Die Internet-Verwaltung ICANN hat sich mit den Domain-Registries und -Registraren auf neue Grundlagenvereinbarungen verständigt: die Neuregelungen zielen auf die Verhinderung von »DNS Abuse« und haben eine überwältigende Unterstützung erfahren.
Im November 2022 hatten sich die Registries Stakeholder Group (RySG) und die Registrar Stakeholder Group (RrSG) an den damaligen ICANN-CEO Göran Marby gewandt und angeregt, die vertraglichen Verpflichtungen zur Vermeidung von DNS Abuse anzupassen. Konkret geht es um zwei Grundlagenvereinbarungen, das Base Generic Top-Level Domain (gTLD) Registry Agreement (Base RA) zwischen ICANN und den Registries sowie das Registrar Accreditation Agreement (RAA) zwischen ICANN und den Registraren. Diese verpflichten in der bisherigen Form zum Beispiel die Domain-Registrare dazu, einen per eMail erreichbaren »abuse contact« bereitzustellen, um Meldungen zu Missbrauch beispielsweise durch illegale Aktivitäten entgegenzunehmen. Geht eine solche Meldung ein, sind die Registrare zum Handeln verpflichtet; die Regelung in Ziffer 3.18 des RAA ist dabei aber vergleichsweise schwammig: »Registrar shall take reasonable and prompt steps to investigate and respond appropriately to any reports of abuse.« Was unter »Abuse« oder »reasonable and prompt steps« zu verstehen ist, definiert das RAA nicht, so dass der Ruf nach sinnvollen und klaren vertraglichen Verpflichtungen laut wurde, um weiterhin ein stabiles und sicheres DNS für alle Internetnutzer zu gewährleisten.
Dieser Schritt ist nun mit einer angepassten vertraglichen Regelung gelungen. So heißt es etwa im neu eingefügten 3.18.2 des RAA:
When Registrar has actionable evidence that a Registered Name sponsored by Registrar is being used for DNS Abuse, Registrar must promptly take the appropriate mitigation action(s) that are reasonably necessary to stop, or otherwise disrupt, the Registered Name from being used for DNS Abuse. Action(s) may vary depending on the circumstances, taking into account the cause and severity of the harm from the DNS Abuse and the possibility of associated collateral damage.
Ziffer 4.2 des neuen »Base RA« ist noch etwas ausführlicher:
Where a Registry Operator reasonably determines, based on actionable evidence, that a registered domain name in the TLD is being used for DNS Abuse, Registry Operator must promptly take the appropriate mitigation action(s) that are reasonably necessary to contribute to stopping, or otherwise disrupting, the domain name from being used for DNS Abuse. Such action(s) shall, at a minimum, include: (i) the referral of the domains being used for the DNS Abuse, along with relevant evidence, to the sponsoring registrar; or (ii) the taking of direct action, by the Registry Operator, where the Registry Operator deems appropriate. Action(s) may vary depending on the circumstances of each case, taking into account the severity of the harm from the DNS Abuse and the possibility of associated collateral damage.
Beim Begriff des »DNS Abuse« greift man einheitlich auf eine inzwischen etablierte ICANN-Definition zurück:
DNS Abuse means malware, botnets, phishing, pharming, and spam (when spam serves as a delivery mechanism for the other forms of DNS Abuse).
Darüber hinaus kann jeder Registrar alternativ zur eMail-Adresse auch ein Webformular zur Verfügung stellen, um Missbrauch zu melden; den Eingang der Abuse-Meldung muss jeder Registrar ferner bestätigen.
Trotz dieser zusätzlichen Verpflichtungen fanden die Vorschläge von RySG und RrSG eine überwältigende Zustimmung. Im Fall der Registrare lag die erforderliche Quote bei 90 Prozent der registrierten generischen Domains; sie wurde mit 94 Prozent Zustimmung deutlich überschritten. Derzeit wird das Ergebnis der Abstimmung durch ein Unternehmen namens Votenet überprüft. Sobald die Abstimmung bestätigt ist, werden die vorgeschlagenen Änderungen dem ICANN-Vorstand zur Prüfung vorgelegt. Im Falle einer Genehmigung treten sie nach einer 60-tägigen Ankündigung in Kraft. Sollten sie wider Erwarten nicht genehmigt werden, werden sie an Verhandlungsteams zurückgeleitet, um die weiteren Schritte zu besprechen.