Cross Registry Information Service Protocol soll Whois ablösen

Die Zeiten gänzlich offener Whois-Informationen über die Inhaber von Domains und IP-Adressen dürften bald zu Ende gehen. Zwei Tage lang diskutieren beim Treffen der Internet Corporation for Assigned Names and Numbers (ICANN) in Montreal Registrare und Vertreter verschiedener Behörden und internationaler Organisation die Probleme des Protokolls, das es bereits vor der Einführung des Domain Name System (DNS) gab. Der Workshop war vor allem auf Drängen der Regierungen zustande gekommen. Während aus Europa besonders Druck von Seiten der Datenschützer kommt, macht man sich in den USA allerdings mehr Gedanken darüber, wie man korrekte Angaben in den Verzeichnissen durchsetzen kann. Die nächste Generation des Whois, ein Protokoll unter dem Arbeitstitel Crisp (Cross Registry Information Service Protocol), das die Internet Engineering Task Force (IETF) derzeit in der Mache hat, soll es künftig unter anderem abgestufte Zugangsrechte für die verschiedenen Jurisdiktionen geben.

Bei der Einführung von "Nicname" im RFC 812, dem ersten Whois und dann Whois über IP (RFC 954) waren alle User noch gleich und bekamen dementsprechend den selben Datensatz, sagte Andrew Newton von VeriSign, der Crisp vorstellte. Inzwischen aber wird das Whois nicht mehr nur als Telefonbuch einer eingeschworenen Community gelesen: Die Markenschützer fahnden dort nach Piraten, Verbraucherschützer, Behörden und Strafverfolger nach Online-Trickbetrügern, und natürlich sucht alle Welt nach Spammern. Genau die bedienen sich ihrerseits intensiv der Whois-Server fürs Datamining. Gerade die Domainregistrare stöhnen über die ständige Belagerung ihrer Kunden durch Wettbewerber oder Betrüger, die sich mit dem Hinweis melden: "Ihre Domain ist ausgelaufen, erneuern Sie sie sofort".

Bruce Tonkin von Melbourne IT sagt mit Blick auf den Missbrauch der Whois-Informationen, mit dem offenen Whois stelle man praktisch eine detaillierte, vollständige Kundenliste öffentlich zur Verfügung. "Das ist, als ob sie nicht selbst auswählen, mit welcher Fluglinie sie hierher nach Montreal kommen, sondern sich auf eine Liste ins Web setzen lassen, damit die Anbieter sich dann bei Ihnen melden. Wenn sie sicher sein wollen, dass sie gleich in der ersten Stunde 200 Anrufe bekommen, schreiben sie rein, dass sie First Class reisen wollten." Melbourne IT bekommt über zwei Millionen Whois- Anfragen pro Tag, beschrieb Tonkin die Situation.

Das Crisp-Protokoll soll dagegen Datamining verhindern und über Passwörter, digitale Zertifikate und Referrals einen abgestuften Zugang ermöglichen. "Nicht alle Daten müssen in gleicher Weise allen Nutzern zugänglich sein", heißt es in der Beschreibung von Crisp. Behörden sollen etwa weiterhin den vollen Zugriff bekommen, forderte die Vertreterin der amerikanischen Wettbewerbsbehörde FTC. Zudem soll Crisp als Antwort auf die Internationalisierung des DNS neben ASCII auch andere Zeichensätze zulassen und die Entwicklung jeweils passender Clients für die verschiedenen Ansprüche erleichtern. Vor allem aber verspricht Crisp ein weiteres Problem zu lösen, an dem derzeit vor allem die europäischen Registrare kauen. Sie sind einerseits an EU-Datenschutzrecht gebunden und müssen ihren Kunden anonyme Registrierungen ermöglichen. Andererseits verlangen ihre Verträge mit ICANN die Publikation korrekter Datensätze der Kunden und, wie im Falle der .org-Adressen, die Übergabe der Kundendaten an ein Unternehmen in den USA, die neue .org-Registry Public Internet Registry.

Diana Alonso-Blas, Datenschutzexpertin bei der Europäischen Kommission, warnte, dass keineswegs alles, was wünschenswert ist, auch legal sein muss." Die Präsentation der Nutzerdaten einschließlich der Telefonnummern in öffentlichen Verzeichnissen erfordere mindestens ein "zweifelsfreie und informierte Zustimmung" durch die Nutzer. "Damit meinen wir Opt-in und nicht Opt-out," betonte Alonso-Blas. Ein Teil der Registries in Europa hat auf die EU-Bestimmungen, beziehungsweise deren Umsetzung in jeweils nationales Recht, reagiert. Bart Boswinkel von der niederländischen Registry stellte die Lösung in den Niederlanden vor, wo private Domain-Inhaber ihre persönlichen Daten jetzt komplett aus dem Whois nehmen lassen können. "Wir brauchen das Whois nicht unbedingt für den DNS-Betrieb," so Boswinkel.

Auch beim Zugriff auf das Whois macht die niederländische Registry Einschränkungen. So können Nicht-Registrare nur 15 Whois-Anfragen pro Tag starten. Eine ähnliche Regelung mit liberaleren Zugriffsbedingungen hat auch das DeNIC diese Woche angekündigt. Bulk-Access -- das ist der Zugriff auf den kompletten Whois-Datenbestand und aus Datenschützersicht der Supergau -- werde überhaupt nicht gewährt. Genau zu dem sind allerdings wiederum die ICANN-Registrare zum Preis von 10.000 US-Dollar verpflichtet.

Bei der ICANN hat man sich bislang eher um die Sorgen von US-Behörden gekümmert und versucht, die Registrare zu verpflichten, korrekte Dateneinträge abzuliefern. Erst kurz vor dem Treffen in Montreal veröffentlichte ICANN die Auflage, nach der Registrare ihren Kunden einmal jährlich ihren kompletten Datensatz zur Überprüfung zusenden sollen. Auch die Kündigung von Verträgen gegenüber Kunden mit falschen Whois-Angaben ist in den ICANN-Verträgen vorgeschrieben. Man habe bislang rund 12.000 Hinweise auf falsche Datensätze erhalten, sagte ICANNs Justiziar Louis Touton. Um diesen Beschwerden nachzugehen, hat man jetzt sogar ein Ticketsystem eingeführt. Der Clash der Datenschutzregime wird dagegen wohl erst mit Crisp gelöst. (jk)