Ablösung fürs Whois bringt Privacy-Problem aufs Tapet
Ein neues Protokoll zur Registrierung von Inhaber- und Betreiberdaten für Domains und IP-Adressen soll das veraltete Whois ersetzen. Auf der ICANN-Konferenz wurde diskutiert, ob Strafverfolger die Daten auch über Landesgrenzen hinweg lesen dürfen sollen.
Die Standardisierung des Whois-Nachfolgers Registration Data Access Protocol, RDAP, ist weitgehend abgeschlossen und eine Reihe von Domainregistries, allen voran VeriSign, nutzen bereits experimentelle Implementierungen. Doch nun wehren sich Google, Afilias und andere Registries gegen den Versuch der ICANN, das neue Protokoll schon einzuführen. Es gebe da einige Fragen zu klären, sagte Jim Galvin von Afilias auf der ICANN-Konferenz in Hyderabad – zum Beispiel Datenschutz und Privacy.
Seit mehr als einem Jahrzehnt gilt Whois als Protokoll zur Abfrage der Kontaktdaten von Domaininhabern oder technischen Dienstleister als überholt und dringend zu ersetzen. Beispielsweise kann Whois nicht mit Nicht-lateinische Schriften umgehen. Doch Initiativen für Alternativen wie Whois++, IRIS und andere Nachfolger scheiterten bisher.
Am weitesten sind bisher die Pläne gediehen, RDAP als Ersatz aufzustellen. Technisch besser, flexibler und leicht erweiterbar – RDAP-Befürworter in der ICANN, Internet Corporation for Assigned Names and Numbers, und auch bei VeriSign Global Registries, sind voll des Lobes für den auserkorenen Whois-Nachfolger. Aufgebaut auf dem verschlüsselnden Abfragekanal HTTPS, sollen endlich strukturierte, als Text ausgegebene Anfragen und Antworten ausgetauscht werden. Neue Dienste könnten so auf der Datenabfrage aufgebaut und die Zugriffsrechte für verschiedene Gruppen differenziert werden.
Gute und weniger gute Strafverfolger
Doch genau da zaudern selbst die, die sich zuvor sehr für RDAP ins Zeug gelegt haben. Galvin, Direktor Technical Standards bei Afilias, sagte, dass gerade die abgestuften Zugriffsrechte ihm Bauchschmerzen bereiten. "Dazu muss man Legitimationsrechte managen." Strafverfolger etwa könnten zu denen gehören, die gleicher sind als andere Nutzer. Aber muss man nicht zwischen guten und weniger guten Strafverfolgern unterscheiden? Und bekommen Strafverfolger Zugriffsrechte über Ländergrenzen hinweg? Zudem möchten die Strafverfolger grundsätzlich anonym bleiben – am liebsten hätten sie einen öffentlichen Zugriff auf möglichst viele und von den Providern gut auditierte und stets korrekte Daten.
Solange solche Aspekte nicht diskutiert und geklärt sind, mache der Versuch der ICANN, RDAP im Zuge einer neuen Richtlinie durchzudrücken, wenig Sinn, fand das ICANN-Gremium der Registries. Die ICANN-Hauptamtlichen hatten den Registries im Sommer eine Frist zur Umsetzung der RDAP-Technik gesetzt. Die Registries legten dagegen eine ICANN-gemäße Berufung ein. Nun plant die ICANN, RDAP einfach über die Verträge mit Registries und später auch Registraren durchzusetzen. Doch damit würde der Selbstverwaltungsprozess einfach umgangen, kritisierten die Registries, und das trotz der politischen Brisanz von Datensammlungen und Datentransfers.
Datenschutz-Diskussion noch ganz am Anfang
"Die Privacy-Diskussion hat noch nicht einmal richtig angefangen", merkte Galvin an, das Ergebnis dieser Diskussion habe erheblichen Einfluss darauf, wie ein RDAP-System am Ende aussehen werde. Zweimal neu zu implementieren sei aber unwirtschaftlich, lautet das eher pragmatische Argument der Unternehmen gegen eine RDAP-Verpflichtung 2017. (dz)
