Menü

Konferenz: Einschnitte bei Whois-Datensammlungen bereiten Probleme

Domainregistrare und Registries bereiten sich auf radikale Einschnitte bei der Sammlung von Whois-Daten vor. Strafverfolger und IP-Anwälte versuchen, das Ruder in letzter Minute doch noch herumzuwerfen.

Von
vorlesen Drucken Kommentare lesen 72 Beiträge
Radikale Einschnitte bei Whois-Datensammlungen

Die Messer sind gewetzt und man geht mit geschärften Säbeln in die Schlacht um das neue Whois. Nicht alle Teilnehmer des Domain Pulse, der Konferenz der deutschsprachigen Registries in München, formulierten es ganz so martialisch wie Key-Systems-Justiziar Volker Greimann. Einhellig bestätigten die Domainanbieter allerdings, dass die Umsetzung der Datenschutzgrundverordnung gerade für die vertraglich an die "Internet Corporation for Assigned Names and Numbers" gebundenen Registries und Registrare nicht ohne Probleme läuft.

Registrare wie KeySystems oder Tucows warten drei Monate vor dem Inkrafttreten der Datenschutzgrundverordnung noch immer darauf, welche persönlichen Daten über die Domaininhaber sie den Registries künftig übermitteln müssen. Die Registries für die von der ICANN zugelassenen Top-Level-Domains von ".org" bis ".saarland" oder ".berlin" warten ihrerseits auf die ICANN. Die private Namensverwaltung hat noch nicht entschieden, welche persönlichen Daten künftig noch in der für jedermann zugänglichen Domain-Inhaber-Datenbank, dem sogenannten Whois, eingetragen werden sollen.

Wenigstens Anfang des Jahres, so Greimann, der für KeySystems sowohl die Registry (.saarland) als auch die Registrarseite kennt, hätte man einen Fingerzeig aus Marina del Rey gebraucht. Ashley La Bolle von der Tucows-Tochter EPAG bestätigte, um sich rechtskonform zu verhalten, müssten die ICANN-Vertragspartner im ersten Schritt ihre ICANN-Verträge verletzen. "Wir werden für alle persönlichen Datenfelder erst einmal Blankodaten bei den Registries abliefern", sagte sie. Wie ein öffentliches Whois ganz ohne persönliche Daten aussehen wird, berichtete in München die Denic eG (siehe Interview mit Denic-Geschäftsführer Jörg Schweiger). Die Länder-Domains müssen sich nicht an ICANN-Vorgaben halten.

Vielleicht in der kommenden Woche könnte sich die ICANN auf einen zumindest vorläufigen Fahrplan und auf eines von drei Anfang des Jahres veröffentlichten Whois-Modelle festlegen, erwartet Thomas Rickert vom "eco Verband". Die drei Modelle reichen von der Veröffentlichung eines leicht abgespeckten Satzes persönlicher Daten über die Veröffentlichung weniger administrativer Email-Kontakte bis hin zu einer Variante, die persönliche Daten, aber nicht Firmendaten ganz aus dem öffentlichen Whois verbannt.

Viel zu kurz gesprungen ist die ICANN nach Ansicht von Anwalt Rickert. Nicht nur hat die ICANN die Frage, welche Daten sie rechtmäßig überhaupt erfassen darf, einfach zurückgestellt. Die ICANN-Juristen haben sich auch nicht um die Fragen gekümmert, welche von den Registraren weltweit eingesammelten Daten überhaupt über die Grenzen in Drittländer wie die USA verschoben werden dürfen, was mit der Verpflichtung zu Backups bei so genannten Escrow-Providern oder den von der privaten Netzverwaltung klammheimlich ohne Zustimmung von Domaininhabern aufgebauten zentralen öffentlichen Whois Abfrage ist.

Der eco hatte in seinem GDPR Playbook das Whois als Teil des Gesamtkomplexes aus DSGVO und Domainregistrierung behandelt und empfohlen, nicht nur die Publikation, sondern schon die Erhebung der Daten zu beschränken. ICANNs aktuelle Vorschläge seien bestenfalls "rohe Skizzen, die keine ausgearbeitete und umsetzbare Lösung" darstellen, schrieb Rickert kürzlich nach Marina del Rey.

Gegenwind gegen das Abspecken der von der ICANN in den vergangenen Jahren auf 50 Einzeldaten aufgeblähten Datensätze, die Verschiebung von Daten ohne Wissen der Nutzer oder und den regulären massenweisen Verkauf von Zonendaten kommt jetzt ausgerechnet von der öffentlichen Hand. Die Implementierung der von der EU verabschiedeten DGSVO versetzt nun den ICANN-Regierungsbeirat, aber auch EU-Kommission und -Rat in helle Aufregung: In verschiedenen Brandbriefen verlangen sie (hier und hier), möglichst viele Daten im Whois zu halten.

Das Datensammeln zur "Kann"-Bestimmung zu machen, lehnt die EU Kommission entschieden ab und fordert, das "zulässige Maximum" an Daten zu sammeln und bei der Zweckbestimmung "Drittnutzer" nicht zu vergessen. Europol verlangt in einem Papier Zugang zu den maximalen Whois-Daten nicht nur für sich selbst, sondern auch für "Cybersecurity-Behörden, private Unternehmen und Wissenschaftler, Verbraucherschutzbehörden und Markenrechtsinhaber."

Die Zugriffe auf künftig nicht mehr publizierte Daten sollen keinesfalls von richterlichen Anordnungen abhängig gemacht werden und im Übrigen wollen die Ermittler dabei unbeobachtet und anonym bleiben, heißt es in der Europol-Vorlage für den Rat. Ähnlich besorgt zeigen sich die von Europol in Schutz genommenen Markeninhaber und auch ein namhafter Security-Forscher wie Brian Krebs. Krebs erhob das Whois kurzerhand zu einer der wichtigsten Ressourcen für seine Arbeit.

Noch einen Schritt weiter gehen Forderungen des Regierungsbeirats der ICANN (GAC), der wie die anderen öffentlichen Mitstreiter unterstreicht, dass die Erleichterung der Strafverfolgung und allgemein die Bekämpfung von Cybercrime Zweck des Whois sind.

Warum also soll man die Whois-Datensammlungen so schnell löschen? Fünf Jahre Bevorratung nach Ende des Vertragsverhältnisses scheint den Regierungsvertretern sicherer. Eine Selbstzertifizierung für Strafverfolger und andere Sicherheitsforscher, die Zugang zu den nicht-öffentlichen Daten wollen, ein zumindest vorübergehend notwendiges zentrales, von der ICANN betriebenes Whois, mache alles einfacher. Und schließlich, ist die Veröffentlichung einer privaten Mailadresse des Domaininhabers wirklich so schlimm, fragt man in der GAC-Stellungnahme. Eigentlich ist das Whois auch nichts anderes als eine Datenbank von Markeninhabern, pflichten die EU- und Nicht-EU-GAC-Mitglieder ICANNs Anwälten bei. (Monika Ermert) / (db)

Anzeige
Anzeige