🛡️ NextDNS – Die Firewall gegen Überwachung und Zensur durch deinen Internetanbieter

Das Domain Name System (DNS) ist das Telefonbuch des Internets. Ohne DNS weiß dein Browser nicht, welche IP-Adresse hinter google.de oder alien-investor.org steckt. In der Regel wird dieses Telefonbuch von deinem Internetanbieter (ISP) wie der Deutschen Telekom oder Vodafone bereitgestellt.

Das Problem: Wer das Telefonbuch kontrolliert, sieht nicht nur, wen du „anrufst“ – er kann Anrufe auch blockieren oder dich falsch verbinden. DNS ist ein kritischer Kontrollpunkt für Metadaten (welche Domains du auflöst) und für Filtermechanismen auf Resolver-Ebene.

Die Lösung für digitale Selbstverteidigung heißt für mich aktuell NextDNS. Warum du wechseln solltest und was das technisch bedeutet, klären wir jetzt.

1. Der Status Quo: Dein ISP liest mit

Die großen Provider operieren in einem Spannungsfeld zwischen Netzstabilität, Gesetzen und kommerziellen Interessen. Das Ergebnis ist für deine Privatsphäre oft ernüchternd.

Datenspeicherung und Kommerz

Auch wenn die DSGVO gilt, existieren Spielräume und Pflicht-/Sicherheitsprozesse.

• Deutsche Telekom: Wie praktisch alle Provider protokolliert und verarbeitet sie Verbindungs- und Sicherheitsdaten (z. B. zur Störungsanalyse, Missbrauchs- und Angriffserkennung). Das ist nachvollziehbar für den Betrieb – bedeutet aber: Metadaten entstehen und können für einen begrenzten Zeitraum vorliegen.
• Vodafone: Zusätzlich zu Betrieb/Sicherheit existieren bei großen Konzernen typischerweise Prozesse für Analysen und Vermarktung. Entscheidend ist hier, was du aktiv erlaubst (Einwilligungen/Opt-ins). Selbst wenn „nur“ Domains sichtbar sind, erlauben sie oft sehr klare Rückschlüsse auf Interessen und Gewohnheiten.

DNS-Sperren: Die CUII

In Deutschland gibt es DNS-Sperren über die „Clearingstelle Urheberrecht im Internet“ (CUII). Das Modell bleibt umstritten, weil hier Rechteinhaber/Provider eine Sperrinfrastruktur betreiben. Wichtig für die Einordnung: Im Rahmen der CUII wird jede DNS-Sperre gerichtlich überprüft.

Technisch läuft das als DNS-Manipulation/Umleitung: Wenn du eine gesperrte Domain auflösen willst, bekommst du nicht die „normale“ Auflösung, sondern wirst auf eine Sperr-/Info-Seite des Providers (oder eine CUII-Landingpage) geführt oder die Auflösung scheitert aus Sicht des Nutzers.

Unterm Strich bleibt: Mit Provider-DNS akzeptierst du ein Internet, das auf Resolver-Ebene gefiltert werden kann.

2. NextDNS: Deine DNS-Firewall in der Cloud

NextDNS dreht den Spieß um. Es ist ein Resolver mit Sicherheits- und Privacy-Funktionen: Blocklisten, Anti-Phishing, Anti-Malware und Tracking-Schutz – zentral für alle Geräte. (Wichtig: Das ist kein VPN. Es ersetzt nicht Ende-zu-Ende-Verschlüsselung deiner Verbindungen, sondern schützt die DNS-Schicht.)

Souveränität über deine Daten

Im Gegensatz zum ISP entscheidest du hier über das Logging.

• No-Logging: Du kannst Logs deaktivieren – dann werden für diese Konfiguration keine Logs erzeugt.
• Datenresidenz: Wenn du Logs zur Fehleranalyse brauchst, kannst du den Speicherort wählen (z. B. Schweiz). Das kann die juristische Angriffsfläche reduzieren – ist aber keine „Unantastbarkeit“.

Aktive Abwehr von Trackern (CNAME Uncloaking)

Moderne Tracker tarnen sich oft als harmlose Unterseite der besuchten Website (z. B. metrics.zeitung.de statt tracker.adtech.com). Browser-Blocker lassen sich davon manchmal täuschen. NextDNS kann die CNAME-Kette bei der Auflösung berücksichtigen und Blocklisten auch auf die „versteckten“ Ziele anwenden – die Anfrage wird geblockt, bevor sie dein Gerät verlässt.

Schutz für IoT-Geräte

Dein Smart-TV (Samsung, Xiaomi etc.) und deine smarten Glühbirnen plaudern ständig nach Hause. Da du auf diesen Geräten keinen Adblocker installieren kannst, ist ein DNS-Filter oft die einzige praktikable Verteidigungslinie. Er blockiert Telemetrie- und Tracking-Domains der Hersteller direkt an der Quelle.

„NextDNS ist nicht nur ein Telefonbuch, sondern ein Türsteher. Du bestimmst, wer in dein Netzwerk rein darf und welche Daten rausgehen.“

3. Performance und technische Realität

Ein häufiges Argument gegen externe DNS-Anbieter ist die Latenz (Ping). In der Praxis hängt das stark vom Routing ab. Du kannst es selbst prüfen, z. B. über ping.nextdns.io (zeigt typischerweise Werte im einstelligen bis niedrigen zweistelligen Millisekundenbereich – je nach Standort/Netz).

Wichtiger als der Ping: Da NextDNS Werbung und Tracker gar nicht erst auflösen lässt, muss dein Browser oft deutlich weniger nachladen. Das beschleunigt den Seitenaufbau im Alltag häufig stärker, als ein paar Millisekunden DNS-Latenz dich kosten würden.

4. Die Nachteile: Komfort vs. Sicherheit

Wer Souveränität will, muss auch Verantwortung übernehmen. NextDNS ist kein „Set-and-Forget“-System für Leute, die sich nicht kümmern wollen.

Das Problem mit den „False Positives“

Wenn du scharfe Filterlisten aktivierst, werden manchmal Dinge blockiert, die du brauchst.

• Banking-Apps: Manche Apps nutzen Schutz- und Anti-Fraud-Dienste, die wie Tracker wirken. Werden diese Domains blockiert, kann die App zicken oder nicht starten.
• Smart Home: Blockierst du Domains deines Smart-TVs, funktionieren vielleicht auch Updates oder App-Stores nicht mehr.

Du musst bereit sein, ins Log zu schauen (wenn aktiviert) und Domains auf eine Whitelist zu setzen. Das ist der Preis der Freiheit.

Vertrauensverschiebung (Shift of Trust)

Machen wir uns nichts vor: Du löst das Vertrauensproblem nicht komplett, du verschiebst es. Statt der Telekom vertraust du nun NextDNS. Der Unterschied: Du bekommst echte Stellschrauben (Logging aus, Datenresidenz, Filterlogik) – und kannst dein Setup transparent härten.

5. Umsetzung: Wie du NextDNS startest

Der Königsweg: FritzBox mit DNS-over-TLS (DoT)

In Deutschland ist die FritzBox Standard. Seit Fritz!OS 7.20 unterstützt sie DNS-over-TLS (DoT). Das ist der beste Weg, weil du so dein ganzes Heimnetzwerk auf einmal schützt.

1. Erstelle ein Profil auf der NextDNS-Webseite.
2. Gehe in der FritzBox zu Internet -> Zugangsdaten -> DNS-Server.
3. Aktiviere „Verschlüsselte Namensauflösung im Internet (DNS over TLS)“.
4. Trage deine NextDNS-Adresse ein (z. B. [Deine-ID].dns.nextdns.io).
5. Falls deine FritzBox eine Option zur Zertifikatsprüfung bietet: aktivieren (damit du nicht auf einen Fake-Resolver umgebogen wirst).

Wichtig: Bei DoT (oder DoH) wird die Konfigurations-ID im Hostname/URL übertragen. In diesem Fall ist „Linked IP“/DynDNS in der Regel nicht nötig. Linked IP ist eher ein Notbehelf, wenn du nur klassische DNS-IPv4-Adressen ohne ID verwenden kannst.

Unterwegs: iOS und Android

Für dein Smartphone gibt es keine App-Pflicht. iOS unterstützt native Konfigurationsprofile, die tief ins System greifen und stabil laufen. Android bietet unter „Privates DNS“ eine einfache Einstellung für DoT (Hostname). So bist du auch im mobilen Netz oder im fremden WLAN geschützt.

6. Alien-Fazit: Hol dir die Hoheit zurück

Der Wechsel zu einem privaten Resolver wie NextDNS ist ein strategischer Schritt. Du reduzierst Tracking über ISP-DNS und machst DNS-Sperren deutlich schwerer (oder zumindest sichtbarer), während du gleichzeitig dein Netzwerk gegen Malware und Phishing härten kannst.

Ja, es erfordert am Anfang etwas Arbeit (Whitelisting). Aber für jeden, der Bitcoin hält, sensible Daten verarbeitet oder einfach nicht der gläserne Bürger sein will, ist dieser Schritt stark. Standard-Einstellungen sind für Touristen. Eigentümer konfigurieren ihre Infrastruktur selbst.