Was ist Private DNS? Wie es funktioniert und wie man es einrichtet

Was ist Private DNS?

Private DNS ist eine Funktion, die Ihre DNS-Anfragen verschluesselt, sodass niemand zwischen Ihrem Geraet und dem DNS-Server sehen kann, welche Websites Sie aufrufen. Es verwendet Protokolle wie DNS over TLS (DoT) oder DNS over HTTPS (DoH), um Ihre Anfragen in einem verschluesselten Tunnel zu uebertragen.

Ohne Private DNS wird jeder Domainname, den Sie in Ihren Browser eingeben, als Klartext ueber das Internet gesendet. Ihr Internetanbieter, jeder in Ihrem WLAN-Netzwerk und jede Zwischenstation auf dem Netzwerkpfad kann diese Anfragen lesen und sogar veraendern. Private DNS verhindert dies, indem es die Verbindung zwischen Ihrem Geraet und dem DNS-Resolver verschluesselt.

Der Begriff 'Private DNS' wird am haeufigsten mit der Android-Einstellung in Verbindung gebracht, die mit Android 9 Pie (2018) eingefuehrt wurde. Die zugrunde liegende Technologie — verschluesseltes DNS — ist jedoch auf allen grossen Plattformen verfuegbar, einschliesslich iOS, Windows, macOS und Linux.

Wie normales DNS funktioniert (und warum es ein Problem ist)

Herkoemmliches DNS sendet Anfragen seit 1987 im Klartext. Wenn Sie einen Domainnamen in Ihren Browser eingeben, sendet Ihr Geraet eine DNS-Anfrage ueber UDP-Port 53 an einen DNS-Resolver (normalerweise den Server Ihres Internetanbieters). Der Resolver antwortet mit der IP-Adresse — alles komplett unverschluesselt.

Das bedeutet, dass jeder auf Ihrem Netzwerkpfad jede Domain sehen kann, die Sie besuchen. Ihr Internetanbieter kann ein vollstaendiges Surfprofil erstellen. Angreifer in oeffentlichen WLANs koennen Ihre Anfragen abfangen. Einige Internetanbieter manipulieren sogar DNS-Antworten, um Sie auf ihre eigenen Such- oder Werbeseiten umzuleiten.

DNS ist ausserdem anfaellig fuer Cache-Poisoning und Spoofing-Angriffe, bei denen ein Angreifer gefaelschte Antworten sendet und Sie ohne Ihr Wissen auf schaedliche Websites umleitet. Herkoemmliches DNS hat keine eingebaute Moeglichkeit zu ueberpruefen, ob die Antwort tatsaechlich vom echten DNS-Server stammt.

Wie Private DNS funktioniert

Private DNS verpackt Ihre DNS-Anfragen in eine verschluesselte Verbindung. Anstatt eine Klartext-Anfrage ueber UDP-Port 53 zu senden, baut Ihr Geraet zuerst eine verschluesselte Sitzung mit dem DNS-Resolver auf und sendet die Anfrage dann durch diesen sicheren Tunnel.

Der DNS-Resolver entschluesselt Ihre Anfrage, loest den Domainnamen in eine IP-Adresse auf, verschluesselt die Antwort und sendet sie zurueck. Der gesamte Austausch ist fuer jeden unsichtbar, der das Netzwerk ueberwacht — man kann sehen, dass Sie mit einem DNS-Server kommunizieren, aber nicht welche Domains Sie abfragen.

Es gibt derzeit drei verschluesselte DNS-Protokolle: DNS over TLS (DoT), DNS over HTTPS (DoH) und DNS over QUIC (DoQ). Jedes verfolgt einen anderen Ansatz zur Verschluesselung derselben zugrunde liegenden DNS-Anfrage.

DNS over TLS vs DNS over HTTPS vs DNS over QUIC

DoT ist das am haeufigsten verwendete Protokoll fuer Private DNS auf Systemebene (Android, Linux). Es verwendet einen dedizierten Port (853), wodurch Netzwerkadministratoren es leicht identifizieren und blockieren koennen.

DoH wird von Webbrowsern bevorzugt, weil es sich in den normalen HTTPS-Verkehr auf Port 443 einfuegt und nahezu unmoeglich zu blockieren ist, ohne das gesamte Web lahmzulegen. Chrome, Firefox und Edge unterstuetzen DoH nativ.

DoQ ist das neueste Protokoll (2022) und das schnellste. Es verwendet QUIC-Transport mit integrierter TLS 1.3-Verschluesselung und kann Verbindungen mit null Roundtrips (0-RTT) aufbauen. Android 13+ unterstuetzt DoQ, und Anbieter wie AdGuard planen, es als Standardprotokoll zu verwenden.

Private DNS auf Android aktivieren

Android hat seit Android 9 Pie (2018) eine integrierte Private-DNS-Unterstuetzung. Es verwendet DNS over TLS und gilt systemweit fuer alle Apps.

• Schritt 1: Oeffnen Sie Einstellungen > Netzwerk & Internet (oder Verbindungen bei Samsung)

• Schritt 2: Tippen Sie auf Privates DNS (moeglicherweise muessen Sie zuerst auf 'Erweitert' oder 'Weitere Verbindungseinstellungen' tippen)

• Schritt 3: Waehlen Sie Hostname des privaten DNS-Anbieters

• Schritt 4: Geben Sie einen DoT-Hostnamen ein. Beispiele: 1dot1dot1dot1.cloudflare-dns.com (Cloudflare), dns.google (Google), dns.quad9.net (Quad9), dns.adguard-dns.com (AdGuard)

• Schritt 5: Tippen Sie auf Speichern. Android ueberprueft die Verbindung — bei einem Fehler wird eine Fehlermeldung angezeigt

Private DNS auf iPhone und iPad aktivieren

Apple bietet keinen einfachen Schalter wie Android. Verschluesseltes DNS unter iOS erfordert die Installation eines Konfigurationsprofils oder die Verwendung einer DNS-App.

• Methode 1: DNS-App — Installieren Sie die 1.1.1.1 (Cloudflare), NextDNS oder AdGuard App aus dem App Store. Oeffnen Sie die App und aktivieren Sie verschluesseltes DNS. Es erscheint unter Einstellungen > Allgemein > VPN, DNS & Geraetverwaltung.

• Methode 2: Konfigurationsprofil — Laden Sie eine .mobileconfig-Datei von einer vertrauenswuerdigen Quelle herunter (z. B. das paulmillr/encrypted-dns GitHub-Repository). Gehen Sie zu Einstellungen > Allgemein > VPN, DNS & Geraetverwaltung, waehlen Sie das heruntergeladene Profil aus und tippen Sie auf Installieren.

• Methode 3: Netzwerk-DNS — Gehen Sie zu Einstellungen > WLAN, tippen Sie auf das (i) neben Ihrem Netzwerk, tippen Sie auf DNS konfigurieren, waehlen Sie Manuell und fuegen Sie DNS-Server-IPs hinzu (z. B. 1.1.1.1, 1.0.0.1). Hinweis: Dies verschluesselt DNS NICHT — es aendert nur den Resolver.

DNS over HTTPS unter Windows 11 aktivieren

Windows 11 unterstuetzt DNS over HTTPS nativ. Es wird mit einer Liste anerkannter DoH-Anbieter ausgeliefert, darunter Cloudflare, Google und Quad9.

• Schritt 1: Oeffnen Sie Einstellungen > Netzwerk & Internet > WLAN (oder Ethernet)

• Schritt 2: Klicken Sie auf Hardwareeigenschaften fuer Ihre Verbindung

• Schritt 3: Klicken Sie auf Bearbeiten neben der DNS-Serverzuweisung

• Schritt 4: Waehlen Sie Manuell, aktivieren Sie IPv4

• Schritt 5: Geben Sie einen primaeren DNS-Server ein (z. B. 1.1.1.1), setzen Sie DNS over HTTPS auf Ein (automatische Vorlage)

• Schritt 6: Geben Sie einen sekundaeren DNS-Server ein (z. B. 1.0.0.1), setzen Sie DoH ebenfalls auf Ein

• Schritt 7: Klicken Sie auf Speichern. Der DNS-Eintrag sollte nun ein Verschluesselt-Label anzeigen

# View pre-configured DoH providers in Windows 11
netsh dns show encryption

# Add a custom DoH provider via PowerShell
Add-DnsClientDohServerAddress -ServerAddress '1.1.1.1' -DohTemplate 'https://cloudflare-dns.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $True

Private DNS auf macOS aktivieren

macOS unterstuetzt verschluesseltes DNS ueber Konfigurationsprofile (wie bei iOS) oder ueber DNS-Apps.

• Methode 1: DNS-App — Installieren Sie die Cloudflare 1.1.1.1 App (oder eine aehnliche) und aktivieren Sie sie. Die App konfiguriert DoH oder DoT auf Systemebene.

• Methode 2: Konfigurationsprofil — Laden Sie eine .mobileconfig-Datei herunter, doppelklicken Sie zur Installation und genehmigen Sie sie unter Systemeinstellungen > Datenschutz & Sicherheit > Profile.

• Methode 3: Terminal (fortgeschritten) — Verwenden Sie networksetup, um DNS-Server zu aendern. Beachten Sie jedoch, dass Kommandozeilen-DNS-Aenderungen allein KEINE Verschluesselung aktivieren. Sie benoetigen weiterhin ein Profil oder eine App fuer verschluesseltes DNS.

Die besten Private DNS-Anbieter (2026)

Cloudflare 1.1.1.1 ist der schnellste oeffentliche DNS-Resolver und unterstuetzt alle drei verschluesselten Protokolle (DoT, DoH, DoQ). Es bietet familienfreundliche Varianten: security.cloudflare-dns.com (Malware-Blockierung) und family.cloudflare-dns.com (Malware- und Erwachseneninhalte-Blockierung). Cloudflare verpflichtet sich, Ihre IP-Adresse nicht zu protokollieren, und wird jaehrlich auditiert.

Google Public DNS ist der am weitesten verbreitete oeffentliche Resolver. Er unterstuetzt DoT und DoH, protokolliert aber temporaere Daten fuer 24-48 Stunden, bevor sie anonymisiert werden. Wenn absolute Privatsphaere Ihre Prioritaet ist, sind Cloudflare oder Quad9 die bessere Wahl.

Quad9 unterliegt Schweizer Recht mit strengen No-IP-Logging-Richtlinien. Es blockiert automatisch bekannte schaedliche Domains mithilfe von Bedrohungsinformationen von ueber 25 Cybersicherheitsunternehmen — damit ist es die beste Wahl fuer sicherheitsbewusste Nutzer.

AdGuard DNS blockiert Werbung und Tracker auf DNS-Ebene, sodass Werbung auf Ihrem gesamten Geraet blockiert wird, ohne einen separaten Werbeblocker installieren zu muessen. AdGuard war ein fruehzeitiger Anwender von DNS over QUIC und plant, DoQ als Standardprotokoll zu verwenden.

NextDNS bietet Ihnen die meiste Kontrolle. Sie erhalten einen benutzerdefinierten Hostnamen, konfigurierbare Blocklisten, geraetespezifische Analysen, Kindersicherungen und ein Dashboard, um genau zu sehen, was blockiert wird. Die kostenlose Version umfasst 300.000 Anfragen pro Monat.

Vorteile von Private DNS

Die Aktivierung von Private DNS auf Ihren Geraeten bietet sofortige Verbesserungen bei Sicherheit und Datenschutz.

• Stoppt ISP-Ueberwachung — Ihr Internetanbieter kann nicht mehr sehen, welche Domains Sie abfragen, oder ein Surfprofil aus Ihrem DNS-Verkehr erstellen

• Verhindert DNS-Spoofing — TLS-Authentifizierung stellt sicher, dass Sie mit dem echten DNS-Server kommunizieren, nicht mit einem Angreifer

• Schuetzt in oeffentlichen WLANs — Andere Nutzer im selben Netzwerk koennen Ihre DNS-Anfragen nicht abfangen

• Blockiert DNS-Hijacking — Ihre Anfragen koennen nicht stillschweigend von einem kompromittierten Router oder boesartigen Netzwerk umgeleitet werden

• Umgeht transparente DNS-Proxys — Einige Internetanbieter fangen DNS auf Port 53 ab, auch wenn Sie Drittanbieter-Server verwenden. Verschluesseltes DNS nutzt andere Ports und umgeht diese Proxys

• Optionale Werbe- und Malware-Blockierung — Anbieter wie AdGuard, NextDNS und Quad9 koennen Werbung, Tracker und schaedliche Domains auf DNS-Ebene blockieren

• Funktioniert systemweit — Einmal aktiviert, schuetzt Private DNS alle Apps auf Ihrem Geraet, nicht nur Ihren Browser

Moegliche Nachteile von Private DNS

Private DNS ist nicht perfekt. Hier sind die Kompromisse, die Sie kennen sollten.

• Leichte Latenz bei der ersten Anfrage — Der TLS-Handshake fuegt der ersten DNS-Anfrage etwa 15-35 ms hinzu. Danach wird die Verbindung wiederverwendet und nachfolgende Anfragen sind genauso schnell.

• Captive Portals koennen Probleme verursachen — WLAN-Netzwerke in Hotels, Flughaefen und Cafes, die eine Anmeldeseite erfordern, benoetigen oft unverschluesseltes DNS zur Weiterleitung. Private DNS kann das Laden dieser Portale verhindern.

• Firmennetzwerke koennen es blockieren — IT-Abteilungen benoetigen DNS-Transparenz fuer die Sicherheitsueberwachung. Viele Unternehmensnetzwerke blockieren verschluesseltes DNS zu externen Resolvern absichtlich.

• Zentralisierungsbedenken — Verschluesseltes DNS foerdert die Nutzung weniger grosser Resolver (Cloudflare, Google), wodurch der DNS-Verkehr bei weniger Unternehmen konzentriert wird.

• Verschluesselt nicht alles — Private DNS verschluesselt Domain-Anfragen, aber Ihr Internetanbieter kann weiterhin die IP-Adressen sehen, mit denen Sie sich verbinden, ueber SNI im TLS-Handshake (es sei denn, Sie verwenden auch ECH).

• Split-Horizon-DNS-Probleme — Organisationen, die unterschiedliche interne und externe DNS verwenden, koennen Probleme bekommen, wenn Geraete den internen Resolver umgehen.

'Dieses Netzwerk blockiert verschluesselten DNS-Verkehr' — Was es bedeutet

Wenn Sie diese Warnung auf Ihrem iPhone oder Mac sehen, bedeutet das, dass das Netzwerk, mit dem Sie verbunden sind, Ihre verschluesselten DNS-Anfragen daran hindert, ihr Ziel zu erreichen. Ihre DNS-Anfragen werden im Klartext gesendet, und jeder im Netzwerk kann sehen, welche Domains Sie besuchen.

Diese Warnung erscheint haeufig in Firmennetzwerken, Schul-WLANs, Hotel- und Flughafen-Netzwerken mit Captive Portals sowie in Netzwerken mit aelterer Router-Firmware, die verschluesseltes DNS nicht unterstuetzt.

• Geraet und Router neu starten — Dies setzt Netzwerkprozesse zurueck und behebt oft voruebergehende Probleme

• WLAN-Netzwerk vergessen und erneut verbinden — Gehen Sie zu den WLAN-Einstellungen, vergessen Sie das Netzwerk und verbinden Sie sich erneut

• Router-Firmware aktualisieren — Aeltere Firmware kann verschluesselten DNS-Verkehr moeglicherweise nicht ordnungsgemaess verarbeiten

• VPN verwenden — Ein VPN verschluesselt den gesamten Datenverkehr einschliesslich DNS und umgeht so jede DNS-Blockierung auf Netzwerkebene

• In verwalteten Netzwerken akzeptieren — In Firmen- oder Schulnetzwerken ist die Blockierung verschluesselten DNS oft beabsichtigt fuer die Sicherheitsueberwachung. Moeglicherweise koennen Sie sie nicht umgehen

So ueberpruefen Sie, ob Private DNS funktioniert

Nach der Aktivierung von Private DNS sollten Sie ueberpruefen, ob Ihre Anfragen tatsaechlich verschluesselt und ueber den gewaehlten Anbieter geleitet werden.

• Cloudflare-Diagnoseseite — Besuchen Sie 1.1.1.1/help, um zu sehen, ob Sie DoH, DoT oder Klartext-DNS verwenden und welcher Resolver Ihre Anfragen bearbeitet

• DNS-Leak-Test — Besuchen Sie dnsleaktest.com und fuehren Sie den erweiterten Test durch. Wenn Sie nur die Server Ihres gewaehlten Anbieters sehen (nicht die Ihres Internetanbieters), funktioniert Ihr verschluesseltes DNS korrekt

• Unser DNS Lookup-Tool verwenden — DNS Robots DNS Lookup ermoeglicht es Ihnen, bestimmte DNS-Server abzufragen und zu ueberpruefen, ob sie wie erwartet antworten

• Browser-Leak-Test — Besuchen Sie browserleaks.com/dns, um zu pruefen, welche DNS-Server Ihr Browser verwendet

# Test DNS over TLS with kdig
kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com

# Check which resolver is responding
dig whoami.cloudflare.com TXT @1.1.1.1

# Test DNS over HTTPS with curl
curl -s -H 'accept: application/dns-json' \
  'https://cloudflare-dns.com/dns-query?name=example.com&type=A'