ICANN78: Missbrauchsklausel für Domains in ICANN-Verträgen

Inhaltsverzeichnis

Das Thema Domainmissbrauch wird viel diskutiert. Eine eigene Unterarbeitsgruppe des Regierungsbeirates der Internet Corporation for Assigned Names and Numbers (ICANN), die Public Safety Workging Group (PSWG), drängt unterstützt von Strafverfolgern immer wieder auf allerlei Verschärfungen der Regeln. Die Registries und Registrare der ICANN wollen der vielstimmigen Klage über Domainmissbrauch begegnen – und möglicher staatlicher Regulierung zuvorkommen.

Ein Zusatz in den für Domain-Registries und -Registrare geltenden Verträgen soll die Anbieter verpflichten, Betrugsversuche abzustellen. Damit die Vertragsänderung wirksam werden kann, müssen 90 Prozent aller ICANN Registry- und Registrarunternehmen zustimmen. Beim laufenden ICANN-Treffen in Hamburg rühren die Unternehmen selbst die Werbetrommel.

Datenzugriffe trotz DSGVO

Aktuell fordert die PSWG etwa umfassendere Rechte über ein geplantes System für den Zugriff auf Domaininhaberdaten. Der Registry Data Request Service (RDRS) soll die durch die Datenschutzgrundverordnung dem öffentlichen Zugriff entzogenen persönlichen Daten für berechtigte Stellen wieder einsehbar machen. Die Ermittler wollen dabei mindestens zeitweise anonym bleiben.

Die ICANN hatte dieses System allerdings nach ersten Kalkulationen deutlich abgespeckt und will in einem Pilotprojekt ab November für zwei Jahre den Bedarf ermitteln. Vorläufig bleibt außerdem die Teilnahme für Registrare und Registries zum Leidwesen der PSWG freiwillig.

Missbrauchsdefinition und Gegenmaßnahmen

Freiwillig wollen Registry- und Registrarprovider sich nun strikteren Vertragsbedingungen beim Umgang mit Domainmissbrauch unterwerfen. Der von ihnen vorgelegte kleine Zusatz zu den Basisverträgen der weit über 2000 Unternehmen liefert, anders etwa als die NIS2-Richtlinie, eine handhabbare und innerhalb der ICANN entwickelte Definition von "Missbrauch". Darunter gefasst werden sollen Malware, Botnets, Phishing, Pharming und für die verschiedenen Betrugsversuche genutzte Spam.

Sobald ein Registrar "verwertbare Erkenntnisse" hat, dass eine bei ihm registrierte Domain für die genannten Angriffe verwendet werde, "muss er sofort geeignete Maßnahmen zur Schadensbegrenzung treffen, die zweckmäßig sind, um die missbräuchliche Nutzung der registrierten Domain zu stoppen oder anderweitig abzustellen," heißt es in der kleinen Vertragsergänzung.

Dabei wird den Unternehmen auch eine gewisse Flexibilität bei der Wahl der Mittel eingeräumt. Sie können laut der Klausel abschätzen, ob eine Maßnahme – etwa das Sperren der Domain einer Universität, aus der einzelne Phishingattacken kommen – auch noch verhältnismäßig ist.

Bisher 65 Prozent Zustimmung

Eine sehr gute Regelung nennt der ehemalige französische Regierungsbeamte und Chef des Internet & Jurisdiction Policy Network, Bertrand de la Chappelle, die Klausel. Zugleich sei sie aber auch ein Lackmustest für das Funktionieren der Selbstverwaltung, meint er. Würden die Registries und Registrare sich nicht selbst verpflichten, riefen sie den Gesetzgeber geradezu auf den Plan.

Bislang haben 65 Prozent der Unternehmen der Vertragsänderung zugestimmt, bestätigte Volker Greimann, General Counsel, Head of Legal and Policy CentralNic Group, am Rande einer Sitzung der Registrare in Hamburg. Die Stimmanteile sind dabei gewichtet, erklärt er. Das heißt, große Registries und Registrare, mit vielen betreuten Domains, haben mehr Stimmen. "Es fehlen noch viele der kleineren Registrare", sagt Greimann. Viele von diesen nehmen nicht direkt an den ICANN-Treffen und -Diskussionen teil.

Sollte am Ende keine Mehrheit zustande kommen, könne der ICANN-Vorstand die Vertragsänderung einseitig von den Partnerunternehmen einfordern, so Greimann. Für die Durchsetzung ist am Ende die Compliance-Abteilung der 400-köpfigen ICANN-Verwaltung zuständig. Auch dafür sei die neue Klausel gedacht, so Greimann. Gegen einzelne Unternehmen, die gezielt von Betrugsdomains profitierten, müsse ICANN entschieden vorgehen.

(mack)