Kommentar: Whois abschaffen!
Lutz Donnerhacke ist der Vertreter der europäischen Internetnutzer in dem Gremium, das Whois prüfen soll. Er zeigt die Widersprüche im Konzept und im Auftrag der Whois-Arbeitsgruppe.
- Lutz Donnerhacke
Wieso ICANN?
ICANN ist ein gemeinnütziges Unternehmen nach kalifornischem Recht, das per Akklamation der Aktiven des Internets (Domainanbieter, Domainbetreiber, Internetprovider, Adressverwalter und Nutzer) mit der Festlegung der technischen Betriebsparameter für eine uneingeschränkten Konnektivität beauftragt ist. Insbesondere legt ICANN die Regelwerke zur Adress- und Domainverwaltung fest und betreibt die Root-DNS-Server. Des Weiteren ist ICANN dafür zuständig, die juristische Weiterentwicklung dieser Gebiete zu betreiben.
Aufgrund der Akklamation bezieht ICANN seine Existenzberechtigung einzig und allein aus dem Fakt, bisher aus Sicht der Internetakteure keine wesentlichen Fehlentscheidungen getroffen zu haben. Die Entscheidungen bei ICANN trifft auf der Basis von Zuarbeiten der Unterstützungsorganisationen (Supporting Organisations, SO) das "Board". Das ist eine Gruppe von Personen, die nicht in Personalunion mit anderen wichtigen Aufgaben betraut sein dürfen. Die SO setzen sich in der Regel aus Lobbyvertretungen (UC, User Constituency) zusammen. Diesen Prozess begleiten die Beratungsgremien (AC, Advisory Committee) durch Hinweise aus einer übergreifenden Position heraus, haben aber weder ein Veto- noch ein Mitbestimmungs- oder Vorschlagsrecht.
Die ICANN wurde im September 2009 aus der Oberaufsicht des amerikanischen Wirtschaftsministeriums (Department of Commerce, DOC) entlassen. Die dabei getroffene Vereinbarung verlangt von ICANN eine regelmäßige Selbstkontrolle in drei Bereichen:
- Interne Abläufe" mit Augenmerk auf Verantwortung, Nachvollziehbarkeit und Berücksichtigung der globalen Nutzerinteressen
- "Technischer Betrieb" mit Augenmerk auf Sicherheit, Stabilität und Robustheit
- "Verwaltung der Top-Level-Domains" mit Augenmerk auf Wettbewerb, Konsumentenvertrauen und Angebotsvielfalt
Das Whois-Review
In diesem Rahmen wird explizit ein eigenständiger Review des Auskunftsdienstes Whois gefordert. Ein breit aufgestelltes Review Team soll die reglungspolitischen Sachfragen unter besonderer Berücksichtigung der Strafverfolgung und de Konsumenten klären. Für die europäische Nutzervertretung bin ich dort involviert.
Die eigentliche Arbeit gestaltete sich erfreulich konstruktiv, auch wenn ich als Nutzervertreter nicht auf Industrie- und Strafverfolgungsinteressen, ja nicht mal auf gesetzliche Vorgaben Rücksicht nehmen muss.
Whois wird im gemeinsamen Dokument von DOC und ICANN definiert "als unverzögerter und unbeschränkt öffentlicher Zugang zu korrekten und vollständigen Informationen über Käufer, technische, buchhalterische und juristische Ansprechpartner" aller hierarchisch vergebenen Ressourcen im Internet. Insbesondere betrifft das Domainnamen wie IP-Adressen.
Interessanterweise definierte ICANN den Whois Dienst im Jahresreport 2009 noch als "Whois begann als ein Nachschlagedienst zwischen Internet-Operatoren, um sich direkt gegenseitig bei Kommunikationsproblemen zwischen Servern zu erreichen."
Bisher wurde innerhalb der Arbeitsgruppe ein Grundkonsens über die verschiedenen Begrifflichkeiten erreicht, wobei man jede der Definitionen auf die Goldwaage legen muss. So unterscheidet sich die Definition von "Strafverfolgungsbehörden" in drei Punkten von der Definition von Wikipedia:
- "enforce" wurde um "maintain, co-ordinate" erweitert, was auch den Gesetzgeber selbst und die Regulierungsbehörden umfaßt.
- "government agency" wurde durch "entity authorized by a government" ersetzt, um jede Firma, die im Auftrag einer Regierungsbehörde tätig wird, zuzulassen.
- "law" wurde um "multi-national treaty or government-imposed legal obligations" erweitert. Dies stattet Unternehmen in Eigentums- und Vertragsrechtsfällen mit den gleichen Rechten wie die Polizei aus.
Whois abschaffen!
Ich persönlich frage mich, ob Whois überhaupt betrieben werden darf:
Nur weil Techniker es ursprünglich als nützlich empfanden, ihre privaten Adressbücher gegenseitig abfragbar zu machen, muss diese Praxis nicht durch Rechteverwerter und Strafverfolgungsbehörden als zentrale Grundkomponente des Internets angesehen werden. Im Gegenteil: Die Rechtmäßigkeit und Zweckmäßigkeit ist aufgrund der geänderten Rahmenbedingungen seit 1978 zu überprüfen.
Die Datensammlungen des Whois entbehren formaler internationaler Grundlagen, sie stehen im direkten Widerspruch zu nationalen Gesetzgebungen. Der deutsche Datenschutz beispielsweise verbietet direkt die Erhebung der Daten, da kein konkreter Verwendungszweck vorliegt. Von der Zusammenführung in zentralen Datenbanken und dem öffentlichen, unbeschränkten Zugang ganz abgesehen.
Obwohl die Forderung nach der Angabe der konkreten, direkt erreichbaren Ansprechpartner den Kerngedanken von Whois ausmacht, sind Proxy-Dienste fast überall erlaubt. Ein Proxy-Dienst steht anstelle des richtigen Ansprechpartners im Whois, gibt aber die korrekten Daten nur auf Anforderung im Einzelfall und mit Zustimmung des Betroffenen heraus. Die gleichzeitige Forderung nach direkt verwertbaren Kontaktdaten und die Zulassung von Proxy-Diensten ist widersprüchlich und macht so ein Whois von vorne herein unsinnig.
Die Daten im Whois sind für den Verwendungszweck der Strafverfolgung wertlos. Gerade Schwerkriminelle melden ihre Internetressourcen eben nicht unter ihren wirklichen Namen an, sie verwenden in der Regel gestohlene Kreditkarten und Identiäten. Es ist den abertausenden Netzbetreibern nicht zumutbar Identifizierungsmaßnahmen durchzuführen, die organisierter Kriminalität widerstehen. Es ist aber auch naiv anzunehmen, dass die Kriminellen nicht selbst als ISP oder Registar unter Deckfirmen auftreten. So haben die Strafverfolgungsbehörden auf dem AtLarge-Summit in Mexiko klar dargeleget, dass sie für zuverlässige Informationen den vollen Weg von der IANA, die Registries über die Resellerketten bis zu den Endnutzern (für Domains und IPs) gehen müssen. Whois hilft ihnen nur bei der Erstorientierung und der Ermittlung der Registry.
Die Daten im Whois sind für die Strafverfolgungsbehörden nicht verwendbar. Bei leichter Kriminalität sind die aktuellen Whois-Datenbanken oft die einzige Datenquelle, auf die sich die Ermittler stützen könnnen, denn ein Betrugsdelikt im Wert von einigen Zig Euro rechtfertigt keine Vorabidentifizierung aller Benutzer. Für leichte Kriminalität wäre die Neueinführung eines Systems wie Whois in den meisten Ländern schlicht verfassungswidrig.
Die Datensammlungen des Whois veralten schnell. Durch die Übertragung der persönlichen Daten von Netzteilnehmern in externe Datenbanken entsteht eine Divergenz zwischen den realen Adressdaten und der initial angelegten Kopie. Der Aufwand diese Daten stets korrekt zu halten ist beträchtlich, wenn man nicht sofort einen direkten öffentlichen Zugriff auf die CRM-Systeme der Provider oder eine zeitnahe Vollkopie dieser Daten fordern würde. Ein solcher öffentlicher Einblick in die Geschäftsdaten von Unternehmen ist in keinem anderen Wirtschaftszweig überhaupt nur angedacht.
Bei Subdomains und Endkundenadressen wird derzeit in der Praxis die Eintragung der eigentlich notwendigen Angaben verweigert oder nur sporadisch ausgeführt. Formal gesehen ist die Nichteintragung zum Schutz des Kunden unzulässig. Dies invalidiert einen Großteil der Nutzungsmöglichkeiten des Whois.
Die Lösung
Ein mögliche Lösung würde darin bestehen, den Whois-Dienst von einem "dicken" Ansatz mit Datenbanken bei der Registry zu einem "dünnen" Ansatz mit Verweisen in verteilte Datenbanken bei den Betreibern umzubauen. Die Daten sind dort abzufragen, wo sie aktuell gehalten werden und den Schutz nationaler Gesetze genießen. Möglicherweise ist der Whois-Dienst generell einzustellen. ()
