Cybersicherheit: EU-Parlament beschließt Aus für anonyme Domains

Inhaltsverzeichnis

Das EU-Parlament hat am Donnerstag mit der großen Mehrheit von 577 zu 6 Stimmen bei 31 Enthaltungen den Entwurf für eine Richtlinie "für ein hohes gemeinsames Cybersicherheitsniveau" verabschiedet. Teil der Initiative zur Reform der bestehenden Regeln zur Netz- und Informationssicherheit (NIS) ist eine bislang noch wenig beachtete Pflicht zur Identifizierung von Domain-Inhabern, die den Betrieb anonymer Webseiten in der EU zumindest deutlich erschweren dürfte.

Pflicht zur vollständigen Dokumentation

Laut Artikel 28 müssen die Mitgliedsstaaten künftig Registrierungsdienste für Webadressen wie Top Level Domains (TLD) "genaue und vollständige" persönliche Informationen über die Inhaber "in einer speziellen Datenbank" wie dem Whois-Register im Einklang mit dem Datenschutzrecht sammeln und pflegen. Ziel ist es, die "Sicherheit, Stabilität und Belastbarkeit" des Domain-Namen-Systems (DNS) zu erhöhen.

Die für die Identifizierung und Kontaktaufnahme erforderlichen Angaben müssen neben dem Domain-Namen etwa das Datum der Registrierung, den Namen des Inhabers der Internetadresse, seine E-Mail-Adresse und Telefonnummer enthalten. Domain-Registrierungsstellen sollen zudem über Überprüfungsverfahren verfügen, um sicherzustellen, dass die Whois-Datenbank "genaue und vollständige Angaben enthalten". Zudem sind nicht-personenbezogene Registrierungsdaten unverzüglich öffentlich zugänglich zu machen.

Domain-Registrierungsstellen sollen zudem verpflichtet werden, berechtige Zugangsnachfragen etwa von Strafverfolgern "unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Eingang eines Antrags" beantwortet werden. Ermittler sind seit Langem an entsprechenden Zugriffsoptionen interessiert. Die Pflicht zur Registrierung der Identität gilt nach Artikel 6 ausdrücklich auch für spezielle, bislang besonders datenschutzfreundliche "Privacy-" und "Proxy"-Registrierungsdienste und Reseller.

Anonyme Diensten droht Illegalität

"Whois privacy"-Dienste zur stellvertretenden Registrierung von Domains würden dadurch illegal, beklagt der EU-Abgeordnete Patrick Breyer (Piratenpartei): "Wenn die Betreiber von Leakseiten wie Wikileaks künftig namentlich verzeichnet würden, riskieren sie wie Julian Assange lange Haftstrafen für die Veröffentlichung von Kriegsverbrechen der USA." Auch das katalonische Unabhängigkeitsreferendum habe über anonym registrierte Webseiten organisiert werden müssen, weil den Organisatoren in Spanien Haft gedroht habe.

Die beschlossene staatliche Identifizierungspflicht ist Breyer zufolge weltweit einzigartig und bricht mit internationalen Prinzipien der Internetregulierung. Sie gefährde alle Webseiten-Betreiber, denn nur Anonymität im Netz schütze wirksam "vor Datenklau und Datenverlust, Stalking und Identitätsdiebstahl, Doxxing und 'Todeslisten'". Besonders bedroht seien künftig aber etwa Frauen, Kinder, Minderheiten und gefährdete Personen, Missbrauchs- und Stalkingopfer, Whistleblower und Presseinformanten, politische Aktivisten sowie beratungssuchende Menschen.

Nach dem Beginn des Angriffskriegs Russlands auf die Ukraine hatte etwa der Domain-Provider Namecheap angekündigt, kostenloses und anonymes Hosting sowie die Registrierung neuer Domainnamen für Webseiten zu bieten, die sich gegen Putins Regime richten. Die Grünen-Fraktion, der sich das Mitglied im mitberatenden Innenausschuss angeschlossen hat, beantragte im Plenum eine separate Abstimmung über die Identifizierungspflicht. Dies lehnte die Parlamentsmehrheit aber ab.

Neue Auflagen zur Cybersicherheit

Generell kommen mit der "NIS2-Richtlinie" auf Unternehmen und Behörden in Sektoren in der EU, die für die Wirtschaft und Gesellschaft von entscheidender und essenzieller Bedeutung sind, neue Auflagen im Bereich Cybersicherheit zu. Verhandlungsführer des EU-Ministerrats, des Parlaments und der Kommission hatten sich darauf schon im Mai verständigt. Der Kompromiss sieht vor, die Führungskräfte der erfassten Unternehmen, Staatsbetriebe und möglicherweise auch Behörden für etwaige Verstöße gegen die erweiterten Pflichten zum Einhalten der Cybersicherheit verantwortlich zu machen.

Teil der Richtlinie sind erweiterte Mindestvorschriften für Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit und für Meldepflichten bei Online-Attacken sowie daraus resultierenden Datenpannen. Erfasste Betriebe mit über 250 Mitarbeitern und über zehn Millionen Jahresumsatz müssen künftig gemeinsame Cybersicherheits-Standards wie Audits, Risikoabschätzungen, das zeitnahe Einspielen von Sicherheitsupdates und Zertifizierungen beachten. Die Behörden sind innerhalb von 24 Stunden grob über Cybersicherheitsvorfälle zu informieren. Innerhalb von drei Tagen muss ein ausführlicher Bericht mit Details folgen.

Unter die NIS2 fallen auch mittlere und große Einrichtungen aus einer erweiterten Zahl von Sektoren, zu denen nicht mehr nur die sogenannten kritischen Infrastrukturen (Kritis) gehören. Die Vorgaben schließen künftig etwa Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte wie medizinischer Geräte, Maschinen und Kfz, Post- und Kurierdienste und die öffentliche Verwaltung sowohl auf zentraler als auch regionaler Ebene ein.

Verzehnfachung der regulierten Betriebe

"Diese europäische Richtlinie wird rund 160.000 Unternehmen dabei helfen, ihre Sicherheit zu erhöhen und Europa zu einem sicheren Ort zum Leben und Arbeiten zu machen", erklärte Berichterstatter Bart Groothuis. "Sie wird auch den Informationsaustausch mit dem privaten Sektor und Partnern in der ganzen Welt ermöglichen." Der Liberale unterstrich mit Blick etwa auf Ransomware-Attacken: "Wenn wir im industriellen Maße angegriffen werden, müssen wir auch im industriellen Maße reagieren."

In Deutschland würden künftig statt 2000 rund 20.000 Betriebe und öffentliche Einrichtungen durch die NIS2 reguliert, schätzte Andreas Könen, Leiter Cyber- und Informationssicherheit im Bundesinnenministerium, am Donnerstag auf dem Gigabit-Symposium. Das Ressort selbst arbeite an einem "Kritis-Dachgesetz", um branchenübergreifend sowie analog und digital Sicherheitsregeln aufzustellen. Die überarbeitete EU-Richtlinie muss der Ministerrat noch annehmen, was als Formsache gilt.

(mho)