Staatliche Spamjäger fordern offenen Whois-Zugang
Während eine ICANN-Arbeitsgruppe vor allem das einwandreie technische Funktionieren der Datenbanken mit Informationen über Domaininhaber gewährleisten will, sehen staatliche Stellen im Whois eine Informationsquelle für Strafverfolger.
Vertreter der US Federal Trade Commission (FTC), der niederländischen Regulierungsbehörde Opta und der japanischen Telecommunications Consumer Policy Divison beim Ministry of Internal Affairs and Communications (MIC) haben vor Einschränkungen beim Zugang zu persönlichen Daten in Whois-Datenbanken gewarnt. Beim Treffen der Internet Corporation for Assigned Names and Numbers (ICANN) in Marrakesch äußerten sie sich besorgt über Bemühungen einer Arbeitsgruppe der für generische Domains zuständige Interessengruppen (Generic Name Supporting Organisation GNSO), persönliche Daten von Domaininhabern nicht mehr grundsätzlich im Whois zu veröffentlichen.
Im Whois (siehe RFC 3912) werden Informationen zu den Domaininhabern, den Ansprechpartnern und den zuständigen Technikadministratoren festgehalten. Der Streit darum, wie viel Information in der Whois-Datenbank eines Domainregistrars stehen soll, tobt nun schon einige Zeit, ohne dass bislang wirklich eine Lösung in Sicht wäre. Die Arbeitsgruppe der GNSO hatte zuletzt den reibungslosen technischen Betriebs als eigentliche Funktion der Whois-Einträge definiert und damit den Weg dafür frei gemacht, nur noch die Tech-C-Daten (also Informationen über den Ansprechpartner bei technischen Problemen) und nicht mehr die des Domaininhabers zu veröffentlichen. Datenschützer, etwa die Artikel-29-Gruppe hatten sich mehrfach kritisch zu den Datenschutzproblemen des offenen Whois geäußert.
FTC-Kommissar Jon Leibowitz sagte bei einem vom ICANN-Regierungsbeirat (GAC) veranstalteten Panel: "Meine Behörde ist besorgt, dass jeder Versuch, die Nutzung des Whois aufs Technische zu beschränken, unsere Möglichkeit gefährdet, Konsumenten und ihre persönlichen Daten zu schützen." Vor allem für den Kampf gegen Spammer, Scammer und andere Übeltäter brauche man zwingend das Whois. "FTC-Beamte haben in den vergangenen Jahrzehnten bei Ermittlungen die Whois-Datenbanken intensiv genutzt. Die Daten liefern oft die ersten Anhaltspunkte bei der Identifizierung von Missetätern", betonte Leibowitz.
Gerade auch bei grenzüberschreitenden Untersuchungen seien die Daten in den Whois-Datenbanken hilfreich, da hier die Whois-Angaben oft die einzige Informationsquelle darstellen: Anfragen bei ausländischen Registraren und auch bei den entsprechenden Behörden seien wegen der zivilrechtlichen Natur der Ermittlungen nicht ohne weiteres möglich oder zumindest sehr aufwendig. Bestätigt wurde Leibowitz' Aussage von seinem niederländischen Kollegen Chris Fonteijn, seit 2005 Chef der Opta. Die Opta setzt laut Fonteijn im Kampf gegen Spammer ebenfalls intensiv aufs Whois. Lässt sich der Zugriff auf die bei den Registraren gespeicherten Registrierdaten im eigenen Land noch bewerkstelligen, würde es bei Registraren im Ausland "sehr schwierig werden".
Selbst absichtlich falsch eingetragene Whois-Informationen sind die Beamten immer noch lieber als gar keine Daten. "Manchmal verwenden die Spammer den Mädchennamen der Mutter", sagte Leibowitz. Manchmal lasse sich eine Spammeridentität daraus rekonstruieren, dass der Betreffende vor dem Inkrafttreten von Spamgesetzen seine realen Daten angegeben habe, fügte ein Opta-Mitarbeiter hinzu. Fonteijn sprach von einer intensiven Analyse von "Mustern" bei der Spammerjagd. Dazu würden auch historische Domaindaten mit zurate gezogen. Auch diese wären in einem enger gefassten Whois nicht mehr zugänglich, fürchtet Fonteijn.
Leibowitz, Fonteijn und ihre japanische Kollegin Hiroyo Hiramatsu empfehlen unisono, dass die Registrare mehr gegen "MickeyMouse"-Einträge und veraltete Daten tun sollten. Die USA haben gegenüber ICANN bereits durchgesetzt, dass Registrare regelmäßig die Kundenangaben neu abfragen müssen. Hiramatsu nannte vor allem Urheberrechtsverletzungen als wesentliches Problem, zu dessen Aufklärung Whois-Recherchen herangezogen würden.
Von Nutzervertretern mussten sich die Spam- und Pirateriejäger allerdings ziemlich kritische Fragen gefallen lassen. Milton Mueller, US-Experte für Internet-Regulierung, fragte, ob die Verfolger bei der Forderung eines offenen Whois bedacht hätten, das automatisiertes "Abernten" (Harvesting) von Whois-Datenbanken eine Hauptquelle von Spam sei. Leibowitz antwortete, es gebe keinen Zusammenhang zwischen Whois-Datenbanken und Spamming-Attacken. Mueller forderte außerdem eine Erklärung dafür, dass Länder mit strikteren Datenschutz-Regeln noch nicht zu sicheren Häfen von Kriminellen geworden sind. Die .de-Registry DeNIC verzichtet nach Absprache mit den Datenschützern etwa auf die allgemein zugängliche Veröffentlichung von Rufnummer und E-Mail-Adressen der Domaininhaber. "Dahin können Sie doch keine gerichtliche Vorladung schicken", sagte DeNIC-Chefin Sabine Dolderer. Die niederländischen Spamjäger haben trotz einer Opt-Out-Möglichkeit für die Veröffentlichung der persönlichen Daten bei der Länderdomain .nl in den vergangenen Jahren einheimischen Spam um 85 Prozent gesenkt, versichert die Opta.
Nigel Roberts, Chef der Registries der Kanalinseln Jersey und Guernsey, erinnerte die anwesenden europäischen Regierungsvertreter an die EU-Datenschutzrichtlinie und den Artikel 10 der Menschenrechtskonvention des Europarats, der jedem Bürger das Recht auf Privatheit gebe. Sollten die Regierungen im ICANN-Regierungsbeirat Domaininhaber zur Veröffentlichung der Daten zwingen wollen, würden sie gegen diese Gesetze verstoßen.
Nicht ganz einig sind sich die verschiedenen Parteien über das Modell des "abgestuften" Zuganges (tiered access). Die komplette Freigabe der Domaininhaberdaten für alle Nutzer sei möglicherweise unverhältnismäßig, sagte Fonteijn in einem persönlichen Kommentar. Ein Zugang für die Behörden bei Bedarf müsse allerdings möglichst einfach gestaltet werden, etwa über einen einfachen Passwortzugang. Gleichzeitig unterstrich der US-Beamte, dass nach Ansicht der FTC auch die Verbraucher selbst ein Recht auf einen offenen Zugang zu den Whois-Daten haben müssten. Ein anwesender Strafverfolger sagte, der abgestufte Zugang sei in der Praxis zu kompliziert. Er selbst habe übrigens ebenfalls einige Domains und seine private Adresse nicht ins Whois eingetragen, das sei für ihn zu gefährlich.
Zur Auseinandersetzung um das Whois siehe auch:
- ICANN-Regierungsbeirat debattiert über Whois-Datenschutz und neue Domains
- Streit um Datenschutz bei Whois dauert an
- US-amerikanische Whois-Regeln erstmals vor Gericht
- Whois-Daten-Streit: Ausnahmen für den Datenschutz
- Kritik an ICANN-Umgang mit falschen Registrierungsdaten von Domains
- ICANN-Treffen: Strafverfolger fordern Zugang zu Whois-Daten
- Anonyme Registrierung von Domains noch wenig verbreitet
- Falsche Whois-Daten meist von Spammern
- Whois-Daten unter der Lupe
- Datenschützer kritisieren Whois-Politik
- ICANN: Auf dem Weg zu einem neuen Whois
- Whois für Big Brother 2003
- Crisp statt Whois im Internet-Namensraum
- DeNIC schränkt Zugriff auf Whois ein
- ICANN will gegen falsche Whois-Einträge zu Domains vorgehen
- US-Gesetz über Whois-Daten angedroht
(Monika Ermert) / (jk)
