Wird es nach dem 25. Mai Viagra-Angebote und falsche Amazon-Mails regnen? Nimmt die ohnehin fragile Internet-Verwaltung Schaden? Über diese Befürchtungen diskutieren gerade Internet-Sicherheitsexperten und Juristen anlässlich des anstehenden Beginns der Europäischen Datenschutzgrundverordnung (DSGVO).
Es geht um das Domain-System des Internets, genauer um die Namensverwaltung whois.com, die in den Händen der Icann liegt. Die Icann (Internet Corporation for Assigned Names and Numbers) sitzt in den USA und verwaltet die Vergabe von Internet-Adressen, sie arbeitet dabei mit Tausenden Unternehmen zusammen, bei denen Kunden Domains wie dashieristeinedomain.com registrieren können.
Zu den Informationen, die sich über Whois abrufen lassen, gehören Eigentümer, Name, physische sowie E-Mail-Adresse und Telefonnummer. Doch das verstößt bald gegen die Datenschutzrichtlinie: Jeder Europäer kann vom 25. Mai an selbst bestimmen, was mit seinen persönlichen Daten geschieht.
Die Datenschutzrichtlinie wirkt sich direkt auf Whois-Abfragen aus, in deren Resultaten Namen von Privatpersonen auftauchen (Firmen betrifft die Regel nicht). Die Icann hatte sich dennoch nicht zuständig gefühlt. Obwohl schon seit langem eine interne Arbeitsgruppe existiert, musste ihr schwedischer Chef Göran Marby zugeben: "Wir waren spät dran. Fürchterlich spät." Nun herrscht nicht nur juristische Verwirrung, sondern auch große Sorge: Eine mögliche Abschaltung von Whois könnte schwerwiegende Nebenwirkungen haben.
Versuche der Organisation, mit der zuständigen Artikel-29-Gruppe der europäischen Datenschützer (WP29) über ein Moratorium zu sprechen, scheiterten: Die Datenschutzrichtlinie erlaube es den Datenschützern gar nicht, einen solchen Aufschub zu gewähren, so WP29 sinngemäß.
Druck aus den USA
Für die Icann geht es darum, ob sie Whois abschaltet oder hohe Strafen in Kauf nimmt - bis zu vier Prozent des Jahresumsatzes des verantwortlichen Unternehmens sind möglich. Deutsche Anbieter wie Denic sind besser vorbereitet und haben den Zugang bereits eingeschränkt. Auch Großfirmen wie der Hoster GoDaddy haben die Whois-Kontaktdaten gesperrt.
Die Lage ist also verfahren. Im Hintergrund baut sich in den USA Druck auf die Icann auf, nicht nachzugeben: Von Markenanwälten, die über Whois zum Beispiel gegen Domain-Grabber vorgehen. Das sind Personen, die das System missbrauchen, indem sie massenweise Domains kaufen, nur um sie gewinnbringend weiter zu verhökern. Auch diverse Strafermittlungsbehörden laufen Sturm gegen die Neuerung.
Eigentlich soll die Icann eine global agierende Verwaltung sein, kein politisierter Interessenvertreter. Aber auch EU-Justizkommissarin Věra Jourová hat in einem Brief weiterhin schnellen Zugang zu Whois gefordert, um Strafermittlungen durchführen und Urheberrechtsverstöße ahnden zu können.
David Redl, Chef der amerikanischen Telekommunikation-Aufsichtsbehörde, geht einen Schritt weiter: Er drohte, notfalls per Gesetz die Veröffentlichung der Registrierungsdaten vorzuschreiben. Damit würden europäisches und amerikanisches Recht einander diametral entgegenstehen, das System der Domain-Registrierung wäre plötzlich ein rechtlicher Graubereich.
Eine flugs entworfene Zwischenlösung der Icann sieht vor, erst einmal den direkten Zugriff auf die Informationen zu unterbinden und ein System zu errichten, das Strafermittlern, IT-Sicherheitsforschern oder Markenrechtsanwälten abgestuft Einsichtnahme ermöglicht.
Die Entwicklung des Systems soll insgesamt zwölf Monate dauern, zu lange also für die gegenwärtige Deadline. Die WP29-Aufseher halten die Umsetzung aber ohnehin für technisch anfällig und lehnen einen uneingeschränkten Zugriff auf die Datenbank für privilegierte Akteure grundsätzlich ab.
Mehr Spam oder nicht?
Als wäre die Lage nicht kompliziert genug, melden sich auch einige Sicherheitsforscher zu Wort. Sie warnen, dass Whois-Abfragen notwendig sind, um Phishing-Angriffe, Spammer und Bot-Netze zu enttarnen. Ähnlich argumentiert das FBI.
Einer der Experten ist der Fachjournalist Brian Krebs. Er schlägt Alarm und prognostiziert, dass das Spam-Aufkommen explodieren, Cyberattacken zunehmen würden.
Obwohl viele Akteure, von Prominenten bis zu Kriminellen, eine Zwischenfirma zur Registrierung nutzen und deshalb keine Informationen hinterlassen, seien mit Hilfe von Whois-Abfragen häufig Muster zu erkennen, schreibt Krebs. Angesichts einer sehr beweglichen Cybercrime-Szene sei der direkte Zugriff innerhalb weniger Minuten entscheidend. Dies würde für private Sicherheitsforscher nun wegfallen.
Wie groß das Problem ist, ist umstritten: Mitglieder des Forscherverbunds "Internet Governance Project" widersprechen Krebs auf ihrem Blog. "Whois ist kein ausreichendes Mittel, um einen Spammer zu identifizieren. Es mag ein Werkzeug im Werkzeugkasten eines Spam-Bekämpfers sein, aber es gibt andere, bessere wie Blacklist von IP-Adressen, Schlüsselworte, lernende Software, die unsere Inboxen vor unerwünschten Nachrichten schützen können." Und: "Eine Phishing-Attacke zu stoppen, so wichtig dies sein mag, rechtfertigt einfach nicht einen Gesetzesbruch oder die Verletzung der Persönlichkeitsrechte unschuldiger Internet-Registrierter."
Was wird also am 25. Mai passieren? "Wir hoffen, dass das in den nächsten Wochen klarer wird", heißt es von der Icann. Ob zwielichtige Viagra-Angebote eine Renaissance erleben, wird danach jeder in seinem Spamfilter nachzählen können.
