Was ist Private DNS? Wie es funktioniert und wie man es einrichtet

Was ist Private DNS?
Private DNS ist eine Funktion, die Ihre DNS-Anfragen verschluesselt, sodass niemand zwischen Ihrem Geraet und dem DNS-Server sehen kann, welche Websites Sie aufrufen. Es verwendet Protokolle wie DNS over TLS (DoT) oder DNS over HTTPS (DoH), um Ihre Anfragen in einem verschluesselten Tunnel zu uebertragen.
Ohne Private DNS wird jeder Domainname, den Sie in Ihren Browser eingeben, als Klartext ueber das Internet gesendet. Ihr Internetanbieter, jeder in Ihrem WLAN-Netzwerk und jede Zwischenstation auf dem Netzwerkpfad kann diese Anfragen lesen und sogar veraendern. Private DNS verhindert dies, indem es die Verbindung zwischen Ihrem Geraet und dem DNS-Resolver verschluesselt.
Der Begriff 'Private DNS' wird am haeufigsten mit der Android-Einstellung in Verbindung gebracht, die mit Android 9 Pie (2018) eingefuehrt wurde. Die zugrunde liegende Technologie — verschluesseltes DNS — ist jedoch auf allen grossen Plattformen verfuegbar, einschliesslich iOS, Windows, macOS und Linux.
Wie normales DNS funktioniert (und warum es ein Problem ist)
Herkoemmliches DNS sendet Anfragen seit 1987 im Klartext. Wenn Sie einen Domainnamen in Ihren Browser eingeben, sendet Ihr Geraet eine DNS-Anfrage ueber UDP-Port 53 an einen DNS-Resolver (normalerweise den Server Ihres Internetanbieters). Der Resolver antwortet mit der IP-Adresse — alles komplett unverschluesselt.
Das bedeutet, dass jeder auf Ihrem Netzwerkpfad jede Domain sehen kann, die Sie besuchen. Ihr Internetanbieter kann ein vollstaendiges Surfprofil erstellen. Angreifer in oeffentlichen WLANs koennen Ihre Anfragen abfangen. Einige Internetanbieter manipulieren sogar DNS-Antworten, um Sie auf ihre eigenen Such- oder Werbeseiten umzuleiten.
DNS ist ausserdem anfaellig fuer Cache-Poisoning und Spoofing-Angriffe, bei denen ein Angreifer gefaelschte Antworten sendet und Sie ohne Ihr Wissen auf schaedliche Websites umleitet. Herkoemmliches DNS hat keine eingebaute Moeglichkeit zu ueberpruefen, ob die Antwort tatsaechlich vom echten DNS-Server stammt.
Wie Private DNS funktioniert
Private DNS verpackt Ihre DNS-Anfragen in eine verschluesselte Verbindung. Anstatt eine Klartext-Anfrage ueber UDP-Port 53 zu senden, baut Ihr Geraet zuerst eine verschluesselte Sitzung mit dem DNS-Resolver auf und sendet die Anfrage dann durch diesen sicheren Tunnel.
Der DNS-Resolver entschluesselt Ihre Anfrage, loest den Domainnamen in eine IP-Adresse auf, verschluesselt die Antwort und sendet sie zurueck. Der gesamte Austausch ist fuer jeden unsichtbar, der das Netzwerk ueberwacht — man kann sehen, dass Sie mit einem DNS-Server kommunizieren, aber nicht welche Domains Sie abfragen.
Es gibt derzeit drei verschluesselte DNS-Protokolle: DNS over TLS (DoT), DNS over HTTPS (DoH) und DNS over QUIC (DoQ). Jedes verfolgt einen anderen Ansatz zur Verschluesselung derselben zugrunde liegenden DNS-Anfrage.
DNS over TLS vs DNS over HTTPS vs DNS over QUIC
DoT ist das am haeufigsten verwendete Protokoll fuer Private DNS auf Systemebene (Android, Linux). Es verwendet einen dedizierten Port (853), wodurch Netzwerkadministratoren es leicht identifizieren und blockieren koennen.
DoH wird von Webbrowsern bevorzugt, weil es sich in den normalen HTTPS-Verkehr auf Port 443 einfuegt und nahezu unmoeglich zu blockieren ist, ohne das gesamte Web lahmzulegen. Chrome, Firefox und Edge unterstuetzen DoH nativ.
DoQ ist das neueste Protokoll (2022) und das schnellste. Es verwendet QUIC-Transport mit integrierter TLS 1.3-Verschluesselung und kann Verbindungen mit null Roundtrips (0-RTT) aufbauen. Android 13+ unterstuetzt DoQ, und Anbieter wie AdGuard planen, es als Standardprotokoll zu verwenden.
| Eigenschaft | DNS over TLS (DoT) | DNS over HTTPS (DoH) | DNS over QUIC (DoQ) |
|---|---|---|---|
| RFC | RFC 7858 (2016) | RFC 8484 (2018) | RFC 9250 (2022) |
| Port | TCP 853 (dediziert) | TCP 443 (geteilt mit HTTPS) | UDP 853 |
| Transport | TLS ueber TCP | HTTP/2 oder HTTP/3 ueber TLS | QUIC (TLS 1.3 integriert) |
| Blockierbar? | Einfach — Port 853 blockieren | Sehr schwer — gleicher Port wie HTTPS | Mittel — UDP 853 |
| Latenz | Niedrig | Etwas hoeher (HTTP-Overhead) | Am niedrigsten (0-RTT moeglich) |
| Verwendet von | Android Private DNS, Systemebene | Browser (Chrome, Firefox, Edge) | AdGuard, NextDNS, Cloudflare |
| Verbreitung | Weit verbreitet | Weit verbreitet | Wachsend |
Private DNS auf Android aktivieren
Android hat seit Android 9 Pie (2018) eine integrierte Private-DNS-Unterstuetzung. Es verwendet DNS over TLS und gilt systemweit fuer alle Apps.
Schritt 1: Oeffnen Sie Einstellungen > Netzwerk & Internet (oder Verbindungen bei Samsung)
Schritt 2: Tippen Sie auf Privates DNS (moeglicherweise muessen Sie zuerst auf 'Erweitert' oder 'Weitere Verbindungseinstellungen' tippen)
Schritt 3: Waehlen Sie Hostname des privaten DNS-Anbieters
Schritt 4: Geben Sie einen DoT-Hostnamen ein. Beispiele:
1dot1dot1dot1.cloudflare-dns.com(Cloudflare),dns.google(Google),dns.quad9.net(Quad9),dns.adguard-dns.com(AdGuard)Schritt 5: Tippen Sie auf Speichern. Android ueberprueft die Verbindung — bei einem Fehler wird eine Fehlermeldung angezeigt
Private DNS auf iPhone und iPad aktivieren
Apple bietet keinen einfachen Schalter wie Android. Verschluesseltes DNS unter iOS erfordert die Installation eines Konfigurationsprofils oder die Verwendung einer DNS-App.
Methode 1: DNS-App — Installieren Sie die 1.1.1.1 (Cloudflare), NextDNS oder AdGuard App aus dem App Store. Oeffnen Sie die App und aktivieren Sie verschluesseltes DNS. Es erscheint unter Einstellungen > Allgemein > VPN, DNS & Geraetverwaltung.
Methode 2: Konfigurationsprofil — Laden Sie eine
.mobileconfig-Datei von einer vertrauenswuerdigen Quelle herunter (z. B. daspaulmillr/encrypted-dnsGitHub-Repository). Gehen Sie zu Einstellungen > Allgemein > VPN, DNS & Geraetverwaltung, waehlen Sie das heruntergeladene Profil aus und tippen Sie auf Installieren.Methode 3: Netzwerk-DNS — Gehen Sie zu Einstellungen > WLAN, tippen Sie auf das (i) neben Ihrem Netzwerk, tippen Sie auf DNS konfigurieren, waehlen Sie Manuell und fuegen Sie DNS-Server-IPs hinzu (z. B. 1.1.1.1, 1.0.0.1). Hinweis: Dies verschluesselt DNS NICHT — es aendert nur den Resolver.
DNS over HTTPS unter Windows 11 aktivieren
Windows 11 unterstuetzt DNS over HTTPS nativ. Es wird mit einer Liste anerkannter DoH-Anbieter ausgeliefert, darunter Cloudflare, Google und Quad9.
Schritt 1: Oeffnen Sie Einstellungen > Netzwerk & Internet > WLAN (oder Ethernet)
Schritt 2: Klicken Sie auf Hardwareeigenschaften fuer Ihre Verbindung
Schritt 3: Klicken Sie auf Bearbeiten neben der DNS-Serverzuweisung
Schritt 4: Waehlen Sie Manuell, aktivieren Sie IPv4
Schritt 5: Geben Sie einen primaeren DNS-Server ein (z. B.
1.1.1.1), setzen Sie DNS over HTTPS auf Ein (automatische Vorlage)Schritt 6: Geben Sie einen sekundaeren DNS-Server ein (z. B.
1.0.0.1), setzen Sie DoH ebenfalls auf EinSchritt 7: Klicken Sie auf Speichern. Der DNS-Eintrag sollte nun ein Verschluesselt-Label anzeigen
# View pre-configured DoH providers in Windows 11
netsh dns show encryption
# Add a custom DoH provider via PowerShell
Add-DnsClientDohServerAddress -ServerAddress '1.1.1.1' -DohTemplate 'https://cloudflare-dns.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $TruePrivate DNS auf macOS aktivieren
macOS unterstuetzt verschluesseltes DNS ueber Konfigurationsprofile (wie bei iOS) oder ueber DNS-Apps.
Methode 1: DNS-App — Installieren Sie die Cloudflare 1.1.1.1 App (oder eine aehnliche) und aktivieren Sie sie. Die App konfiguriert DoH oder DoT auf Systemebene.
Methode 2: Konfigurationsprofil — Laden Sie eine
.mobileconfig-Datei herunter, doppelklicken Sie zur Installation und genehmigen Sie sie unter Systemeinstellungen > Datenschutz & Sicherheit > Profile.Methode 3: Terminal (fortgeschritten) — Verwenden Sie
networksetup, um DNS-Server zu aendern. Beachten Sie jedoch, dass Kommandozeilen-DNS-Aenderungen allein KEINE Verschluesselung aktivieren. Sie benoetigen weiterhin ein Profil oder eine App fuer verschluesseltes DNS.
Die besten Private DNS-Anbieter (2026)
Cloudflare 1.1.1.1 ist der schnellste oeffentliche DNS-Resolver und unterstuetzt alle drei verschluesselten Protokolle (DoT, DoH, DoQ). Es bietet familienfreundliche Varianten: security.cloudflare-dns.com (Malware-Blockierung) und family.cloudflare-dns.com (Malware- und Erwachseneninhalte-Blockierung). Cloudflare verpflichtet sich, Ihre IP-Adresse nicht zu protokollieren, und wird jaehrlich auditiert.
Google Public DNS ist der am weitesten verbreitete oeffentliche Resolver. Er unterstuetzt DoT und DoH, protokolliert aber temporaere Daten fuer 24-48 Stunden, bevor sie anonymisiert werden. Wenn absolute Privatsphaere Ihre Prioritaet ist, sind Cloudflare oder Quad9 die bessere Wahl.
Quad9 unterliegt Schweizer Recht mit strengen No-IP-Logging-Richtlinien. Es blockiert automatisch bekannte schaedliche Domains mithilfe von Bedrohungsinformationen von ueber 25 Cybersicherheitsunternehmen — damit ist es die beste Wahl fuer sicherheitsbewusste Nutzer.
AdGuard DNS blockiert Werbung und Tracker auf DNS-Ebene, sodass Werbung auf Ihrem gesamten Geraet blockiert wird, ohne einen separaten Werbeblocker installieren zu muessen. AdGuard war ein fruehzeitiger Anwender von DNS over QUIC und plant, DoQ als Standardprotokoll zu verwenden.
NextDNS bietet Ihnen die meiste Kontrolle. Sie erhalten einen benutzerdefinierten Hostnamen, konfigurierbare Blocklisten, geraetespezifische Analysen, Kindersicherungen und ein Dashboard, um genau zu sehen, was blockiert wird. Die kostenlose Version umfasst 300.000 Anfragen pro Monat.
| Anbieter | DoT-Hostname | IPv4 | Am besten fuer |
|---|---|---|---|
| Cloudflare | 1dot1dot1dot1.cloudflare-dns.com | 1.1.1.1 / 1.0.0.1 | Geschwindigkeit — schnellster oeffentlicher Resolver weltweit (~5 ms Durchschnitt) |
| dns.google | 8.8.8.8 / 8.8.4.4 | Zuverlaessigkeit — riesige globale Infrastruktur | |
| Quad9 | dns.quad9.net | 9.9.9.9 / 149.112.112.112 | Sicherheit — blockiert schaedliche Domains mit 25+ Threat-Intelligence-Feeds |
| AdGuard | dns.adguard-dns.com | 94.140.14.14 / 94.140.15.15 | Werbeblocker — blockiert Werbung und Tracker auf DNS-Ebene |
| NextDNS | <YOUR-ID>.dns.nextdns.io | Custom | Anpassung — vollstaendig konfigurierbare Blocklisten und Analysen |
Vorteile von Private DNS
Die Aktivierung von Private DNS auf Ihren Geraeten bietet sofortige Verbesserungen bei Sicherheit und Datenschutz.
Stoppt ISP-Ueberwachung — Ihr Internetanbieter kann nicht mehr sehen, welche Domains Sie abfragen, oder ein Surfprofil aus Ihrem DNS-Verkehr erstellen
Verhindert DNS-Spoofing — TLS-Authentifizierung stellt sicher, dass Sie mit dem echten DNS-Server kommunizieren, nicht mit einem Angreifer
Schuetzt in oeffentlichen WLANs — Andere Nutzer im selben Netzwerk koennen Ihre DNS-Anfragen nicht abfangen
Blockiert DNS-Hijacking — Ihre Anfragen koennen nicht stillschweigend von einem kompromittierten Router oder boesartigen Netzwerk umgeleitet werden
Umgeht transparente DNS-Proxys — Einige Internetanbieter fangen DNS auf Port 53 ab, auch wenn Sie Drittanbieter-Server verwenden. Verschluesseltes DNS nutzt andere Ports und umgeht diese Proxys
Optionale Werbe- und Malware-Blockierung — Anbieter wie AdGuard, NextDNS und Quad9 koennen Werbung, Tracker und schaedliche Domains auf DNS-Ebene blockieren
Funktioniert systemweit — Einmal aktiviert, schuetzt Private DNS alle Apps auf Ihrem Geraet, nicht nur Ihren Browser
Moegliche Nachteile von Private DNS
Private DNS ist nicht perfekt. Hier sind die Kompromisse, die Sie kennen sollten.
Leichte Latenz bei der ersten Anfrage — Der TLS-Handshake fuegt der ersten DNS-Anfrage etwa 15-35 ms hinzu. Danach wird die Verbindung wiederverwendet und nachfolgende Anfragen sind genauso schnell.
Captive Portals koennen Probleme verursachen — WLAN-Netzwerke in Hotels, Flughaefen und Cafes, die eine Anmeldeseite erfordern, benoetigen oft unverschluesseltes DNS zur Weiterleitung. Private DNS kann das Laden dieser Portale verhindern.
Firmennetzwerke koennen es blockieren — IT-Abteilungen benoetigen DNS-Transparenz fuer die Sicherheitsueberwachung. Viele Unternehmensnetzwerke blockieren verschluesseltes DNS zu externen Resolvern absichtlich.
Zentralisierungsbedenken — Verschluesseltes DNS foerdert die Nutzung weniger grosser Resolver (Cloudflare, Google), wodurch der DNS-Verkehr bei weniger Unternehmen konzentriert wird.
Verschluesselt nicht alles — Private DNS verschluesselt Domain-Anfragen, aber Ihr Internetanbieter kann weiterhin die IP-Adressen sehen, mit denen Sie sich verbinden, ueber SNI im TLS-Handshake (es sei denn, Sie verwenden auch ECH).
Split-Horizon-DNS-Probleme — Organisationen, die unterschiedliche interne und externe DNS verwenden, koennen Probleme bekommen, wenn Geraete den internen Resolver umgehen.
'Dieses Netzwerk blockiert verschluesselten DNS-Verkehr' — Was es bedeutet
Wenn Sie diese Warnung auf Ihrem iPhone oder Mac sehen, bedeutet das, dass das Netzwerk, mit dem Sie verbunden sind, Ihre verschluesselten DNS-Anfragen daran hindert, ihr Ziel zu erreichen. Ihre DNS-Anfragen werden im Klartext gesendet, und jeder im Netzwerk kann sehen, welche Domains Sie besuchen.
Diese Warnung erscheint haeufig in Firmennetzwerken, Schul-WLANs, Hotel- und Flughafen-Netzwerken mit Captive Portals sowie in Netzwerken mit aelterer Router-Firmware, die verschluesseltes DNS nicht unterstuetzt.
Geraet und Router neu starten — Dies setzt Netzwerkprozesse zurueck und behebt oft voruebergehende Probleme
WLAN-Netzwerk vergessen und erneut verbinden — Gehen Sie zu den WLAN-Einstellungen, vergessen Sie das Netzwerk und verbinden Sie sich erneut
Router-Firmware aktualisieren — Aeltere Firmware kann verschluesselten DNS-Verkehr moeglicherweise nicht ordnungsgemaess verarbeiten
VPN verwenden — Ein VPN verschluesselt den gesamten Datenverkehr einschliesslich DNS und umgeht so jede DNS-Blockierung auf Netzwerkebene
In verwalteten Netzwerken akzeptieren — In Firmen- oder Schulnetzwerken ist die Blockierung verschluesselten DNS oft beabsichtigt fuer die Sicherheitsueberwachung. Moeglicherweise koennen Sie sie nicht umgehen
So ueberpruefen Sie, ob Private DNS funktioniert
Nach der Aktivierung von Private DNS sollten Sie ueberpruefen, ob Ihre Anfragen tatsaechlich verschluesselt und ueber den gewaehlten Anbieter geleitet werden.
Cloudflare-Diagnoseseite — Besuchen Sie 1.1.1.1/help, um zu sehen, ob Sie DoH, DoT oder Klartext-DNS verwenden und welcher Resolver Ihre Anfragen bearbeitet
DNS-Leak-Test — Besuchen Sie dnsleaktest.com und fuehren Sie den erweiterten Test durch. Wenn Sie nur die Server Ihres gewaehlten Anbieters sehen (nicht die Ihres Internetanbieters), funktioniert Ihr verschluesseltes DNS korrekt
Unser DNS Lookup-Tool verwenden — DNS Robots DNS Lookup ermoeglicht es Ihnen, bestimmte DNS-Server abzufragen und zu ueberpruefen, ob sie wie erwartet antworten
Browser-Leak-Test — Besuchen Sie browserleaks.com/dns, um zu pruefen, welche DNS-Server Ihr Browser verwendet
# Test DNS over TLS with kdig
kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
# Check which resolver is responding
dig whoami.cloudflare.com TXT @1.1.1.1
# Test DNS over HTTPS with curl
curl -s -H 'accept: application/dns-json' \
'https://cloudflare-dns.com/dns-query?name=example.com&type=A'Ueberpruefen Sie Ihre DNS-Konfiguration
Verwenden Sie DNS Robots DNS Lookup-Tool, um Ihre DNS-Einstellungen zu ueberpruefen, zu sehen, welche Nameserver antworten, und DNS-Probleme zu beheben.
Try DNS LookupFrequently Asked Questions
Private DNS auf Android ist eine integrierte Funktion (seit Android 9), die Ihre DNS-Anfragen mit DNS over TLS verschluesselt. Wenn aktiviert, senden alle Apps auf Ihrem Geraet DNS-Anfragen durch einen verschluesselten Tunnel, sodass Ihr Internetanbieter und Netzbetreiber nicht sehen koennen, welche Websites Sie besuchen.