In die Diskussion um eine Reform des WHOIS-Systems könnte sich in Kürze auch die US-Regierung einschalten: mehrere Lobby-Verbände wollen ein geplantes Gesetz nutzen, um einen Zugriff auf geschützte Daten zu erleichtern.
Jahrzehntelang waren die sogenannten WHOIS-Daten rund um einen Domain-Namen für jedermann jederzeit frei zugänglich. In Sekunden konnte man sich so informieren, wer wann eine Domain registriert hat und unter welcher Adresse, Telefonnummer oder eMail-Adresse er erreichbar ist. Doch seit dem 25. Mai 2018 hat sich alles geändert: mit der Anwendung der Datenschutz-Grundverordnung (DSGVO) haben fast alle Registries und Registrare die öffentlich einsehbaren Informationen zu einer Domain radikal reduziert. Selbst die nicht in der EU ansässige Internet-Verwaltung ICANN musste handeln und hat für generische Top Level Domains die »Temporary Specification for gTLD Registration Data« (»temp spec«) erlassen und inzwischen die »Interim Registration Data Policy for gTLDs« verabschiedet, bis die endgültige Lösung gefunden ist. Doch jetzt könnte in die WHOIS-Debatte nachhaltig Bewegung kommen: mehrere Lobby-Verbände haben die U.S. Federal Trade Commission dazu aufgerufen, im Zuge einer geplanten »Trade Regulation Rule on Impersonation of Governments and Businesses« den strengen Datenschutz der EU aufzuweichen, um der »over-aggressive interpretation« der DSGVO eine praxistaugliche Lösung entgegenzuhalten.
Nach Recherchen von Mason Cole von der international tätigen Anwaltskanzlei Perkins Coie, die er in einem Blog-Artikel bei circleid.com zusammengestellt hat, stören sich die Lobby-Verbände vor allem daran, dass die Bekämpfung von »online impersonation«, also die Maskierung als berechtigter Dritter, durch die DSGVO erheblich erschwert worden sei. So führt etwa die Anti-Phishing Working Group (AWPG) aus:
»WHOIS information is vital to the investigation of impersonation scams. The final rule should recognize the now acute issue of domain name registration data (“WHOIS”). While WHOIS data is critical to investigatory capability as it relates to online impersonation and crime, it unfortunately has been significantly truncated since the misinterpretation and over-implementation of the European Union’s General Data Protection Regulation (GDPR) by domain name registries and registrars.«
Die International Trademark Association schreibt:
»To prevent these phishing and other Internet-based impersonation scams, it is critical to ensure that such domain name information is available to the public to allow verification of the actor behind suspicious communications (before clicking on a suspect link or responding to a suspect email) and to the impersonated companies who have the means and incentive to take appropriate action when necessary.«
Auch das US-Heimatschutzministerium sieht Handlungsbedarf:
»If HSI had increased and timely access to registrant data, the agency would have a quicker response to criminal activity incidents and have better success in the investigative process before criminals move their activity to a different domain.«
Daher solle es aufgrund einer gesetzlichen Regelung künftig wieder leichter sein, auf WHOIS-Daten zuzugreifen und »bad actors« schneller zur Verantwortung zu ziehen.
Ob die US-Regierung dem Drängen nachkommt und gesetzliche Regelungen zum WHOIS erlässt, bleibt abzuwarten. Insgesamt würde damit jedoch der politische Druck auf ICANN wachsen, innerhalb eines mehrfach regulierten Rahmens ein international verträgliches WHOIS-System zu entwickeln.