Am 1. April 2018 unternahmen wir einen großen Schritt, um Datenschutz und der Sicherheit im Internet zu verbessern: die Markteinführung des öffentlichen DNS-Resolvers 1.1.1.1 – der schnellste öffentliche DNS-Resolver, bei dem Datenschutz an erster Stelle steht. Und wenn wir Datenschutz an erster Stelle sagen, dann meinen es wir so. Wir waren mit dem Status quo nicht zufrieden und glaubten, dass eine sichere DNS-Auflösung mit transparenten Datenschutzpraktiken die neue Norm sein sollte. Also verpflichteten wir uns gegenüber den Nutzern unseres öffentlichen Resolvers, keine personenbezogenen Daten über Anfragen, die mit unserem 1.1.1.1-Resolver gestellt wurden, aufzubewahren. Wir haben auch technische Maßnahmen zur Erleichterung von DNS über HTTPS eingebaut, um Ihre DNS-Anfragen sicher zu halten. Wir wollten nie wissen, was Einzelpersonen im Internet tun. Und wir haben technische Schritte unternommen, um sicherzustellen, dass wir es niemals erfahren.

Wir wussten, dass nicht alle Nutzer uns trauen würden. Viele Verbraucher sind überzeugt: Wenn sie nicht für das Produkt bezahlen, dann sind sie selbst das Produkt. So muss es aber nicht sein. Also haben wir eine Big-4 Wirtschaftsprüfungsgesellschaft mit der Prüfung unserer 1.1.1.1-Resolver-Datenschutzverpflichtungen beauftragt.

Wir freuen uns, Ihnen heute mitteilen zu können, dass die Prüfung des 1.1.1.1-Resolvers abgeschlossen ist. Eine Kopie des Berichts des unabhängigen Wirtschaftsprüfer finden Sie auf unserer Compliance-Seite.

Der Prüfungsprozess

Aus der Datenschutzprüfung des 1.1.1.1-Resolvers haben wir eine Reihe von Beobachtungen und Lehren gezogen. Soweit wir wissen, sind wir die ersten, die ihre Datenschutzverpflichtungen für einen rekursiven Resolver auf diese Weise prüfen lassen. Zuallererst haben wir gelernt, dass es länger dauert als gedacht, sich auf Begriffe zu einigen und diese Art von Prüfung abzuschließen.

Wir haben auch festgestellt, dass Privacy by Design (Datenschutz durch Technikgestaltung) funktioniert. Nicht, dass wir etwas anderes erwartet hätten – wir befolgen „Privacy by Design“-Prinzipen in allen unseren Produkten und Dienstleistungen. Weil wir bei der Entwicklkung des 1.1.1.1-Resolvers die besten Anonymisierungspraktiken eingebaut haben, konnten wir nachweisen, dass wir keine personenbezogenen Daten zu verkaufen hatten. Genauer gesagt, in Übereinstimmung mit RFC 6235 haben wir beschlossen, die Client-/Quell-IP in unseren Edge-Rechenzentren abzuschneiden, sodass wir niemals die vollständige IP-Adresse des 1.1.1.1-Resolver-Nutzers in einem nichtflüchtigen Speicher speichern.

Wir wussten, dass eine abgeschnittene IP-Adresse ausreichen würde, um allgemeine Internettrends und die Quelle des Traffics zu identifizieren. Darüber hinaus haben wir auch unseren „Privacy first“-Ansatz weiter verbessert, indem wir bei unseren internen Protokollen die abgeschnittene IP-Adresse durch Netzwerknummern (die ASN) ersetzt haben. Darüber hinaus haben wir uns verpflichtet, diese anonymisierten Protokolle nur für einen begrenzten Zeitraum aufzubewahren. Es ist so, als würden Sie einen Gürtel mit Hosenträgern und einem weiteren Gürten tragen – nur in Datenschutz übersetzt.

Schließlich fanden wir heraus: Die Abstimmung unserer Prüfung des 1.1.1.1-Resolvers mit unserem SOC 2-Bericht zeigte am effizientesten, dass wir über die geeigneten Änderungskontrollverfahren und Audit-Protokolle verfügten, um zu bestätigen, dass unsere IP-Trunkierungslogik und die begrenzten Datenaufbewahrungszeiträume während des Prüfungszeitraums in Kraft waren. Der 1.1.1.1-Resolver-Prüfungszeitraum vom 1. Februar 2019 bis zum 31. Oktober 2019 war der früheste Zeitraum, auf den wir zurückgreifen konnten, während wir uns auf unseren SOC 2-Bericht stützten.

Details zur Prüfung

Als wir den 1.1.1.1-Resolver auf den Markt brachten, verpflichteten wir uns, nicht zu verfolgen, was einzelne Nutzer unseres 1.1.1.1-Resolvers online suchen. Die Prüfung bestätigte, dass unser System so konfiguriert ist, dass es erreicht, was wir für den wichtigsten Teil dieser Verpflichtung halten – wir schreiben die abfragenden IP-Adressen nie zusammen mit der DNS-Abfrage auf die Festplatte und wissen daher nicht, wer eine bestimmte Anfrage mit dem 1.1.1.1-Resolver stellt. Das bedeutet, dass wir nicht nachverfolgen, welche Websites einzelne Nutzer besuchen, und wir werden Ihre personenbezogenen Daten niemals verkaufen.

Wir wollen völlig transparent sein: Wir haben während der Prüfung aufgedeckt, dass unsere Router nach dem Zufallsprinzip bis zu 0,05 % aller Anfragen erfassen, die sie durchlaufen, dazu gehören auch abfragende IP-Adressen von Resolver-Nutzern. Wir tun dies getrennt vom 1.1.1.1-Dienst für den gesamten Traffic, der in unser Netzwerk gelangt. Wir bewahren diese Daten für einen begrenzten Zeitraum auf, um sie im Zusammenhang mit der Fehlerbehebung im Netzwerk und der Eindämmung von Denial-of-Service-Angriffen zu verwenden.

Zur Erklärung: Wenn eine bestimmte IP-Adresse sehr oft durch eines unserer Rechenzentren fließt, wird sie häufig mit böswilligen Anfragen oder einem Botnetz in Verbindung gebracht. Wir müssen diese Informationen aufbewahren, um Angriffe auf unser Netzwerk zu bekämpfen und um zu verhindern, dass unser Netzwerk selbst als Angriffsvektor benutzt wird. Diese begrenzte Teilstichprobe von Daten ist nicht mit DNS-Abfragen verknüpft, die vom Dienst 1.1.1.1 bearbeitet werden, und hat keine Auswirkungen auf den Datenschutz der Nutzer.

Wir gestehen auch ein, dass wir bei unseren Datenschutzversprechen darüber, wie wir nicht persönlich identifizierbare Protokolldaten für 1.1.1.1-Resolver-Anfragen behandeln würden, einige verwirrende Aussagen zum Thema Umgang mit anonymen Protokollen gemacht haben.

So erfuhren wir beispielsweise, dass unsere Verpflichtung in unserem Blog-Post über die Aufbewahrung anonymer Protokolldaten nicht klar genug geschrieben war. Unsere früheren Aussagen waren nicht so klar, weil wir uns auf temporäre, transaktionale und permanente Protokolle in einer Weise bezogen, die besser hätte definiert werden können. Zum Beispiel hieß es in unseren 1.1.1.1-Resolver-Datenschutz-FAQs, dass wir Transaktionsprotokolle nicht länger als 24 Stunden aufbewahren würden, dass aber einige anonyme Protokolle auf unbestimmte Zeit aufbewahrt würden. Unser Blog-Post, in dem wir den öffentlichen Resolver bekannt gaben, hat diese Unterscheidung jedoch nicht getroffen. Eine klarere Aussage zu unserem Umgang mit anonymen Protokollen finden Sie auf der Seite zu unseren Datenschutzverpflichtungen (weiter unten verlinkt).

Vor diesem Hintergrund haben wir unsere Datenschutzverpflichtungen für den 1.1.1.1-Resolver aktualisiert und präzisiert, wie genau, sehen Sie weiter unten. Der wichtigste Teil dieser Verpflichtungen bleibt unverändert: Wir wollen nicht wissen, was Sie im Internet tun – es geht uns nichts an – und wir haben die technischen Schritte unternommen, um sicherzustellen, dass wir es nicht können.

Unsere Verpflichtungen für den öffentlichen DNS-Resolver 1.1.1.1

Wir haben unsere Verpflichtungen zum 1.1.1.1-Resolver-Datenschutz als Teil unseres Prüfungsaufwands verfeinert. Art und Zweck unserer Verpflichtungen entsprechen unseren ursprünglichen Verpflichtungen. Diese aktualisierten Verpflichtungen sind das, was in die Prüfung einbezogen wurde:

  1. Cloudflare wird die personenbezogenen Daten der Nutzer des öffentlichen Resolvers nicht an Dritte verkaufen oder weitergeben oder personenbezogene Daten aus dem öffentlichen Resolver verwenden, um Nutzern Werbung anzuzeigen.
  2. Cloudflare wird nur das behalten oder verwenden, was gefragt wird, nicht aber Informationen, die Aufschluss darüber geben, wer danach fragt. Mit Ausnahme von zufällig ausgewählten Netzwerkpaketen, die von höchstens 0,05 % des gesamten an die Netzwerkinfrastruktur von Cloudflare gesendeten Traffics erfasst werden, behält Cloudflare die Quell-IP von DNS-Abfragen an den öffentlichen Resolver nicht in einem nichtflüchtigen Speicher (mehr dazu weiter unten). Die nach dem Zufallsprinzip gesampelten Pakete werden ausschließlich zur Fehlersuche im Netzwerk und zur DoS-Bekämpfung verwendet.
  3. Die IP-Adresse des Nutzers eines öffentlichen Resolvers (als Client- oder Quell-IP-Adresse bezeichnet) wird nicht in einem nichtflüchtigen Speicher gespeichert. Cloudflare anonymisiert Quell-IP-Adressen mittels IP-Abschneidemethoden (letztes Oktett bei IPv4 und letzte 80 Bit bei IPv6). Cloudflare wird die abgeschnittene IP-Adresse innerhalb von 25 Stunden löschen.
  4. Cloudflare wird nur die begrenzten Transaktions- und Debug-Protokolldaten („Public Resolver Logs“) für den rechtmäßigen Betrieb unseres öffentlichen Resolvers und zu Forschungszwecken aufbewahren, und Cloudflare wird die Public Resolver Logs innerhalb von 25 Stunden löschen.
  5. Cloudflare wird die Public Resolver Logs nicht an Dritte weitergeben, mit Ausnahme von APNIC gemäß einer Forschungskooperationsvereinbarung. APNIC wird nur begrenzten Zugang haben, um die anonymisierten Daten in den Public Resolver Logs abzufragen und Untersuchungen im Zusammenhang mit dem Betrieb des DNS-Systems durchzuführen.

Nachweis von Datenschutzverpflichtungen

Wir haben den 1.1.1.1-Resolver entwickelt, weil wir erhebliche Datenschutzprobleme erkannt haben: ISPs, WLAN-Netzwerke, mit denen Sie sich verbinden, Ihr Mobilfunkanbieter und alle anderen, die im Internet zuhören, können jede von Ihnen besuchte Website und jede von Ihnen verwendete Anwendung sehen – selbst wenn der Inhalt verschlüsselt ist. Einige DNS-Anbieter verkaufen sogar Daten über Ihre Internetaktivitäten oder verwenden sie, um Sie mit zielgerichteter Werbung anzusprechen. DNS kann auch als Instrument der Zensur gegen viele der Gruppen verwendet werden, die wir durch unsere Projekt Galileo schützen.

Wenn Sie DNS-over-HTTPS oder DNS-over-TLS für unseren 1.1.1.1-Resolver verwenden, wird Ihre DNS-Lookup-Anfrage über einen sicheren Kanal gesendet. Das bedeutet, dass, wenn Sie den 1.1.1.1-Resolver verwenden, zusätzlich zu unseren Datenschutzgarantien ein Lauscher Ihre DNS-Anfragen nicht sehen kann. Wir versprechen, dass wir uns nicht ansehen werden, was Sie tun.

Wir sind der festen Überzeugung, dass Verbraucher von ihren Dienstleistungsanbietern einen Nachweis darüber erwarten können, dass sie sich tatsächlich an ihre Datenschutzverpflichtungen halten. Wenn Cloudflare in der Lage war, unsere 1.1.1.1-Resolver-Datenschutzverpflichtungen von einem unabhängigen Wirtschaftsprüfer überprüfen zu lassen, glauben wir, dass andere Anbieter das Gleiche tun können. Wir ermutigen andere Anbieter, unserem Beispiel zu folgen und dazu beizutragen, Datenschutz und die Transparenz für Internetnutzer weltweit zu verbessern. Und wir werden unsererseits weiterhin angesehene Wirtschaftsprüfungsgesellschaften damit beauftragen, unsere 1.1.1.1-Resolver-Datenschutzverpflichtungen zu prüfen. Wir schätzen auch die Arbeit, die Mozilla auf sich genommen hat, um Einrichtungen, die rekursive Resolver betreiben, zu ermutigen, Datenverarbeitungspraktiken einzuführen, die die Privatsphäre der Nutzerdaten schützen.

Einzelheiten über die Prüfung des Datenschutzes des 1.1.1.1-Resolvers und die Stellungnahme unseres Wirtschaftsprüfers finden Sie auf Cloudflares Compliance-Seite.

Besuchen Sie https://developers.cloudflare.com/1.1.1.1/ auf jedem beliebigen Gerät, um den schnellsten und datenschutzfreundlichsten DNS-Dienst des Internets zu bekommen.

PS Cloudflare hat es sich zur Tradition gemacht, neue Produkte am 1. April zu veröffentlichen. Vor zwei Jahren haben wir 1.1.1.1, den kostenlosen, schnellen, datenschutzorientierten öffentlicher DNS-Resolver, herausgebracht. Vor einem Jahr war es WARP, unsere Weg, mobilen Internetzugang zu sichern und zu beschleunigen.

Und morgen?

Then three key changes
One before the weft, also
Safety to the roost