Die Debatte um die digitale Souveränität dreht sich um die Cloud, KI-Modelle und Rechenzentren. Dabei geht es um Hosting-Anbieter und Rechtsordnungen. Kaum jemals wird über die beiden Protokolle gesprochen, ohne die all das nicht funktionieren würde. Kein Entscheidungsträger behält sie im Auge. Doch an dem Tag, an dem eines der beiden versagt, bricht der Rest mit ihm zusammen. Lassen Sie uns das einmal klarstellen, ohne zu dramatisieren.
Was das DNS tut und wo sich die Kontrollpunkte befinden
Das DNS ist das Adressbuch des Internets. Du gibst einen Namen ein, dein Computer benötigt eine Nummer – die IP-Adresse –, um den Rechner auf der anderen Seite zu erreichen. Das DNS übersetzt das eine in das andere. Ohne diese Übersetzung führen die Namen ins Leere. Alles, was du online tust, beginnt mit einer DNS-Anfrage, die du nie zu Gesicht bekommst.
Das System ist hierarchisch aufgebaut, und genau dort befinden sich die Kontrollpunkte. Ganz oben steht die Root. Dreizehn Gruppen von Root-Servern, die unter der Schirmherrschaft der ICANN, einer nach US-Recht gegründeten Organisation, koordiniert werden. Unterhalb der Root befinden sich die Registries: diejenige, die „.com“ verwaltet, diejenige, die „.fr“ verwaltet – in diesem Fall die Afnic. Unterhalb der Registries befinden sich die Registrare, die dir deinen Domainnamen verkaufen. Und am anderen Ende der Kette die Resolver: die Server, die die Übersetzungsarbeit für dein Netzwerk übernehmen.
Drei Schwachstellen zeichnen sich ab. Die Root und ihre rechtliche Verankerung, in der die weltweite Koordination gebündelt ist. Das Register deiner Endung, das einen Namen sperren kann. Und vor allem der Resolver, den du täglich nutzt. Viele Organisationen lassen ihre Rechner standardmäßig und ohne bewusste Entscheidung die öffentlichen Resolver von Google oder Cloudflare abfragen. Dieser Resolver sieht jeden Namen, den du anforderst. Es handelt sich um ein vollständiges Browserverlaufsprotokoll, das einem Dritten anvertraut wird, den niemand ausgewählt hat.
Was das NTP tut und warum die Zeit entscheidend ist
Das NTP synchronisiert die Uhren der Rechner. Jeder Server, jeder Rechner, jedes Netzwerkgerät passt seine Uhrzeit ständig an eine Referenzquelle an, und zwar in aufeinanderfolgenden Schichten, sogenannten Strata, von einer Atomuhr oder einem Satellitensignal bis hin zu deinem Rechner. Man hält dies für ein technisches Detail. Es ist jedoch eine grundlegende Abhängigkeit.
Ohne präzise Zeit gerät die Kryptografie aus dem Takt. Ein TLS-Zertifikat hat ein Start- und ein Enddatum. Wenn die Uhr abweicht, wird das Zertifikat als abgelaufen oder noch nicht gültig eingestuft, und die sichere Verbindung schlägt fehl. Authentifizierungstoken, Einmalcodes und Zeitstempelprotokolle basieren alle auf einer gemeinsamen Zeit. Verschiebt man die Uhren, bricht die Sicherheit still und leise zusammen.
Ohne eine konsistente Zeit werden Protokolle unlesbar. Um einen Vorfall über zehn Server hinweg zu korrelieren, müssen alle zehn ihre Ereignisse auf derselben Zeitskala datieren. Eine Abweichung von nur wenigen Sekunden macht es unmöglich, den zeitlichen Ablauf eines Angriffs nachzuvollziehen. Ohne zuverlässige Zeit verlieren Finanztransaktionen ihre Reihenfolge. Regulierte Märkte schreiben genau aus diesem Grund eine Synchronisation im Mikrosekundenbereich vor. Zeit ist keine Annehmlichkeit. Sie ist die Infrastruktur hinter der Infrastruktur.
Und die Standardquelle ist oft einzigartig: ein öffentlicher Pool oder die Server des Herstellers des Betriebssystems. Auch hier handelt es sich um eine stillschweigende Abhängigkeit.
Warum die politische Debatte aus dem Ruder läuft
Sobald diese Protokolle in die politische Arena getragen werden, gerät die Diskussion aus den Fugen – und zwar immer auf dieselbe Weise. Die eine Seite will die Kontrolle zurückgewinnen, was schnell zu einer Rezentralisierung führt: ein nationaler Resolver, eine regionale Root-Zone, eine souveräne Referenzzeit. Die andere Seite erinnert daran, dass die Robustheit dieser Protokolle gerade aus ihrer Verteilung resultiert und dass eine Fragmentierung entlang von Grenzen sie anfälliger machen würde, nicht widerstandsfähiger.
Beide Seiten haben teilweise Recht, und genau deshalb kommt die Debatte nicht voran. Die DNS-Root unterliegt tatsächlich ausländischem Recht, das ist eine Tatsache. Doch der Aufbau einer alternativen Root würde einer Aufspaltung des Namensraums gleichkommen und somit die Universalität zerstören, die den Reiz des Internets ausmacht. Ebenso schafft ein einziger, landesweit vorgeschriebener Resolver einen Kontrollpunkt, wo zuvor keiner existierte.
Die Falle ist immer dieselbe: Man will etwas regulieren, ohne zu sagen, was genau. Die Root-Zone regulieren? Niemand hat allein die Macht dazu. Den Resolver? Da entscheidet tatsächlich eine Organisation. Die Zeitsynchronisation? Auch hier entscheidet eine Organisation. Nützliche Souveränität spielt sich nicht an der Spitze der Hierarchie ab, außer Reichweite. Sie spielt sich dort ab, wo du tatsächlich Einfluss hast.
Was eine Organisation jetzt tun kann
Man muss nicht zwanzig Jahre auf einen europäischen Standard warten. Vier Maßnahmen sind bereits heute umsetzbar.
Übernimm wieder die Kontrolle über die DNS-Auflösung. Betreibe deinen eigenen Resolver oder wähle einen, dessen Betreiber und das geltende Recht du kennst, anstatt deine Rechner standardmäßig auf einen öffentlichen Resolver verweisen zu lassen, über den du nichts weißt. So erhältst du wieder Zugriff auf das Protokoll deiner eigenen Anfragen.
Diversifiziere deine Zeitquellen. Konfiguriere mehrere NTP-Server unterschiedlicher Herkunft, die nicht alle beim selben Anbieter liegen. Eine gefährdete Organisation ist gut beraten, über eine interne Referenz zu verfügen, zum Beispiel einen Satellitensignalempfänger, um nicht von einer einzigen externen Quelle abhängig zu sein.
Aktiviere DNSSEC. Diese Erweiterung signiert DNS-Antworten kryptografisch und stellt sicher, dass ein Name unterwegs nicht manipuliert wurde. Sie wird sowohl auf der Domain- als auch auf der Resolver-Seite eingerichtet und verhindert eine ganze Klasse von Angriffen.
Überwache beides. Ein Dashboard, das die Abweichung deiner Uhren und den Zustand deiner DNS-Auflösung verfolgt, kostet wenig und deckt stille Ausfälle auf, bevor sie zu Vorfällen werden. Was man nicht misst, sieht man auch nicht ausfallen.
DNS und NTP werden niemals Schlagzeilen machen. Sie haben weder ein Logo noch eine Flagge, die man schwenken könnte. Aber es handelt sich um überprüfbare Abhängigkeiten mit bekannten Kontrollpunkten und konkreten Gegenmaßnahmen. Souveränität beginnt dort, wo du aufhörst, Standardkonfigurationen hinzunehmen, die niemand beschlossen hat.
Quellen
- ICANN, Funktionsweise des Root-Server-Systems, icann.org
- Afnic, Verwaltung der
.fr-Domain, afnic.fr - RFC 1035 (DNS) und RFC 5905 (NTPv4), IETF
- ANSSI, Empfehlungen zur Absicherung von DNS und DNSSEC, cyber.gouv.fr
- ESMA / MiFID II, Anforderungen an die Zeitsynchronisation für regulierte Märkte