Im Rahmen der Überarbeitung der Richtlinie zur Erhöhung der Cybersicherheit soll die Registrierung von Internetdomainnamen künftig die korrekte Identifizierung des Inhabers in der sogenannten
Whois-Datenbank einschliesslich Namen, Anschrift und Telefonnummer voraussetzen. Ein Europaabgeordneter der Piratenpartei, Patrick Breyer, schlägt Alarm, weil die Klarnamenpflicht für Domaininhaber nichts mit der
anvisierten Erhöhung der Netzwerksicherheit zu tun habe. Er fordert die Streichung der beabsichtigten Identifizierungspflicht aus den zur Überarbeitung anstehenden Sicherheitsregeln für Netz- und Informationssysteme (NIS), über die Ende Oktober die massgeblichen EU-Institutionen abstimmen werden.
Laut Breyer ist das ein weiterer Schritt in Richtung Abschaffung anonymer Veröffentlichungen und Leaks im Internet. Das gefährde Webseitenbetreiber, denn nur Anonymität im Netz schütze wirksam vor Datenklau und Datenverlust, Stalking und Identitätsdiebstahl, Doxxing und Todeslisten, begründet er seine Warnung. Besonders unverzichtbar sei das Recht auf Anonymität im Netz für verletzliche Gruppen. Auch Whistleblower und Presseinformanten, politische Aktivisten und beratungssuchende Menschen in Not, müssten ohne den Schutz der Anonymität verstummen. Zudem erinnert Breyer an Wikileaks. Hätten die "Aktivisten beispielsweise die Website der Plattform auf ihren Namen registrieren müssen, wären sie von den USA sofort verfolgt worden".
Breyer will, dass wie bisher die nationalen Domain-Verwaltungen weder Telefonnummern anfordern noch gar überprüfen dürfen. Er fordert die EU-Bürger auf, sich dafür einzusetzen, dass die beabsichtige Änderung im NIS ersatzlos gestrichen werde.
So sieht's in der Schweiz aus
Die Stiftung Switch, die im Auftrag des Bundesamts für Kommunikation (Bakom) die nationale Datenbank der .ch-Domainnamen verwaltet, hat keine Kenntnis, ob der Gesetzgeber in der Schweiz etwas Ähnliches plant. Switch-Sprecher Roland Eugster beschreibt die aktuelle Situation in etwa so, wie sie bisher (noch) in der EU besteht.
Derzeit seien in der Whois-Datenbank keinerlei .ch-Domain-Halternamen sichtbar. Wer entsprechende Auskunft wolle, müsse das schriftlich erfragen und sein Auskunftsgesuch begründen. Die Daten liegen vor, weil zur Anmeldung einer .ch-Domain heute bereits Name sowie Post- und E-Mail-Adresse angeben werden müssen, allerdings keine Telefonnummer. Auch werde die Korrektheit der angegeben Daten bisher erst kontrolliert, wenn Domainmissbrauch vermutet werde oder eine zuständige Behörde dies verlange, so Eugster.
Vorausschauende Domain-Namen-Prüfung
Auf Anfrage erklärt Eugster aber, dass sich noch in diesem Jahr Änderungen abzeichnen, indem die Möglichkeit des sogenannten "deferred delegation" eingeführt werde. Das heisst, eine .ch-Domain kann zwar registriert werden, würde aber im Verdachtsfall nicht freigeschaltet und könnte damit vorerst nicht genutzt werden. Eine Freischaltung erfolgt nur, wenn innerhalb von 30 Tagen nach Domain-Eintrag mit Pass oder Handelsregistereintrag die Identität bekannt gegeben wird.
Bei diesem Prozess der Verdachtsfallprüfung laufen die Daten des weitgehend automatisierten Anmeldeprozesses über ein im Hintergrund arbeitendes Bewertungs-Tool. Es gleicht beispielsweise die Halteradresse mit verschiedenen Services ab, um deren Korrektheit zu überprüfen. Weiter prüft es, ob die Domain der E-Mail-Adresse des Halters Teil einer Liste verdächtiger E-Mail-Domains ist. Hinzu kommen viele weitere Kriterien, die vor einiger Zeit
Switch-Mann Jakob Dhondt in unserer Kolumne #Security beschrieben hat. Werde am Ende des Prozesses ein Schwellenwert überschritten, wisse man ziemlich sicher, dass hier die Internetadresse zu unrechtmässigen Zwecken genutzt werden solle, was man also vorausschauend unterbinden könne, führt Eugster aus.
Wann das Tool genau eingeführt wird, konnte Eugster noch nicht sagen. Er bestätigt aber, dass die Umsetzung zum Bereich des "besseren Schutzes gegen Cybercrime" gehört, ein Auftrag, den
Switch Ende letzten Jahres vom Bakom erhalten hatte.