In einem Brief wandte sich die »Messaging, Malware and Mobile Anti-Abuse Working Group« (M3AAWG) an ICANN und legte, unter Verweis auf die eigene Studie mit dem Titel »ICANN GDPR and WHOIS Users Survey«, der Internet-Verwaltung Handlungsempfehlungen für den zukünftigen Umgang mit dem WHOIS vor.
Die Anti-Phishing Working Group (APWG) und die Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) legten Ende Oktober 2018 eine 30seitige Studie unter dem Titel »ICANN GDPR and WHOIS Users Survey« zu den Auswirkungen der DSGVO auf das WHOIS und so auf den Spam- und Phishing-Missbrauch sowie deren Verhinderung vor. In einem Schreiben vom 18. Oktober 2018 an ICANN-CEO Goran Marby legten sie die mit der Studie gesammelten Erkenntnisse der Internet-Verwaltung vor und gaben ihr zugleich Handlungsempfehlungen. An der Studie, die sich auf Internetsicherheitsfachleute konzentrierte, nahmen 327 Betroffene teil, darunter Mitarbeiter, die für die Aufrechterhaltung von Schutzdiensten und -produkten verantwortlich sind, Netzwerkadministratoren, die das Netzwerk ihrer Arbeitgeber direkt verteidigen, und akademische Forscher. Die Macher der Studie vermuten, aufgrund der vorhandenen eMail-Listen, über die sie Mailings mit der Bitte um Teilnahme an der Studie versendeten, zwischen 2.500 und 5.000 Adressaten erreicht zu haben; unter Voraussetzung eines Vertrauensniveaus von 95 Prozent sehen sie den Vertrauensbereich bei 5,25 Prozent und damit eine statistische Signifikanz ihres Studienergebnisses.
Im Rahmen der Befragung wurde beispielsweise die Nutzung des WHOIS als Recherchewerkzeug vor und nach der Anwendung der DSGVO ab 25. Mai 2018 hinterfragt, und wie Anfragen bei den Registries und Registraren gehandhabt werden. Im Ergebnis hat sich die Situation für Sicherheitsfachleute deutlich verschlechtert: aufgrund der DSGVO und aus einer ihr folgenden Limitierung der WHOIS-Daten sind die Untersuchungen und Ermittlungen von Missbrauchsfällen im Internet deutlich schwerer geworden. Ermittlungen verzögern sich, da die WHOIS-Daten über Registries und Registrare angefragt werden müssen und diese sich bei der Beantwortung Zeit lassen. Dies führe dazu, dass mittlerweile das WHOIS als Recherchequelle deutlich weniger genutzt werde: 17 Prozent der Umfrageteilnehmer meinen, WHOIS-Daten seien nicht mehr nützlich oder vertrauenswürdig. Ganze 34 Prozent nutzten das WHOIS nur noch sporadisch, während dies vor dem 25. Mai 2018 lediglich 22 Prozent erklärten. Die Teilnehmerzahl, die das WHOIS täglich für bis zu 100 Anfragen nutzten, nahm von 51 Prozent auf 34 Prozent ab. Eine der Folgen sei, dass Ermittler und Forensiker zu langsam seien, um Spammern auf die Spur zu kommen, sie zu identifizieren und ihre Domains sperren zu lassen. Aber nicht nur entstehe Schaden, weil die Täter nicht gehindert werden, sondern auch, weil wegen unpräziser Daten nicht gezielt die verursachenden Domains gesperrt werden könnten, sondern viel zu viel aufs Geratewohl gesperrt würde, was zum so genannten Overblocking führe.
In dem Brief an ICANN gibt M3AAWG neben diesen Ergebnissen der Untersuchung auch sechs Handlungsempfehlungen, die sie aus der Untersuchung und den Gegebenheiten ableiten. So empfiehlt M3AAWG unter anderem, einen sicheren Zugriffsprozess auf das WHOIS für akkreditierte und qualifizierte Parteien aus dem Sicherheitssektor einzurichten. ICANN sollte die Verringerung von WHOIS-Daten juristischer Personen nicht zulassen. Weiter sollte ICANN eine vereinheitlichte Zugriffsanfragespezifikation auf WHOIS-Daten für Registrare und gTLD-Registries erstellen. Dabei sollten zeitliche Verzögerungen bei WHOIS-Datenanfragen ausgeschlossen werden, insbesondere indem nicht für jede Anfrage eine Autorisierung eingeholt werden müsse.
Wie ICANN auf dieses Schreiben und die Studie reagiert, lässt sich nicht sagen. ICANNs Probleme sind ganz andere, solange die DSGVO-kompatible WHOIS-Reform noch in den Kinderschuhen steckt und man nicht einmal grundsätzliche Fragen geklärt hat. Doch könnten die Handlungsempfehlungen bei der Entwicklung der WHOIS-Reform durchaus hilfreich sein, ob man sie nun zurückweist oder – zumindest teilweise – annimmt.