Wegen Fake-Shops: Bundesrat will Aus für anonyme Domain-Registrierungen

Die Länderkammer fordert eine Pflicht zur Identitätsprüfung von Domain-Anmeldungen. Die Registrierungsdaten sollen genau hinterlegt und abgefragt werden können.

In Pocket speichern vorlesen Druckansicht 161 Kommentare lesen

Im Kampf gegen Fake-Angebote auf Webseiten mit DE-Domain soll eine verpflichtende Identitätsprüfung die Anonymität beenden und Betrugsversuche erschweren.

(Bild: JpegPhotographer/Shutterstock.com)

Lesezeit: 3 Min.

Ein erheblicher Teil der Fake-Shops in Deutschland verfügt laut dem Bundesrat über eine DE-Domain, die bei Verbrauchern als "besonders vertrauenswürdig" gelte. In einer Stellungnahme zum Gesetzentwurf der Bundesregierung zur Umsetzung der 2. EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) verlangt die Länderkammer daher eine "Verpflichtung zur Identitätsprüfung von Domain-Anmeldungen und Domain-Übertragungen über qualifizierte Identifizierungsverfahren". In Betracht kommen sollen dafür etwa VideoIdent-Mechanismen oder die Vorlage eines elektronischen Identitätsnachweises (eID), der unter anderem im Personalausweis enthalten ist. Auf jeden Fall müssten sich die Anbieter dadurch "Gewissheit über die Person des Beteiligten verschaffen können".

Die " genauen und vollständigen Domain-Namen-Registrierungsdaten" sollen laut der am Freitag beschlossenen Eingabe des Bundesrats "in der Datenbank für die Abfrage von Zugriffsberechtigten" (Whois) vorgehalten werden. Domain-Registrare und Registrierungsdienstleister wollen die Länder verpflichtet wissen, "möglichst in Echtzeit" berechtigten Nachfragern wie Sicherheitsbehörden, Verbraucherzentralen oder speziellen Dienstleistern zur Verfügung zu stellen. Die Bundesregierung soll sich ferner für klare Regeln einsetzen, unter welchen Voraussetzungen Domains "bei Missbrauch blockiert werden können". Dabei sei zu prüfen, "inwieweit automatisierte Verfahren" genutzt werden könnten.

"Zur Fake-Shop-Bekämpfung bei Missbrauch sind die zeitnahe und vollständige Verfügbarkeit der Registrierungsdaten für die Erkennung von Vorfällen und die Reaktion darauf von wesentlicher Bedeutung", begründen die Länder ihre Initiative und verweisen auf einen allgemeinen Beschluss der Verbraucherministerkonferenz. Da betrügerische Online-Stores "mit legitimer Adresse eines anderen Unternehmens besonders gefährlich sind", sei ein mit Blick auf die Datenschutz-Grundverordnung (DSGVO) unbedenklicher "Abgleich des Ortes im Impressum des Fake-Shops mit dem in den Denic-Registrierungsdaten hinterlegten" einschlägigen Angaben zwingend erforderlich.

Auch der Regierungsentwurf sieht zwar bereits im Sinne der NIS2-Richtlinie eine Pflicht zum Führen einer Datenbank mit "genauen und vollständigen Domain-Namen-Registrierungsdaten" sowie einer "unverzüglichen" Zugangsgewährung vor – spätestens innerhalb von 72 Stunden. Der Bundesrat drängt aber darauf, diese Passagen massiv zu verschärfen.

Damit würde die anonyme Nutzung des Internets umfangreich weiter beschränkt. Zwangsidentifizierung gefährde Webseitenbetreiber, denn nur Anonymität im Netz schütze wirksam vor Datenklau, Stalking, Identitätsdiebstahl, Doxing und sogenannten Todeslisten, monierte der frühere EU-Abgeordnete Patrick Breyer bereits beim Beschluss der NIS2-Richtlinie.

Vor allem marginalisierte Gruppen, Whistleblower und politische Aktivisten bräuchten Optionen für Anonymität. Auch die für die DE-Domain zuständige Denic widersprach Behauptungen, dass genaue und vollständige Registrierungsdaten für Sicherheit, Stabilität und Belastbarkeit des Domain Name Systems (DNS) von wesentlicher Bedeutung seien.

Der Bundesrat macht sich dafür stark, dass auch die Polizei- und Verfassungsschutzbehörden der Länder weiter "Unterstützungsleistungen" – und nicht nur eine leichter abzulehnende Amtshilfe – vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Gerade mit Blick auf die aktuelle Sicherheitslage seien auch auf lokaler Ebene Ereignisse denkbar, in denen die Bonner Behörde den Länderstellen tatkräftig unter die Arme greifen müsste.

Das vom BSI vergebene IT-Sicherheitskennzeichen soll zudem auch "Fragen des Datenschutzes" berücksichtigen, auf "alle verbrauchernahen Produkte und Dienstleistungen mit digitalen Elementen" ausgedehnt und um eine intuitive Skala in Sternchen erweitert werden. Die Exekutive möge zudem "die stetig steigende Sicherheitsbedrohung für die Krankenhäuser" durch die Digitalisierung "sachgerecht abbilden". Dass für Kommunen und Landkreise grundsätzlich keine erhöhten Cybersicherheitsanforderungen gelten sollen, stört den Bundesrat dagegen nicht.

(usz)