>b's weblog

As a consequence of this directive’s quite broad definition of DNS, every organisation or individual running their own DNS will have to comply by registering their DNS service with ENISA, the EU agency for Cyber Security. This applies not only to top level domain DNS, but also to universities, companies of all sizes and ICT-enthusiasts who run their own DNS service at home. We believe that this was not the intention of the directive which is mainly aimed at the DNS management of critical infrastructures rather than the myriads of “local” networks which are vital to local businesses but would not impact the national economy. To modify this directive would now require some complex steps as it’s at the formal negotiation stage of the proposal process.

Als Folge der recht weit gefassten Definition von DNS in dieser Richtlinie muss jede Organisation oder Einzelperson, die ein eigenes DNS betreibt, ihren DNS-Dienst bei ENISA, der EU-Agentur für Cybersicherheit, registrieren lassen. Dies gilt nicht nur für Top-Level-Domain-DNS, sondern auch für Universitäten, Unternehmen jeder Größe und IKT-Enthusiasten, die ihren eigenen DNS-Dienst zu Hause betreiben. Wir glauben, dass dies nicht die Absicht der Richtlinie war, die hauptsächlich auf die DNS-Verwaltung kritischer Infrastrukturen abzielt und nicht auf die Myriaden von "lokalen" Netzwerken, die für lokale Unternehmen lebenswichtig sind, aber keine Auswirkungen auf die nationale Wirtschaft haben würden. Diese Richtlinie zu ändern würde nun einige komplexe Schritte erfordern, da sie sich in der formalen Verhandlungsphase des Vorschlagsprozesses befindet.

Die haben nicht mehr alle Tasten am Klavier ;-) Aber der Entwurf enthält auch Positives: man will nun eine 180°-Wende machen, und Ende-zu-Ende-Verschlüsselung verpflichtend einführen, siehe Artikel (54) im Entwurf (Sicherungskopie):

(54) In order to safeguard the security of electronic communications networks and services, the use of encryption, and in particular end-to-end encryption, should be promoted and, where necessary, should be mandatory for providers of such services and networks in accordance with the principles of security and privacy by default and by design for the purposes of Article 18. The use of end-to-end encryption should be reconciled with the Member State’ powers to ensure the protection of their essential security interests and public security, and to permit the investigation, detection and prosecution of criminal offences in compliance with Union law. Solutions for lawful access to information in end-to-end encrypted communications should maintain the effectiveness of encryption in protecting privacy and security of communications, while providing an effective response to crime.

Um die Sicherheit elektronischer Kommunikationsnetze und -dienste zu gewährleisten, sollte der Einsatz von Verschlüsselung, insbesondere von Ende-zu-Ende-Verschlüsselung, gefördert und erforderlichenfalls für die Anbieter solcher Dienste und Netze im Einklang mit den Grundsätzen der Sicherheit und des Schutzes der Privatsphäre durch Voreinstellungen und durch Technik im Sinne des Artikels 18 verbindlich vorgeschrieben werden. Die Verwendung der Ende-zu-Ende-Verschlüsselung sollte mit den Befugnissen der Mitgliedstaaten zur Gewährleistung des Schutzes ihrer wesentlichen Sicherheitsinteressen und der öffentlichen Sicherheit sowie zur Ermöglichung der Ermittlung, Feststellung und Verfolgung von Straftaten im Einklang mit dem Unionsrecht in Einklang gebracht werden. Lösungen für den rechtmäßigen Zugang zu Informationen in der Ende-zu-Ende-verschlüsselten Kommunikation sollten die Wirksamkeit der Verschlüsselung beim Schutz der Privatsphäre und der Sicherheit der Kommunikation aufrechterhalten und gleichzeitig eine wirksame Reaktion auf Straftaten ermöglichen.