Whois-Nachfolger RDAP: Probleme mit dem Datenschutz?
Auf der ICANN Konferenz in Hyderabad/ Indien wurde Anfang November 2016 auch der Whois Nachfolger RDAP vorgestellt. Das Protokoll zur Registrierung von Inhaber- und Betreiberdaten für Domains und IP-Adressen ist in den Standards bereits fertiggestellt und soll nach dem Willen der ICANN das veraltete Whois ersetzen. Einige Registries, u.a. VeriSign, nutzen bereits die experimentellem Implementierungen. Doch gegen eine generelle Einführung zu diesem Zeitpunkt sträuben sich einige Registratoren, wie Afilia oder Google.
Datenschutz bei RDAP in Gefahr?
Dass endlich ein Nachfolger für die Whois Protokolle gefunden werden muss, ist allen Teilnehmern der Konferenz klar, denn seit Jahrzehnten schon gilt Whois als veraltet und zu wenig an die modernen Bedürfnisse und die wachsende Anzahl von Domains angepasst. Doch bisher scheiterten alle Versuche, neue Protokolle zu etablieren. Nur das Registration Data Access Protocol RDAP scheint den aktuellen Ansprüchen zu genügen. VeriSign spricht von einem technisch guten, schnellen, flexiblen und leicht erweiterbaren Protokoll. RDAP ist auf dem verschlüsselten HTTPS aufgebaut und ermöglicht die Ausgabe von Fragen und Antworten in Textform. Diese Form ermöglicht lau ICANN den schnellen Aufbau von neuen Diensten und eine Differenzierung der Zugriffsrechte in unterschiedlichen Gruppen.
Genau diese Differenzierung ruft Kritiker und Sicherheitsexperten auf den Plan. Sie sehen Probleme beim „Management der Legitimationsrechte“, die z.B. Strafverfolger erhalten. Innerhalb dieses Personenkreises gibt es aber zusätzliche Abstufungen, die eingehalten werden sollten.
ICANN Gremium gegen schnelle Einführung
Nach intensiven Diskussionen um Pro und Contra des RDAP gab das ICANN Gremium der Registries vorerst keine Empfehlung zur schnellen Einführung des Whois-Nachfolgers ab. Zu viele Daten- und Privacy-Schutzfragen müssen im Vorfeld geklärt werden. Die ICANN hatte aber bereits mit 2017 einen Termin zur Einführung gesetzt, also legten die Registries gemeinsam Berufung gegen diese Fristsetzung ein. Zudem werden die Pläne der ICANN kritisiert, das Protokoll nicht ganzheitlich sondern über Einzelverträge mit Registries einzuführen. Das würde gegen die Regeln der Selbstverwaltung verstoßen, bemerkte das Registry-Gremium. In einer Zeit der Datensammlung und Cyberkriminalität sei es unverantwortlich, nicht ausgereifte Protokolle zwingend nach Zeitplan einzuführen.