Wie die ukrainische Top Level Domain .ua in Zeiten des Kriegs funktioniert

Dmitry Kohmanyuk gehört zum Gründungsteam der .ua ccTLD. Inzwischen ist er bei der nationalen Top Level Domain der Ukraine verantwortlich für die Beobachtung und Einführung neuer Technologien, wie DNSSEC. Kohmanyuk erreichte die Nachricht vom Angriff Russlands während er im europäischen Ausland unterwegs war. Jetzt arbeitet er fieberhaft aus der Ferne mit seinen Kolleginnen und Kollegen, um die ua.-Registry mit ihren 500.000 Domains am Leben zu erhalten.

Die Firma, Hostmaster, ist auch für den Betrieb der gov.ua-Zone verantwortlich, die die Registry zum Ziel vieler Angriffe macht. Kohmanyuk hält Kontakt zu internationalen Partnern und versucht, das .ua-Team, das über die Ukraine und inzwischen auch andere Länder verteilt ist, so gut wie möglich zu stützen. Es falle ihm schwer, die in Kiew ausharrenden Kollegen zu bemuttern, weil ihm selbst zum Heulen zumute sei, sagt Kohmanyuk im Gespräch mit heise online. Aktuell hat die Registry noch etwa 50 Prozent ihrer Infrastruktur in der Ukraine. Aber die .ua könnte selbst zum "Flüchtling" werden, die vom Ausland aus betrieben werden muss.

heise online: Dmitry, wie geht es Ihnen?

Dmitry Kohmanyuk: Ich versuche, nicht über mich nachzudenken. Mir geht es gut. Ich bin 51 Jahre. Ich habe mein Leben gelebt. Ich habe die Ukraine in Sowjetzeiten verlassen, um ein paar Jahre in Kalifornien zu leben. Dann ging ich zurück in die Ukraine. Ich bin zufrieden. Ich habe viel von der Welt gesehen. Die Situation in der Ukraine sehe ich pessimistisch. Manche Schäden sind reparabel. Wir können Dinge hin und her bewegen. Wir können relativ leicht Daten umziehen. Aber wir können die Menschen nicht einfach verpflanzen. Wir können die Geschichte nicht einfach ändern. Manches ist unwiederbringlich zerstört und wird nie wieder sein wie zuvor. Oder es dauert ein Jahrhundert. Es ist wie mit dem Holocaust, die Menschen vergessen das nicht. Darüber denke ich viel nach. Ich versuche immer noch höflich umzugehen mit Menschen aus Russland. Tatsächlich bin ich bei einem russischen Freund hier untergekommen, den ich besucht habe, bevor der Krieg ausgebrochen ist.

heise online: Wo sind Sie?

Dmitry Kohmanyuk: Sagen wir einfach, ich bin in Eurasien. Wir sind am 14. Februar hier angekommen, wollten ursprünglich am 21. zurück und verlängerten um eine Woche. Dann kam der Krieg und jetzt bin ich ein Flüchtling. Ich habe keinen Ort, an den ich zurückkehren kann. Ich habe mein Gehalt aus der Ukraine und hoffe, dass ich das noch bekommen kann. Meine Ersparnisse reichen für ein paar Monate. Es ist ok.

Haben Sie überlegt, zurück in die Ukraine zu gehen?

Nein, ich plane nicht, jetzt zurückzugehen.

Hatten Sie damit gerechnet, dass es Krieg geben könnte?

Ich wollte es nicht wahrhaben. Aber Freunde in den USA und die US-Botschaft haben mir gesagt, dass der Krieg bevorsteht. Ich konnte das einfach nicht glauben. Es ist, wie wenn man gesagt bekommt, jemand hat Krebs. Man will nicht glauben, dass er sterben wird.

Wie geht es dem Hostmaster Team?

Das Team besteht aus 20 Kolleginnen und Kollegen. Ich muss einräumen, wir waren nicht wirklich vorbereitet auf den Krieg. Wir hatten nicht geplant und etwa eine Menge Backupsysteme hingestellt. Wir mussten mit dem auskommen, was wir hatten und wir haben das hinbekommen. Wir haben gemacht, was notwendig war. Die Server für die Produktion haben wir praktisch in die Cloud evakuiert. Ich will keine Namen nennen. Aber mehrere internationale Firmen haben uns unterstützt. Ich habe die Kontakte, die ich auf den ICANN- und RIPE-Treffen geknüpft habe, angesprochen. Einige haben sich sofort zurückgemeldet. Ich habe direkt die Leute in den Anzügen angefragt. Das hat funktioniert, vielleicht besser als wenn ich mich an die Community gewandt hätte. Fakt bleibt, wir waren nicht vorbereitet. Präsident Selenskyj hatte öffentlich gesagt, dass uns niemand angreifen würde. Aber wir haben es am Ende geschafft, mit dem, was wir hatten, mit den Ressourcen und den Leuten, die da waren, den Dienst aufrechtzuerhalten.

Was ist das Wichtigste?

A, die Domains müssen funktionieren also abgefragt werden können. B, die Registry muss funktionieren. Das ist unser Job. Wir sind die Registry, in der verzeichnet ist, wem welche Domain gehört. Wir haben Registrare, die die Domains innerhalb der Ukraine und auch international verkaufen.

Gibt es aktuell noch neue Registrierungen?

Natürlich.

Was registrieren Leute in einer solchen Zeit denn?

Das darf ich nicht sagen und ich tracke das auch nicht. Es ist privat. Ich bin nur der, der die Maschine am Laufen hält. Also die Registry ist online, aber wir mussten sie aus der Ukraine migrieren. Webseite und E-Mail-Server haben wir aktuell noch in der Ukraine. Für die Kommunikation haben wir auf Signal Messenger umgestellt, weil das Telefonnetz immer ständig ausfällt. Wir pflegen auch die Zone gov.ua. Auch diesen Teil haben wir auf Server außerhalb der Ukraine geschoben. Glücklicherweise hatten wir schon DNS-Server außerhalb, das war also kein großes Problem. Aktuell verteilt sich der Betrieb auf 50 Prozent außerhalb und 50 Prozent innerhalb des Landes. Weil ich befürchtet habe, dass die gesamte Infrastruktur in der Ukraine gefährdet ist, habe ich mich um zusätzliche Secondary Server in der Cloud gekümmert.

Wir haben also die A-Systeme, alles, was wir schon vorher vor Ort hatten. Wir haben die B-Systeme, neue Systeme an verschiedenen Stellen und dann haben wir noch C – das was wir in der Cloud angemietet oder gespendet bekamen. Wir haben letztlich eine Menge Cloudreserven gemietet. Ich sollte keine Firmen nennen, aber Cloudflare will ich erwähnen. Cloudflare kam von selbst auf uns zu und bot Unterstützung an. Wir haben die Hilfe angenommen, uns sehr auf die angebotenen Ressourcen abgestützt und daher möchte ich mich bedanken bei Management und Cloudflare-Team. Die Leute dort wissen, wen ich hier meine. Sie haben eine Menge Arbeit investiert. Das ging vor dem Krieg los mit den Denial of Service Attacken auf die Regierungsseiten. Dadurch hatten wir die direkten Kontakte. Natürlich haben wir noch viele Dinge in der Ukraine. Dinge wie Buchhaltung etwa. Vor allem haben wir noch unsere Leute da, und die kann man nicht so einfach hin- und herschieben. Manche haben kein Geld oder keine Autos, um zu fliehen. Und dann, es können nur die Frauen gehen. Männer dürfen das Land nicht verlassen oder einfach woanders hingehen. Wenn sie die Stadt verlassen, müssen sie das melden.

Aber Techniker können weiter ihre Arbeit tun, oder?

Schon, aber der Staat kann jede Person in unserer Firma zum Militärdienst einziehen. Wir haben keinen Sonderstatus. Es werden nicht so viele eingezogen, und wir haben keinen einzigen Mitarbeiter, der beim Militär war, mit Ausnahme unseres Direktors. Der war bei der Armee. Natürlich hat man uns in der Schule zu Zeiten der Sowjetunion gezeigt, wie man eine Kalaschnikow abfeuert. Aber da gab es eine Kalaschnikow für die ganze Klasse, das war eine eher theoretische Übung. Später war ich mal für zwei Wochen bei einem Militärcamp in Kherson. Das war es dann mit meinem militärischen Training.

Können Sie beschreiben, wie ihr Arbeitstag aussieht? Wie koordinieren Sie die Arbeit mit dem Team in Kiew?

Nicht alle sind in Kiew. Manche sind dort, andere nicht. Manche sind woanders hingegangen. Ich möchte nicht sagen, wie sie verteilt sind.

Wie viele Mitarbeiter haben die Ukraine verlassen?

Zwei Frauen arbeiten aktuell von außerhalb der Ukraine.

Es könnte von Vorteil sein, Mitarbeiter außerhalb zu haben, oder nicht?

Ich würde sagen, ja. Erschwert wird das aber, weil Geldtransfers aus dem Land heraus aktuell untersagt sind. Um unseren Arbeitsalltag zu organisieren, nutzen wir Signal, das wir aus Sicherheitsgründen jetzt statt Telegram nutzen. Die Verschlüsselung und der Umstand, dass nichts archiviert wird, sind von Vorteil. Seit dem Beginn des Krieges haben wir online und von verschiedenen Standorten aus zusammen gearbeitet.

Unsere Registry ist live, unsere Bank funktioniert noch. Wir können unseren Dienst anbieten und Einnahmen bekommen. Die kostenlose Unterstützung von außen ist hochwillkommen. Unser Team hilft selbst aus. Unser Chef hat beispielsweise den Umzug einiger physikalischer Server mit seiner privaten Kreditkarte bezahlt und es als Beitrag für die Firma bezeichnet. Ich selbst hab die ein oder andere Kleinigkeit bezahlt. Das ist natürlich nicht nachhaltig. Es ist erst mal eine Strategie, um zu überleben.

Es gab eine Ankündigung der ukrainischen Regierung, dass mehr IT-Infrastruktur außer Landes betrieben werden soll, können Sie das bestätigen?

Es ist nicht so, dass wir Server bewegen. Wir mieten an, und zwar im Ausland. Wir mieten beispielsweise zehn Server in einem europäischen Land und dann können wir fünf zu Hause abschalten. Tatsächlich haben wir noch keine Server wirklich ausgeschalten. Die laufen alle noch. Wir kopieren einfach die entsprechenden (Zonen)Daten und spiegeln unsere Systeme. Das Hin- und Herbewegen von Hardware ist angesichts der Bedrohung für Leib und Leben kaum noch machbar.

Was ist die größte Gefahr für die Registry?

Die größte Gefahr für die Registry ist die Bedrohung des ganzen Landes. Die militärische Gefahr, die Bomben, die Gefahr eines Nuklearschlages. Die größte Gefahr ist der Kollaps der Wirtschaft und der Gesellschaft. Außerdem sind die Menschen erschöpft, sie sind müde, sie sind hungrig. Sie haben Zusammenbrüche, ich führe viele Gespräche von hier und tue mein Bestes, sie zu beruhigen. Ich komme mir vor wie eine Mutter, aber darin bin ich gar nicht gut. Und ich fühl mich manchmal selbst wie ein kleines Kind und brauche meine Partnerin, hier in unserem Refugium. Ich bin dankbar, dass sie hier ist.

Was wird gebraucht, um die Arbeit der Registry zu unterstützen?

Im Moment haben wir die Probleme soweit im Griff. Die ccTLD ist klein, es sind eine halbe Million Domains. Das kann man mit recht einfachen Mitteln machen. Die Hilfe, die wir brauchen, ist Hilfe für unser Land. Die Ukraine braucht humanitäre, militärische und politische Hilfe. Wir brauchen harte Sanktionen durch Unternehmen. Natürlich kann man keinen Krieg gewinnen, indem man keine Playstations verkauft. Aber die Leute tun eben, was sie können. Ich sollte auch sagen, dass ich Deutschland dankbar bin für die militärische Hilfe und die Unterstützung der Flüchtlinge.

Sie haben die Kommentare von wegen der "neutralen Infrastruktur" kritisiert. Hätten ICANN und RIPE den Appellen der ukrainischen Regierung folgen und Russland IP-Adressen und ihre ccLTD entziehen sollen?

Also, ich weiß nicht, was sie tun sollten. Ich weiß, sie sollten den Appell nicht ignorieren. Ich weiß auch, ICANN hat reagiert und 1 Million Dollar für die Aufrechterhaltung des Internets in der Ukraine bereitgestellt. Ich weiß nicht, wie das Geld verteilt wird, aber die Initiative ist gut. Ich persönlich glaube, sie sollten ihre russischen Partner sanktionieren, so wie andere US-Unternehmen das getan haben. Denn abgesehen von US-Gesetzen, kann jede Firma für sich selbst entscheiden, welche Kunden sie bedient. Sie müssen keine Geschäfte mit Nordkorea machen, und Russland könnten sie einfach auf ihre Liste setzen.

Sollte also die Internet-Community BGP Filter oder Domainfilter gegen Russland einsetzen?

Ich habe einen Brief mit unterschrieben, der die Community auffordert, sich Gedanken zu machen über eine Liste sehr gezielter Sanktionen. Bill Woodcock hat diesen Brief publiziert. Ich war nicht direkt in die Formulierung involviert, weil ich fand, ich bin parteiisch. Aber ich unterstütze das Ergebnis. Der Brief erklärt, wie Sanktionen in einer digitalen Welt aufgesetzt werden sollten. Es ist vielleicht noch nicht perfekt, einige Dinge bedürfen vielleicht noch weiterer Überarbeitung. Aber es ist ein guter Start und nicht aggressiv. Es gibt keine Drohungen oder negative Ausdrucksweise. Der humanitäre Aspekt von Sanktionen wird mit angesprochen. Meiner Meinung ist Handel für die Gesellschaft existenziell, und wenn man Handel stoppt, schadet man Menschen. Wenn also die Ukraine keinen Weizen mehr produziert, dann verhungern Menschen. Wir riskieren den wirtschaftlichen Kollaps mit der Unterbrechung des Handels, soviel ist klar.

Was halten sie vom Aufruf, russische Ziele zu hacken?

Ich denke, solange man militärische oder staatliche Ziele angreift, ist das in Ordnung. Vergessen wir nicht, wenn wir den Inhalt einer Webseite ändern, das tut nicht weh. Wenn auf der Webseite des Kreml die Wahrheit über den Krieg in der Ukraine steht, das ist nicht kriminell. Ich würde mich selbst nicht beteiligen an solchen Hacks. Ich bin mit der Idee eines friedlichen und nicht militärischen Internet aufgewachsen.

Gibt es noch Attacken auf .ua?

Jeden Tag. Wir hatten zwischen dem 12. und 14. Februar großangelegte DDOS-Angriffe. Die betrafen allerdings die Hostmaster Seite. Auch Cloudflares Systeme sind nicht gemacht, um Kriegsattacken zu widerstehen.

Bei vielen Operator Meetings haben Sie auch russische Kollegen getroffen. Was sagen Sie denen heute?

Ich bin nicht wütend auf sie. Viele meiner russischen Freunde aus der RIPE Community sind immer noch meine Freunde. Nicht alle. Aber eine Menge russische Freunde leben im Ausland. Was würde ich ihnen sagen? Macht das Richtige. Und sie wissen, was das ist. Für russische und belarussische Soldaten gibt es doch praktisch drei Optionen. Sie können im Krieg fallen. Sie können in ihr Land zurückkehren – und dann vermutlich ins Gefängnis gehen. Und sie können sich ergeben. Wenn sie sich ergeben, dann leben sie. Also das ist doch die beste Option. Sie sollen nicht die Städte bombardieren. Wenn man ein Flugzeug fliegt, muss man doch immer noch einen Knopf drücken. Tut das nicht. Verweigert den Befehl. Ergebt Euch.

Könnte die .ua Registry komplett aus dem Exil betrieben werden müssen, könnte die Zone praktisch Flüchtling werden?

Ja. Wir betreiben die Zone weiter, komme, was wolle. Wir werden sie nicht aufgeben. Wir machen, was auch immer notwendig ist. Wir geben nicht auf. Ich hoffe, wir gewinnen. Denn einen Plan B gibt es nicht.

Dmitry, vielen Dank, dass sie sich Zeit für das Gespräch genommen haben. Alles Gute für Sie persönlich, für Ihr Team und alle Menschen in der Ukraine.

(bme)