbound, somit extrem Datensparsam und zielgerichtet. Also kein Drittanbieter DNS in der Schlange, der filtert oder zensiert.
Ich nutze WireGuard VPN immer außerhalb meiner WLAN-SSID.