Internet-Standards regeln das Handeln im Netz und berühren damit öffentliche Interessen von Gesellschaften. Der European Dialogue on Internet Governance (EuroDIG) brachte von Mittwoch bis Freitag Techniker und Politiker zusammen, um zu diskutieren, wer die Standardisierung wie beeinflussen kann und sollte. Über die Rolle von Politik und Gesetzgeber gab es dabei erst einmal noch keinen klaren Konsens.

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

Die neuen Standards für verschlüsseltes DNS sind für manche Politiker das Paradebeispiel dafür, dass die Techniker sie nicht ausreichend konsultieren. Wer nicht engmaschig die Arbeit in der Internet Engineering Task Force verfolge, sei von der Verschlüsselung des DNS mittels HTTPS (DNS over HTTPS, DoH) überrascht worden, erklärte Fred Langford, CTO bei der britischen Internet Watch Foundation (IWF). Vor allem die Browser-Implementierungen von DoH könnten die im Vereinigten Königreich, aber auch anderen Ländern, groß geschriebene Inhalte-Filterung durch die ISP künftig unmöglich machen.

Mitsprache ungenügend

Sich kontinuierlich in den Standardisierungsprozess einzumischen sei auch für eine Organisation wie die IWF, die nach für Kinder potenziell schädlichen Inhalten fahndet, kaum leistbar. Mittelständlern und der Politik gehe es ebenso, so Langford. Letzterer fehlt in der Regel auch die technische Expertise und die zunehmende Komplexität der Standards erleichtert die Aufholjagd nicht.

Ein eigenes Programm beim Internet Governance Forum (IGF) soll Politik und Standardisierer zusammenbringen, fordert Wout de Natris, der auch die niederländische Regierung berät. De Natris hatte in einer Studie die fehlenden Mitsprachemöglichkeiten von Politik und Zivilgesellschaft in der Internet Engineering Task Force beklagt.

Dabei sei die Politik letztlich auch als diejenige Kraft gefragt, die auch für die breite Implementierung von Sicherheitsstandards zu sorgen hat. Denn Standards wie IPv6, DNSSEC (gegen Phishing), HTTPS (für die Webverschlüsselung) und RPKI (zur Absicherung im Routing) würden sich viel zu langsam verbreiten.

Offene Standardisierung

Olaf Kolkman, Principal Internet Technology, Policy and Advocacy bei der Internet Society, verteidigte das IP-Protkoll und die Internet Engineering Task Force (IETF), bei der DoH standardisiert worden ist. Zwar seien Investitionen erforderlich, grundsätzlich aber sei der Standardisierungsprozess offen. Immer wieder hätten Behörden auch Projekte in die IETF gebracht, so Kolkman. Die US-Regierung wollte etwa Maßnahmen gegen Robocalling bei der Umstellung auf digitale Telefonie, "die IETF hat die Arbeit gemacht." Aktuell arbeitet eine IETF-Gruppe an einem Standard für das Kontaktieren von Drohnenpiloten.

Sein ehemaliges Team beim niederländischen DNS-Softwarehersteller NLnet Labs habe übrigens maßgeblich am DNSSEC Standard mitgewirkt, "obwohl wir ein kleines Team waren." Kolkman machte auch darauf aufmerksam, dass häufig nicht die eigentlichen Spezifikationen, sondern die Art der Implementierungen die "Policy" ausmache.

Das gilt auch für DoH, so die Experten auf einem eigenen Panel beim EuroDIG. Vor allem zentrale Browser-Implementierungen, etwa Mozillas Variante und Nutzung von Cloudflare, würden den Verkehr sehr stark konzentrieren. In Bezug auf Vertraulichkeit gewinne überdies nur der mit DoH, der seinem lokalen ISP misstraue, erläuterten Experten der Deutschen Telekom und der tschechischen Registry cz.nic. Die DoH-Debatte zeige, der Teufel liege im Implementierungsdetail.

Standards vor Regierungen schützen

"Und wo sind die Regierungen in den Standardisierungsverfahren? Die sind offen", mahnte der Ehrenvorsitznde des eco-Verbands, Michael Rotert. "Auf der anderen Seite werden wir nicht geladen, wenn die Regierungen Überwachungsstandards entwickeln", so seine Kritik.

Das Problem mit Regierungen sei, dass sie den Internet-Nutzer zweimal zur Kasse bitten, warnte Jörn Erbguth vom Geneva Macro Labs. "Einerseits bezahlen wir für IT-Sicherheit und dann zahlen wir nochmal dafür, dass mit Steuermitteln die Sicherheit wieder untergraben wird", mahnte der IT- und Rechtsexperte. Die Beteiligung von Regierungen an der Standardisierung müsse also vor allem für eines sorgen: mehr Verständnis und mehr Respekt auf Seiten der Politiker für die Standards.

Die stärker von Regierungen getriebenen Standardisierungsprozesse bei der Internationalen Fernmeldeunion (ITU) und auch beim European Telecom Standards Institute (ETSI) wurden von der Mehrheit von Experten und Teilnehmern kritisch beäugt. Dort werden aktuell Vorschläge für mögliche IP-Nachfolger diskutiert, aber, so die Kritik, weniger offen und bei der ITU top down.

Grundprinzipien des Internets sind Dezentralität, Flexibilität bei der Gestaltung der Teilnetze, Unabhängigkeit von Transportschicht und aufsetzenden Anwendungen bei einheitlichem Namensraum – "das macht das Internet zum Internet", sagte Kolkmann und erinnerte daran, dass schon der Umstieg auf das wenig veränderte IPv6 gar nicht so einfach gewesen sei.

Gegen mögliche Mandate für Standards spricht laut Geoff Huston, Chefwissenschaftler bei APNIC, letztlich auch, dass Provider, die neue Standards von DNSSEC bis IPv6 nicht sofort einführten, durchaus ihre Gründe haben könnten. Das Beispiel IPv6 etwa sei, so Hustons These, eine "Antwort der 90er auf ein Problem der 80er Jahre". Über viele Jahrzehnte habe sich NAT etabliert und "wir sind gut darin" und die Datenschützer hätten mit eindeutigen IP-Adressen für Geräte auch ihre Schwierigkeiten.

(bme)