Menü

RIPE78: Schritt für Schritt hin zur Routing-Polizei?

IP-Adressinhaber müssen eine Kontaktadresse vorhalten, bei der Missbrauch gemeldet werden kann. Wie heftig deren Fehlen bestraft werden soll, ist umstritten.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge

(Bild: Pushish Images / shutterstock.com)

Von

Sollten IP-Adressverwalter Fehlverhalten ihrer Mitglieder durch den Entzug von IP-Adressen sanktionieren? Zwei entsprechende Vorschläge erhitzen die Gemüter auf dem 78. Treffen des RIPE in Reykjavík diese Woche. Gegner sprechen vom Missbrauch des Selbstverwaltungsprozesses. Die Befürworter warnen, dass andernfalls staatliche Regulierung drohen könnte.

Fehlerhafte oder fehlende Einträge in der Datenbank des RIPE – in der verzeichnet ist, wer welche IP-Adressen hält – sind ein Dauerbrenner in den Debatten über die Regeln, die sich die Gemeinschaft der IP-Adressverwalter selbst geben. Die Verpflichtung, eine Kontaktadresse einzutragen, über die Opfer eines Missbrauchs sich an den zuständigen Netzbetreiber beziehungsweise Adressinhaber wenden kann, gibt es schon geraume Zeit.

Seit diesem Jahr wird auch jährlich überprüft, ob dieser "Abuse-Contact" noch stimmt. Das RIPE NCC, der hauptamtliche Arm des RIPE, hat dazu seit Anfang des Jahres alle 22.500 Mitglieder angeschrieben.

Das reicht nicht aus, meint aber Jordi Palet Martínez, der als Berater im Bereich IPv6, gerade auch für Behörden in vielen Ländern aktiv ist. Martínez fordert jetzt, dass bei der Überprüfung des "Abuse-Contacts" künftig auch sichergestellt werden muss, dass tatsächlich ein Mensch am anderen Ende der Leitung antwortet. Nach wie vor könnte es sonst "Fake Emails oder zufallsgenerierte E-Mails“ geben.

"Manche Mailbox wird nie angeschaut", schimpfte Martínez beim Treffen der Arbeitsgruppe Anti-Abuse des RIPE in Reykjavík. Sein Vorschlag: Antwortet dem RIPE NCC bei der Überprüfung innerhalb von 30 Tagen kein echter Mensch, soll es Strafen geben – bis hin zum Entzug aller IP-Adressen und zum Ausschluss des entsprechenden Mitglieds geben. Ähnliche Vorschläge haben auch Vertreter von Strafverfolgungsbehörden in der Vergangenheit angeregt. In einem zweiten Vorschlag verlangt Martínez auch die Bestrafung für BGP-Hijacking. Er meine dabei die Nutzung von fremden IP-Adressen oder AS-Nummern, erklärte er in der aufgeheizten Debatte.

Das RIPE NCC müsse aufpassen, dass es durch solche und ähnliche Vorschläge nicht zur "Routing-Polizei" werde, meinen dagegen Kritiker. Einerseits kaum praktikabel nannten die Gegner die Ideen. Der RIPE-Vorsitzende Hans Petter Holen, CSIO bei Visma, und Cloudflares Network Strategy Manager Martin Levy erinnerten an die fortschreitende Automatisierung im Netzwerkmanagement.

Andererseits verwiesen manche auf die rechtliche Unhaltbarkeit. Jedes Gericht werde Rausschmiss und Adressentzug als Konsequenz einer fehlenden "menschlichen" Antwort auf eine Abuse-E-Mail als unverhältnismäßig beurteilen, prognostizierte Nick Hilliard vom irischen Internetknoten INEX. Vom Aufwand, den das RIPE NCC zu betreiben hätte, ganz zu schweigen. Vor allem aber bringe die Maßnahme kein bisschen mehr Sicherhei, meinte Hilliard.

Echte Übeltäter lassen sich von einem aufwändigen bürokratischen Verfahren kaum abschrecken. Ähnliche Kommentare hagelte es auch für den Sanktionsvorschlag gegen BGP Hijacking, das für die Adressverwalter noch schwerer zu ermitteln und nachzuweisen sei.

Praktisch geschlossen verwahrten sich die anwesenden RIPE-Mitglieder insbesondere einer Salamitaktik bei der Inanspruchnahme der Adress-Selbstverwaltung zur Durchsetzung von Wohlverhalten.

Schon bald könnte jemand in einem der Mitgliedsländer des RIPE-Versorgungsgebiets auf die Idee kommen, dass bestimmte Inhalte sanktioniert werden müssten. Zu dem Gebiet gehört neben Europa auch der Nahe Osten und Russland. Irgendwo habe da immer einer was zu beanstanden, meinte Hilliard schon vor dem Treffen.

Peter Koch von der Denic riet dazu, dass sich das RIPE dringend darüber verständigen müsse, was der Zweck der RIPE-Datenbank sei. Die vielen Versuche der vergangenen Jahre, die Datenbank als Druckmittel einzusetzen, verkehre die ursprüngliche Aufgabe ins Gegenteil. Geschaffen worden war die Datenbank als Werkzeug, das den Netzadministratoren die Koordination des Routings erleichtern soll.

In Reykjavík setzten RIPE-Mitglieder nun tatsächlich eine Initiative in Gang, um die Datenbank gänzlich neu aufzusetzen. Eine Task Force soll in den kommenden Monaten mit den Vorarbeiten beginnen. Umstritten ist schon zu Beginn, wer Teil der Task Force sein sollte. Wenn man Strafverfolger einladen will, dann dürfe man auch die Datenschützer nicht vergessen, sagte Koch.

Bis es eine neue, saubere Datenbank mit klarer Zweckbestimmung gibt, könnte aber noch viel Zeit vergehen. Um dem wachsenden Druck von außen zu begegnen, appellierte RIPE-Chefwissenschaftler Daniel Karrenberg, einer der Autoren der ursprünglichen Datenbank und Gründungsmitglied, an die Administratoren. Die Netzbetreiber müssen mehr für sicheres Routing tun. Es gebe weniger Probleme, wenn Route Filtering und RPKI als Authentifizierungsschritt für die Routen eingesetzt würden. Wenn sie die immer wieder aufs Tapet gebrachten Top-Down-Systeme vermeiden wollten, müsse in diese investiert werden, appellierte Karrenbergs und stellte in Aussicht: "Wenn wir das nicht tun, sieht die Zukunft finster aus."

Lesen Sie zum Treffen der RIPE auch auf heise online:

[Update 25.5.2019 10:54 Uhr:] Korrektur zu Martin Levy – er ist bei Cloudflare Network Strategy Manager, nicht CEO. (mho)