ICANN zu langsam bei Krisen im DNS

Theoretisch könnte ICANN ganze Länderadressbereiche von "feindlichen" Staaten abschalten

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Schon über vier Wochen versucht ein britisches Unternehmen, bei der Internet Corporation for Assigned Names and Numbers (ICANN) neue Nameserver für die Länderdomain von Afghanistan zu erwirken. Die af.-Domain war nach dem 11. 9. laut Auskunft von Jonathan Robinson von Netbenefit/Netnames mehrfach Opfer von Hackerangriffen auf die von dem Unternehmen als technischer Administrator betreute Domain. Bei der ICANN in Marina del Rey aber hat man viel Zeit.

"Im Moment gibt es keinen Angriff," sagte Robinson gegenüber Heise. "Aber wir wollen gerne die af-Domain in ein unabhängiges System setzen, um die anderen Services für unsere Kunden nicht unnötig zu gefährden." Am liebsten würde Netbenefit die af-Domain ganz abgeben, "aber wer will diese Domain jetzt schon haben?" Netbenefit hatte die Domain, zusammen mit anderen ccTLDs, beim Einkauf der Firma Netnames "unfreiwillig" mit übernommen. Mehrfach haben offensichtlich politisch motivierte Hacker die af-Registrierseite angegriffen und teilweise Besucher auf eine, so ICANNs Justitiar Louis Touton, "geschmacklose Seite umgeleitet."

Beim Treffen in Marina del Rey hat Netbenefit die ICANN noch einmal gedrängt, endlich die Änderung der Nameserver ins Rootzone-File einzutragen. Robinson hofft nach über einem Monat, dass das nun möglichst bald passiert. Touton betonte demgegenüber, der ICANN sei es bislang nicht gelungen, den für die Administration zuständigen ccTLD-Manager in Kabul zu erreichen. Dies sei aber für eine Veränderung des Nameservers notwendig, so Touton.

Für Andy Müller-Maguhn, den von deutschen Nutzern gewählten ICANN-Direktor, ist die Verzögerung in einer solch kritischen Situation unbegreiflich. Müller-Maguhn brachte das Thema bei der Jahrestagung der ICANN aufs Tapet, die ganz unter dem Thema Sicherheit im DNS stand.

Der Fall der Afghanistan-Domain illustriert die Klage vieler Konferenzteilnehmer, allen voran die ccTLDs, dass schnelle Reaktionen in Katastrophensituationen von der innerhalb ICANN für die ccTLD zuständigen IANA nicht zu erwarten. Durchschnittlich 30 Tage dauern derzeit nach Angaben der ICANN selbst kleine Routineeintragungen. Davon gehen 12 Tage aufs Konto der IANA. Bei der IANA verweist man darauf, dass es noch an Authentifizierungsmöglichkeiten fehlt, um unrechtmäßige Einträge im zentralen Rootzone-File zu verhindern. Im Rahmen der Sicherheitsdiskussion versprach ICANNs Präsident, dass man sich um bessere Authentifizierungsmöglichkeiten und Verfahren für Krisensituationen bemühen will.

Noch länger als die ICANN selbst braucht allerdings das US-Department of Commerce (DoC), das jede einzelne Änderung im Rootzone-File ganz offiziell absegnen muss. Dieser Staatsakt bedarf im Schnitt weiterer 18 Tage.

Dass dies selbst bei so geringfügigen und gleichzeitig dringlichen Änderungen überhaupt erforderlich ist, sei keineswegs einzusehen, sagte Netzwerkberater Sean Donelan. "Wenn es um einen Notfall geht, und Karen Rose vom Department of Commerce ist für eine Woche nicht im Büro, dann geht nichts. Darüber muss die ICANN ganz dringend nachdenken."

Auch politisch spricht manches gegen diese Regelung. Der für Europa gewählte ICANN-Direktor warnte bereits mehrfach davor, dass im Zuge der Terrorbekämpfung verschiedene ccTLD-Zonen ins Fadenkreuz der US-Terrorbekämpfung geraten könnten. Theoretisch kann ICANN nach eigenem Belieben ganze Länderadressbereiche von "feindlichen" Staaten abschalten lassen (Ein weiteres schockierendes Opfer nach dem Ende des Booms).

Das Terrorargument wurde aber auch gegen die USA gewendet. Ein Vertreter der Länderadresszone für Hongkong kritisierte die große Konzentration der zentralen Rootname-Server in den USA. Allein zwei der Server stehen in der unmittelbaren Umgebung des ICANN-Büros. Das sei vor allem deshalb bedenklich, weil die USA nun ein "Hochrisiko-Gebiet" seien, so der Hongkonger Netzwerkexperte. Auch europäische Vertreter wie der Postel-Award-Preisträger vom RIPE in Amsterdam, Daniel Karrenberg, unterstrichen die Notwendigkeit, die Server-Standorte weiter zu dezentralisieren. Würde ICANN solche Forderungen nicht aufgreifen, werde die Organisation selbst zum "Denial-of-Service-Problem" für die Community.