Wie die Betreiber der DNS-Root das freie Internet schützen
Seit die EU ihren Gesetzesarm bis zu den DNS-Root-Servern in den USA ausstreckte, befürchten die Betreiber staatliche Einmischung, die das Internet beschneiden.
(Bild: designium/Shutterstock.com)
- Monika Ermert
Ohne die Kommunikation mit dem weltweiten Domain Name System (DNS) funktioniert praktisch kein Internetdienst und den DNS-Root-Servern fällt dabei eine Schlüsselrolle zu: Wer die Root-Server kontrolliert, kontrolliert die Namensauflösung aller Top-Level-Domains (.de, .com, .org etc.) und damit das Internet. Auf dieser Ebene ließe sich der Zugriff auf Top-Level-Domains ganzer Staaten unterbinden und damit auf sämtliche Webserver, die über Subdomains an eine Top-Level-Domain geknüpft sind.
Die DNS-Root, die aus 13 über die Welt verteilten, redundanten Root-Servern und über 1400 redundanten Anycast-Instanzen besteht, ist als gemeinsame Infrastruktur aller Top-Level-Domains gedacht und damit auch als gemeinsame Einrichtung aller Staaten. Jegliche Zensur der DNS-Root würde diesem Grundsatz widersprechen, weshalb es für die Root-Betreiber nicht infrage kommt, etwa die Top-Level-Domain .ru im Rahmen von aktuellen Sanktionen gegen Russland zu sperren.
(Bild: Bild: root-servers.org)
Ausgerechnet die EU gefährdet dieses Prinzip nun, und zwar paradoxerweise im Rahmen von Sicherheitsüberlegungen. Seit dem Aufbau der Root-Server im Jahr 1984 hat sich lange kein Staat und keine Regulierungsbehörde um deren Betriebssicherheit geschert. Im Verlauf der Novellierung der zweiten Netz- und IT-Sicherheitsrichtlinie (NIS2) fiel der EU-Kommission 2020 auf, welch kritische Bedeutung dem DNS und damit den Root-Servern mit der Verbreitung des Internets zugewachsen war. Deshalb erwogen EU-Parlament, -Rat und -Kommission, die Funktion der Root-Server per Gesetz zu stützen und etwa betriebssichernde Maßnahmen zur Pflicht zu machen.
EU beaufsichtigt US-Regierung?
Prinzipiell klingt das sinnvoll und begrüßenswert. Doch damit wären selbst die von US-amerikanischen Universitäten und dem US-Militär betriebenen Root-Server unter die Aufsicht der EU-Kommission gefallen – weshalb diese der EU auf die Finger klopften. "Es ist geradezu undenkbar, dass die EU die US-Regierung beaufsichtigt oder der NASA Geldstrafen auferlegt", kritisierte Marco Hogewoning, Regulierungsexperte beim europäischen Root-Server-Betreiber RIPE NCC, den damaligen Entwurf.
Der Industrieausschuss des EU-Parlaments positionierte sich daher gegen die Idee. Und das Parlament entfernte die Root-Server aus seinem Entwurf. Nun fallen – was die DNS-Infrastruktur angeht – nur noch DNS-Resolver von großen Betreibern wie der Telekom unter die EU-Aufsicht.
Doch allein der Plan, die Root-Server einer Regulierungsbehörde zu unterstellen, hat bei den Betreibern Befürchtungen geweckt, dass ein Staat Ähnliches durchsetzen könnte. Bisher bilden die 12 Betreiber der 13 Root-Server einen losen Club. Dazu gehören Universitäten, kleine Internetdienstleister, die Weltraumagentur NASA oder auch das US Army Research Lab. Nun arbeiten sie an einer übergreifenden Verfassung, die die Unabhängigkeit und Selbstverwaltung des gesamten Systems festschreiben soll.
Bei einem Treffen der nordamerikanischen Netzbetreiber in Austin Mitte Februar zog Robert Carolina, Justiziar beim Root-Betreiber ISC, eine Zwischenbilanz. Seit 2015 tauschen sich die Betreiber über den Status und Regeln für den Root-Server-Betrieb aus. 2018 legte die Gruppe ein erstes Grundsatzdokument vor.
Darin räumt sie ein, dass Interessenvertretern ein Mitspracherecht zugestanden werden müsse. Dazu zählen die vom Root-Betrieb abhängigen Betreiber von Top-Level-Domains. Die bislang von den jeweiligen Institutionen getragenen Kosten sollten auf mehrere Schultern verteilt werden. Denn die Zahl der Internet-Hosts und -Nutzer habe sich seit dem Internetstart vielmals vertausendfacht, was die Unterhaltskosten der Root-Server in die Höhe getrieben hat.
Selbstverwaltung perdu
2020 legte dann eine von der Internet Corporation for Assigned Names and Numbers (ICANN) eingesetzte Arbeitsgruppe ein Modell für die künftige Verwaltung vor. Demnach sollte der Root-Server-Betrieb stärker an die ICANN gebunden werden, welche Sekretariats- und Monitoring-Aufgaben erfüllen und die Finanzen regeln würde. Auch hatte sich die Arbeitsgruppe Root Server System Governance Working Group (RSS GWG) zwei Gremien ausgedacht, die die Root-Betreiber von oben herab verwaltet hätten (Public Root Services sowie Strategy, Architecture and Policy Function).
Damit wäre die Selbstverwaltung perdu, was den bislang völlig unabhängig arbeitenden Root-Betreibern gar nicht schmeckt. Deshalb legten die zwölf Betreiber, respektive deren Root Server System Advisory Committee (RSSAC) im November 2021 einen eigenen Kriterienkatalog für den Betrieb vor.
Vor einer Übertragung von Aufsichtsaufgaben an ein neues Gremium seien die Rollen der verschiedenen Parteien, die Entscheidungsprozesse und die Einbindung der Root-Betreiber in die Selbstverwaltungshierarchie der ICANN zu prüfen. Dabei enthält die lange Liste der Anforderungen auch Widersprüche, räumte Carolina ein. Die Autonomie der einzelnen Betreiber etwa stehe im Widerspruch zur Transparenz- und Rechenschaftspflicht. Es gelte daher, eine Balance zu finden, ohne das bisherige Konzept zu gefährden. Die starke organisatorische, aber auch hardware- und softwaretechnische Diversität müsse gewahrt bleiben. Diese sei ein Garant für die Stabilität des Systems.
Damit scheint schon mal eine erste Konfliktlinie gezogen: "Techniker" wollen sich von "Beamten" keine Vorschriften machen lassen, denen sie im Zweifel eher finanzorientiertes Denken als problemlösende Ansätze unterstellen.
Streit über Souveränität
Mit der neuen Verwaltungsstruktur wollen die Root-Operatoren auch überfällige Fragen klären. Zum Beispiel: Wer sind die Interessenvertreter, die beteiligt werden sollten bei Entscheidungen über den Root-Betrieb? Was passiert, wenn ein Betreiber aus dem Kreis ausscheiden möchte oder wenn man einen neuen aufnehmen will? Zugleich fachen diese Prozesse die Diskussion neu an, wer einen Root-Server – technisch gesehen – betreiben kann und – politisch gesehen – darf.
Als heikle Frage gilt, ob Regierungsstellen infrage kommen. Denn einerseits halten die Operatoren eine Vielfalt unter den Betreibern für vorteilhaft – privatwirtschaftlich, akademisch, non-profit oder eben staatlich, die Mischung gilt als Vorzug. Andererseits fordern sie die Unabhängigkeit des Root-Server-Betriebs vom jeweiligen Betreiber. Mindestens dürften nie "zu viele Betreiber in gleicher Hand sein".
Schwierig könnte die Entscheidung werden, wo die für Sekretariats- und Finanzaufgaben zuständige neue Root-Organisation angesiedelt wird. Für ein ICANN-Gewächs kommen im Prinzip nur die USA infrage. Auch das wäre heikel, weil bislang nicht in den USA angesiedelte Root-Betreiber plötzlich US-amerikanischem Recht unterstehen würden.
Deshalb dürfte der Plan der ICANN außerhalb der USA auf Widerstand stoßen. Zwar haben sich die Betreiber auch ein wenig vor dem EU-Gesetzgeber gebeugt, indem sie Regeln über den Informationsaustausch und das Monitoring von Angriffen und Sicherheitsvorfällen für ein neues Verwaltungskonstrukt fordern. Aber dennoch dürfte der Betrieb unter einem unitären Aufsichtsgremium in einer fremden Jurisdiktion die eigentlich begrabenen Souveränitätsdebatten neu anfachen.
Zuletzt räumten die beiden Parteien ein Problem aus, das den Root-Operatoren auf dem Magen gelegen hat. Ersten Überlegungen der ICANN zufolge, sollten sie nämlich zur anvisierten "verfassunggebenden Versammlung der neuen Root-Server-Verwaltung" nur zwei-drei Vertreter schicken dürfen. Nach einem Briefwechsel Anfang dieses Jahres haben sie aber durchgesetzt, dass jeder der 12 Betreiber Mitglied in der Arbeitsgruppe RSS GWG wird. Die nächste Sitzung der RSS GWG auf dem langen Weg zur Verfassung soll im Mai starten, dann mitsamt den Root-Betreibern.
(dz)
