Das Für und Wider hinsichtlich der öffentlich zugänglichen Inhalte des WHOIS im Zuge der Anwendung der DSGVO wird überall in der Welt, nicht nur in Europa, diskutiert. Sicherheitsforscher Brian Krebs ließ sich in einem längeren Artikel zum Thema aus. Und er bringt einige nachvollziehbare Argumente, warum die DSGVO beim WHOIS nicht so eng angewendet werden sollte.
Krebs beurteilt das Thema aus sicherheitstechnischer Sicht und seiner Arbeit als Sicherheitsforscher und -berater. Dabei setzt er sich mit einem Artikel auf internetgovernance.org auseinander, adressiert so aber allgemeine Fragen. Aus seiner Sicht überwiegen sicherheitstechnische Nachteile aufgrund eines »geschlossenen« WHOIS-Systems. Tatsächlich nutzen nach seiner Kenntnis Internetkriminelle keineswegs ihre eigenen Daten für WHOIS-Einträge. Aber sie nutzen die gefälschten oder auch geklauten Daten, die sie haben, immer wieder. Und anhand dieser lassen sich Rückschlüsse auf die Nutzung der Daten und deren kriminelle Nutzer über unterschiedliche Netzwerke, Registrare und Internetepochen ziehen. Privacy- oder Proxy-Dienste würden, entgegen allgemeiner Annahme, von Internetkriminellen kaum genutzt. Sicherheitsforscher haben ein Problem mit der DSGVO, auch wenn sie sich nur auf personenbezogene Daten bezieht und nicht Unternehmensdaten, denn der Aufwand bei Registraren wie bei Registries, zwischen diesen zu differenzieren, ist derart aufwändig, dass sie in der Regel über einen Kopf geschoren würden. Aufgrund dessen sei nicht damit zu rechnen, dass Unternehmensdaten ihren Weg ins WHOIS fänden. Die Auffassung, es reiche aus, dass Ermittlungsbehörden Zugriff auf die WHOIS-Daten haben, überzeugt aus Sicht von Krebs ebenfalls nicht, denn richtig motiviert sind solche Apparate nicht, zeitaufwändige, komplizierte Recherchen durchzuführen. Zudem liege es regelmässig an der Vorarbeit von Sicherheitsforschern, Ermittlungsbehörden mit den notwendigen Daten zu versehen, damit diese ordentlich ermitteln können. Die Arbeit von Sicherheitsforschern lasse sich bisher auch nicht von KI- und Machine-Learning-Systemen übernehmen. Die Auswirkungen der DSGVO zeigten sich für Krebs bereits in den letzten Monaten, da ihm von europäischen Sicherheitsfirmen mit Verweis auf die DSGVO teilweise keine Daten zu IP-Adressen mehr zur Verfügung gestellt wurden.
Krebs hat noch weitere Punkte, die er aufgreift, um zu zeigen, warum er die Anwendung der DSGVO auf das WHOIS aus sicherheitstechnischer Sicht für problematisch hält. Was ihn aber mit am meisten fuchst, ist die Haltung, die ihm von Befürwortern der Auswirkungen der DSGVO auf das WHOIS entgegentritt: Wer nicht gänzlich für die DSGVO ist, sei gegen sie. Krebs begegnet mit der auch für ihn akzeptablen Losung: Der Gewinn an Datenschutz, der mit der Reform des WHOIS-Verzeichnisses einhergeht, bedeutet einen Verlust an Sicherheit. Für seinen Geschmack stehen beide unter der Anwendung der DSGVO in einem schlechten Verhältnis zu Lasten der Sicherheit.
Hört man sich in internetaffinen Kreisen um, so ist klar, dass das WHOIS eminente Bedeutung für die kleine Sicherheitsüberprüfung bei Online-Einkäufen und eMail-Nachrichten von nicht zu unterschätzender Bedeutung hat: Der Abgleich von Impressum und WHOIS-Eintrag einer Domain vor der Bestellung eines Artikels oder einer Dienstleistung wird so manchen vor einer Fehlentscheidung bewahrt haben. Das wird künftig wegfallen und Anbietern wie eBay und Amazon Wettbewerbsvorteile verschaffen. Das Bedauern dessen hängt allerdings davon ab, inwieweit Daten zu Unternehmungen jeder Größe tatsächlich Eingang in das WHOIS finden.