Der Vorstand der Internet-Verwaltung ICANN hat tiefgreifende Änderungen an den Grundlagenvereinbarungen mit Domain-Registries und -Registraren beschlossen. Im Interesse der Bekämpfung von »DNS Abuse« wurden deren Rechte und Pflichten erweitert.
Im November 2022 hatten sich die Registries Stakeholder Group (RySG) und die Registrar Stakeholder Group (RrSG) an ICANN gewandt und angeregt, die vertraglichen Verpflichtungen zur Vermeidung von DNS Abuse anzupassen. Konkret geht es um zwei Grundlagenvereinbarungen, das Base Generic Top-Level Domain (gTLD) Registry Agreement (Base RA) zwischen ICANN und den Registries sowie das Registrar Accreditation Agreement (RAA) zwischen ICANN und den Registraren. Die dort geregelten Verpflichtungen gelten als schwammig, weil viele Begriffe wie »DNS Abuse« nicht definiert sind. Dieser Schritt soll mit einer angepassten vertraglichen Regelung gelingen. So heißt es etwa im neu eingefügten 3.18.2 des RAA:
When Registrar has actionable evidence that a Registered Name sponsored by Registrar is being used for DNS Abuse, Registrar must promptly take the appropriate mitigation action(s) that are reasonably necessary to stop, or otherwise disrupt, the Registered Name from being used for DNS Abuse. Action(s) may vary depending on the circumstances, taking into account the cause and severity of the harm from the DNS Abuse and the possibility of associated collateral damage.
Ziffer 4.2 des neuen »Base RA« ist noch etwas ausführlicher:
Where a Registry Operator reasonably determines, based on actionable evidence, that a registered domain name in the TLD is being used for DNS Abuse, Registry Operator must promptly take the appropriate mitigation action(s) that are reasonably necessary to contribute to stopping, or otherwise disrupting, the domain name from being used for DNS Abuse. Such action(s) shall, at a minimum, include: (i) the referral of the domains being used for the DNS Abuse, along with relevant evidence, to the sponsoring registrar; or (ii) the taking of direct action, by the Registry Operator, where the Registry Operator deems appropriate. Action(s) may vary depending on the circumstances of each case, taking into account the severity of the harm from the DNS Abuse and the possibility of associated collateral damage.
Beim Begriff des »DNS Abuse« greift man einheitlich auf eine inzwischen etablierte ICANN-Definition zurück:
DNS Abuse means malware, botnets, phishing, pharming, and spam (when spam serves as a delivery mechanism for the other forms of DNS Abuse).
Nachdem bereits die Registries und Registrare mit diesen Änderungen einverstanden waren, haben sie auch die Zustimmung des ICANN-Vorstands gefunden. Anlässlich seiner Sitzung vom 21. Januar 2024 beschloss der Vorstand, die vorgeschlagenen globalen Änderungen in Base RA und RAA zu genehmigen. Zugleich wurde der CEO angewiesen, die Änderungen umzusetzen. Dabei sah sich ICANN in Zugzwang, da in den vergangenen Jahren aus verschiedenen Interessengruppen – explizit erwähnt werden Regierungen – dazu aufgefordert hätten, mehr zur Bekämpfung von DNS-Missbrauch zu tun. ICANN betont jedoch, dass der Schwerpunkt der neuen Bestimmungen auf DNS-Missbrauch im Sinne der oben genannten Definition liegt; Fragen des Missbrauchs von Website-Inhalten oder des Zugriffs auf WHOIS-Daten sind dagegen nicht Gegenstand der Änderungen. Vielmehr sollen die neuen Bestimmungen die Rollen und Verantwortlichkeiten von Registries und Registraren angemessen widerspiegeln und zielen nicht darauf ab, ihnen »pass-through«-Regelungen aufzuerlegen. Die Tatsache, dass beide unterschiedliche Rollen im Domain Name System spielen, wird durch die Änderungen anerkannt. Wichtig sei, dass die beschlossenen Änderungen weder die konkrete Abhilfemaßnahmen noch deren Zeitpunkt festlege, da ein solcher Ansatz möglicherweise nicht in allen Fällen das gewünschte Ergebnis garantiere; die Angemessenheit und Schnelligkeit der Maßnahmen hänge vielmehr von den konkreten Umständen des Einzelfalls ab. Einzelne Bestrebungen, die Definition von DNS-Missbrauch auf Bereiche wie Inhalte auszudehnen verwahrte sich der Vorstand.
Wie sich die Änderungen praktisch auswirken, bleibt abzuwarten. Die wohl auffälligste Neuerung dürfte sein, dass Missbrauchskontakte auf der Webseite künftig noch leichter zugänglich sein müssen, zum Beispiel über Webseitenformulare; ferner ist der Erhalt einer Missbrauchsmeldung zu bestätigen.