Internetsicherheit Schutz­versprechen nicht gehalten

5
Internetsicherheit - Schutz­versprechen nicht gehalten

Der Gratis-Dienst „1.1.1.1 for Families“ des amerikanischen Dienst­leisters Cloudflare soll das gesamte Heimnetz vor Bedrohungen aus dem Internet schützen. test.de erklärt, wie das funk­tioniert und warum man sich nicht zu viel davon versprechen sollte.

Sicherheit und Kinder­schutz für alle

Gratis-Schutz fürs heimische Internet („Free protection for your home Internet“) verspricht der Dienst 1.1.1.1 for Families von Cloudflare. Es gibt ihn in zwei Geschmacks­richtungen: In einer Variante soll er nur Zugriffe aus dem heimischen Netz­werk auf gefähr­liche Websites blockieren. Das könnten etwa Seiten sein, über die Cyberkriminielle Schadsoftware verbreiten oder mit denen sie bei Phi­shing-An­grif­fen wert­volle Pass­wörter abgreifen. In einer zweien Variante soll der Dienst zusätzlich „adult content“ heraus­filtern, also Inhalte, die nur für Erwachsene geeignet sind. Cloudlfare erklärt freilich nicht genau, was damit gemeint ist.

Schutz fürs Heimnetz über den Router

Das Praktische an der einge­setzten Technik: Die Schutz­funk­tion lässt sich zentral über eine Einstellung im Router akti­vieren und erstreckt sich dann auto­matisch auf alle mit dem Router verbundenen Geräte – egal ob PC oder Tablet, Smartphone, Spiel­konsole oder Smart TV. Dafür müssen Nutzer ihren Internet-Router so einstellen, dass er auf spezielle DNS-Server von Cloudflare zugreift. DNS steht hier für das „Domain Name System“ – eine Art Adress­buch des Internets. Hintergrund: Rechner adressieren einander im Internet über Zahlencodes, die IP-Adressen. Diese könnten sich Menschen allerdings kaum merken. Darum gibt es zusätzlich eingängigere Namen für Web-Adressen. So lässt sich zum Beispiel die Webseite der Stiftung Warentest sowohl über ihre IP-Adresse ansteuern: http://52.137.38.226 als auch über ihren Domain-Namen test.de.

DNS-Server mit Filter­funk­tion

Zwischen diesen Domain-Namen und den von Rechnern nutz­baren IP-Adressen über­setzen DNS-Server. Üblicher­weise laufen DNS-Anfragen vom heimischen Internet­anschluss über den jeweiligen Internetanbieter. Stellt der Nutzer statt­dessen im Router spezielle DNS-Server mit Filter­funk­tion von Cloudflare ein, sollen diese solche DNS-Anfragen, die auf bösartige Webadressen führen, auto­matisch blockieren.

Sicher­heits­funk­tion äußerst löch­rig

Laut Cloudflare soll 1.1.1.1 for Families das Heimnetz vor Schadsoftware schützen. Das haben wir anhand von 60 aktuellen Webseiten über­prüft, die mit gefähr­licher Software verseucht waren. Nieder­schmetterndes Ergebnis: Keine einzige davon wurde blockiert! Zusätzlich haben wir auch den Schutz vor betrügerischen Phishing-Seiten getestet. Das Ergebnis ist nur wenig besser: Von 157 Phishing-Seiten blockierte der Cloudflare-Dienst gerade einmal 31. Ein zuver­lässiger Schutz sieht anders aus.

Der Kinder­schutz beschränkt sich auf Pornofilter

Die Variante des Dienstes, die auch „adult content“ blockieren soll, um Kinder zu schützen, haben wir mit insgesamt 93 Webseiten aus den Themen­feldern Porno­graphie, Waffen, Alkohol, Drogen und Verherr­lichung von Essstörungen geprüft. Ergebnis: Blockiert wurden nur porno­graphische Inhalte – und auch hier längst nicht alle. Von 72 Porno-Webseiten blockierte Cloudflare 60. Prominentere Porno-Portale wurden gesperrt, weniger bekannte Seiten nicht. Solche Seiten, die sich mit Waffen, Alkohol oder Drogen befassen oder Essstörungen verherr­lichen, filterte Cloudflare über­haupt nicht. Einen umfassenden Kinder­schutz bietet der Dienst also nicht.

Eine Einstellung im Router genügt

Wer die Sache dennoch ausprobieren will: Es reicht eine Einstellung im Router. Die voreinge­stellten DNS-Server müssen auf die von Cloudflare geändert werden. Dafür ruft man im Internet-Browser zunächst das Einstellungs­menü des Routers auf. Bei den sehr verbreiteten Fritzboxen von AVM geschieht das zum Beispiel, indem man in der Adress­leiste des Browsers „fritz.box“ eingibt.

Internetsicherheit - Schutz­versprechen nicht gehalten
© Quelle: Fritz!Box, Screenshot und Markierungen Stiftung Warentest

Nun muss man im Router-Menü die Einstellung für die DNS-Server finden und ändern. Bei Fritzboxen ruft man sie auf, indem man links im Menü zunächst auf „Internet“ und dann auf „Zugangs­daten“ klickt und dann den Reiter „DNS-Server“ öffnet. Für die reine Sicher­heits­funk­tion gibt man hier die Adressen 1.1.1.2 und 1.0.0.2 ein. Will man zusätzlich Pornos blockieren, lauten die beiden Adressen 1.1.1.3 und 1.0.0.3.

Fazit: Interes­santes Konzept, aber kaum Schutz­wirkung

Der Ansatz, gefähr­liche Webseiten über einen DNS-Dienst zu blockieren, wirkt erst­mal viel­versprechend. Doch Cloudflare hält seine voll­mundigen Versprechungen nicht: Die Schutz­wirkung gegen Malware und Phishing zeigt sich im Test als kaum wirk­sam, und auch der Kinder­schutz wirkt ziemlich löch­rig. Eine gute Sicherheitssoftware auf dem PC und einen umsichtigen Umgang mit dem Internet könnte so ein Dienst selbst dann nicht ersetzen, wenn er gut funk­tionieren würde. Angesichts der schlechten Test­ergeb­nisse kann man auf diesen Gratis-Dienst aber auch ganz verzichten.

5

Mehr zum Thema

  • Daten­sicherheit 10 Tipps für sicheres Surfen

    - Hacker, Viren, Sicher­heits­lücken – im Internet wimmelt es nur so vor Gefahren. Mit den folgenden 10 Tipps der Stiftung Warentest schützen Sie PC, Smartphone und andere...

  • VPN-Test Hilf­reich gegen Hacker – VPN-Dienste im Vergleich

    - Kaum jemand kennt sie, doch fast jeder braucht sie: VPN-Dienste schützen vor Daten­raub durch Hacker im offenen WLan. Der VPN-Test zeigt die besten Programme.

  • Handy­verlust So orten Sie Ihr Handy und schützen Ihre Daten

    - Das Smartphone ist weg – der Albtraum jedes Nutzers. Erste Maßnahme: das vermisste Handy mit einem anderen Telefon anrufen. Ist kein Klingeln oder Vibrieren zu hören, ist...

5 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

Clemens.Ratte-Polle am 01.07.2021 um 00:21 Uhr
begrenzte Internet-Sicherheit per DNS-FilterServer

Totale Sicherheit alleine durch DNS-Filter wird es nicht geben.
Browser-Werbeblocker und Antivirus müssen zuerst sein.
Hier noch 2 weitere gratis DNS Server mit Familien-Schutz, welche aber auch nicht 100% bieten können - wie niemand:
-----------
https://dns.adguard.com/dns-query
2a10:50c0::ad1:ff
2a10:50c0::ad2:ff
94.140.14.14
94.140.15.15
------------
OpenDNS FamilyShield
208.67.222.123
208.67.220.123
doh.familyshield.opendns.com

Bachsau am 02.12.2020 um 20:51 Uhr
Ich halte das ganze Konzept für Unfug

DNS-Spoofing war nie eine gute Idee, wird nie eine gute Idee sein, und hoffentlich auch nicht mehr möglich sein, wenn DNSSEC sich endlich mal durchsetzt.
Wer sein Kind im Internet schützen will, der sollte sich mit ihm über die Gefahren des Internets unterhalten, und generell mal mehr darauf achten, was es im Internet treibt.

fußballer499 am 05.07.2020 um 18:07 Uhr
Quad9: Mehr Privacy & Security im DNS

Wer bei dem Internetgiganten Google Angst um die Sicherheit seiner Daten hat, kann aber auch einen etwas kleineren Dienst wie Quad9 verwenden. Statt eines kommerziellen Unternehmens ist hier eine Non-Profit-Organisation am Werk. Einfach mal testen....
Hinter der Organisation Quad9, die den gleichnamigen DNS-Dienst bereitstellt, stehen u. a. IBM sowie Packet Clearing House (PCH) und die Global Cyber Alliance (GCA). Diese beiden Organisationen setzen sich auch sonst für Sicherheit und Privatsphäre im Internet ein.Zusätzlich zu diesem freien Zugang legt man bei Quad9 viel Wert auf Sicherheit und Privatsphäre. Das Team hinter dem DNS-Resolver hat festgelegt, dass keinerlei Nutzerdaten gesammelt werden. Besonders der Punkt Sicherheit macht Quad9 allerdings zu einem Vorreiter.

chance1 am 02.07.2020 um 17:18 Uhr
Google DNS

und wenn Sie dann vielleicht auch gleich noch Google DNS mit prüfen könnten, wäre ich Ihnen sehr dankbar.

Moorhuhn am 30.06.2020 um 11:07 Uhr
Ist NextDNS besser?

Ich benutze zum selben Zweck seit einiger Zeit www.NextDNS.io. Werbung wird hier zuverlässig rausgefiltert. Würde mich aber freuen wenn die StiWa diesem Dienst ebenso auf den Zahn fühlen würde wie 1.1.1.1.