PrivacyTools.io
Geprüft von Marcus Holmberg
Heute ersetzen: Google DNS Cloudflare DNS

Bestes sicheres und verschlüsseltes DNS 2026

Private Alternativen zu Google DNS, Cloudflare DNS, geprüft nach unseren öffentlichen Kriterien.

Nach Bedrohungsstufe gruppiert

Abgedeckt Einfacher Einstieg und gute Voreinstellungen für alle
Gehärtet Etwas Einrichtung und echte Gewinne für Engagierte

How they compare

Tool Filtering Based in Cost
NextDNS
Optional United States Freemium
AdGuard DNS
Ad-block Cyprus Freemium
Pi-hole
Optional · Free
dnscrypt-proxy
Optional · Free
Unbound
None Netherlands Free
RethinkDNS
Optional · Free
Mullvad DNS
Optional Sweden Free
Quad9
Malware Switzerland Free
Nebulo
None · Free
DNSCloak
None · Free
Control D
Optional Canada Freemium
Cloudflare
None United States Free
Firefox
None · Free

Dein DNS-Resolver sieht jede Domain, die du besuchst, und standardmäßig reisen diese Nachschlagevorgänge unverschlüsselt, sodass dein Netzwerk und dein Internetanbieter sie nach Belieben lesen oder manipulieren können. Sicheres, verschlüsseltes DNS verbirgt sie auf dem Transportweg und lässt dich einen Resolver wählen, der keine Aufzeichnung darüber führt, wohin du gehst. Dies sind die Resolver und Clients, die sich lohnen, von filternden Diensten bis zu Software, die du selbst betreibst.

Warum man die DNS-Protokollierung nicht einfach abschalten kann

Es gibt keinen Schalter bei deinem Internetanbieter, der sagt “hör auf, meine Nachschlagevorgänge zu beobachten”, denn sie zu sehen ist ein normaler Teil davon, wie die Standard-Infrastruktur funktioniert. Einfaches DNS wurde in einer Zeit ohne jeden Gedanken an Datenschutz entworfen, sodass jede Anfrage im Klartext hinausgeht und jeder auf dem Weg sie lesen oder umschreiben kann. Eine Einstellung auf deinem eigenen Rechner zu ändern verschlüsselt kein Protokoll, das nie für Verschlüsselung gebaut wurde. Die einzige echte Lösung ist, deine Nachschlagevorgänge auf einen verschlüsselten Kanal zu verlagern und sie auf einen Resolver zu richten, den du tatsächlich gewählt hast, und genau das lässt dich jede Option auf dieser Seite tun.

Wie wir diese auswählen

Jeder Resolver und Client hier wird an unseren öffentlichen Aufnahmekriterien gemessen, mit Gewicht auf einer klaren, öffentlichen Protokollierungsrichtlinie und einer Gerichtsbarkeit, die sie nicht untergräbt. Wir bevorzugen die Unterstützung moderner verschlüsselter Protokolle und Software, deren Verhalten sich prüfen lässt, betrieben von Betreibern mit einer Bilanz des Worthaltens statt eines Slogans auf einer Landing-Page. Selbst gehostete Optionen wie Pi-hole und Unbound erhalten Pluspunkte, weil sie den Dritten vollständig aus der Gleichung entfernen. Wir listen einen Resolver nur, wenn seine Datenschutz-Behauptungen einer genaueren Prüfung standhalten.

Was sind die Protokolle, kurz gesagt?

DNS-over-TLS, oder DoT, verschlüsselt deine Nachschlagevorgänge auf einem dedizierten Port, der sauber zu verwalten, aber in abgeschotteten Netzen manchmal blockiert ist. DNS-over-HTTPS, oder DoH, sendet sie über denselben Port wie normaler Web-Datenverkehr, sodass sie sich einfügen und sehr schwer zu blockieren sind. DNSCrypt ist eine ältere, aber robuste offene Methode, die manche Clients weiterhin bevorzugen, mit dem v2-Protokoll in breitem Einsatz. Jede davon verhindert, dass dein Netzwerk deine Anfragen liest oder verändert; die Unterschiede betreffen, wie leicht sich jede blockieren und verwalten lässt, nicht, welche privat ist.

Verschlüsselung ist nur die halbe Arbeit

Deine DNS-Anfragen zu verschlüsseln verbirgt die Nachschlagevorgänge vor allen auf der Leitung, aber der Resolver, auf den du sie richtest, sieht weiterhin jeden einzelnen. Deshalb zählt die Protokollierungsrichtlinie des Resolvers so viel wie die Verschlüsselung selbst: Ein privater Kanal zu einem Resolver, der deinen Verlauf verkauft, verfehlt den Zweck. Wähle einen, der sich öffentlich verpflichtet, deine Anfragen nicht zu behalten oder zu verkaufen, und wäge ab, wo er seinen Sitz hat, denn das Recht jenes Landes prägt, wozu er gezwungen werden kann. Einen eigenen Resolver zu betreiben beseitigt diese Vertrauensfrage ganz, weshalb es die selbst gehosteten Wahlen oben gibt.

So wechselst du in wenigen Minuten

Wähle deinen Resolver und entscheide dann, wo er lebt. Für eine Abdeckung des ganzen Hauses stelle ihn einmal an deinem Router ein, sodass jedes Gerät ihn erbt, so wie offene Router-Firmware dich DNS für das gesamte Netzwerk steuern lässt. Für eine Abdeckung, die mit dir in nicht vertrauenswürdige WLANs reist, stelle ihn stattdessen pro Gerät in deinem Betriebssystem oder Browser ein. Wenn du gezielt von Googles Resolver weggehst, führt dich unsere Seite zu den Google DNS Alternativen durch die Änderung, und verschlüsseltes DNS zusammen mit einem VPN ohne Logs schließt die verbleibende Lücke, denn das VPN verbirgt die Verbindung selbst, sobald DNS versiegelt ist.

Häufige Fragen

Macht mich verschlüsseltes DNS anonym?
Nein, und das ist wichtig klarzustellen. Es verbirgt vor deinem Netzwerk und deinem Internetanbieter, welche Seiten du nachschlägst, aber der Resolver, den du wählst, sieht diese Nachschlagevorgänge weiterhin. Der echte Nutzen ist doppelt: Niemand auf der Leitung kann deine Anfragen lesen oder manipulieren, und du darfst einen Resolver wählen, der verspricht, sie nicht zu protokollieren oder zu verkaufen.
DoH oder DoT, was sollte ich nutzen?
DoH läuft über normales HTTPS, mischt sich also unter den gewöhnlichen Web-Datenverkehr und ist am schwersten zu blockieren, was es zur sichersten Standardwahl in restriktiven Netzen macht. DoT nutzt seinen eigenen dedizierten Port, der auf einem Heimnetz, das du kontrollierst, sauberer zu verwalten und zu prüfen ist. Beide verhindern, dass dein Netzwerk deine Nachschlagevorgänge sieht, also hängt die Wahl von deiner Umgebung ab.
Verlangsamt verschlüsseltes DNS mein Surfen?
Selten so, dass du es bemerken würdest. Die großen verschlüsselten Resolver betreiben Server rund um die Welt, sodass Nachschlagevorgänge meist schnell bleiben, egal wo du bist. Sollte sich eine Verbindung je träge anfühlen, behebt der Wechsel zu einem Resolver mit einem Server näher bei dir das fast immer. Die Verschlüsselung selbst fügt sehr wenig Aufwand hinzu.
Kann verschlüsseltes DNS auch Werbung und Tracker blockieren?
Manche Resolver können das. Ein filternder Resolver verweigert die Antwort auf Nachschlagevorgänge für bekannte Werbe- und Tracker-Domains, sodass diese Anfragen scheitern, bevor dein Browser überhaupt eine Verbindung aufbaut. Auf dieser Ebene angewandt deckt es jede App auf dem Gerät ab, nicht nur den Browser. Es ist für sich allein kein vollwertiger Werbeblocker, aber es entfernt einen großen Teil des unerwünschten Datenverkehrs im gesamten Netz.
Sollte ich es pro Gerät oder am Router einstellen?
Beide Ansätze sind sinnvoll und passen zu unterschiedlichen Bedürfnissen. Es an deinem Heim-Router einzustellen deckt jedes Gerät auf einmal ab, auch solche, die sich nicht einzeln konfigurieren lassen, was der einfachste Weg ist, einen ganzen Haushalt zu schützen. Es pro Gerät einzustellen folgt dir in andere Netze, etwa öffentliches WLAN, wo der lokale Resolver nicht vertrauenswürdig ist. Viele machen beides.
Ist das No-Logs-Versprechen eines Resolvers vertrauenswürdig?
Es ist nur so gut wie der Betreiber dahinter, weshalb Gerichtsbarkeit und Ruf so viel zählen wie der Richtlinientext. Eine klare, öffentliche Zusage eines Anbieters mit Erfolgsbilanz ist weit mehr wert als eine vage. Wenn du dich auf gar niemandes Versprechen verlassen willst, beseitigt der Betrieb eines eigenen Resolvers den Dritten vollständig, um den Preis von ein wenig Einrichtung.