heise PlusAbo
Anzeige

Interview: Das RIPE NCC zum Entzug von IP-Adressen

IP-Adressen teilt in Europa, dem Nahen Osten und Teilen Zentralasiens das RIPE NCC zu. Weniger bekannt ist, dass die Organisation auch IP-Adressen einzieht.

vorlesen Druckansicht 8 Kommentare lesen

(Bild: ronstik/Shutterstock.com)

Lesezeit: 9 Min.
c't Magazin
Von
  • Monika Ermert
Inhaltsverzeichnis

Das Réseaux IP Européens Network Coordination Centre, kurz RIPE NCC, ist vor allem unter Netzbetreibern, Providern, Firmen und Institutionen als Vergabestelle von IP-Adressen bekannt. Mehr öffentliche Aufmerksamkeit erhielt das RIPE anlässlich von Verteilungsproblemen, die durch die Knappheit von IPv4-Adressen entstanden sind.

Über die Deregistrierung, also den Entzug von IP-Adressen, ist öffentlich wenig bekannt. Dabei wird der Entzug unter Strafverfolgern und Juristen auch als Mittel diskutiert, um kriminelle Aktivitäten von Hackergruppen zu unterbinden oder um Provider aus Ländern, die völkerrechtswidrig Krieg gegen Nachbarn führen, vom Internet abzuschneiden.

Wir sprachen darĂĽber mit der Chefjuristin des RIPE NCC, Athina Fragkouli, und mit Spencer Payton, Internet Resource Analyst bei der IP Address Registry fĂĽr Europa und den Nahen Osten.

c’t: Manche Strafverfolger hoffen, Kriminelle mithilfe der Registry für IP-Adressen mattzusetzen. Wie oft kommt es vor, dass das RIPE NCC Adressen entzieht?

Athina Fragkouli: Wir haben detailliert beschrieben, unter welchen Voraussetzungen wir Adressressourcen entziehen. Die allermeisten De-Registrierungen erfolgen, weil Registriergebühren nicht bezahlt werden. Regelverletzungen wie falsche Nutzerangaben können ebenfalls zur Schließung eines Accounts führen.

"Adressentzug erfolgt auf zivilrechtlicher Basis"

c't: Was ist mit Computerbetrug, Angriffen auf Computersysteme, wie häufig werden dafür Adressen entzogen?

Athina Fragkouli: Das hatten wir bisher nicht. Wenn jemand falsche Angaben macht, um Adressen zu bekommen oder gefälschte Dokumente benutzt, beenden wir die Mitgliedschaft. Der Adressentzug erfolgt aber auf zivilrechtlicher Basis, weil in den genannten Fällen gegen unsere vertraglichen Bestimmungen verstoßen wurde. Wir de-registrieren auch, wenn ein niederländisches Gericht uns auffordert (Anm. d. Red: mit Sitz in den Niederlanden untersteht das RIPE niederländischem Recht). Das kann im Rahmen von Sicherstellungsmaßnahmen passieren, wenn zwei Parteien einen Rechtsstreit austragen. Bezogen auf Internetkriminalität hatten wir bislang nur einmal eine Aufforderung der Behörden zur Beschlagnahme eines bestimmten Adressbereichs.

c't: Was bedeutet Beschlagnahme?

Athina Fragkouli: Das haben wir auch gefragt. Die Antwort lautete, dass wir der Anordnung entsprechen, wenn wir die Adressen einfrieren, und das haben wir getan.

c't: Das bedeutet, die Betreffenden können an den Adressen nichts verändern, sie nicht weiterverkaufen. Wurde der Adressbereich wieder aufgetaut?

Spencer Payton: Ja. Die Adressen waren für ungefähr ein Jahr eingefroren. Es ist möglich, dass die Ermittlungen bereits vorher abgeschlossen waren, aber wir hatten nach dem Erstkontakt keinen Einblick mehr.

c't: War das ein niederländischer Fall?

Athina Fragkouli: Wir haben die Anordnung von den niederländischen Behörden erhalten, aber es ist offen, ob tatsächlich diese Behörden ermittelt haben. Sie können Anordnungen an uns durchreichen, die von anderen Ländern kommen. Auch kommen Ermittlungen vor, in denen sie uns nicht erlauben, Informationen darüber preiszugeben.

c't: Das RIPE NCC muss ĂĽber die MaĂźnahmen Stillschweigen bewahren?

Athina Fragkouli: Wir werden manchmal dazu aufgefordert, Inhaber der Adress-Ressourcen nicht in Kenntnis zu setzen. Wir ziehen in solchen Fällen externe Anwälte zurate und lassen die Anordnungen überprüfen.

"Die UN-Cybercrime-Konvention analysieren wir noch"

c't: Welche Entwicklung erwarten Sie durch das kommende eEvidence-Paket der EU und eine eventuelle Umsetzung der gerade verabschiedeten UN-Cybercrime-Konvention?

Athina Fragkouli: Die UN-Cybercrime-Konvention analysieren wir noch. Klar ist, aktuell sind wir nur durch gerichtliche Anordnung niederländischer Gerichte gebunden. Nach meinem Verständnis erlaubt die eEvidence den Behörden anderer EU-Staaten, Anordnungen direkt an uns durchzureichen. Die größte Herausforderung für uns wird sein, sicherzustellen, dass die von berechtigten Behörden kommen und wir sie nach lokalem Recht umsetzen können.

c't: Wie schnell werden De-Registrierungen vollzogen?

Spencer Payton: Je nachdem, warum de-registriert wird, unterscheiden sich die Prozesse. Es gibt Fristen fĂĽr das Ausbleiben von Zahlungen oder wenn jemand kĂĽndigt. Das kann ein bis drei Monate dauern. Geht es um die KĂĽndigung einer Mitgliedschaft, weil wahrheitswidrige oder betrĂĽgerische Angaben gemacht wurden, kann es schneller gehen.

c't: Wie läuft die De-Registrierung praktisch ab?

Spencer Payton: Mit der Kündigung der Mitgliedschaft wird ein Ticket für das Einziehen der Adressen geöffnet. Die Einträge in Datenbank und Registry werden nach und nach geändert, um zu veröffentlichen, dass die Adressen wieder bei uns liegen. Dann teilen wir den Peering-Partnern mit, dass sie die entsprechenden Routen aus ihren Tabellen streichen sollen. Bevor wir die Adressen neu vergeben, versuchen wir die veralteten Einträge aus den Routing-Tabellen so gut wie möglich zu tilgen. Ein beträchtliches Problem kann das Delisting aus Blocklisten sein, auf denen die Adressen unter den ehemaligen Inhabern gelandet sind.

c't: Messen Sie, ob die zurĂĽckgeholten Adressen noch in Routingtabellen und Blocklisten geistern?

Spencer Payton: Wir nutzen das Tool RIPEStat, um zu prĂĽfen, welche Netze bestimmte IP-Adressen annoncieren. Das gibt uns eine gute Sicht darauf, wer wann welche Adressen nutzt.

c't: Was ist das Maß dafür, ob sie sicher neu vergeben werden können?

Spencer Payton: Alle zurückkommenden IP-Adressen gehen für mindestens sechs Monate in Quarantäne. Das lässt sich noch verlängern, aber normalerweise reicht das aus. Aber es kommt auch vor, dass monatelang alles clean aussieht und dann plötzlich doch jemand unberechtigtes anfängt, die Adressen wieder zu verwenden.

c't: Betrüger könnten sich der verwaisten Adressen bedienen.

Spencer Payton: Möglich. Wir haben aber gute Mechanismen, das zu unterbinden. Die Peering-Partner können auf Basis der Informationen aus der RIPE-Datenbank und der Registry filtern und entsprechenden Verkehr verwerfen. Sobald die Adressen neu vergeben sind, tut der neue Inhaber durch seine Ankündigungen das Seine. Aber natürlich können wir letztlich niemanden physisch davon abhalten, Adressen fälschlicherweise als eigene im Routingsystem anzumelden.

c't: Einen Grund, zu de-registrieren, haben wir noch nicht angesprochen: Sanktionen. Einige Mitglieder der RIPE-Community hatten gefordert, russischen Providern alle RIPE-Ressourcen zu entziehen.

Athina Fragkouli: Um es klar zu sagen, wir de-registrieren keine Ressourcen, um politische Sanktionen umzusetzen. Wir frieren die entsprechenden Adressen bestenfalls ein. Rechtlich bindend sind für uns Sanktionen der EU. Wir hatten uns bei den niederländischen Behörden um eine Ausnahmeregel für IP-Ressourcen bemüht und letztlich hat die EU im 6. Sanktionspaket reagiert. Der Text sieht eine Ausnahme für Ressourcen vor, die für das Erbringen von Telekommunikationsdienstleistungen unverzichtbar sind. Die niederländischen Behörden haben uns inzwischen bestätigt, das gilt für RIPE-Ressourcen.

c't: Das heiĂźt, russische IP-Adressen werden nicht eingefroren?

Athina Fragkouli: Nein. Unserer Auffassung nach ist das der richtige Weg. Denn was bedeutet es, wenn man Adressen de-registiert? Am Ende kann es dazu führen, dass diese Adressen dennoch weiter genutzt werden, unsere Datenbank würde aber keine korrekte Information darüber enthalten, von wem. Letztlich könnte sogar die Eindeutigkeit des IP-Adresssystems Schaden nehmen, die für das Internet konstitutiv ist. Die Ausnahmen, die wir für die Russlandsanktionen der EU haben, erstrecken sich übrigens nicht auf andere Sanktionsregime. Wir prüfen auch andere Sanktionslisten, hauptsächlich weil wir vermeiden wollen, dass wir sonst selbst von Geschäftsbanken sanktioniert werden (Anm. d. Red: Wenn das RIPE NCC mit Parteien Geschäfte macht, die auf Sanktionslisten stehen, müssen Banken wiederum das RIPE NCC sanktionieren).

Videos by heise

"Es ist gut, wenn Behörden sich raushalten"

c't: Ein Blick in den Sanktionsbericht des RIPE vom 4. Quartal 2024 fĂĽhrt 21 autonome Systeme auf, deren Adressen das RIPE eingefroren oder "on hold" gestellt hat. Betroffen sind Mitglieder im Iran, Syrien, WeiĂźussland und zuletzt auch ein russisches RIPE-Mitglied.

Athina Fragkouli: Das ist richtig.

c't: Betrachtet man die geopolitischen Spannungen und den wachsenden Ermittlungsdruck zu Straftaten im Netz, erscheint es erstaunlich, dass es nicht mehr Forderungen nach De-Registrierung gibt. Wie erklären Sie das?

Athina Fragkouli: Am Ende sind wir nur eine Registry. Eine Anordnung zur De-Registrierung kann dazu führen, dass wir Adressen zurückfordern. Aber das bedeutet eben nicht grundsätzlich, dass böswillige Akteure die Adressen nicht mehr benutzen. Es ist gut, wenn Behörden entscheiden, nicht in die Registry einzugreifen. Denn, wenn sie ermitteln wollen oder auch, wenn wir nur filtern wollen, ist es besser zu wissen, wer für die Adressen verantwortlich ist. Wir hatten in den vergangenen Jahren viele Debatten, als Behörden begannen, von uns zu verlangen, dass wir etwas gegen Cyberkriminalität tun. Sie dachten, wenn wir de-registrieren, dann legen wir einfach den Schalter um, und schon sind die potenziellen Täter ausgesperrt aus dem Netz. Mittlerweile hat sich die Erkenntnis breit gemacht, dass das nicht so ist.

Genau, da sind die Internet-Provider die besseren Ansprechpartner. Spencer, Athina, danke für das Gespräch.

(dz)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten