Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist am 25. Mai in Kraft getreten und hat nicht nur die europäischen ccTLDs, sondern alle gTLDs und viele ccTLDs weltweit stark beeinflusst. Die europäischen ccTLDs haben erst spät die Aktualisierung ihrer Richtlinien zum Umgang mit der DSGVO herausgegeben. Die ICANN hat dann bis eine Woche vor der Implementierung gebraucht, um einen adäquaten Umgang zu erarbeiten, was sich wiederum nicht nur auf die gTLD Registries, sondern auch auf die Registrare auswirkte.
Security Reseacher, die sich auf die WHOIS-Daten verlassen, die bei der Registrierung von Domain-Namen gesammelt werden, verlieren, wie fast alle anderen Nutzer auch, den Zugriff auf die Informationen, mit dem Endergebnis einer möglichen Zunahme von Spam- und Betrugs-E-Mails.
Um die Änderungen für gTLDs, zu denen unter anderem .com, .berlin und .xyz gehören, zu bewältigen, kündigte die ICANN eine „vorläufige Fassung“ an, deren endgültige Fassung erst 7 Tage vor Inkrafttreten der DSGVO veröffentlicht wurde.
Diese vorläufige Fassung verlangt, dass die Registries und Registrare weiterhin alle WHOIS-Informationen für gTLDs sammeln. Bei der Durchführung von WHOIS-Abfragen werden jedoch nur sogenannte „dünne“ Daten zurückgegeben, die lediglich technische Daten enthalten, ausreichend, um den sponsernden Registrar, den Status der Registrierung sowie das Erstellungs- und Verfallsdatum jeder Registrierung zu identifizieren, nicht jedoch persönliche Daten.
Für Dritte, die ein berechtigtes Interesse daran haben, Zugang zu den nicht öffentlichen Daten der Registries oder Registrare zu erhalten, gibt es immer noch die Möglichkeit, auf diese Daten zuzugreifen. Anfragen können über den sponsernden Registrar gestellt werden, der verpflichtet ist, diese in angemessener Zeit zu beantworten. Wenn keine Antwort eingeht, stellt die ICANN einen Beschwerdemechanismus zur Verfügung. Wenn angenommen wird, dass einzelne Parteien ihren Verpflichtungen aus diesem vorläufigen Entwurf oder ihren Vereinbarungen mit der ICANN nicht nachkommen, kann die Abteilung für Vertragseinhaltung der ICANN kontaktiert werden, um eine Beschwerde einzureichen.
Es ist zu befürchten, dass dieser Mangel an WHOIS-Informationen, die den Strafverfolgungsbehörden rechtzeitig zur Verfügung gestellt werden, den Cyberkriminellen Tür und Tor öffnet und ihnen genügend Spielraum lässt, bevor deren Identität geklärt werden kann und die Domain gesperrt wird. Obwohl Strafverfolgungsbehörden Zugang beantragen können, wird dieser Prozess Zeit brauchen, was wiederum eine Verzögerung bei der Genehmigung und dem Zugang nach sich ziehen wird.
„Sollten Sie bis zum 25. Mai kein Akkreditierungssystem haben, dann gibt es keine Möglichkeit für Cybersicherheitsleute, Zugang zu diesen Informationen zu erhalten“, sagte Gregory Mounier, Leiter der Öffentlichkeitsarbeit im EUROPOL European Cybercrime Center und Mitglied der ICANN-Arbeitsgruppe für öffentliche Sicherheit gegenüber KrebsOnSecurity. „Angenommen, Sie überwachen ein Botnetz und haben 10.000 Domains damit verbunden und wollen Informationen darüber in den WHOIS-Datensätzen finden, dann können Sie das nicht mehr tun. Es wird wahrscheinlich nicht vor Dezember 2018 oder Januar 2019 implementiert, was wiederum viele Monate mit Sicherheitslücken bedeutet."