HTTPS verschlüsselt den Inhalt deiner Web-Anfragen — aber welche Domain du ansprichst, ist meist sichtbar. DNS-Anfragen laufen traditionell unverschlüsselt, und auch im verschlüsselten TLS-Handshake war der Server-Name lange klartext. Das macht DNS zum wichtigsten Übersichts-Punkt für ISP, WLAN-Betreiber, manche staatlichen Akteure. Dieser Artikel zeigt, wer was sieht, was DoH und DoT technisch leisten, welcher Resolver welches Vertrauens-Modell bietet — und wie ein realistisches DNS-Privacy-Setup aussieht.
Was DNS verrät — auch über HTTPS
Bevor du eine HTTPS-Seite aufrufst, fragt dein Gerät einen DNS-Resolver: „Welche IP-Adresse gehört zu www.beispiel.de?". Diese Anfrage geht klassisch unverschlüsselt raus — UDP-Port 53.
Damit sehen mindestens:
- Dein Internet-Provider (ISP), wenn du sein DNS verwendest (Default in den meisten Haushalts-Routern).
- Dein WLAN-Betreiber (Café, Hotel), wenn du in deren Netz bist und ihren Resolver nutzt.
- Mitlauschende im selben WLAN, theoretisch — wenn auch in modernen WLANs (WPA3) erschwert.
- Manche staatliche Akteure in Ländern mit umfassender Netzüberwachung.
Was sie nicht sehen: den Inhalt der Seite (TLS schützt das). Was sie aber sehen: dass du arbeitsagentur.de, schufa.de, kinderwunsch-praxis.de, protonmail.com aufgerufen hast.
Zusätzlich gibt es einen zweiten DNS-Sichtbarkeits-Punkt: der TLS Server Name Indication (SNI) im Handshake. Damit der Server weiß, für welchen virtuellen Host er das Zertifikat liefern soll, schickt der Client im Klartext den Hostnamen mit. Auch das ist bis 2024/25 meist unverschlüsselt — Encrypted Client Hello (ECH) ändert das gerade (siehe https-und-zertifikate).
In Summe: ohne DNS-Schutz hat dein WLAN-/ISP-Betreiber eine recht detaillierte Übersicht über die Domains, die du besuchst — auch bei vollem HTTPS.
DoH, DoT, DNSCrypt: drei Wege zur Verschlüsselung
Drei Standards, die das Problem lösen — auf unterschiedlichem Layer.
| Standard | Transport | Sichtbarkeit für Beobachter | Verbreitung |
|---|---|---|---|
| DoH (DNS over HTTPS) | HTTP/2 oder HTTP/3 über TLS, Port 443 | Sieht aus wie normaler HTTPS-Traffic | Browser-Default in Chrome, Firefox, Safari; Apple-/iOS-DoH-Profile |
| DoT (DNS over TLS) | TLS, eigener Port 853 | Sichtbar als DoT (Port 853 ist eindeutig) | Android (seit Pie), Linux-Resolver, viele Router |
| DNSCrypt | Eigenes Protokoll | Eigenständig, weniger weit verbreitet | Hauptsächlich Open-Source-Resolver, Power-User |
Operativer Unterschied:
- DoH versteckt DNS-Verkehr im normalen Web-Verkehr — schwerer zu blockieren, weniger sichtbar für Netzwerk-Inspection. Genau das macht es bei Netzwerk-Admins und manchen staatlichen Akteuren unbeliebt.
- DoT ist transparenter im Netz-Traffic: läuft auf eigenem Port, lässt sich von Netzwerk-Admins steuern (z. B. ausschließlich auf einen internen Resolver erzwingen). Wird in Unternehmens-Netzen oft bevorzugt.
- DNSCrypt ist die älteste Variante (2011), heute weniger verbreitet, aber von einigen Privacy-Resolvern (Quad9, AdGuard) weiter unterstützt.
Für Endnutzer:innen ist DoH der praktisch relevanteste Standard — alle großen Browser bieten es Default-mäßig oder leicht aktivierbar an.
Resolver im Vergleich
Wenn du verschlüsseltes DNS einsetzt, vertraust du den Resolver-Inhalt vollständig dem gewählten Anbieter. Genau hier liegt die zentrale Vertrauens-Entscheidung — du gewinnst Sichtbarkeit gegen ISP/WLAN, gibst aber Sichtbarkeit an den DNS-Anbieter.
| Resolver | Adresse | Vertrauens-Modell | Logging-Politik |
|---|---|---|---|
| Cloudflare 1.1.1.1 | 1.1.1.1 / 1.0.0.1 | US-Unternehmen, weltweit hohe Performance | Audited „nur 24h"-Logging; jährliche KPMG-Audits |
| Cloudflare for Families 1.1.1.2 / 1.1.1.3 | Wie 1.1.1.1 plus Malware-/Adult-Filter | Wie oben | Wie oben |
| Quad9 9.9.9.9 | 9.9.9.9 | Schweizer Stiftung, Sicherheits-fokus (Malware-Blockade) | Kein DNS-Daten-Logging |
| Google 8.8.8.8 | 8.8.8.8 / 8.8.4.4 | US, Standard-Auswahl | Eigene Logging-Politik (24-Stunden + permanente Aggregates) |
| NextDNS | Per-Account-Endpunkt | Frankreich, konfigurierbare Filter | Du kontrollierst, ob Logs gespeichert werden — und wie lange |
| AdGuard DNS | 94.140.14.14 | Zypern (AdGuard-Unternehmen), Filter-fokus | Kostenlose Tier mit Anonym-Logs; Pro mit Konto und eigenen Logs |
| Mullvad DNS | DoH-only, an Mullvad-Konto gebunden | Schweden | Keine DNS-Logs |
| ISP-Default | Bei jedem Provider anders | Dein vertraglicher Provider | Oft langfristig gespeichert, regulatorisch vorgegeben |
Empfehlungs-Logik:
- Pragmatische Wahl, Performance + Auditierbarkeit: Cloudflare 1.1.1.1.
- Sicherheits-fokus, Schweizer Rechts-Standort: Quad9.
- Maximale Konfigurierbarkeit + Privacy-Bewusstsein: NextDNS (eigener Account, eigene Filter-Listen, eigene Logging-Entscheidung).
- Werbe-Blockade auf DNS-Ebene: AdGuard DNS.
- Maximale Privacy + Verzicht auf Komfort: Mullvad DNS.
- Was du nicht tun solltest: den DNS-Default deines ISP behalten und gleichzeitig glauben, „DNS sei ja unsichtbar". Doch — gerade da ist es maximal sichtbar.
Einrichtung — wo, wie, womit
Wo du DoH/DoT konfigurieren kannst — von oben nach unten in der Schicht:
Browser-Level
- Firefox → Einstellungen → Datenschutz & Sicherheit → DNS over HTTPS → „Maximaler Schutz". Auswahl zwischen Cloudflare, NextDNS, oder eigener.
- Chrome / Edge → Einstellungen → Datenschutz und Sicherheit → Sicheres DNS. Werte: Cloudflare, Google, Quad9, oder eigener.
- Safari seit iOS 14 / macOS Big Sur → DoH per Konfigurations-Profil (Apple bietet keine eigene Setting-UI, aber installierte Profile gelten).
- Brave → wie Chrome (Privatsphäre-Settings → DNS).
Browser-Level-DoH gilt nur für den Browser. Apps und System-Tools laufen weiter über den System-DNS.
System-Level (iOS, macOS, Windows, Android)
- iOS 14+ → Konfigurations-Profil installieren (NextDNS, Cloudflare, AdGuard liefern Profile zum Download). Gilt für alle Apps.
- macOS Big Sur+ → wie iOS.
- Windows 11 → Einstellungen → Netzwerk und Internet → Erweiterte Netzwerkeinstellungen → DNS-Server-Zuweisung → Verschlüsselt (DoH).
- Android 9+ → Einstellungen → Netzwerk & Internet → Private DNS → DoT-Hostname eintragen (z. B.
1dot1dot1dot1.cloudflare-dns.com). - Linux → systemd-resolved unterstützt DoT; Konfiguration in
/etc/systemd/resolved.confmitDNS=undDNSOverTLS=yes.
Router-Level
- Wer den DNS auf dem Router umstellt, schützt alle Geräte im Haus — auch Smart-TVs, IoT, Spielekonsolen, Gäste-Geräte.
- Manche Router-Modelle (Fritzbox 7-Serie, Unifi, OPNsense) unterstützen DoT/DoH direkt; andere benötigen Custom-Firmware (OpenWrt) oder einen vorgelagerten Pi-hole.
Faustregel: Router-Konfiguration ist die bequemste Lösung pro Schutzwirkung. Wer den ganzen Haushalt absichern will, macht das einmal am Router. System-/Browser-Level lohnen sich zusätzlich für mobile Geräte unterwegs.
NextDNS als Maximal-Variante
NextDNS verdient eine eigene Erwähnung, weil es eine eigene Klasse darstellt: konfigurierbarer Cloud-DNS mit eigenem Account.
Was du konfigurieren kannst:
- Welche Filter-Listen angewendet werden — vom dezenten „nur Malware" bis zum harten „blockiere alle Werbung + Tracker + Crypto-Mining + Telemetrie".
- Welche Domains spezifisch erlaubt oder blockiert sind (eigene Whitelist/Blacklist).
- Welche Logs gespeichert werden — gar nicht, anonymisiert, oder vollständig.
- Wie lange Logs aufbewahrt werden (Tag, Monat, ein Jahr, „nie löschen").
- Wo Logs gespeichert werden — EU, US, Schweiz (Datenstandort).
- Statistiken und Berichte über deine eigene Nutzung (welche Domains am häufigsten geblockt, welche neu aufgetaucht).
Preis-Modell: kostenlos bis 300 000 DNS-Anfragen pro Monat, danach 1,99 EUR/Monat unbegrenzt. Privacy-orientiertes Geschäftsmodell ohne Werbe-Finanzierung.
Für Familien und Privacy-orientierte Nutzer:innen ist NextDNS der Schweizer-Taschenmesser-Resolver. Wer nichts konfigurieren will, ist mit Cloudflare oder Quad9 bedient.
DNS-Schutz und seine Grenzen
Klare Abgrenzung — DoH/DoT lösen ein konkretes Problem, nicht alle:
- DoH/DoT schützen vor ISP/WLAN-Mitlauschen der DNS-Anfragen. Wirkt direkt.
- Sie schützen NICHT vor Tracking durch besuchte Sites. Wenn du auf
werbenetzwerk.comlandest, sehen die das. - Sie schützen NICHT vor SNI-Sichtbarkeit (bis ECH überall ankommt). Manche Beobachter sehen weiter, welche Domain du anrufst — wenn auch nicht direkt aus DNS, sondern aus dem TLS-Handshake.
- Sie verlagern Vertrauen — du vertraust nicht mehr dem ISP, sondern dem DNS-Anbieter. Wer sich daraus eine bessere Position ergibt, hängt vom Threat-Model ab.
- Sie reduzieren Tracking, wenn du einen Werbe-Blocker-DNS nutzt. AdGuard DNS, NextDNS mit Werbe-Filtern.
- VPNs umfassen DNS-Schutz oft mit. Wenn du VPN nutzt (Mullvad, ProtonVPN, IVPN), läuft DNS in der Regel durch den VPN-Tunnel zum VPN-Anbieter-Resolver.
Ein häufiges Mythos: „Mit DoH bin ich anonym." Nein — du verlagerst nur, wer sieht. Anonymität ist ein eigenes Thema, siehe anonymitaet-vs-privatsphaere.
Was die Browser- und OS-Hersteller tun
Stand 2026:
- Apple iCloud Private Relay (seit iOS 15, 2021) — eingebauter zwei-Hop-Proxy, der DNS und Web-Verkehr für Safari über zwei separate Anbieter routet. Apple sieht IP, der zweite Anbieter sieht Domain — keiner beides. Standardmäßig für iCloud+-Abonnent:innen verfügbar.
- Firefox Private Network / Mozilla VPN — kommerzielles VPN von Mozilla, inkl. DNS-Schutz.
- Cloudflare WARP — kostenlose VPN-ähnliche App, die alle Anfragen über Cloudflare leitet. Reduziert ISP-Sichtbarkeit, aber alles geht an Cloudflare.
- Chrome Secure DNS — Default-DoH zu dem im OS hinterlegten Resolver, wenn der DoH unterstützt.
Auf System-Level ist die DNS-Privacy heute leichter denn je: mit ein paar Klicks ist verschlüsseltes DNS aktiv. Wer das nicht macht, hat die Wahl bewusst verpasst — selten ist eine Schutzmaßnahme so niedrigschwellig.
Interessantes
Cloudflare 1.1.1.1: Marketing oder echtes Privacy-Statement?
Cloudflare hat das 1.1.1.1-Resolver-Projekt 2018 als Public-Service gestartet — ohne Werbe-Modell, mit jährlichen KPMG-Audits. Der Code des Resolvers ist Open Source, die Audits werden veröffentlicht. Das macht es zur am besten dokumentierten Resolver-Variante im kommerziellen Bereich. Wer Cloudflare als großem US-Cloud-Anbieter nicht traut, hat trotzdem eine valide Vorbehalts-Position — Quad9 ist die nicht-US-Variante.
Quad9 ist eine echte Schweizer Stiftung
Quad9 wurde 2017 als Non-Profit-Stiftung in der Schweiz gegründet, mit Beteiligung von IBM, Packet Clearing House und Global Cyber Alliance. Die Schweizer Rechtslage und die Stiftungs-Struktur machen Daten-Herausgabe-Anfragen sehr schwer. Sicherheits-Filter (Malware-Domain-Blockade) ist Default; Werbe-Blockade hingegen nicht — das ist Programm.
iCloud Private Relay ist ein 2-Hop-Proxy
Apples Lösung ist nicht ganz ein VPN: zwei unabhängige Operatoren routen den Verkehr — Apple sieht deine IP, weiß aber nicht, welche Domain du ansprichst; der zweite Anbieter (z. B. Cloudflare, Akamai, Fastly) sieht die Domain, weiß aber nicht, von welcher IP du kommst. Sehr smartes Design — funktioniert aber nur in Safari und nur für iCloud+-Abonnent:innen.
DoH wird von manchen Netzwerk-Admins blockiert
In Schul- und Firmen-Netzen wird DoH oft blockiert, weil es die zentrale Kontrolle über besuchte Domains umgeht. Wer in solchen Netzen DoH nutzen will, läuft gegen Filterung — und sollte Schul-/Firmen-Regeln respektieren. Bring-your-own-Device-Setups (BYOD) sind hier ein eigenes Thema.
Encrypted Client Hello (ECH) ergänzt DoH
DNS-Verschlüsselung schützt DNS-Anfragen — aber der Hostname im TLS-Handshake (SNI) war lange Klartext. ECH (seit 2024 in Chrome und Firefox) verschlüsselt auch den SNI. Voraussetzung: der Server unterstützt ECH und HTTPS DNS Resource Records werden korrekt aufgelöst. Cloudflare und Mozilla haben das im Mainstream eingeführt; viele andere Provider folgen.
Pi-hole + DoH-Forwarder als Self-Host-Variante
Wer maximale Kontrolle will: Pi-hole als lokaler DNS-Filter, dahinter ein DoH-Forwarder (cloudflared, dnscrypt-proxy) zu einem Upstream-Resolver. Damit hast du lokale Werbe-/Tracker-Blockade plus verschlüsselte Upstream-Anfragen. Aufwand: 1–2 Stunden Setup, danach pflegeleicht.
DoH in Apps umgeht Router-Filter
Manche Apps (insb. Chromium-basierte Browser, Firefox, manche Gaming-Apps) nutzen eigenes DoH, das den System- oder Router-DNS umgeht. Wenn du Pi-hole im Heimnetz hast und Chrome trotz Filter Werbung lädt, ist das oft die Erklärung. Browser-DoH ggf. ausschalten (in Chrome: Sicheres DNS → "Aktuelles Anbieter-DNS verwenden") oder auf den lokalen Resolver pointen.
Weiterführende Ressourcen
Externe Quellen
- Cloudflare 1.1.1.1 – DNS Resolver
- Cloudflare for Families
- Quad9
- NextDNS
- AdGuard DNS
- Mozilla – DoH in Firefox einrichten
- Apple Support – Private Relay
- RFC 8484 – DNS over HTTPS
- RFC 7858 – DNS over TLS
- Pi-hole + Cloudflared (DoH) Anleitung