Frage: Welche Domains, die vom Bund genutzt werden, sind unter der Top Level Domain „org“ registriert, und welche Schlussfolgerungen zieht die Bundesregierung aus dem geplanten Verkauf der TLD durch die Internet Society (ISOC) an einen privaten Investor?
Antwort des Parlamentarischen Staatssekretärs Dr. Günter Krings vom 16. Dezember 2019:
Die Bundesregierung beobachtet das laufende Verkaufsvorhaben der Top Level Domain „.org“ durch die Internet Society (ISOC) an die USInvestmentgesellschaft Ethos Capital und wird die weiteren Entwicklungen – auch in Bezug auf die durch die Bundesregierung genutzten .orgDomains – genau prüfen. Als Anlage beigefügt ist eine Aufstellung der durch die Bundesregierung einschließlich der Geschäftsbereichsbehörden genutzten .org-Domains. Dieses Dokument wurde als VS – NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) eingestuft. Begründung: Bei der gefragten Auflistung von .org-Domains handelt es sich um eine bislang öffentlich nicht verfügbare Information. Nach Einschätzung der Bundesregierung bestehen bezüglich einer öffentlichen Herausgabe nicht unerhebliche Sicherheitsbedenken, da nachteilige Auswirkungen auf Belange der Sicherheit der Informationstechnik der Bundesverwaltung zu erwarten sind. Insbesondere könnten aggregierte Informationen über von der Bundesregierung genutzte Domains geeignet sein, um einen erfolgreichen Angriff auf die Informationstechnik des Bundes – beispielsweise „DNS-Hijacking“ und „DDoS“-Angriffe – zu ermöglichen oder zumindest entscheidend zu erleichtern. Überdies wäre es Angreifern mit Zugang zu einer umfangreichen Aufstellung von Domains der Bundesverwaltung leichter möglich, systematisch Angriffe auf diese Domains durchzuführen oder gezielt nach Schwachstellen in der Informationstechnik des Bundes zu suchen zum Zweck diese auszunutzen. Mit der öffentlichen Verfügbarkeit von vollständigen Domainlisten der Bundesverwaltung steigt die Wahrscheinlichkeit für derartige Szenarien. Um diesen Sicherheitsbedenken angemessen Rechnung zu tragen, ist die vorgenommene Einstufung unumgänglich. Der gewählte Geheimhaltungsgrad ist ferner angemessen, da einerseits der parlamentarische Informationsanspruch vollständig gewahrt wird, die dargestellten Gefahren einer Veröffentlichung der Domainliste allerdings ausgeräumt werden.*
* Die Bundesregierung hat einen Teil der Antwort als „VS – NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft. Die Antwort ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Berechtigten eingesehen weiden.
