Nur diese Woche: Für Neu Registrierung gibt es 50 Bids für nur 12,50 €. DU sparst 50 Prozent!

Cent Auktionen – Alles ab 0,01 € mit 3-2-1-Offer Cent Auktionen

Schnäppchen mit Cent Auktionen von 3-2-1-Offer | Apple, Smartphones, Spielkonsolen, Spiele, Lego, Haushalt, Schmuck, Foto, Film, TV

0

Your Cart

Datenschutzwarnung beim iPhone-WLAN – was ist das?

Seit der Installation von iOS 15 erscheint auf manchen iPhones in der Einstellung zum WLAN eine „Datenschutzwarnung“. Wir erklären, was dahintersteckt.

Klickt man auf dem iPhone seit iOS 15 in den WLAN-Einstellungen mit der Datenschutzwarnung rechts auf den Informationsbutton, blendet sich eine Erklärung ein: „Dieses Netzwerk blockiert verschlüsselten DNS-Verkehr“. Und zusätzlich wird gewarnt, dass andere Geräte im Netzwerk die Namen von Websites und Servern überwachen und erfassen können. Was hinter dieser Warnung steckt, gibt Apple aber nicht preis, sodass man als Normalnutzer erstmal im Regen steht und nicht weiß, was man damit anfangen soll. Es könnte damit zusammenhängen, dass macOS Big Sur und iOS/iPadOS 14 und alle neueren Systeme den verschlüsselten DNS-Verkehr unterstützen und nun standardmäßig überprüft wird, ob dieser aktiviert ist. Oder Apple wirbt so für iCloud Private Relay, das ebenfalls den verschlüsselten DNS-Verkehr unterstützt. Sorgen machen muss man sich aber nicht, denn die Warnung weist nur auf einen Zustand hin, der bisher die Regel war, denn DNS-Anfragen sind bisher immer unverschlüsselt gesendet worden. Um die Warnmeldung zu deaktivieren, kann man das WLAN vergessen und sich dann erneut anmelden. Oder man sorgt selbst für verschlüsselte DNS-Anfragen. 

Seit iOS 15 erscheint in den WLAN-Einstellungen hin und wieder eine Datenschutzwarnung.
Vergrößern Seit iOS 15 erscheint in den WLAN-Einstellungen hin und wieder eine Datenschutzwarnung.

© Thomas Armbrüster

DNS-Anfragen verschlüsseln

Websites sind über ihre jeweilige IP-Adresse zu erreichen. Da es aber kaum möglich ist, sich solche Adressen zu merken, sondern es wesentlich einfacher ist, den Namen einer Seite wie etwa „macwelt.de“ einzutippen, braucht es eine Instanz, welche die zum Namen gehörige IP-Adresse kennt. Diese Instanz ist das Domain Name System (DNS). Es besteht aus Servern im Netz, die wie in einem Telefonbuch die Namen und die IP-Adressen der Seiten gespeichert haben. Tippt man im Browser den Namen der Webseite ein und schickt die Anfrage los, geht diese zu einem DNS-Server, der dann die dazugehörige IP-Adresse heraussucht.

Die Übertragung der Anfragen zum DNS-Server erfolgte bisher im Klartext über das UDP-Protokoll. So wäre es möglich, dass jemand, der Zugriff auf das WLAN hat oder den Netzverkehr abfängt, sehen kann, welche Webseiten man aufrufen möchte, und könnte im schlimmsten Fall manipulierte DNS-Infos zurücksenden, damit der Anwender auf einer Webseite mit Schadsoftware landet (DNS Hijacking). Um das zu verhindern, gibt es momentan zwei Verschlüsselungsmethoden für die DNS-Anfragen. Bei DNS over TLS (DoT) wird die Anfrage mit dem Verschlüsselungsprotokoll Transport Layer Security (TLS) verschlüsselt. Bei DNS over HTTPS (DoH) werden die Anfragen über das verschlüsselte Transportprotokoll HTTPS versendet. Der Vorteil gegenüber DoT ist, dass nicht festgestellt werden kann, ob es sich um eine DNS-Anfrage oder um normalen, verschlüsselten Verkehr über HTTPS handelt. Der Nachteil liegt darin, dass DoH meist etwas langsamer arbeitet als DoT und Netzwerkadministratoren den Netzverkehr nicht mehr genau analysieren können.

iOS 15 meldet eine blockierte Verschlüsselung des DNS-Verkehrs, wenn es meint, dass das WLAN die Verschlüsselung nicht unterstützt.
Vergrößern iOS 15 meldet eine blockierte Verschlüsselung des DNS-Verkehrs, wenn es meint, dass das WLAN die Verschlüsselung nicht unterstützt.

© Thomas Armbrüster

DNS-Server mit Verschlüsselung

Um verschlüsselten DNS-Anfragen zu verwenden, braucht es DNS-Server, die sich auf DoT und/oder DoH verstehen. Im Normalfall verwendet man automatisch die DNS-Services des jeweiligen Internet-Providers, also beispielsweise der Telekom oder von Vodafone. Und diese unterstützen die verschlüsselten Verfahren bisher nicht. Man kann aber andere DNS-Server verwenden, und trägt diese entweder im Router ein oder konfiguriert macOS und iOS mithilfe eines Profils. Ab macOS Big Sur und iOS/iPadOS 14 werden DoT und DoH unterstützt, und in der Frizbox kann man DoT ab Softwareversion 7.20 einrichten.

Zu den bekanntesten Anbietern, die zurzeit DNS-Services mit DoT und DoH anbieten, gehören Cloudflare, Google und Quad9. Über Google muss man nichts weiter sagen, jeder kennt den Anbieter. Cloudflare ist ein amerikanisches Unternehmen, das sowohl ein Content Delivery Network als auch ein Netzwerk von DNS-Servern unterhält und darüber hinaus Services anbietet, um sich beispielsweise gegen DDoS-Angriffe (Distributed-Denial-of-Service) zu schützen. Quad9 ist eine Non-Profit-Stiftung mit Sitz in der Schweiz, die ein DNS-Servernetz unterhält und von IBM, Packet Clearing House und der Global Cyber Alliance gegründet wurde.

Für die Konfiguration benötigt man die IPv4- und IPv6-Adressen sowie den Hostnamen des jeweiligen Anbieters. Mit diesen Angaben kann man dann die Fritzbox konfigurieren oder ein Profil für macOS und iOS erstellen und auf dem Gerät aktivieren. Eines sollte man aber wissen: Die verschlüsselte Übertragung der DNS-Anfragen bedeutet nicht, dass die Anfragen dann auf dem DNS-Server verschlüsselt sind. Der DNS-Server sieht die IP-Adresse des Nutzers, wobei Quad9 diese laut seinen Datenschutzrichtlinien nicht speichert.

Fritzbox einrichten

Man meldet sich bei der Fritzbox an und öffnet „Internet > Zugangsdaten > DNS-Server“. Dort aktiviert man „Andere DNSv4-Server verwenden“ und „Andere DNSv6-Server verwenden“ und trägt jeweils die IP-Adressen ein. 

Zuerst trägt man die IP-Adressen der DNS-Server in die entsprechenden Felder ein.
Vergrößern Zuerst trägt man die IP-Adressen der DNS-Server in die entsprechenden Felder ein.

© Thomas Armbrüster

Dann scrollt man nach unten, aktiviert „Verschlüsselte Namensauflösung im Internet (DNS over TLS)“ und lässt die Zertifikatsprüfung eingeschaltet. Die Option „Fallback auf unverschlüsselte Namensauflösung im Internet zulassen“ sollte man ausschalten, wenn man nicht möchte, dass bei Problemen auch unverschlüsselte DNS-Anfragen gesendet werden. Danach scrollt man weiter nach unten und trägt in das Feld bei „Auflösungsnamen der DNS-Server“ den Hostnamen ein und beendet die Einrichtung mit einem Klick auf „Übernehmen“. 

Anschließend aktiviert man die Verschlüsselung unten auf der Seite, trägt den Hostnamen des Servers ein und klickt auf „Übernehmen“.
Vergrößern Anschließend aktiviert man die Verschlüsselung unten auf der Seite, trägt den Hostnamen des Servers ein und klickt auf „Übernehmen“.

© Thomas Armbrüster

Um zu prüfen, ob die Einstellungen übernommen worden sind, geht man zu „Internet > Online-Monitor“ und sieht dort unter „Genutzte DNS-Server“, ob die verschlüsselten Verbindungen aktiviert sind. Auf unserem iPhone wird diese Änderung aber nicht erkannt und es erscheint erneut die Anfangs beschriebene Datenschutzwarnung.  

Ob die Einstellungen korrekt übernommen wurden, sieht man im Online-Monitor der Fritzbox.
Vergrößern Ob die Einstellungen korrekt übernommen wurden, sieht man im Online-Monitor der Fritzbox.

© Thomas Armbrüster

Profil für Mac und iPhone erstellen

Um die verschlüsselte DNS-Anfrage auf dem Mac, dem iPhone und dem iPad zu aktivieren, benötigt man ein Profil. Das Profil lässt sich auf allen Geräten verwenden. Voraussetzung sind iOS/iPadOS 14 und macOS Big Sur oder neuer. Ein Profil lässt sich selbst mithilfe der Webseite „Secure DNS profile creator“ erstellen, am besten macht man das auf dem Mac.   Auf der Webseite klickt man auf „Tool“ und trägt in die Felder den Namen des Anbieters, die IP-Adressen sowie den Hostnamen des Anbieters ein und klickt an, welches Verschlüsselungsverfahren (DoT oder DoH) verwendet werden soll. 

Auf der Webseite des Profile Creators gibt man Namen, IP-Adressen und den Hostnamen ein.
Vergrößern Auf der Webseite des Profile Creators gibt man Namen, IP-Adressen und den Hostnamen ein.

© Thomas Armbrüster

Danach klickt man auf „Ad to Profile“. Es öffnet sich die Seite „Finalize“ mit einer Übersicht der Angaben, und mit einem Klick auf „Download Profile“ überträgt man es auf den Mac. Soll das Profil auch auf einem iPhone und einem iPad verwendet werden, klickt man im sich einblendenden Dialogfenster auf „Datei speichern“.

Nach dem Erstellen des Profils blendet sich die Zusammenfassung ein und man kann das Profil auf den Mac laden.
Vergrößern Nach dem Erstellen des Profils blendet sich die Zusammenfassung ein und man kann das Profil auf den Mac laden.

© Thomas Armbrüster

Profil auf dem Mac installieren

Mit einem Doppelklick auf die Profildatei mit der Dateiendung „.moblieconfig“ öffnet sich eine Mitteilung mit dem Hinweis, dass man es in den Systemeinstellungen überprüfen und installieren soll. 

Nach dem Doppelklick auf die Profil-Datei erscheint eine Mitteilung.
Vergrößern Nach dem Doppelklick auf die Profil-Datei erscheint eine Mitteilung.

© Thomas Armbrüster

Dazu öffnet man die Systemeinstellung „Profile“, markiert das Profil und klickt auf „Installieren“. Im sich nun öffnenden Dialogfenster muss man die Installation nochmals bestätigen. 

In der Systemeinstellung „Profile“ wählt man das Profil aus und klickt auf „Installieren“.
Vergrößern In der Systemeinstellung „Profile“ wählt man das Profil aus und klickt auf „Installieren“.

© Thomas Armbrüster

Nicht stören darf man sich daran, dass in der Systemeinstellung das Profil als „Nicht signiert“ bezeichnet wird, denn man hat es ja selbst erstellt. Um das Profil wieder zu entfernen, markiert man es und klickt auf das Minussymbol.

Profil auf dem iPhone installieren

Man kann auf dem iPhone oder dem iPad das Profil auch direkt auf der Seite von Profile Creator erstellen und herunterladen. Hat man es aber schon auf dem Mac erstellt, markiert man es dort, wählt im Kontextmenü „Teilen“ aus und überträgt es per Airdrop auf das mobile Gerät. Auf dem iPhone oder iPad erscheint nun die Mitteilung „Profil geladen“, die man schließt. 

Hat man das Konfigurationsprofil geladen, erscheint ein neuer Eintrag in den Einstellungen.
Vergrößern Hat man das Konfigurationsprofil geladen, erscheint ein neuer Eintrag in den Einstellungen.

© Thomas Armbrüster

Dann öffnet man die Einstellungen, dort wird oben ein neuer Eintrag „Profil geladen“ angezeigt, den man antippt. Im sich einblendenden Fenster tippt man rechts oben auf „Installieren“ und gibt den Gerätecode ein. 

Im Fenster mit den Angaben zum geladenen Profil lässt es sich auf dem iPhone installieren.
Vergrößern Im Fenster mit den Angaben zum geladenen Profil lässt es sich auf dem iPhone installieren.

© Thomas Armbrüster

Nun bekommt man noch einen Warnhinweis, dass das Profil nicht signiert ist und dass der DNS-Server den DNS-Verkehr überwacht. Wie schon gesagt, nur die Übertragung zum Server wird verschlüsselt, der Server sieht aber die IP-Adressen der DNS-Anfragen. Nun tippt man nochmals auf „Installieren“, bestätigt die Installation und schließt den Vorgang mit einem Tipp auf „Fertig“ ab.

Vor der Installation gibt es noch eine Warnung, dass der DNS-Server den Datenverkehr überwachen könnte.
Vergrößern Vor der Installation gibt es noch eine Warnung, dass der DNS-Server den Datenverkehr überwachen könnte.

© Thomas Armbrüster

Das Profil ist dann unter „VPN, DNS und Geräteverwaltung“ unter „Konfigurationsprofile“ in der Einstellung „Allgemein“ zu finden. Hier lässt es sich auch wieder entfernen.

Die DNS-Einstellungen sind unter „VPN, DNS und Geräteverwaltung“ zu finden.
Vergrößern Die DNS-Einstellungen sind unter „VPN, DNS und Geräteverwaltung“ zu finden.

© Thomas Armbrüster

Schreibe einen Kommentar