Das war schon immer so
Die ICANN läßt dieses Jahr den Whois Dienst prüfen. Ein breit aufgestelltes Review Team soll die reglungspolitischen Sachfragen unter besonderer Berücksichtigung der Strafverfolgung und des Konsumentenvertrauens klären. Für die europäische Nutzervertretung bin ich dort involviert.
Dieser Review ist der Erste von dann regelmäßig alle drei Jahren stattfindenden Überprüfungen. Dadurch erlangt dieser erste Bericht eine ungewöhnliche Bedeutung. Die erste Aufgabe ist es nämlich die Begriffe in diesem Kontext zu definieren.
Nachdem ein erstes Zusammentreffen in Cartagena im Dezember mangels Beteiligung scheiterte, wurde ein reines Arbeitsgruppentreffen in London angesetzt. In den Räumen der SOCA konnte die Arbeit begonnen werden. Unglücklicherweise (für mich) harmonierte die Organisation innerhalb ICANNs nicht ganz, das Reisebüro hatte den Flug einen Tag vorverlegt, das Hotel aber nicht gebucht. Da das Hotel voll belegt war, mußte ich auf eigene Kosten im Nachbarhotel unterschlüpfen. Andererseits übernimmt ICANN die Kosten im Nachgang. Für einen Vertreter der Endnutzer sind solche Kosten aber nicht als selbstverständlich auslegbar.
Die eigentliche Arbeit gestaltete sich erfreulich konstruktiv, wenn ich auch sich den Eindruck eines Störenfrieds erweckt haben dürfte. Das lag zu großen Teilen daran, als Nutzervertreter eben nicht auf Industrie- und Strafverfolgungsinteressen, ja nicht mal auf gesetzliche Vorgaben Rücksicht nehmen zu müssen. Um nicht der Diskussion in den Arbeitsgruppen vorzugreifen, möchte ich hier kein Protokoll der Diskussion anbieten. Die Sitzung war öffentlich, ein Transkript fehlt noch, aber die Diskussionen sind nachhörbar.
Whois wird durch ICANN definiert als unverzögerter und unbeschränkt öffentlicher Zugang zu korrekten und vollständigen Informationen über Käufer, technische, buchhalterische und juristische Ansprechpartner aller hierarchisch vergebenen Ressourcen im Internet. Insbesondere betrifft das Domainnamen wie IP-Adressen.
Ohne in die laufende Arbeit eingreifen zu wollen, möchte ich den von mir vertretenen Standpunkt hier dokumentieren. Der für mich wesentliche Aspekt ist die Frage, ob Whois überhaupt betrieben werden darf:
- Nur weil Techniker es urspünglich als nützlich empfanden, ihre privaten Adressbücher gegenseitig abfragbar zu machen, muß diese Praxis nicht durch Rechteverwerter und Strafverfolgungsbehörden als zentrale Grundkomponente des Internets angesehen werden. Im Gegenteil: Die Rechtmäßigkeit und Zweckmäßigkeit ist aufgrund der geänderten Rahmenbedingungen seit 1978 zu überprüfen.
- Die Datensammlungen des Whois entbehren formaler internationaler Grundlagen, sie stehen im direkten Widerspruch zu nationalen Gesetzgebungen. Der deutsche Datenschutz beispielsweise verbietet direkt die Erhebung der Daten, da kein konkreter Verwendungszweck vorliegt. Von der Zusammenführung in zentralen Datenbanken und dem öffentlichen, unbeschränkten Zugang ganz abgesehen.
- Obwohl die Forderung nach der Angabe der konkreten, direkt erreichbaren Ansprechpartner den Kerngedanken von Whois ausmacht, sind Proxy-Dienste fast überall erlaubt. Ein Proxy-Dienst steht anstelle des richtigen Ansprechpartners im Whois, gibt aber die korrekten Daten nur auf Anforderung im Einzelfall und mit Zustimmung des Betroffenen heraus. Die gleichzeitige Forderung nach direkt verwertbaren Kontaktdaten und die Zulassung von Proxy-Diensten ist widersprüchlich und macht so ein Whois von vorherein unsinnig.
- Die Daten im Whois sind für den Verwendungszweck der Strafverfolgung wertlos. Gerade schwer Kriminelle melden ihre Internetressourcen eben nicht unter ihren wirklichen Namen an, sie verwenden i.d.R. gestohlene Kreditkarten und Identiäten. Es ist den abertausenden Netzbetreibern nicht zumutbar Identifizierungsmaßnahmen durchzuführen, die organisierter Kriminalität widerstehen. Es ist aber auch naiv anzunehmen, daß die Kriminelle nicht selbst als ISP oder Registar unter Deckfirmen auftreten. Für schwer kriminelle Taten wäre die Einführung die Neueinführung eines Systems ala Whois nicht wirksam.
- Auf dem AtLarge-Summit in Mexiko haben die Strafverfolgungsbehörden klar dargeleget, daß sie für zuverlässige Informationen den vollen Weg von der IANA, die Registries über die Resellerketten bis zu den Endnutzern (für Domains und IPs) gehen müssen. Whois hilft ihnen nur bei der Erstorientierung und der Ermittlung der Registry.
- Die Daten im Whois sind für die Strafverfolgungsbehörden nicht verwendbar. Bei leichter Kriminalität sind die aktuellen Whois Datenbanken oft die einzige Datenquelle, auf die sich die Ermittler stützen könnne, denn ein Betrugsdelikt im Wert von einigen zig Euro rechtfertigt keine Vorabidentifizierung aller Benutzer. Für leichte Kriminalität wäre die Neueinführung eines Systems ala Whois in den meisten Ländern schlicht verfassungswidrig.
- Die Datensammlungen des Whois veralten schnell. Durch die Übertragung der persönlichen Daten von Netzteilnehmern in externe Datenbanken entsteht eine Divergenz zwischen den realen Adressdaten und der initial angelegten Kopie. Der Aufwand diese Daten stets korrekt zu halten ist beträchtlich, wenn man nicht sofort einen direkten öffentlichen Zugriff auf die CRM-Systeme der Provider oder eine zeitnahe Vollkopie dieser Daten fordern würde. Ein solcher öffentlicher Einblick in die Geschäftsdaten von Unternehmen ist in keinem anderen Wirtschaftszweig überhaupt nur angedacht.
- Bei Subdomains und Endkundenadressen wird derzeit in der Praxis die Eintragung der eigentlich notwendigen Angaben verweigert oder nur sporadisch ausgeführt. Formal gesehen ist die Nichteintragung zum Schutz des Kunden unzulässig. Dies invalidiert einen Großteil der Nutzungsmöglichkeiten des Whois.
Zusammenfassend kann man sagen: Whois ist die Vorratsdatenspeicherung alle Internetteilnehmer, weltweit, dauerhaft
Meine Forderung kann also nur lauten:
- Ermittlung der aktuellen, realen Nutzungsweisen von Whois.
- Bewertung der Nutzungsweisen hinsichtlich der Aufgabe von ICANN.
- Sollte die Bewertung legitime und erhaltenswerte Nutzungsformen aufzeigen, muß der Whois-Dienst von einem "dicken" Ansatz mit Datenbanken bei der Registry zu einem "dünnen" Ansatz mit Verweisen in verteilte Datenbanken bei den Betreibern umgebaut werden. Daten sind dort abzufragen, wo sie aktuell gehalten werden und den Schutz nationaler Gesetze genießen.
- Sollte die Bewertung keine legitimen Nutzungsweisen oder ein Übermaß an Mißbrauch aufweisen, ist der Whois-Dienst einzustellen.