Das neue Jahr 2024 stellt die Domain Name Industry weltweit mit der EU-Richtlinie zur Erhöhung der Cybersicherheit (»NIS2«) vor besondere Herausforderungen. Bei eco – dem Verband der Internetwirtschaft eV, hat man den aktuellen Diskussionsstand zusammengefasst.
Mit der am 16. Januar 2023 in Kraft getretenen NIS2-Richtlinie, die von jedem Mitgliedsstaat der EU bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss, modernisiert die EU die Rechtsvorschriften zur Cybersicherheit. Für die Domain Name Industry bringt die NIS2 zahlreiche Änderungen mit sich, die sich vor allem aus Artikel 28 (»Datenbank der Domänennamen-Registrierungsdaten«) ergeben. Die Regelung verpflichtet Registries und Registrare,
genaue und vollständige Domänennamen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht der Union in Bezug auf personenbezogene Daten mit der gebotenen Sorgfalt sammeln und pflegen.
Bereits im Oktober 2023 hatte eco im Vorfeld des ICANN78-Treffens einen Workshop organisiert, um die Herausforderungen zu diskutieren, vor denen die Branche steht, und um Fragmentierung so weit wie möglich zu vermeiden; so steht die nationale Umsetzung einer Richtlinie eigentlich im Gegensatz zum globalen Charakter des Internets. Konkret droht unter anderem, dass es bis zu 27 verschiedene Verfahren zur Validierung der Inhaberdaten gibt, die im Rahmen der Registrierung einer Domain verwendet werden. Das macht das Verfahren für Registries, Registrare und Domain-Inhaber komplex und risikoträchtig. Daher sei klar:
Like it or not, we’re all on Team 28 now and have to make it work one way or the other.
Mit dem Ziel, »DNS Abuse« zu verhindern, zu erkennen und darauf zu reagieren, zielt Artikel 28 darauf ab, einen Rechtsrahmen zu schaffen, der die Richtigkeit, Vollständigkeit und Zugänglichkeit von WHOIS-Daten gewährleistet. Sie sollen spezifische Informationen enthalten, die zur Identifizierung und Kontaktaufnahme von Domain-Inhaber und anderen »points of contact« erforderlich sind. Doch wie effektiv ist die Verwendung von Registrierungsdaten bei der Bekämpfung von DNS-Abuse? Hier vertraten die Branchenexperten auf dem Workshop unterschiedliche Ansichten. Die .org-Verwalterin Public Interest Registry setzt auf einen Quality Performance Index (QPI), um Missbrauch proaktiv zu reduzieren, ohne sich ausschließlich auf Registrierungsdaten zu verlassen. iQ Global AS kozentriert sich dagegen auf die Überwachung verdächtigen Verhaltens mithilfe von Daten aus Reputationssperrlisten und vermeidet so die Notwendigkeit persönlicher Informationen. Team Internet verfolgt einen reaktiven Ansatz und nutzt Berichte aus mehreren Quellen, um potenziell missbräuchliche Domains zu identifizieren; personenbezogene Daten werden jedoch nicht direkt zur Untersuchung von Missbrauch verwendet. Die .uk-Registry Nominet betont die Strategie, Compliance-Teams und Algorithmen zur Bewertung von Risikofaktoren bei der Registrierung einzusetzen, wobei Registrierungsdaten einer von mehreren berücksichtigten Faktoren seien. Man muss sich aber klar sein: Kriminelle sind geschickt darin, Maßnahmen, die auf der Grundlage der Erfassung genauer Daten beruhen, zu umgehen.
Zu den zentralen Herausforderungen von Artikel 28 zählt des Weiteren die Zusammenarbeit von Registries und Registraren, um Abläufe zu rationalisieren und Doppelarbeit zu vermeiden. Unklar ist noch, wer die Verantwortung für die Verifizierung von Inhaberdaten trägt; dass die Kunden die Kosten zu tragen haben, steht aber zu erwarten. Abzuwarten bleibt zudem, wie so mancher ccTLD-Betreiber auf die NIS2 reagieren wird; viele möchten ihre Unabhängigkeit bei der Gestaltung ihrer Vergaberegelungen wahren. Anzustreben wären aber branchenweit standardisierte Prozesse, um ein optimiertes und kundenfreundlicheres Erlebnis zu gewährleisten. Hier könnte die gegenseitige Anerkennung von Verifizierungen hilfreich sein. Nach Einschätzung von eco wird der Erfolg der Umsetzung der NIS2-Richtlinie von der Aufrechterhaltung eines offenen Dialogs zwischen den Branchenvertretern und den Regulierungsbehörden sowie von der Bereitschaft zur Zusammenarbeit und zur Aufteilung von Verantwortlichkeiten abhängen, um ein Gleichgewicht zwischen Regulierung und Flexibilität zu erreichen. Und dieser Dialog hat gerade erst begonnen.