Wer sollte das lesen: Domain-Registries, Domain-Registrare, Registry-Betreiber, ICANN-bezogene Organisationen, Compliance-Beauftragte in der Domain-Branche.
Die Aufnahme spezifischer Anforderungen an die Pflege und den Zugriff auf WHOIS-Daten durch die NIS2-Richtlinie markiert einen wichtigen Moment in der Verwaltung des Domain-Name-Systems. Artikel 28 legt umfassende Pflichten für TLD-Namensregistries (die Organisationen, die Top-Level-Domains wie .de, .fr, .eu verwalten) und Einrichtungen fest, die Domain-Namen-Registrierungsdienste erbringen (Registrare und ihre Vertreter). Diese Pflichten sollen sicherstellen, dass genaue WHOIS-Daten gepflegt werden und dass legitime Parteien auf Domain-Namen-Registrierungsinformationen zugreifen können, die erforderlich sind, um Cybersicherheitsvorfälle zu untersuchen und die DNS-Stabilität aufrechtzuerhalten.
Für Registries und Registrare stellt Artikel 28 ein neues regulatorisches Mandat dar, das durch NIS2 zusätzlich zu den Verpflichtungen auferlegt wird, die im Rahmen von ICANN-Verträgen, der DSGVO und anderen Rechtsrahmen bestehen können. Die Einhaltung ist verpflichtend, und Registries und Registrare werden als wichtige Einrichtungen im Sinne von NIS2 eingestuft, was bedeutet, dass sie zusätzlich zu den spezifischen WHOIS-Pflichten das gesamte Spektrum der Cybersicherheitsrisikomanagement-Maßnahmen nach Artikel 21 umsetzen müssen.
Zweck von Sicherheit und Stabilität
DNS ist eine kritische Infrastruktur. Jeder Internetnutzer ist auf das Domain-Name-System angewiesen, um menschenlesbare Domainnamen in IP-Adressen zu übersetzen, die für den Zugriff auf Dienste erforderlich sind. Wenn das DNS-System kompromittiert oder instabil ist, breiten sich die Auswirkungen über das gesamte Internet-Ökosystem aus. WHOIS-Daten, also die mit Domainnamen verbundenen Registrierungsinformationen, sind unerlässlich, um DNS-Missbrauch zu untersuchen, bösartige Domains zu identifizieren und auf Cybersicherheitsvorfälle zu reagieren.
Die Richtlinie erkennt an, dass die Pflege genauer und zugänglicher WHOIS-Daten zur Sicherheit und Stabilität des DNS beiträgt. Artikel 28 Absatz 1 besagt, dass der Zweck der Anforderungen darin besteht, “zur Sicherheit, Stabilität und Resilienz des DNS beizutragen”. Dies ist nicht nur eine Angelegenheit des Datenschutzes oder der Verwaltung; es handelt sich um eine Frage der Cybersicherheits-Governance.
Pflichten zur Datenerhebung und -pflege
Artikel 28 Absatz 1 verlangt, dass TLD-Namensregistries und Einrichtungen, die Domain-Namen-Registrierungsdienste erbringen, genaue und vollständige Domain-Namen-Registrierungsdaten in einer dedizierten Datenbank erheben und pflegen. Dies scheint unkompliziert, bis man die Komplexität berücksichtigt. Genauigkeit und Vollständigkeit sind keine binären Eigenschaften; sie existieren auf einem Spektrum. Registries und Registrare müssen Data-Governance-Prozesse einrichten, um sicherzustellen, dass die von ihnen erhobenen Informationen korrekt sind und regelmäßig aktualisiert werden, wenn Domain-Inhaber ihre Angaben ändern.
Artikel 28 Absatz 2 legt fest, welche Informationen gepflegt werden müssen. Erstens, der Domainname selbst. Zweitens, das Datum der Registrierung. Drittens, der Name des Domaininhabers, die Kontakt-E-Mail-Adresse und die Telefonnummer. Viertens, die Kontakt-E-Mail-Adresse und die Telefonnummer der Kontaktstelle, die den Domainnamen verwaltet, falls abweichend vom Domaininhaber.
Diese Informationsmenge ist absichtlich so konzipiert, dass sie die Identifizierung und Kontaktaufnahme mit dem Domaininhaber und der Person, die die Domain verwaltet, ermöglicht. Cybersicherheitsvorfälle beinhalten häufig die böswillige Nutzung von Domainnamen, darunter Domains, die für Phishing, die Verbreitung von Malware oder Command-and-Control-Kommunikation verwendet werden. Die Möglichkeit, den Domaininhaber zu identifizieren und zu kontaktieren, ist unerlässlich, um diese Vorfälle zu untersuchen und Abhilfemaßnahmen zu ergreifen.
Artikel 28 Absatz 2 verlangt außerdem, dass diese Informationen in einer “dedizierten Datenbank mit der gebotenen Sorgfalt im Einklang mit dem Datenschutzrecht der Union in Bezug auf personenbezogene Daten” geführt werden. Dies ist eine wichtige Formulierung, da ein Großteil der WHOIS-Daten personenbezogene Daten umfasst (Namen, Adressen, Telefonnummern und E-Mail-Adressen einzelner Domaininhaber). Die Anforderung, diese Daten im Einklang mit der DSGVO und anderen Datenschutzvorschriften der Union zu pflegen, bedeutet, dass Registries und Registrare die Cybersicherheitsanforderungen an zugängliche WHOIS-Daten mit Datenschutzpflichten in Einklang bringen müssen. Dieses Gleichgewicht wird durch die nachfolgend erörterten Bestimmungen zum öffentlichen und eingeschränkten Zugriff behandelt.
Verfahren zur Überprüfung der Genauigkeit
Artikel 28 Absatz 3 verlangt, dass Registries und Registrare Strategien und Verfahren, einschließlich Überprüfungsverfahren, festlegen, um sicherzustellen, dass ihre Datenbanken genaue und vollständige Informationen enthalten. Diese Verfahren müssen öffentlich zugänglich gemacht werden. Dies ist eine wesentliche Pflicht, die von Registries und Registraren verlangt, ihre Datenqualitätssicherungsprozesse zu dokumentieren.
Wirksame Genauigkeitsverfahren umfassen in der Regel mehrere Elemente. Erstens, die Überprüfung zum Zeitpunkt der Registrierung: Registrare sollten überprüfen, ob die von Domain-Antragstellern bereitgestellten Informationen korrekt sind, bevor sie die Registrierung akzeptieren. Dies kann eine E-Mail-Überprüfung (Bestätigung, dass der Domaininhaber die angegebene E-Mail-Adresse kontrolliert), eine telefonische Überprüfung oder in einigen Fällen eine Identitätsüberprüfung umfassen.
Zweitens, die regelmäßige erneute Überprüfung: Registries und Registrare sollten Domaininhaber regelmäßig kontaktieren, um zu bestätigen, dass die gespeicherten Informationen nach wie vor korrekt sind. Dies ist besonders wichtig, da Kontaktinformationen im Laufe der Zeit veraltet sein können, wenn Personen den Arbeitsplatz wechseln, umziehen oder ihre Kontaktpräferenzen aktualisieren.
Drittens, Verfahren zur Aktualisierung von Informationen: Domaininhaber müssen ihre Registrierungsinformationen aktualisieren können, und Registries und Registrare müssen sicherstellen, dass Aktualisierungen korrekt verarbeitet werden. Dies umfasst Verfahren zur Überprüfung von Aktualisierungen (Bestätigung, dass die Person, die eine Aktualisierung beantragt, dazu berechtigt ist).
Viertens, Verfahren zur Erkennung ungenauer Daten: Registries und Registrare sollten auf Anzeichen ungenauer Daten achten. Wenn die Kontakt-E-Mail einer Domain zurückkommt oder die Telefonnummer eines Domaininhabers fiktiv erscheint, sollte die Registry oder der Registrar dies untersuchen und versuchen, genaue Informationen zu erhalten.
Fünftens, die Überwachung der Datenqualität: Registries und Registrare sollten Kennzahlen in Bezug auf die Datenqualität verfolgen. Welcher Prozentsatz der Domains hat gültige Kontaktinformationen? Wie hoch ist das durchschnittliche Alter der letzten Datenüberprüfung? Diese Kennzahlen helfen dabei, systemische Datenqualitätsprobleme zu erkennen.
Öffentlicher und eingeschränkter Zugriff
Artikel 28 Absatz 4 verlangt, dass Registries und Registrare ohne unangemessene Verzögerung nach der Domain-Registrierung Domain-Namen-Registrierungsdaten, die keine personenbezogenen Daten sind, öffentlich zugänglich machen. Diese Bestimmung erkennt an, dass einige WHOIS-Informationen ohne Datenschutzbedenken breit offengelegt werden können. Das Datum der Registrierung, die Tatsache, dass eine Domain registriert ist, und einige Informationen über den Domaininhaber können in der Regel öffentlich offengelegt werden.
Artikel 28 Absatz 5 behandelt jedoch personenbezogene Daten und sensible Informationen. Registries und Registrare müssen auf rechtmäßige und ordnungsgemäß begründete Anträge legitimer Zugriffsuchender im Einklang mit dem Datenschutzrecht der Union Zugang zu bestimmten Domain-Namen-Registrierungsdaten (einschließlich personenbezogener Daten) gewähren. Dies ist die entscheidende Bestimmung, die es Ermittlern bei Cybersicherheitsvorfällen und Strafverfolgungsbehörden ermöglicht, auf WHOIS-Daten zuzugreifen, ohne sie der gesamten Öffentlichkeit zugänglich zu machen.
Artikel 28 Absatz 5 verlangt, dass Registries und Registrare ohne unangemessene Verzögerung und in jedem Fall innerhalb von 72 Stunden nach Eingang auf Zugriffsanfragen reagieren. Dies ist ein sehr enger Zeitrahmen. Für legitime Zugriffsuchende (Strafverfolgungsbehörden, Cybersecurity Incident Response Teams, CSIRTs, die Missbrauch untersuchen) ist diese schnelle Reaktion von wesentlicher Bedeutung. Wenn die Untersuchung eines Phishing-Angriffs oder eines Malware-Verteilungsnetzwerks Tage in Anspruch nimmt, um WHOIS-Daten zu erhalten, wird die Untersuchung erheblich behindert.
Was macht jemanden zu einem “legitimen Zugriffsuchenden”? NIS2 definiert diesen Begriff nicht; die Richtlinie überlässt es Registries und Registraren, Strategien und Verfahren festzulegen, in denen genau festgelegt wird, wer sich als legitimer Zugriffsuchender qualifiziert und welche Dokumentation erforderlich ist, um ein berechtigtes Interesse am Zugriff auf WHOIS-Daten nachzuweisen. Typischerweise zählen zu den legitimen Zugriffsuchenden Strafverfolgungsbehörden, CSIRTs, Cybersecurity Incident Response Teams, Organisationen zur Durchsetzung von Rechten des geistigen Eigentums und vertraglich gebundene Sicherheitsforscher.
Artikel 28 Absatz 5 verlangt außerdem, dass Registries und Registrare Strategien und Verfahren zur Offenlegung von WHOIS-Daten veröffentlichen. Diese Strategien müssen öffentlich zugänglich sein, damit potenzielle Zugriffsuchende verstehen, welche Informationen verfügbar sind, welche Anfragen für den Zugriff erforderlich sind und welche Pflichten sie hinsichtlich der Nutzung dieser Informationen haben.
Datenschutz und Sicherheit in Einklang bringen
Die Aufnahme der WHOIS-Pflichten in NIS2 verdeutlicht eine grundlegende Spannung in der modernen Internet-Governance: das Bedürfnis nach genauen, zugänglichen Registrierungsinformationen zur Unterstützung der Cybersicherheit und der Strafverfolgung sowie die Notwendigkeit, die Privatsphäre des Einzelnen zu schützen. Die DSGVO schränkt die Erhebung und Nutzung personenbezogener Daten ein. Datenschutzbefürworter argumentieren, dass die öffentliche Verfügbarkeit von WHOIS-Daten Einzelpersonen gezielten Angriffen, Identitätsdiebstahl und Belästigung aussetzt.
Artikel 28 versucht, diese Interessen durch ein gestuftes Zugriffsmodell auszugleichen. Personenbezogene Daten werden nicht öffentlich offengelegt, sind jedoch auf Anfrage für legitime Zugriffsuchende zugänglich. Dies bewahrt die Privatsphäre der meisten Personen und stellt gleichzeitig sicher, dass diejenigen, die echte Sicherheits- oder Strafverfolgungsbedürfnisse haben, auf die Informationen zugreifen können, die zur Untersuchung von Vorfällen erforderlich sind.
Registries und Registrare müssen technische und organisatorische Maßnahmen zum Schutz von WHOIS-Daten umsetzen. Die Daten müssen gegen unbefugten Zugriff gesichert sein, und Registries und Registrare müssen sicherstellen, dass der Zugriff auf personenbezogene Daten protokolliert und überprüfbar ist. Zugriffsuchende, die WHOIS-Daten erhalten, unterliegen in der Regel Vertraulichkeitspflichten und müssen die Daten ausschließlich für den angegebenen rechtmäßigen Zweck verwenden.
Koordinierung zwischen Registries und Registraren
Artikel 28 Absatz 6 verlangt, dass Registries und Registrare zusammenarbeiten, um Doppelerhebungen von Daten zu vermeiden. Damit wird anerkannt, dass das Domain-Registrierungs-Ökosystem mehrere Parteien umfasst. Ein Domaininhaber kann eine Domain über einen Registrar registrieren, der wiederum ein Konto bei einer Registry führt. Sowohl die Registry als auch der Registrar führen Registrierungsdaten. Um unnötige Duplikate zu vermeiden und die Konsistenz zu gewährleisten, müssen Registries und Registrare Koordinierungsmechanismen einrichten.
In der Praxis bedeutet dies, dass Registries und Registrare klare Vereinbarungen zur Datenweitergabe treffen sollten, in denen festgelegt wird, welche Partei für die Erhebung und Pflege welcher Informationen verantwortlich ist. In der Regel erheben Registrare Informationen von Domaininhabern und übermitteln sie an Registries. Registries pflegen dann die maßgebliche Quelle der Registrierungsdaten. Die konkreten Vereinbarungen können jedoch je nach den Strategien des Registry-Betreibers und des Registrars variieren.
Status einer wichtigen Einrichtung und weitergehende NIS2-Pflichten
Artikel 28 legt spezifische WHOIS-Pflichten fest, aber Registries und Registrare sind auch wichtige Einrichtungen im Sinne von NIS2. Das bedeutet, dass sie dem gesamten Spektrum der Cybersicherheitsrisikomanagement-Maßnahmen nach Artikel 21 unterliegen. Sie müssen Risikoanalyse, Vorfallbearbeitung, Geschäftskontinuität, Lieferkettensicherheit, sichere Entwicklungspraktiken, Schulungen, Kryptografierichtlinien, Zugriffskontrollen und Multi-Faktor-Authentifizierung umsetzen.
Für Registries und Registrare hat dies besondere Auswirkungen. Die Cybersicherheitsmaßnahmen einer Registry müssen nicht nur die eigenen Systeme der Registry schützen, sondern auch die Sicherheit und Integrität der von ihr gepflegten DNS-Daten. Eine Kompromittierung einer Registry könnte sich auf Millionen von Domains und deren Nutzer auswirken. Ebenso könnten kompromittierte Systeme eines Registrars ausgenutzt werden, um Domains betrügerisch zu übertragen, Registrierungsdaten zu ändern oder neue bösartige Domains zu erstellen.
Die Lieferkettensicherheit ist in der Domain-Branche besonders wichtig, da Registries und Registrare von zahlreichen Dienstleistern abhängen, etwa von DNS-Dienstanbietern, Rechenzentrumsbetreibern und Anbietern von Backup-Diensten. Diese Beziehungen müssen im Rahmen der Lieferkettensicherheitspflicht nach Artikel 21 geprüft und verwaltet werden.
Meldung von Sicherheitsvorfällen
Registries und Registrare unterliegen den Meldepflichten für Sicherheitsvorfälle nach Artikel 23. Wenn sie einen erheblichen Vorfall erleben, der die Integrität oder Verfügbarkeit ihrer Dienste oder der von ihnen gepflegten WHOIS-Daten beeinträchtigt, müssen sie den Vorfall ohne unangemessene Verzögerung ihrem nationalen CSIRT melden. Eine Verletzung der Systeme eines Registrars, durch die Kundenkontaktdaten offengelegt werden, oder eine Kompromittierung einer Registry, die die DNS-Auflösung beeinträchtigt, wäre eindeutig meldepflichtig.
Wichtige Erkenntnisse
-
Artikel 28 verlangt, dass TLD-Namensregistries und Domain-Namen-Registrierungsdienste genaue und vollständige Domain-Namen-Registrierungsdaten erheben und pflegen, einschließlich des Namens des Domaininhabers, der Kontaktinformationen und der administrativen Kontaktdaten.
-
Registries und Registrare müssen veröffentlichte Strategien und Verfahren zur Überprüfung der Datengenauigkeit festlegen, einschließlich der Überprüfung bei der Registrierung, der regelmäßigen erneuten Überprüfung, der Aktualisierungsverfahren und der Überwachung der Datenqualität.
-
Personenbezogene Daten dürfen nicht öffentlich offengelegt werden, müssen jedoch auf Anfrage für legitime Zugriffsuchende zugänglich sein. Registries und Registrare müssen rechtmäßige Zugriffsanfragen innerhalb von 72 Stunden beantworten und Strategien veröffentlichen, in denen festgelegt ist, wer sich als legitimer Zugriffsuchender qualifiziert.
-
WHOIS-Daten müssen im Einklang mit der DSGVO und anderen Datenschutzvorschriften der EU gepflegt werden. Registries und Registrare müssen technische und organisatorische Sicherheitsmaßnahmen zum Schutz der Daten umsetzen und Koordinierungsmechanismen einrichten, um Doppelerhebungen zu vermeiden.
-
Registries und Registrare sind wichtige Einrichtungen im Sinne von NIS2 und müssen die Cybersicherheitsrisikomanagement-Maßnahmen nach Artikel 21 umsetzen, Reaktionsfähigkeiten bei Sicherheitsvorfällen aufbauen und erhebliche Vorfälle ihrem nationalen CSIRT melden.