Der italienische Kommunikationsregulierer AGCOM hat ein aus europäischer Sicht außergewöhnlich hartes Vorgehen gegen Online-Piraterie gewählt: Cloudflare wird mit 14.247.698 Euro belegt, weil der öffentliche DNS-Resolver 1.1.1.1 Piraterie-Domains nicht blockiert. Das Bussgeld entspricht laut AGCOM etwa 1 % der weltweiten Cloudflare-Umsätze und kann bei erneuten Verstößen auf bis zu 2 % ansteigen.
Italienisches Anti-Piraterie-System: Piracy Shield und neue Pflichten für DNS-Provider
Im Zentrum der Auseinandersetzung steht das 2024 eingeführte System Piracy Shield, mit dem Italien illegale Online-Übertragungen – insbesondere von Sportereignissen – unterbinden will. Das System verlangt, dass Domains und IP-Adressen mutmaßlich rechtsverletzender Angebote innerhalb von 30 Minuten nach Meldung blockiert werden. Zielgruppe sind nicht nur Access-Provider, sondern ausdrücklich auch DNS-Resolver und VPN-Dienste.
Rechtsgrundlage der Entscheidung ist die AGCOM-Anordnung 49/25/CONS vom Februar 2025. Sie verpflichtet DNS-Provider, die DNS-Auflösung und die Weiterleitung von Anfragen zu Domains und IP-Adressen zu unterbinden, die in der Sperrliste von Piracy Shield geführt werden. Damit werden öffentliche DNS-Resolver de facto zu aktiven Akteuren einer behördlichen Sperrinfrastruktur und nicht mehr nur als neutrale Transportebene betrachtet.
In der Praxis hat Piracy Shield bereits Nebenwirkungen gezeigt: Dokumentiert wurden Fälle übermäßiger Filterung, bei denen auch legitime Websites und Services in Mitleidenschaft gezogen wurden. AGCOM begründet den Fokus auf Cloudflare damit, dass nach eigenen Schätzungen rund 70 % der von der Behörde adressierten Piraterie-Angebote auf Infrastruktur von Cloudflare zurückgreifen und so klassische Netzsperren der Access-Provider umgehen.
Position von Cloudflare: Neutraler DNS-Resolver, Performance und Missbrauchsrisiken
Ablehnung von Inhaltsfilterung auf dem öffentlichen DNS 1.1.1.1
Cloudflare hat sich grundsätzlich zur Kooperation mit Behörden bereit erklärt, lehnt jedoch DNS-Blocking auf dem globalen öffentlichen Resolver 1.1.1.1 strikt ab. Das Unternehmen bezeichnet derartige Eingriffe als „unangemessen und unverhältnismäßig“ und verweist auf technische sowie rechtliche Bedenken.
Nach Angaben von Cloudflare verarbeitet 1.1.1.1 täglich Milliarden von DNS-Anfragen weltweit. Eine komplexe, länderspezifische Filtersystematik könne Latenzen erhöhen, Ausfallsicherheit beeinträchtigen und Nutzerinnen und Nutzer treffen, die keinerlei Bezug zum italienischen Rechtssystem haben. Hinzu kommt das Risiko von Fehlentscheidungen: Intransparent geführte Sperrlisten bergen die Gefahr, dass legale Inhalte, Geschäftsauftritte oder kritische Infrastrukturen ungewollt blockiert werden.
AGCOMs Gegenargumente: Technische Machbarkeit und bestehende Filterpraxis
AGCOM weist diese Einwände zurück und argumentiert, Cloudflare verfüge über hinreichende technische und operative Kapazitäten, um gezielte, geolokalisierte DNS-Sperren umzusetzen. Die Behörde verweist darauf, dass Cloudflare bereits umfangreiche Traffic-Steuerungs- und Filtermechanismen einsetzt, etwa zur Abwehr von DDoS-Angriffen, zur Web Application Firewall (WAF) oder für Zero-Trust-Sicherheitsdienste. Aus Sicht von AGCOM seien technische Hürden daher übertrieben dargestellt.
Der bewusste Verzicht auf DNS-Blocking wird im Bescheid als Verstoß gegen das italienische Anti-Piraterie-Recht gewertet. Bemerkenswert ist, dass es sich um das erste Bussgeld dieser Größenordnung gegen einen globalen DNS-Provider handelt. AGCOM unterstreicht die „kritische Bedeutung“ der Mitarbeit Cloudflares, da dessen Dienste es Piraterie-Seiten erleichtern, sich nationalen Sperrmaßnahmen zu entziehen.
Rechtliche und sicherheitstechnische Implikationen für DNS, VPN und Cybersicherheit
Präzedenzfall für öffentliche DNS-Resolver und VPN-Dienste
Die Entscheidung könnte zu einem Präzedenzfall für andere öffentliche DNS-Resolver wie Google Public DNS oder OpenDNS werden. Bestätigen italienische Gerichte die AGCOM-Linie, würden DNS-Resolver faktisch zu einem weiteren Regulierungs- und Zensurpunkt im Internet, unterworfen nationalen Inhaltsvorgaben. Das erhöht den Druck auf internationale Dienste, die sich bislang als datenschutzfreundliche und neutrale Alternative zu Provider-DNS positionieren.
Aus Sicht der Cybersicherheit ist DNS-Blocking ein zweischneidiges Schwert. Auf der einen Seite ist es effektiv gegen Massenpiraterie und bekannte Schad-Infrastrukturen wie Botnet-Command-and-Control-Server oder Phishing-Domains. ENISA und andere Fachgremien empfehlen DNS-Filterung seit Jahren als Baustein von „Defense in Depth“-Strategien. Auf der anderen Seite führt eine weitgehende Zentralisierung der DNS-Kontrolle zu Risiken: überzogene Sperren, politisch motivierte Blockaden und Konfigurationsfehler können die Verfügbarkeit und Resilienz des Netzes beeinträchtigen.
Reaktion Cloudflares und mögliche Rückzugsstrategie aus Italien
Cloudflare-CEO und Mitgründer Matthew Prince kündigte auf der Plattform X an, das Bussgeld anzufechten und juristisch gegen die AGCOM-Entscheidung vorzugehen. Gleichzeitig stellte er öffentlich in Aussicht, Teile der Präsenz in Italien zu reduzieren. Diskutierte Optionen umfassen die Beendigung kostenloser Cybersicherheitsdienste für die Olympischen Spiele Mailand–Cortina, die Einschränkung kostenloser Angebote für italienische Nutzer, die Verlagerung von Servern aus lokalen Rechenzentren sowie die Aufgabe geplanter Bürostandorte.
Ein tatsächlicher Rückzug könnte die Abwehrfähigkeit italienischer Netze gegen DDoS-Attacken und großflächige Cybervorfälle schwächen, da viele Organisationen und Behörden weltweit auf Cloudflare-Schutzmechanismen setzen. Damit illustriert der Konflikt eindrücklich, wie stark nationale Regulierungsentscheidungen die Verfügbarkeit globaler Sicherheitsinfrastruktur beeinflussen können.
Für Unternehmen, Behörden und Nutzerinnen und Nutzer ist dieser Fall ein deutlicher Hinweis auf die Notwendigkeit, Infrastruktur zu diversifizieren und rechtliche Rahmenbedingungen aktiv zu beobachten. Empfehlenswert sind der parallele Einsatz mehrerer DNS-Resolver, eigene Mechanismen zur Blockierung bösartiger Domains (z. B. via Secure-DNS oder lokale Resolver mit Threat-Intelligence-Feeds) sowie eine regelmäßige Bewertung der Abhängigkeit von einzelnen globalen Anbietern. Wer seine Cybersicherheits- und Compliance-Strategie anpasst, kann regulatorische Risiken begrenzen und die Resilienz gegenüber zukünftigen Eingriffen in DNS- und VPN-Infrastrukturen deutlich erhöhen.
