DNScale-Infrastruktur und EU-Betrieb

Diese Seite ist die operative Referenz für die Infrastruktur und das EU-Betriebsmodell von DNScale — die prüfbaren Fakten hinter dem, was wir verkaufen. Sie existiert für zwei Zielgruppen: Kunden, die unter NIS2 Artikel 21(2)(d) oder gleichwertigen Vorschriften eine Lieferkettenprüfung durchführen, und Ingenieure, die bewerten, ob das Netzwerk von DNScale ihre Anforderungen an Latenz, Resilienz und Compliance erfüllt.

Wir aktualisieren diese Seite, sobald sich das Netzwerk ändert — neue PoPs, neue Peers, neue Zertifizierungen. Der aktuellste Stand ist immer hier; die DNScale-Statusseite und der Post-Incident-Blog decken den Live-Betriebszustand ab.

Zwei Anycast-Netzwerke — EU und Global

DNScale betreibt zwei getrennte Anycast-Netzwerke, jedes mit eigener Autonomous-System (AS)-Nummer:

EU-Netzwerk

Das EU-Netzwerk announce­t den Nameserver-IP-Bereich nur aus PoPs in der Europäischen Union und im EWR und nur an Peers, die die Announcements innerhalb dieser Jurisdiktionen routen. Ergebnis: Eine Anfrage von einem europäischen rekursiven Resolver landet auf einem europäischen DNScale-PoP, und die Antwort wird auf einem europäisch-jurisdiktionellen Server berechnet. Unter normalen Bedingungen kein Transit über nicht-europäische Netze.

Das EU-Netzwerk ist die richtige Wahl, wenn:

• Ihr Sektor einen jurisdiktionell abgeschotteten DNS-Dienst verlangt (Finanzen, öffentliche Verwaltung, Energie, Gesundheit unter NIS2)
• Ihre Datenschutzbehörde Datenresidenz für Anfrageverkehr fordert
• Sie unter EU-Wettbewerbs- oder Souveränitätsmandate fallen

Operative Details — Nameserver-Hostnamen, Routing-Politik, regionales Verhalten — siehe DNS-Delegation für DNScale-Regionen.

Globales Netzwerk

Das Globale Netzwerk announced einen separaten Satz Nameserver-IP-Bereiche aus PoPs auf mehreren Kontinenten. Es bedient Anfragen mit niedrigster verfügbarer Latenz weltweit — nordamerikanische, südamerikanische, europäische, nahöstliche, afrikanische, asiatische und ozeanische Präsenz, während das Netzwerk wächst.

Kunden, die nicht unter EU-Jurisdiktion-Beschränkungen fallen — oder die weltweite Kundschaft haben — verwenden typischerweise das Globale Netzwerk oder das kombinierte EU_GLOBAL-Nameserver-Set, das EU-PoPs für europäische Resolver bevorzugt und überall sonst auf globale PoPs zurückfällt.

Wie eine Anfrage fließt

Ein typischer Anfragepfad im EU-Netzwerk:

1. Resolver sendet UDP/53-Anfrage an eine der EU-Nameserver-IPs von DNScale (z. B. ns1.dnscale.eu).
2. BGP, das aus jedem EU-PoP unter dem EU-AS von DNScale announced wird, leitet die Anfrage zum topologisch nächstgelegenen PoP — typischerweise ein Sub-10-ms-Hop von großen europäischen Metropolen.
3. Der autoritative Server des PoP antwortet mit der gecachten, signierten Antwort.
4. RTT für gecachte Antworten ist von der Netz-RTT dominiert, typischerweise 5–25 ms innerhalb Europas.

Architektur im Detail: Global DNS Resolution Balancing und Was ist ein Anycast-DNS-Netzwerk?.

Netzwerk-Footprint

DNScale-PoPs liegen in Metropolen, die nach IXP-Dichte, Eyeball-Netz-Nähe und regulatorischer Klarheit gewählt sind. Aktuelle Auswahl:

• Europäische Metropolen: Frankfurt, Amsterdam, London, Paris, Madrid, Mailand, Stockholm, Warschau (kontinuierliche Erweiterung)
• Globale Metropolen: New York, Ashburn, San Francisco, São Paulo, Singapur, Tokio, Sydney (Globales Netzwerk)

Live-Status, einschließlich PoPs in Wartung oder geplanter Erweiterung, auf der DNScale-Netzwerkseite.

Peering

DNScale peert direkt an den großen europäischen IXPs:

• DE-CIX Frankfurt — Europas größter IXP, Anker für unsere deutsche und breitere kontinentale Präsenz
• AMS-IX Amsterdam — primärer niederländischer und nordwesteuropäischer Austausch
• LINX London — britische und nordwesteuropäische Reichweite
• Weitere regionale IXPs, sofern die PoP-Erweiterung dies rechtfertigt

Direktes Peering mit großen europäischen ISPs und Content-Netzwerken verkürzt den Anfragepfad für Privatkunden- und Unternehmensverkehr, beseitigt die Transit-Abhängigkeit auf dem heißen Pfad und liefert BGP-Signal, das wir bei Vorfällen direkt steuern können.

Das Globale Netzwerk peert an strategischen IXPs auf jedem Kontinent — Equinix-Metro-IXPs in Nordamerika, LACNIC-Region-Austauschen in Südamerika, asiatischen und ozeanischen Austauschen, während der globale Footprint wächst.

AS-Nummern und öffentliche Verifikation

DNScale betreibt eigene AS-Nummern — eine für das EU-Netzwerk und eine für das Globale Netzwerk. Der AS-Betrieb (statt als Mieter im AS eines größeren Anbieters) gibt uns:

• Direkte BGP-Kontrolle für unsere Anycast-Announcements
• Unabhängige Prüfbarkeit über RIPE NCC, öffentliche Looking Glasses und Routing-Register
• Withdrawal-basierte Vorfallreaktion — wir können einen ungesunden PoP innerhalb von Sekunden aus BGP zurückziehen, ohne mit einem Upstream zu koordinieren

Die AS-Nummern sind auf unserer Netzwerkseite veröffentlicht und über Standardtools verifizierbar (whois -h whois.ripe.net AS{N}, bgp.tools, RIPE Stat). Eingehende Verkehrsmuster und announced Prefixes sind per Design öffentliche Information — so funktioniert das Routing-System.

Compliance und Zertifizierungen

Die Compliance-Lage von DNScale ist auf drei Anker gebaut:

GDPR

DNScale verarbeitet DNS-Anfrage-Metadaten als Auftragsverarbeiter für Kunden; die rechtlichen Rahmen, AVV-Bedingungen und Zweckangaben stehen in der Datenschutzerklärung. Bemerkenswerte Entscheidungen:

• DNS-Anfrageverkehr im EU-Netzwerk transitiert im Normalbetrieb nicht zu nicht-EU-PoPs
• Die Subprozessoren-Liste ist veröffentlicht und wird aktualisiert; Kunden werden vor Änderungen benachrichtigt
• Anträge auf Datenauskunft werden über den Standardkontakt unterstützt
• Steuer- und Abrechnungsdaten fließen über Stripe, einen in der EU aktiven Zahlungsdienstleister

NIS2

NIS2 nennt DNS-Anbieter ausdrücklich in Anhang I als wesentliche Einrichtungen. DNScale operiert unter der zuständigen nationalen Aufsichtsregelung seines EU-Sitzes. Der NIS2-und-DNS-Leitfaden deckt die Pflichten im Detail ab; unsere konkrete Lage:

• Dokumentierte Risikomanagementmaßnahmen nach Artikel 21 (Vorfallbearbeitung, Kryptografie, Lieferkettenkontrollen)
• Vorfallmeldungs-Workflow ausgerichtet auf die 24h / 72h / 1-Monats-Fristen
• DNSSEC-Unterstützung mit modernen Algorithmen und HSM-gestützter Schlüsselverwahrung
• MFA an Betreiber- und Kundenoberflächen, beschränkte API-Schlüssel, vollständige Audit-Logs
• Multi-Region-Anycast für Resilienz; Multi-Provider-Bereitschaft über Terraform / DNSControl

ISO 27001

ISO 27001 (Informationssicherheits-Management-Systeme) ist die grundlegende Sicherheitszertifizierung von DNScale. Geltungsbereich, Status und Zertifikatsverfügbarkeit sind auf der Website veröffentlicht. ISO-27001-Kontrollen lassen sich sauber auf NIS2 Artikel 21 abbilden und vereinfachen die Compliance für Kunden, die beides benötigen.

Weitere Zertifizierungen

Zusätzliche branchenspezifische Zertifizierungen (PCI DSS, HIPAA, SOC 2 Typ II) werden je nach Kundennachfrage verfolgt. Der aktuelle Status ist auf der Website veröffentlicht und wird mit Abschluss der Audits aktualisiert. Wenn eine bestimmte Zertifizierung eine vertragliche Anforderung für Ihren Sektor ist, kontaktieren Sie uns zur Terminierung.

Sicherheitslage und öffentliche Artefakte

DNScale veröffentlicht die üblichen öffentlichen Sicherheitsartefakte:

• security.txt unter /.well-known/security.txt — Schwachstellenmelde-E-Mail und Disclosure-Policy
• Security-Kontaktseite unter /security — PGP-Veröffentlichungsstatus und Meldehinweise
• Schwachstellenmeldungs-Richtlinie, die Geltungsbereich, erwartete Reaktionszeiten und Safe-Harbour-Bestimmungen für gutgläubige Forschung dokumentiert
• Post-Incident-Berichte, die im Blog bei erheblichen Vorfällen veröffentlicht werden (real, technisch, verantwortlich)

Wir behandeln öffentliche Post-Incident-Transparenz als tragenden Vertrauensanker. Wenn wir einen Fehler machen, sagen wir, was passiert ist, warum, was wir geändert haben und was Kunden tun sollten. Diese Verantwortlichkeit ersetzt namentliche Ingenieur-Bylines bei technischen Inhalten — siehe die EEAT-Diskussion unten.

Operative Transparenz statt persönlicher Bylines

DNScale veröffentlicht keine individuellen Autoren- oder Reviewer-Bylines auf Lerninhalten und im Blog. Autorität und Vertrauen werden bei DNScale auf Organisationsebene aufgebaut — durch:

• Den öffentlichen Netzwerk-Footprint, den jeder über BGP verifizieren kann
• Öffentliche Zertifizierungen und Auditberichte
• Detaillierte, technische Post-Incident-Berichte
• Spezifische, verantwortliche Statuskommunikation
• Diese Seite — operative Fakten, keine Marketing-Aussagen

Wir halten das für ein besseres Vertrauenssignal eines Infrastruktur-Anbieters als persönliche Bios es wären. Die Arbeit spricht für sich; der Betrieb ist prüfbar; Vorfälle werden öffentlich gehandhabt.

EU-Betriebsmodell

Das EU-Betriebsmodell von DNScale ruht auf drei Prinzipien:

1. EU-Sitz und EU-Recht

DNScale agiert als EU-ansässige Einheit. Kundenverträge nutzen EU-Recht und EU-Streitbeilegung. Das vereinfacht die Sorgfaltsprüfung für einbezogene Kunden: eine Gerichtsbarkeit, eine Aufsichtsbehörde, GDPR-konformer Standard.

2. EU-Jurisdiktion-Isolation als bewusste Option

Das EU-Anycast-Netzwerk existiert, damit Kunden den DNS-Anfrageverkehr bei Bedarf auf europäisch-jurisdiktionellen Raum beschränken können. Viele DNS-Anbieter bieten „EU-Präsenz"; wenige bieten „nur EU". DNScale gibt Ihnen beides — wählen Sie das EU-Netzwerk, wenn Sie Isolation benötigen, das Globale Netzwerk für weltweit niedrige Latenz, das kombinierte EU_GLOBAL-Set, wenn Sie beides mit EU-Bevorzugung wollen.

3. Engineering-Betrieb unabhängig von einer größeren Gruppe

DNScale ist ein unabhängiger Anbieter — nicht Teil einer größeren Telekommunikations-, Hyperscaler- oder Holding-Gruppe. Engineering, On-Call und Vorfallreaktion werden vom DNScale-Team geführt. Das bedeutet, unsere Anreize und die unserer Kunden stimmen überein: Wenn DNS kaputt ist, sind dieselben Personen, die das System gebaut haben, diejenigen, die den Page beantworten.

Wo Sie weiter nachsehen

• DNScale-Netzwerkseite — Live-PoP-Status, BGP-Announcements, Kapazitätsangaben
• DNScale-Statusseite — Echtzeit-Betriebsstatus
• Datenschutzerklärung — vollständige GDPR-Offenlegung
• Allgemeine Geschäftsbedingungen — Vertragsrahmen
• Preise — Pläne, PAYG und Leistungsumfang
• Blog — Release Notes, Post-Incident-Berichte, technische Schriften
• security.txt — Schwachstellenmeldungen

Weiterführende Lektüre

• NIS2 und DNS-Compliance — regulatorische Zuordnung für einbezogene Einrichtungen
• Beste EU-DNS-Anbieter — Bewertungsraster
• GDPR-konforme DNS-Anbieter — angrenzender Regulierungsrahmen
• DNScale vs Cloudflare — EU-Jurisdiktion-Vergleich
• Anycast-DNS-Netzwerk — wie das zugrunde liegende Netzwerk funktioniert
• Global DNS Resolution Balancing — wie Anfragen zum nächsten PoP geleitet werden