Machtfrage
Google beschwert sich in China über Zensur und Hacker-Angriffe, die US-Außenministerin geißelt daraufhin alle Angriffe auf den freien Informationsfluss und China wirft den USA im Gegenzug Informationsimperialismus vor: Das Internet ist zur Arena für die Auseinandersetzungen der Supermächte geworden. Und das Netz dominieren die USA.
- Monika Ermert
Von der Root-Zone des Domain Name System (DNS) hängt ab, ob ein Namensraum und damit womöglich ein ganzes Land im Internet erreichbar ist. Und die US-Verwaltung kann Änderungen daran veranlassen. Denn über ein Netz von Verträgen mit der Internet Corporation for Assigned Names and Numbers (ICANN) und dem privaten Unternehmen VeriSign kontrolliert das US-Handelsministerium den Betrieb dieser zentralen Infrastruktur.
Doch niemals, das haben bislang alle ICANN-Chefs betont, nahmen die USA Einfluss, um einen Namensraum auszuschalten. Sie hätten es dabei auch nicht leicht, da die drei Root-Server, die in London, Stockholm und Japan stehen, einen solchen Zug rückgängig machen und ein alternatives, vollständiges Zonefile anbieten könnten. Das sei ganz einfach, versichern Root-Experten aus Europa. Die Probe aufs Exempel steht aber noch aus.
Spiel auf Zeit
Tatsache ist aber, dass es beim Betrieb von Länder-Domains schon zu Problemen kam. Wie im Fall der libyschen (.ly), die im Frühjahr 2004 kurzzeitig komplett aus dem Netz verschwunden war. Die betroffenen Nutzer müssen in solchen Fällen darauf hoffen, dass die ICANN und die jeden Schritt prüfende US-Verwaltung rasch reagieren.
Und in Kriegszeiten kommt es auch schon mal vor, dass die ICANN – bisweilen sogar aufgefordert von der US-Regierung – über eine Interimslösung entscheidet. Wie etwa im Fall der afghanischen Länderdomain (.af): Der britische Dienstleister des ursprünglichen Länderadressmanagers wurde beauftragt, die Pflege der .af-Zone einzustellen. Erst die Regierung Karzai durfte dann wieder selbst darüber bestimmen. Für die Delegation von Nord-Koreas Länder-Domain ließ sich ICANN rund drei Jahre Zeit – unter Verweis auf Formfehler von Seiten Nord-Koreas.
Verworren war auch die Situation bei der irakischen Adresszone (.iq), deren in den USA angesiedelte Betreiber 2006 wegen Verstößen gegen das Außenhandelsgesetz und der Unterstützung eines Mitglieds der Hamas zu Haftstrafen zwischen fünfeinhalb und sieben Jahren verurteilt wurden. Damit blieb die .iq-Zone verwaist zurück. Während des Irak-Kriegs schien sich niemand die Frage zu stellen, ob das Land einen Anspruch auf seine Länderadresszone habe.
Sicherheit und Kontrolle
Ein neues Sicherheitsprotokoll namens DNSSEC, das demnächst eingeführt wird, erschwert die Einflussnahme durch Root-Betreiber außerhalb der USA weiter. Es soll die Informationen über DNS-Zonen kryptografisch so sichern, dass bei etwaigen Manipulationen betroffene Zonen automatisch als nicht vertrauenswürdig ausgefiltert werden. Die Schlüssel dazu liefern ICANN und VeriSign.
Doch auch eine durch DNSSEC geschützte Root-Zone lasse sich umgehen, sagt Wolfgang Nagele vom europäischen Root-Betreiber RIPE. Propagierte die USA eine Root-Zone, aus der ein Land entfernt wurde, gelte es zusätzlich zur alternativen Zone, auch einen alternativen Schlüssel zu verteilen und die Provider aufzufordern, sich Zone und Schlüssel nicht mehr bei VeriSign oder ICANN, sondern beim RIPE oder einem anderen Rebellen abzuholen. Oder die Provider schalteten die Prüfung der DNSSEC-Schlüssel einfach ganz ab.
Bei einem Szenario „USA gegen den Rest der Welt“ würden sich die Europäer und andere Länder wohl recht schnell zusammenraufen, obwohl dafür niemand einen Notfallplan in der Tasche hat. Vielleicht sind aber Szenarien wie „westliche Welt gegen China“ oder „westliche Welt gegen arabische Staaten“ realistischer. Und dann ist kaum zu erwarten, dass die Europäer gegen die Root-Kontrolle durch die USA aufbegehren.
Auf rechten Wegen
Auch beim Routing der Daten durchs Internet bahnt sich eine Einschränkung des bislang komplett auf Vertrauen zwischen den kooperierenden Netzbetreibern beruhenden Systems an. Denn analog zur Absicherung der Zonen im DNS wird auch an einer Public-Key-Infrastruktur fürs Routing gearbeitet (RPKI). Das RIPE gibt bereits Zertifikate für IP-Adressressourcen aus. Das soll verhindern, dass sich jemand als Inhaber eines IP-Adressbereichs oder autonomen Systems ausgibt, der es gar nicht ist. Der missglückte Versuch pakistanischer Provider, den Zugang zu YouTube national zu sperren, durch den der Dienst vor zwei Jahren kurzfristig weltweit unerreichbar war, gilt als Beispiel dafür, was ohne eine Absicherung der Routen passieren kann.
Allerdings warnen manche Experten vor einer starren Verknüpfung von RPKI und sicherem Routing. Es sei gefährlich, Routen, für die es kein oder nur ein abgelaufenes Zertifikat gibt, automatisch als unsicher zu verwerfen, findet Danny McPherson, einer der bei der Internet Engineering Task Force (IETF) diskutierenden Entwickler. Ob nationale Rangeleien oder eine Machtdemonstration der USA – das Zurückziehen von Zertifikaten würde genügen, um Teile des Internet zu isolieren.
Vorerst verwalten regionale Internet Registries die Zertifikate. Langfristig könnte das PKI-System aber von einer einzigen Wurzel abgeleitet werden – der von der ICANN betriebenen Internet Assigned Numbers Authority (IANA) in den USA. Solange nicht klar ist, wie es mit dem IANA-Vertrag weitergeht, über den sich das US-Handelsministerium auch dort ein Aufsichtsrecht sichert, akzeptieren die regionalen Registries keinen solchen zentralen Trust Anchor.
Auch ein System für die lokale Verwaltung der Trust Anchor beziehungsweise das Überschreiben gemeldeter Routing-Statusinformationen ist schon in Arbeit. Das könnte zwar unabhängige Routing-Entscheidungen einzelner Provider ermöglichen, ließe es aber auch zu, dass eine Regierung alle Provider in ihrem Land verpflichtet, eine staatlich kontrollierte Routing-Tabelle zu verwenden.
So falsch dürfte der ukrainische Rechtsprofessor Alexander Merezhko nicht liegen, der die Möglichkeiten eines Internet-Kriegs zwischen Regierungen durch eine internationale Konvention einschränken möchte. Darüber hinaus besteht aber auch die Gefahr, dass Kriminelle die geschilderten Kontrollmechanismen missbrauchen, um die Internet-Infrastruktur für ihre Zwecke zu manipulieren. (ad)