Der „DENIC-Imagefilm“ und die fehlenden Fakten.

Keine Frage: Der so genannte „DENIC-Imagefilm“ ist ein eher grässliches Stück Public Relations und erfüllt eher den Tatbestand des Erweckens von massivem Fremdschämens. Einen komplexen Sachverhalt aus der Sicht zweier ahnungsloser (und extrem schlecht nachsynchronisierten) Protagonisten zu erklären, die ausgerechnet auf dem heimischen Sofa nichts besseres zu tun haben, als sich über den Fernseher darüber kundig zu machen, wie die DE-Domain funktioniert:

Fachlich freilich ist der Erklärung nicht viel streitig zu machen, was nun auch wirklich extrem verwundern würde, wenn das Gegenteil der Fall wäre. Allerdings prellt es an einer Stelle geschichtlich gehörig. Sabine Dolderer, Vorstand der eingetragenen DENIC-Genossenschaft, sagt nämlich ab Minute 3:35 folgendes:

„Die DE-Domains wurden anfangs in den USA verwaltet. 1996, das waren damals 20.000 Domains, haben 37 Internet-Service-Provider angefangen, sich zu überlegen, wie sie das ganze auf eine breitere Basis stellen könnten. Das war die Geburtsstunde der DENIC e.G, wie wir sie heute kennen.“

Das hört sich hübsch an, es fehlt jedoch einiges: Tatsächlich wird die DE-Top-Level-Domain im November 1986 eingetragen und die ersten zwei Jahre auch in den USA im damaligen CSNET, einer der Vorläufer des späteren Internet, betrieben. Aber schon 1988 wechselte der Betrieb des primären Nameservers und die Domainverwaltung nach Deutschland, nämlich an die Universität Dortmund und die dortige Informatik-Betriebsgruppe. Von dort wechselte der Betrieb 1994 an die Universität Karlsruhe. Die dort nun beheimatete technische Verwaltung wechselte tatsächlich erst im Jahre 1999 zur DENIC e.G.

Die DENIC e.G. wiederum wurde zwar 1997 gegründet und versteht ihre Geburtsstunde in der besagten Versammlung von 37 Internet-Service-Providern, die sich im Dezember 1996 über eine Genossenschaft als zukünftige Betriebsstelle einigten, allerdings gibt es die ersten grundlegenden Bemühungen ebenfalls schon erheblich früher. Denn schon im Dezember 1991 fand in München ein Treffen von 150 Vertretern aus Industrie und Wissenschaft statt, in dem unter anderem über die Zukunft des Betriebes der DE-Top-Level-Domain diskutiert wurde. Daraus entwickelte sich eine Deutsche Interessensgemeinschaft Internet (DIGI), die sich auch um eine dauerhafte Lösung zum Betrieb der DE-Zone kümmern sollte.

Um die Jahre 1992 bis 1996 wird in Sachen DE-Domain mutmaßlich auch deshalb nicht gern geredet, weil es sich, um es einmal gelinde zu sagen, um recht turbulente Jahre (im Text weiter unten) handelte. Ein gar nicht so kleiner Teil der damals lautesten Unternehmen im Business gibt es heute auch schon nicht mehr, was sicherlich in vielen Fällen auch kein allzugroßer Verlust für die besonneneren Akteure im Internet-Business war.

DNS-Ausfall beim DENIC und das DENIC selbst.

Dass Technik ausfallen kann, passiert, keine Frage. Computer werden von Menschen programmiert und Computer haben genügend Innereien, die einem Verschleiß oder höheren Gewalten unterliegen, ob das nun die Festplatte, ein defekter Kondensator, die zuzuführende Energie, die Klimatisierung oder die Putzkolonne ist. Alle Störungen sind ärgerlich, aber Störungen sind, wenn man fair sein will, im Grunde genommen unvermeidlich.

Aber: Es ist nun 17:50 Uhr und auf der DENIC-Website findet sich zu den heutigen Problemen mit den autoritativen Nameservern für die „.de“-Zone – nichts. Kein Hinweis auf eine außerordentliche Störung, keine Pressemitteilung, auch nichts im Neuigkeitenbereich. Einfach gar nichts. Der geneigte Nutzer, aber auch der geneigte Systemadministrator, der heute am Vormittag vermutlich stark schwitzend einen Fehler in seiner DNS-Infrastruktur suchen musste, durfte sich – wenn überhaupt – über die einschlägigen Medien im Internet darüber informieren, dass irgendetwas beim DENIC kaputt war.

Das ist leider entsetzlich schlecht, denn das Problem, das heute passierte, ist nicht einfach ein Problem, sondern der Super-GAU im DNS: Nichterreichbarkeit einer kompletten Top-Level-Domain-Zone, weil die dafür zuständigen Nameserver mit fehlerhaften Zoneninformationen bestückt wurden und diese bei Auskünften nach einzelnen .de-Domains mit NXDOMAIN-Auskünfte erteilten. Sprich: Die gesuchte Domain ist vermeintlich nicht vorhanden. Das mag bei der Suche nach einer Website noch verschmerzbar sein, da aber auf für E-Mail das DNS gebraucht wird, ist so ein Ausfall hochfatal und gebietet zumindest eine sehr gut funktionierende Krisenkommunikation.

Die Website des DENIC ist nicht nur über www.nic.de oder www.denic.de, sondern auch über www.denic.net zu erreichen. Man hätte also schon sehr, sehr frühzeitig mit einem dringenden Hinweis auf der Website dafür sorgen können, ein offizielles Statement zu veröffentlichen. Wenn man sich dann noch etwas bemüht, diese alternative Adresse mit anderem Inhalt zu bestücken und getrennt zu propagieren, als die offizielle Website, hätte man auch die Möglichkeit, diese alternative Adresse als eine Art Notfall-Infoboard einzusetzen.

In Sachen Krisenkommunikation, liebes DENIC, liegt Arbeit für euch auf dem Tisch. Und das bitte bald, bevor weitere durchgeknallte Politiker mit Profilneurose auf die Idee kommen, die Vergabe von .de-Domains zu verstaatlichen, weil dann alles besonders sicher sei.

Auth-Info-Verfahren nun “mandatory” beim DENIC.

Man kann sich nicht vorstellen, wie sehr ich das Begriffsungetüm “Konnektivitätskoordination” und besonders dessen Abkürzung “KK” hasse. “KK-Antrag”, “KK starten”, “KK abgelehnt” – f*** off, KK!

Die “Konnektivitätskoordination ist ein Steinzeitrelikt, das es in seiner speziellen Form nur bei DE-Domains gab. Das DENIC, die Vergabestelle für DE-Domains, ist, organisatorisch gesehen, reiner Dienstleister, jedoch nicht der zentrale Registrar. Das machen die DENIC-Mitglieder selbst, die zusammen als Genossenschaft die DENIC betreiben. Das hat im bisherigen KK-Verfahren immer dafür gesorgt, dass bei einer Domainübernahme immer das DENIC-Mitglied, das die Domain bis dato verwaltete, einer Domainübernahme zustimmen musste und der das logischerweise nur konnte (oder wollte), wenn er die Zustimmung des Domainbesitzers hatte. Hatte er die nicht, hatte er die verbummelt oder war er einfach pleite oder hatte vielleicht auch einfach keine so rechte Lust, verzögerte sich eine Domainübernahme gern mal richtig heftig.

Das ist nun vorbei, es gilt auch bei DE-Domains seit dem heutigen Tage das so genannte “Auth-Info-Verfahren”, das seit Dezember 2008 gestartet wurde und seitdem optional genutzt werden konnte. Dabei bekundet man bei seinen alten Provider, dass man eine DE-Domain von ihm wegtransferieren möchte, dieser hinterlegt für diese Domain ein Passwort beim DENIC, übermittelt dieses Passwort zusätzlich dem Domaininhaber und mit diesem Passwort kann er dann bei seinem neuen Provider die Domainübernahme starten. Und in der Regel wird diese Domainübernahme dann auch innerhalb kürzester Zeit vollzogen.

DENIC öffnet die letzten Adressräume.

Es ist in der Geschichte des DENIC nicht weniger als eine Revolution: Am 23. Oktober 2009 um genau 9 Uhr stehen die letzten Reservate im Adressraum der .de-Domain zur Disposition und werden vermutlich innerhalb kürzester Zeit geplündert sein:

Was wird registrierbar sein?

  • Ein- und zweistellige Domains, beispielsweise “a.de” oder “vw.de”. Letztere Domain ist übrigens auch der Auslöser, denn die Volkswagen AG hat tatsächlich einst gegen das DENIC prozessiert und auch von Gerichtswegen den Anspruch zugesprochen bekommen, dass die Volkswagen AG durchaus auch eine zweistellige Domain bekommen, gegen deren Vergabe sich das DENIC bisher gewehrt hat.
  • Reine Zifferndomains, also beispielsweise “07231.de”. Hier ist auch klar, dass hier vermutlich in kürzester Zeit alle sinnvollen und –losen Zahlenkombinationen vergeben sein dürften.

Der 23. Oktober wird deshalb sicherlich sehr spannend, vor allem auch deshalb, weil das DENIC auf jegliche Vorregistrierungsphasen verzichtet, beispielsweise für Inhaber von Namensrechten – es gilt das “FIFO”-Prinzip, wer also zuerst kommt, der bekommt zuerst, dazu wird das DENIC alle ab 9 Uhr eingehenden Registrierungen auf die Millisekunde genau verzeichnen und entsprechend vergeben.

Es gilt also, für Popcorn- und Cola-Vorräte vorzusorgen und abzuwarten, wie sich Inhaber von Namensrechten mit Domaingrabbern streiten werden und welche Kommune die erste sein wird, die jemanden auf Herausgabe des passenden Kfz-Domainnamens oder der korrespondierenden Vorwahl oder der Postleitzahl verklagt.

wikileaks.de – Stellungnahme des Providers.

Vor einer halben Stunde ist die Stellungnahme des bisherigen Providers von wikileaks.de eingetroffen, es handelt sich hierbei um Beasts Associates aus Hamburg. Der Geschäftsführer Daniel Teixeira zeichnet hier ein ganz anderes Szenario, als derzeit in Blogs und Newstickern wabert:

„Auf Grund von nicht vertragsgemäßen Verhalten des Herrn Reppe wurde bereits Anfang Dezember 2008 der Vertrag fristgerecht und mit entsprechendem Vorlauf zum 30. März 2009 gekündigt. Der Kündigung wurde nicht widersprochen und es ist keine Klage gegen die Kündigung anhängig.

In dem Kündigungsschreiben wurde ebenfalls darauf hingewiesen, was mit Domains, welche bis zum Kündigungsdatum nicht umgezogen wurden, passieren würde.

‚Domains, welche bis zum 31.03.2009 nicht umgezogen sind, werden von uns an die Vergabestelle zurückgegeben oder entsprechend gekündigt.‘

Die DENIC eG sieht in solch einem Fall den Transit vor.

Die Domain wurde am Donnerstag den 09. April 2009 in den Abendstunden durch uns in die Verwaltung der DENIC eG übergeben (Transit). Zeitgleich wurden unsere Nameserver für diese Domain abgestellt.“

Ich denke, da sollte Herr Reppe mal seine Post durchblättern und sich möglicherweise schon mal die ersten Formulierungen für ein Entschuldigungsschreiben ausdenken.

Das sieht doch schon mal ganz anders aus, als von Wikileaks dargestellt und offenbar von vielen Journalisten und Bloggern ohne weitergehende Recherche übernommen wurde, obwohl es genügend Leuten bekannt sein muss, dass ein TRANSIT-Verfahren nur in speziellen Fällen genutzt werden darf und mögliche Hinweise für eine Sperrung auffallend dürftig waren. Aber nein, eine Hexenjagd anzuzetteln, ist ja herzlich einfach und wenn es am Ende die Reputation eines Providers kostet.

An dieser Stelle muss man leider auch sagen: Shame on you, Heise. Man sollte gerade bei delikaten Themen lieber einen Anruf mehr wagen und recherchieren, anstatt einseitige Berichte in den Newsticker zu klopfen. Auch wenn Feiertage dazwischenliegen und man eventuell nicht sofort eine Sache klären kann.

[Update um 14:44 Uhr: Immerhin rudert Heise nun auffallend vielschreibend wieder zurück in den Hafen der fundierbaren Tatsachen.]

wikileaks.de – Vermutungen und Tatsachen.

Ich habe im ersten Moment gestaunt, dass Heise offenbar ohne Rückfrage beim DENIC schon tönt, dass die Domain wikileaks.de angeblich gesperrt sei, nur weil das der Besitzer der Domain so behauptet. Denn richtig viel fundierte Grundlage für diese Behauptung gibt es eigentlich keine.

Aktuell befindet sich die Domain im TRANSIT-Zustand, das ist eine Spezialität der DE-Domain. DE-Domains können hierzulande direkt beim DENIC nur Registrare registrieren, die DENIC-Mitglied sind. Diese registrieren, laut den Geschäftsbedingungen des DENIC, eine DE-Domain im Kundenauftrag, es gehen am Ende also zwei Vertragspartner eine Vertragsbeziehung ein, nämlich das DENIC und der Besitzer der Domain. Der Kunde bezahlt seinen Provider für die DE-Domain, dieser bezahlt wiederum die Zeche für alle über ihn registrierten DE-Domais beim DENIC.

Tritt nun ein Provider nicht mehr als Zahler einer Domain auf, so kann er die Domain – entgegen allen Halbwissens, der im Internet so kursiert – nicht einfach löschen, da er ja kein Vertragspartner ist. Er muss in so einem Fall, wenn also der Kunde die DE-Domain nicht bei ihm bezahlt, aber auch die Domain nicht zur Löschung freigibt, die Domain an das DENIC zurückgeben, was man in der DENIC-Nomenklatur als TRANSIT bezeichnet. Das DENIC versucht dann den Besitzer zu kontaktieren und ihn aufzufordern, die Domain zu einem anderen Provider umzuziehen.

Was ich mir nun vorstellen kann, ist folgendes:

Möglicherweise hat der bisherige Provider, der wikileaks.de im Kundenauftrag registriert und gehostet hat, von einer nicht näher zu spezifizierenden Macht eine Aufforderung bekommen, die Domain zu sperren. Das hätte er technisch sicherlich tun können, in dem er die betreffende DNS-Zone löscht oder außer Kraft setzt.

Ob er es rechtlich hätte tun dürfen, ist eine bleibende Frage, denn er ist ja kein Vertragspartner für die betreffende Domain. Und die einfachste und eleganteste Variante, um diese Frage nicht eigenmächtig und möglicherweise widerrechtlich zu beantworten, ist die, die Domain in den TRANSIT-Zustand zu geben und das DENIC, einen der Vertragspartner der betreffenden Domain, diese Frage beantworten zu lassen.

Dieses Dilemma macht zwar nichts wirklich besser an der Situation, allerdings wäre es der einzig gangbare Weg für einen Provider.