DNS-Anbieter Quad9 bezeichnet Anordnung zur Piraterie-Sperre als „existenzielle Bedrohung“

 (torrentfreak.com)
4 Punkte von GN⁺ 2025-11-12 | 1 Kommentare | Auf WhatsApp teilen
  • Der Schweizer Non-Profit-DNS-Resolver Quad9 warnt, dass eine französische gerichtliche Anordnung zur Sperrung illegaler Streaming-Seiten den Fortbestand des Dienstes selbst bedroht
  • Während große Unternehmen wie Google, Cloudflare und Cisco die rechtlichen und technischen Kosten tragen können, ist dieselbe Belastung für kleine Non-Profit-Organisationen kaum zu stemmen
  • Quad9 erklärt, wegen fehlender finanzieller Mittel entschieden zu haben, im jüngsten Verfahren vor einem französischen Gericht nicht persönlich zu erscheinen, und die Sperranordnung daher weltweit anwenden zu müssen
  • Da Rechteinhaber die Verantwortung auf neutrale Infrastrukturanbieter (ISP, VPN, DNS) abwälzen, wird die grundlegende Struktur des Internets (plumbing) selbst beschädigt
  • Es besteht die Gefahr, dass dieser rechtliche Druck Offenheit, Privatsphäre und Dezentralität des Internets schwächt und am Ende zu einer Zentralisierung rund um wenige Großkonzerne führt

Piraterie-Sperranordnungen und die Krise von Quad9

  • Der in der Schweiz ansässige Non-Profit-DNS-Resolver Quad9 erklärte kürzlich in einem Blogbeitrag, dass Anordnungen zur Sperrung von Piraterie-Seiten für den eigenen Dienst zu einer „existentiellen Bedrohung“ würden
    • Große Technologieunternehmen könnten Rechts- und Engineering-Kosten als Teil ihrer Betriebsausgaben auffangen, kleine Non-Profits könnten sich ein gleichwertiges Vorgehen jedoch nicht leisten
  • Quad9 gab an, im Verfahren vor dem französischen Gericht aus finanziellen Gründen auf eine eigene Verteidigung verzichtet zu haben, was zu der Situation führte, die Sperranordnung auf globaler Ebene umzusetzen
  • Auslöser war eine Anordnung des Pariser Gerichts vom Mai 2024 gegen Google, Cloudflare und Cisco, den Zugang zu mehreren illegalen Sport-Streaming-Seiten zu blockieren
    • Danach stellten weitere Rechteinhaber wie DAZN und beIN ähnliche Anträge, wodurch auch mehr DNS-Anbieter wie Quad9 und Vercel ins Visier gerieten

„Die Rohrleitungen des Internets werden zerstört“

  • Quad9 kritisiert, dass Rechteinhaber nicht direkt gegen die eigentlichen Rechtsverletzer vorgehen, sondern die Verantwortung auf ISP-, VPN- und DNS-Anbieter als neutrale Infrastrukturbetreiber verlagern
    • Solche Maßnahmen treffen Anbieter der Kerninfrastruktur des Internets unmittelbar
  • Quad9 formuliert es so: Nicht Plattformen, die von der Rechtsverletzung profitierten, sondern neutrale Infrastrukturanbieter, die das Internet funktionsfähig machten, würden angegriffen
  • Nach den französischen Sperrmaßnahmen habe Cisco den Rückzug aus dem französischen Markt beschlossen, was bereits konkrete Auswirkungen zeige
  • Google und Cloudflare könnten Sperren technisch auf Frankreich beschränken, Quad9 konnte das jedoch nicht umsetzen und musste die Sperre weltweit anwenden

Die Position des französischen Gerichts und die Fragen von Quad9

  • Das französische Gericht hielt solche Sperranordnungen für gerechtfertigt; einige Berufungen laufen zwar noch, doch es gibt keine Anzeichen für eine Aufhebung
  • Quad9 fordert deshalb eine grundlegende Debatte über Basisprinzipien des Internets und den Umfang von Verantwortung und stellt mehrere Fragen
    • „Muss neutrale technische Infrastruktur für das Handeln anderer haften?“
    • „Wie weit können nationale Gerichte ihre Gesetze auf globale Netzwerke anwenden?“
    • „Können kleine Non-Profit-Organisationen rechtliche Pflichten tragen, die faktisch von globalen Konzernen ausgehen?“
    • „Was geschieht mit Privatsphäre und Resilienz, wenn nur wenige Großunternehmen rechtliche Verpflichtungen erfüllen können?“
    • „Ab welchem Punkt wird rechtliche Compliance zu faktischer Zensur?“

Nach dem deutschen Verfahren flammt die Bedrohung erneut auf

  • Quad9 hatte in der Vergangenheit einen mehrjährigen Rechtsstreit in Deutschland gegen Sony gewonnen, sieht sich durch den aktuellen Fall in Frankreich nun aber erneut in seiner Existenz bedroht
  • Quad9 warnt, dass solche Sperrverfahren Offenheit, Privatsphäre und Dezentralität des Internets schwächen und letztlich zu einem zentralisierten Internet führen könnten, das von wenigen Großkonzernen dominiert wird, die die rechtlichen Kosten tragen können

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-12
Hacker-News-Kommentare

  • Ich habe die Mitteilung gesehen, dass Ciscos OpenDNS in Frankreich und Portugal per Gerichtsbeschluss gesperrt wurde und später in Portugal wiederhergestellt wurde
    Es ist großartig, dass Quad9 gegen Zensur kämpfen will, aber vermutlich werden auch sie die französischen Anfragen blockieren müssen
    Vielleicht wäre es besser, Nutzer auf eine Weiterleitungsseite zu schicken, die die Lage erklärt und Kontaktinformationen der zuständigen Regierungsstellen enthält

    • Laut dem Artikel verfügen Google und Cloudflare über Geofencing, mit dem die Sperre nur innerhalb Frankreichs angewendet werden kann, Quad9 jedoch nicht und hat daher die Sperre weltweit angewendet
      Ich frage mich, wie hoch die Kosten und die Komplexität wären, wenn ein öffentlicher DNS-Resolver ein solches Geofencing implementieren wollte
    • Ein ganzes Land zu blockieren, könnte am Ende tatsächlich zu einer existenziellen Bedrohung werden

  • Beim Debuggen eines Login-Problems auf einer Bank-Website habe ich festgestellt, dass Quad9-DNS im Unterschied zu Google oder Cloudflare nur einen Teil der A-Records zurückgibt
    Beim Test mit dem dig-Befehl liefern Google und Cloudflare 6 IPs, Quad9 aber nur 1
    Ich frage mich, ob das nur ein Unterschied beim geografischen Routing ist oder ob es einen anderen Grund gibt

    • Ich hatte Quad9 zu Hause ebenfalls als Standard-DNS im Einsatz, aber seit etwa 11 Tagen gingen überhaupt keine Queries mehr raus, daher habe ich einen IP-Block vermutet. Inzwischen nutze ich stattdessen Quad1
    • Ich habe gesehen, dass alle drei DNS-Resolver nur eine einzige IP zurückgeben. Google nutzt EDNS0 client subnet für Geo-Targeting auf Basis der Client-IP
      Das lässt sich mit dem Befehl dig -t txt o-o.myaddr.l.google.com @8.8.8.8 prüfen
    • Ich wollte Quad9 mögen, bin aber wegen der im Nordosten viel zu häufigen SERVFAIL-Fehler wieder zu Cloudflare zurückgekehrt
    • Google verwendet EDNS und Load-Balancing und ist daher für solche Tests ungeeignet. Es wäre besser, mit einer Domain mit mehreren statischen IPs erneut zu testen
    • Interessanterweise habe ich bei allen drei DNS-Resolvern jeweils nur eine unterschiedliche einzelne IP erhalten

  • Mehrere deutsche ISPs haben den Kampf inzwischen aufgegeben und mit DNS-Zensur in Eigenregie begonnen
    Weitere Informationen gibt es auf der CUII-Website

    • Auch in Japan prüfte das Kabinettsbüro 2018 eine DNS-Sperre für Piraterie-Seiten, scheiterte aber am Widerstand der Tech-Community
      Derzeit wird über eine Sperre von Online-Casino-Seiten diskutiert
      Dazu: Protokoll der Regierungssitzung, Erklärung des NIC
    • Gerade in solchen Situationen ist es wichtig, mit Unbound einen eigenen Resolver zu betreiben. Man muss sich nicht auf zentralisierte DNS-Dienste verlassen
    • Tatsächlich gab es diese Selbstzensur schon früher. Bereits zu Zeiten von The Pirate Bay war das so

  • Ich hoffe, dass die Schweiz das Abkommen, das sie nächstes Jahr mit der EU schließen will, nicht unterzeichnet
    In dem über 8000 Seiten langen Vertrag ist eine Verpflichtung zur Einhaltung urheberrechtlicher EU-Regulierung enthalten, wodurch die derzeit freie Download-Umgebung verschwinden könnte
    Unabhängig von der politischen Ausrichtung halte ich das für einen schlechten Deal für alle

  • Ich nutze Mullvad DNS und bin ziemlich zufrieden damit
    Mullvad-DNS-Spezifikationen

    • Ich wusste nicht, dass Mullvad DNS öffentlich verfügbar ist. Gut zu wissen
      Ich teste derzeit auch DNS4EU
    • Ich nutze es ebenfalls als Backup, aber es ist sehr langsam
      Zur Info: Auch Wikimedia DNS wird als öffentlicher Dienst betrieben: Wikimedia DNS
    • Bei mir liegt die durchschnittliche Latenz bei 350 ms. Screenshot des Geschwindigkeitstests
    • Mullvad DNS hatte häufig Ausfälle. Es gab fast täglich Störungen, auch wenn das VPN selbst hervorragend ist

  • DNS-Resolver anzugreifen wirkt wie ein leichter Sieg
    Wenn eine Website wirklich illegal ist, sollte man versuchen, die Domain über ICANN beschlagnahmen zu lassen. Vermutlich wird stattdessen Druck auf DNS-Resolver ausgeübt, weil das schwerer nachzuweisen ist

    • Eine Domain-Beschlagnahmung über ICANN müsste weltweit gelten, wodurch sich Unterschiede zwischen nationalen Rechtsordnungen nur schwer abbilden lassen
      Es bräuchte eine Struktur, in der einzelne Länder unterschiedliche Sperrlisten pflegen können
    • Aber ICANN hat weder die Befugnis noch einen Mechanismus, Domains direkt zu beschlagnahmen
      Möglich ist nur der Entzug der Akkreditierung bei Verstößen gegen Registrar-Verträge

  • Ironischerweise entsteht der aktuelle Trend zum dezentralisierten Internet nicht aus idealistischen Gründen, sondern als Reaktion auf autoritäre Zensur

    • Ironisch, aber eine der ursprünglichen Tugenden von Dezentralisierung ist gerade die Zensurresistenz
    • Ich halte Zensurresistenz für den zentralen Wert von Dezentralisierung
    • Vernunft, Freiheit und Zensurresistenz sind die Werte, die wir verteidigen sollten

  • Ich frage mich, ob Quad9 einen Resolver betreibt, der DNSSEC beibehält, aber kein Malware-Blocking hat
    Es gab mehrfach Fälle, in denen legitime Domains vorübergehend blockiert wurden

    • Leider gibt es diese Kombination nicht. 9.9.9.10 ist eine Version ohne DNSSEC und ohne Malware-Blocking

  • Ich frage mich, ob Root-DNS-Server per Gerichtsbeschluss zensiert oder verändert werden könnten
    Ich dachte immer, Root-Server seien unantastbar, aber realistisch betrachtet bin ich mir da nicht sicher

    • Solange die USA nicht selbst direkt Zensur versuchen, würden sie auf solche Anordnungen wohl heftig reagieren
      Stattdessen wäre es sinnvoll, Alternativen wie DNS-over-Tor oder DNS-over-DHT zu entwickeln und Tor-Onion-Services stärker zu verbreiten
    • Root-Server sind nicht vollständig sicher, aber wenn die DNSSEC-Validierung fehlschlägt, wird SERVFAIL zurückgegeben und ein anderer Root-Server erneut angefragt
      Daher hätte das keine Wirkung, solange nicht alle Root-Server gleichzeitig verändert werden
      Siehe auch: DNSSEC-Statistiken
    • Root-Server speichern keine eigentlichen Domain-Records, sondern verweisen nur auf den Standort der Registry
      Damit Zensur stattfinden kann, müsste die Sperre also auf Registry-Ebene erfolgen
    • Wie im Fall Schweden kann eine Registry bei einer gerichtlichen Anordnung die Domain an die Polizei übertragen
      Da es aber kein Konzept gibt, eine Domain „dauerhaft zu zerstören“, bleibt die Definition einer Sperre unscharf

  • Ich betreibe eigene Nameserver
    Solange nicht auch die Root-Server übernommen werden, ist DNS-Blocking kein Problem
    Wenn man die Top-5000-Domains vorab cached, sind auch die Antwortzeiten schnell

    • Realistisch gesehen sind eher TLD-/2LD-Registries der entscheidende Punkt für Sperren als die Root-Server
      Wer einen privaten DNS-Server mit eigenem Root-Content betreibt, ist gegen solche Angriffe fast immun
    • Natürlich könnten manche Heimnetzwerke Port 53 sperren, wodurch solche Versuche verhindert würden