Der Wegfall eines öffentlich einsehbaren WHOIS-Verzeichnisses durch die Datenschutzgrundverordnung (DSGVO) erschwert es den europäischen Strafverfolgungsbehörden, Verdächtige zu identifizieren. Das haben Eurojust und Europol in ihrem Bericht »Common Challenges in Cybercrime« für das Jahr 2024 eingeräumt.
In ihrem am 31. Januar 2025 veröffentlichten Bericht untersuchen Eurojust, die Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen, und die europäische Polizeibehörde Europol anhaltende und neu auftretende Probleme, die Ermittlungen im Bereich der Cyberkriminalität erschweren. Die diesjährige Ausgabe identifiziert die wichtigsten Hindernisse insbesondere im Bereich digitaler Beweismittel. Der Bericht hebt gleich mehrere dringende Herausforderungen hervor, mit denen die Strafverfolgungsbehörden konfrontiert sind, darunter die überwältigende Menge digitaler Daten, das Risiko des Datenverlusts und die anhaltenden Hindernisse beim Zugriff auf wichtige Informationen aufgrund rechtlicher und technischer Einschränkungen. Die zunehmende Nutzung von Anonymisierungsdiensten erschwert die Bemühungen zur Verfolgung krimineller Aktivitäten im Internet zusätzlich. Vor allem das Datenvolumen – die Rede ist von Daten im Terabyte- und Petabyte-Bereich – macht den Behörden zu schaffen. Es erfordert die Verarbeitung riesiger Datenmengen, was einen Bedarf an Analysetechniken und erheblichen Ressourcen auslöst, die derzeit für viele Behörden unerreichbar sind.
Als besondere Herausforderungen im Zusammenhang mit Internet Governance finden IP-Adressen und das WHOIS Erwähnung. Im Bereich der IP-Adressen kämpfen die Behörden mit dem Problem der Carrier-Grade Network Address Translation (CGNAT); sie ermöglicht es bis zu 65.000 Benutzern gleichzeitig, eine IP-Adresse gemeinsam zu nutzen. In der Praxis bedeutet das, dass ein Benutzer nicht nur durch die von ihm verwendete IP-Adresse identifiziert wird, sondern durch die IP-Adresse und die zugewiesene Portnummer; die einzelnen Ports werden aber meist nicht protokolliert. Abhilfe würde IPv6 schaffen, da es die eindeutige Identifizierung von Geräten und damit von Benutzern erleichtert. Aber auch mit den Auswirkungen der DSGVO hadern die Strafverfolger. Die WHOIS-Datenbank sei früher eine wichtige Ressource gewesen, wenn es darum ging, eine Domain einer Person oder einem Unternehmen zuzuordnen. Als 2018 die DSGVO Anwendung fand, wies ICANN jedoch alle Registry-Betreiber und Domain-Registrare an, alle personenbezogenen Daten aus öffentlich zugänglichen WHOIS-Einträgen zu entfernen – ohne Ausnahmen für Strafverfolgungsbehörden oder die Justiz. Besserung erhofft man sich vom »Registration Data Request Service« (RDRS). Dieses Pilottool sei ein positiver Schritt; allerdings handle es sich um einen freiwilligen Dienst, bei dem Registries und Registrare entscheiden können, ob sie teilnehmen oder nicht. Dies führe weiterhin dazu, dass kein Zugang zu maßgeblichen Beweismitteln besteht, um zu identifizieren, wer hinter einer rechtswidrig genutzten Domain steckt. Ein weiteres Problem des RDRS-Systems sei die Vertraulichkeit bei Anfragen nach Registrierungsdaten. ICANN habe darauf hingewiesen, dass das System nicht so konzipiert ist, dass es die Vertraulichkeit von Anfragen von Strafverfolgungsbehörden wahren können. Im Bericht heißt es:
This is a major deterrent for Law enforcement agencies against using the system.
Man sollte sich aber nicht täuschen lassen. Bemühungen, die technischen und operativen Kapazitäten der Strafverfolgungsbehörden in der EU zu verbessern und sicherzustellen, dass sie für die Komplexität moderner digitaler Ermittlungen angemessen gerüstet sind, laufen bereits. So hat Interpol ein Portal entwickelt, das automatisierten Zugriff auf nicht-öffentliche Registrierungsdaten bietet und nur Strafverfolgungsbehörden zugänglich ist. Außerdem hätten andere Stellen damit begonnen, das WHOIS-Verzeichnis durch andere Quellen zu ersetzen; ein Beispiel sei das DAP.LIVE-System der DNS Research Foundation. Solche Initiativen sammeln Domain-Informationen aus anderen (Branchen-)Quellen als jenen von ICANN, wie etwa Phishing-Datensätzen, DSGVO-Verstößen und Blockchain-Domains. Diese Angaben sind jedoch unsystematisch, kostspielig und die Zuverlässigkeit und Rückverfolgbarkeit ist schwer zu bestimmen, was ihre Gültigkeit für Gerichtsverfahren zu untergraben droht.