Zusammenfassung
- Die nachträgliche Prüfung von AFRINIC zeigte, dass das zentrale Governance-Problem eine unterbrochene Kette zwischen einem gültigen Antrag, der Richtlinienbewertung, der Genehmigung, der Bestandsänderung und dem öffentlichen WHOIS-Eintrag war; das Korruptionsrisiko stieg überall dort, wo eine einzelne Rolle mehrere Glieder ohne unabhängige Überprüfung ändern konnte.
- WHOIS war eine öffentliche Verwahrungserklärung, kein selbstbestätigender Nachweis einer rechtmäßigen Zuteilung. Ein geänderter Eintrag konnte selbst dann autoritativ erscheinen, wenn das zugrunde liegende Ticket, die Genehmigung oder die Bestandsbegründung fehlten oder strittig waren.
- Der Unterschied zwischen Adressen, die aus dem verfügbaren Pool von AFRINIC entnommen wurden, und Änderungen an historischen Einträgen ist wichtig: Ersteres betrifft die Schaffung eines scheinbaren Rechts, während Letzteres die Ersetzung von Identität und Verwahrung in historisch fragilen Einträgen betrifft.
- Die von AFRINIC nach dem Skandal beschriebenen Kontrollen – endgültige Überprüfung durch einen Vorgesetzten, Nachvollziehbarkeit von Änderungen, täglicher Abgleich, abgestufte Berechtigungen und ein dauerhafter Prüfmechanismus – sind als eine Kartierung der Kontrollflächen zu lesen, die vor 2019 verstärkten Schutz benötigten, und nicht als Beweis dafür, dass zuvor alle Sicherungen fehlten.
- Die Verantwortung des Vorstands muss an der Anforderung von operativen Prüfberichten, Ausnahmeberichten und Abschlussnachweisen für den Hauptvermögenswert des Registers gemessen werden, nicht am persönlichen Wissen über den Namen, der mit einem verdächtigen Block verbunden ist.
Die Zuteilungsdatei hätte die Institution sein sollen
Eine Internet-Registry stellt keinen Adressraum her. Sie verwaltet einen endlichen Bestand und zeichnet auf, wer berechtigt ist, definierte Teile davon zu nutzen. Diese bescheidene Beschreibung verbirgt eine ungewöhnliche Machtkonzentration. Ein Hostmaster kann einen Bedarf bewerten, ein Betriebsteam kann einen Block vom Status „verfügbar“ auf „delegiert“ verschieben, und ein öffentlicher Eintrag kann das Ergebnis als feststehend für Netzwerke, Broker, Sicherheitsforscher und den vermeintlichen Inhaber erscheinen lassen.
Wenn diese Handlungen ordnungsgemäß getrennt und dokumentiert sind, ist die Zuteilungsdatei die Institution: Sie bewahrt die Begründungen, Genehmigungen und Historien, die einen Eintrag legitim machen. Wenn sie es nicht sind, kann der öffentliche Eintrag zu einer attraktiven Fiktion werden.
Der Skandal, der 2019 um AFRINIC aufkam, wird oft auf eine Schurkengeschichte reduziert. Das ist emotional bequem und institutionell nutzlos. Ein bestimmter Angestellter kann entlassen werden. Eine Strafanzeige kann erstattet werden. Keine dieser Handlungen erklärt, warum unbefugte Änderungen möglich waren, warum Anomalien fortbestanden, warum die internen Beweise keine entscheidende Überprüfung auslösten oder warum Außenstehende halfen, ein Bild zusammenzusetzen, das die Registry selbst nicht öffentlich vorgelegt hatte.
Eine Registry, die die Episode als Biografie eines Schuldigen behandelt, lässt das ermöglichende System weitgehend ungeprüft.
Die anspruchsvollere Frage ist, was eine Zuteilungsdatei zwischen 2013 und 2019 beweisen musste. Sie musste zeigen, dass ein identifizierbarer Antragsteller berechtigt war; dass ein Ressourcenantrag existierte; dass das Personal den Antrag anhand der geltenden Richtlinie bewertet hatte; dass die genehmigte Menge dem nachgewiesenen Bedarf entsprach; dass die vertraglichen und Zahlungsbedingungen gegebenenfalls erfüllt waren; dass der Bestand von einer autorisierten Person geändert worden war; und dass der öffentliche WHOIS-Eintrag das autorisierte Ergebnis wiedergab, anstatt es zu erfinden.
Jede nachfolgende Änderung musste ihre eigene Autorität, Handelnden, Zeitstempel, Belege und Genehmigung haben. Ein Prüfer musste sich in dieser Kette vorwärts und rückwärts bewegen können.
Der WHOIS-Datenbank-Genauigkeitsbericht 2021 von AFRINIC liefert die belastbarste öffentliche institutionelle Darstellung dessen, was die spätere Prüfung ergeben hat. Er gibt an, dass die Prüfung die Datensätze von 2.824 IPv4-Präfixen, die von 2005 bis 2019 an Ressourcenmitglieder delegiert wurden, überprüft hat.
Neun davon hatten keine Ticketnummer und waren mit Fiber-Grid-Zuteilungen aus den Jahren 2012–13 verbunden; unter den 2.815 Datensätzen mit Ticketreferenzen enthielten 2.800 einen bewerteten Ressourcenantrag, während Unstimmigkeiten bei 15 Datensätzen Präfixe betrafen, die über das frühere Registrierungs-Transferprojekt aus anderen Registries importiert worden waren. Diese Zahlen zeigen nicht, dass die Gesamtheit der Zuteilungen chaotisch war.
Sie zeigen etwas Genaueres: Ein überwiegend gefülltes Archiv enthielt eine kleine Anzahl von Ausnahmedateien mit sehr großen Konsequenzen, und die Institution benötigte eine Möglichkeit, die Ausnahmen zu erkennen, bevor eine externe Krise dies tat.
Eine Ausnahmequote kann beruhigend wirken, wenn sie als Prozentsatz ausgedrückt wird. Sie ist der falsche Nenner für ein Register. Ein ungerechtfertigtes /14 entspricht 262.144 Adressen. Ein ungerechtfertigtes /16 entspricht 65.536 Adressen. Das Kontrollrisiko folgt der Menge, dem Status und der Umkehrbarkeit der betroffenen Ressourcen und nicht nur der Anzahl fehlerhafter Tickets. Eine Prüfung, die eine dokumentarische Vollständigkeit von 99 % meldet, kann immer noch ein materielles Versagen verbergen, wenn das fehlende 1 % große Blöcke, privilegierte Änderungen oder monetarisierbare Einträge umfasst.
Die Knappheit hat eine kleine Anzahl von Ausnahmedateien zu bilanziellen Versuchungen gemacht, ohne dass Adressen zu Privateigentum wurden.
Vier Handlungen, die niemals vermischt werden dürfen
Die Integrität einer Zuteilung hängt von der Trennung von vier Handlungen ab: Bewertung, Genehmigung, Ausführung und Veröffentlichung. Die Bewertung fragt, ob ein Antragsteller und ein Antrag die Richtlinie erfüllen. Die Genehmigung wandelt diese Bewertung in eine institutionelle Entscheidung um. Die Ausführung ändert den Bestand und die zugehörigen internen Aufzeichnungen. Die Veröffentlichung ändert, was die Außenwelt in WHOIS und verwandten Diensten sieht.
Ein Mitarbeiter kann in einer kleinen Organisation zu mehreren Schritten beitragen, aber keine bedeutende Zuteilung sollte allein auf der unbestätigten Handlung dieses Mitarbeiters beruhen.
Die erste Trennung besteht zwischen dem Analysten, der den Vorgang zusammenstellt, und der Person, die ihn genehmigt. Hostmaster üben zwangsläufig Urteilsvermögen aus. Die Richtlinie kann nicht jeden Netzwerkplan, jedes Nutzungsmuster oder jede Unternehmensform vorhersehen. Deshalb ist eine zweite Prüfung wichtig. Der Prüfer darf nicht nur bestätigen, dass die Kästchen angehakt sind. Der Prüfer muss Identität, Berechtigung, Menge, verbundene Organisationen, frühere Zuteilungen, ungewöhnliche Geschwindigkeit, außerregionale Indikatoren und Interessenkonflikte hinterfragen.
Ein großer oder außergewöhnlicher Antrag muss auf eine höhere Genehmigungsstufe eskaliert werden. Die Identität und Begründung des Genehmigers müssen feststehen, bevor die Ressource den Pool verlassen kann.
Die zweite Trennung besteht zwischen der Genehmigung und der technischen Ausführung. Eine Betriebsschnittstelle sollte nur eine unveränderliche Genehmigungsreferenz akzeptieren, deren genehmigtes Präfix und Organisation mit der vorgeschlagenen Änderung übereinstimmen. Wenn das Personal die Zielorganisation direkt erstellen, einen Block klassifizieren, den Bestand ändern und den WHOIS-Eintrag veröffentlichen kann, hat die Institution eine Autoritätskette durch einen mächtigen Account ersetzt. Einen solchen Account zu protokollieren reicht nicht aus.
Protokolle, die erst nach Auftauchen eines Verdachts eingesehen werden, sind forensische Rückstände, keine präventive Kontrolle.
Die dritte Trennung besteht zwischen der Ausführung und dem Abgleich. Eine tägliche Datei der delegierten Statistiken, der interne Ressourcenbestand, das Mitgliedschaftssystem und WHOIS sind unterschiedliche Darstellungen desselben institutionellen Aktes. Gelegentlich sind Unterschiede zu erwarten, da sich die Systeme zu unterschiedlichen Zeiten aktualisieren. Sie müssen jedoch auch sichtbar, datiert und aufgelöst werden. Ein ungeklärter Unterschied, der den Ressourcenstatus, den Organisations-Handle oder die Präfixgröße betrifft, muss eine Ausnahme erzeugen, die jemandem außerhalb des Teams gehört, das die Änderung vorgenommen hat.
Die Ausnahme muss offen bleiben, bis die rechtfertigende Autorität beigefügt oder der Eintrag rückgängig gemacht wird.
Die vierte Trennung besteht zwischen dem Management und der Assurance. Das für die Zuteilung zuständige Team kann nicht das einzige Team sein, das entscheidet, dass seine Kontrollen angemessen sind. Die interne Revision benötigt Lesezugriff auf die gesamte Sequenz, ein Mandat, das die Registrierungsdienste und die Technologie abdeckt, und eine Berichtslinie zu einem Ausschuss, der in der Lage ist, Maßnahmen vom Management zu verlangen. Die externe Finanzprüfung kann Einnahmen, Verbindlichkeiten und Konten prüfen, ohne die Änderungen an digitalen Ressourcen zu rekonstruieren.
Ein Verwaltungsrat, der ein positives Finanztestat erhält, hat damit noch keine Gewissheit, dass das zentrale Register korrekt ist.
Diese Trennungen sind keine bürokratischen Verzierungen. Sie schaffen einen Widerspruch zu dem Zeitpunkt, an dem der Widerspruch am kostengünstigsten ist. Ein Prüfer kann einen ungerechtfertigten Antrag vor der Veröffentlichung stoppen. Ein Abgleicher kann eine Diskrepanz erkennen, bevor die Adressen geroutet, vermietet oder verkauft werden. Ein Auditor kann ein Muster erkennen, bevor Gegenparteien schützenswerte Vertrauensinteressen anhäufen. Wenn Jahre vergangen sind, wird jede Korrektur zu einem Wettstreit zwischen historischen Inhabern, aktuellen Nutzern, Käufern, Netzwerken und der Registry selbst.
WHOIS konnte Vertrauen veröffentlichen, das es nicht verdient hatte
Die 2013 veröffentlichteRFC 7020beschreibt die Genauigkeit der Registrierung als eine grundlegende Anforderung des Systems der Internetnummern-Registries. Die Registry muss die Eindeutigkeit sicherstellen und genaue Informationen über die Zuteilungen bereitstellen. Die Anforderung ist operationell, nicht dekorativ. Netzwerke, Incident-Response-Teams und Ressourceninhaber nutzen die Registrierungsdaten, um zu verstehen, wer die Verantwortung für einen Block trägt. Ein WHOIS-Eintrag ist jedoch nur die letzte Behauptung. Er kann die Autorität, die ihn hervorgebracht hat, nicht beweisen.
Diese Unterscheidung ist im Fall AFRINIC zentral. Öffentliche Berichterstattungen verfolgten verdächtige Änderungen anhand historischer WHOIS-Einträge, Kontaktadressen, Domainregistrierungen und Routing-Beobachtungen. Diese Quellen waren nützlich, weil sie Widersprüche aufdeckten. Sie ersetzten nicht die Zuteilungsdatei. Ein öffentlicher Eintrag, der besagt, dass eine Organisation ein Präfix hält, stellt dar, was die Registry zu diesem Zeitpunkt repräsentierte. Er stellt nicht fest, dass die Organisation einen gültigen Antrag gestellt hat, dass der Antrag genehmigt wurde oder dass die Person, die den Eintrag geändert hat, dazu berechtigt war.
Die öffentliche Natur von WHOIS kann auch innerhalb der Institution ein falsches Gefühl der Sicherheit erzeugen. Wenn das Personal einen Block sieht, der unter einer scheinbar stimmigen Organisation registriert ist, und die Schnittstelle den aktuellen Eintrag als Ausgangswahrheit behandelt, beginnt sich der Eintrag selbst zu validieren. Eine spätere Support-Anfrage kann akzeptiert werden, weil sie von dem Kontakt stammt, den eine frühere unbefugte Änderung eingefügt hatte. Eine Maintainer-Kennung kann dann weitere Änderungen ermöglichen. Bei jeder Transaktion gewinnt die gefälschte Prämisse eine längere administrative Historie.
Das Gegenmittel ist nicht einfach eine stärkere Authentifizierung für den aktuellen Kontakt. Ein kompromittierter Anspruch kann perfekt authentifiziert werden. Die Registry muss die Wurzel der Autorität bewahren: den ursprünglichen Antrag, die verifizierte rechtliche Identität, die Richtlinienbewertung, die Genehmigung, gegebenenfalls den Vertrag, die Zahlung, die Entscheidung über das Präfix und jede spätere Übertragung oder Aktualisierung. Änderungen an einem Kontakt oder Maintainer verdienen besondere Aufmerksamkeit, da sie verändern, wer die nächste Änderung autorisieren kann.
Ein Antrag auf gleichzeitige Ersetzung der Organisationsidentität und ihrer Zugangskennungen ist keine routinemäßige Wartung; es ist ein potenzieller Kontrollwechsel.
Der spätere Bericht von AFRINIC gibt an, dass jedes WHOIS-Objekt seit August 2017 durch einen Maintainer geschützt war, und beschreibt die PGP-Authentifizierung für Personaländerungen und mächtige Maintainer. Dies sind nützliche Sicherungen gegen unauthentifizierte Bearbeitung. Sie beantworten nicht die Frage, ob ein authentifizierter Mitarbeiter materiell berechtigt war, eine bestimmte Änderung vorzunehmen. Die Zugangskontrolle beweist, welche Kennung gehandelt hat. Die Governance muss beweisen, warum die Handlung zulässig war.
Dieser Unterschied erklärt, warum die Überwachung nicht auf die Accountsicherheit reduziert werden kann. Die relevanten Warnungen sind sowohl semantisch als auch technisch.
Ein großer Block, der ohne verknüpften genehmigten Antrag von „verfügbar“ auf „delegiert“ wechselt; eine als historisch umklassifizierte Ressource; eine ruhende historische Organisation mit einer neu registrierten E-Mail-Domain; mehrere nicht verbundene Inhaber mit gemeinsamen Kontaktdaten; ein Organisations-Handle, das kurz vor einer Übertragung geändert wurde; oder ein Präfix, das in WHOIS, aber nicht im Mitgliedschaftssystem erscheint – all dies erfordert eine Untersuchung, selbst wenn jede Anmeldung erfolgreich war.
Der freie Pool und der historische Bereich waren unterschiedliche Kontrollprobleme
Die spätere Prüfung unterschied zwei große Klassen betroffener Ressourcen. Die erste umfasste Adressen, die nach Angaben von AFRINIC aus seinem verfügbaren Pool abgezweigt und ohne Berechtigung Organisationen zugewiesen wurden. Der Bericht bezifferte sie auf 2.371.584 IPv4-Adressen. Die zweite umfasste historische Ressourcen: Zuteilungen, die vor dem reifen System der Regionalregistries erfolgt waren, unter die Verwaltung von AFRINIC migriert wurden, oft ohne laufenden Vertrag und manchmal mit Organisationen verbunden, die ihren Namen geändert, fusioniert, aufgelöst oder kompetente Ansprechpartner verloren hatten.
Die Unterscheidung ist wichtig, weil sich die Kontrolltests unterscheiden. Einen Block aus dem verfügbaren Pool zu verschieben, erfordert einen zeitgenössischen Antrag und eine Entscheidung. Der Bestand beginnt mit AFRINIC als Verwalter des nicht zugewiesenen Raums. Eine ungerechtfertigte Delegierung ist daher durch das Fehlen eines gültigen Zuteilungsereignisses sichtbar. Die Prüfung kann fragen: Wo ist der Antrag, wer hat ihn bewertet, wer hat ihn genehmigt, welche Richtlinie hat ihn gerechtfertigt, und wie hat sich die interne Ressourcendatei geändert?
Eine historische Änderung stellt ein schwierigeres Rechtsproblem dar. Der Block hat bereits einen historischen Inhaber. Die Registry kann aufgefordert werden, einen Namen, einen Kontakt, einen Unternehmensnachfolger oder einen Maintainer zu aktualisieren. Eine nicht mehr existierende E-Mail-Adresse ist kein Beweis dafür, dass die Ressource aufgegeben wurde. Ein neuer aktiver Anspruchsteller ist kein Nachweis der Rechtsnachfolge. Die entscheidende Datei kann alte Registrierungsdaten, Unternehmensdokumente, Fusionsunterlagen, Korrespondenz und Nachweise einer anderen Registry umfassen.
Ein Mitarbeiter, der veraltete Kontaktdaten ohne unabhängige Überprüfung ersetzen kann, kann faktisch auswählen, wer für einen abwesenden Inhaber sprechen soll.
Der Bericht von AFRINIC beschrieb die Merkmale, die den historischen Bereich verwundbar machten: Einige Inhaber hatten keine vertragliche Vereinbarung mit der Registry; Kontakte konnten im Ruhestand oder ausgeschieden sein; Organisationen konnten aufgelöst oder umstrukturiert sein; und einige mutmaßliche Transaktionen beinhalteten die Übertragung von Maintainer-Passwörtern.
Der Bericht hielt auch fest, dass historische Kontakte zwischen 2012 und 2015 manchmal auf E-Mail-Domains aktualisiert wurden, die zum Namen des Inhabers zu passen schienen, aber zu kurz zuvor registriert worden waren, um mit der angenommenen Geschichte der Organisation übereinzustimmen. Dies ist genau die Art von Anomalie, die eine Registry automatisch testen kann.
Beide Probleme können zusammenlaufen. Die Prüfung deutete an, dass einige Ressourcen, die im Pool von AFRINIC hätten bleiben sollen, als mutmaßlich historischer Raum gekennzeichnet worden waren, bevor sie Gegenstand von Verkaufstransaktionen wurden. Wenn dies zutrifft, zeigt diese Abfolge, warum Statusfelder Kontrollvariablen und keine bloßen Beschreibungen sind. Die Umklassifizierung eines Blocks kann ihn von einem Prozess, der eine neue Zuteilungsentscheidung erfordert, in einen mehrdeutigeren Prozess überführen, der als Pflege eines alten Rechts dargestellt wird.
Ein System, das die Zuteilung schützt, aber eine unkontrollierte Umklassifizierung zulässt, hinterlässt eine Hintertür um seine stärkste Barriere.
Ein robustes Design würde daher Statusänderungen als privilegierte Transaktionen behandeln. Kein Analyst sollte allein erklären können, dass ein Block aus dem Pool historisch ist. Die Änderung würde Belege aus den delegierten historischen Aufzeichnungen, mindestens zwei Genehmigungen, einen automatisierten Abgleich mit der Pool-Historie der Registry und eine Benachrichtigung an eine Assurance-Funktion erfordern. Der vorherige Status muss unveränderlich bleiben.
Wenn ein späterer Prüfer nicht sowohl die alte als auch die neue Klassifizierung und die Autorität für den Übergang sehen kann, hat die Registry die Geschichte nicht bewahrt; sie hat sie umgeschrieben.
Die Knappheit veränderte die Bedrohung, nicht das Mandat
Zwischen 2013 und 2019 machte die IPv4-Knappheit Kontrollschwächen zunehmend wertvoll. AFRINIC trat 2017 in die erste Phase seiner End-/8-Richtlinie ein. Öffentliche Märkte und private Transaktionen versahen Adressen mit erheblichen Preisen, während viele alte Zuteilungen ungenutzt, schlecht dokumentiert oder mit ruhenden Organisationen verbunden blieben. Die Kluft zwischen administrativer Behandlung und kommerziellem Wert schuf ein offensichtliches Korruptionsrisiko.
Der Marktpreis sollte jedoch nicht das institutionelle Unrecht definieren. IPv4-Adressen sind keine Barren in einem Tresor. Die Registry verwaltet eindeutige Kennungen unter der Richtlinie der Community. Der unmittelbare Schaden einer ungerechtfertigten Zuteilung besteht darin, dass die Institution widersprüchliche oder falsche Behauptungen über die Verwahrung aufstellt, berechtigte Antragsteller um knappen Pool-Raum bringt und Netzwerke einer späteren Annullierung aussetzt. Ein Sekundärmarkt verstärkt den Anreiz und vervielfacht das Vertrauen, aber das Versagen beginnt in der Autoritätsaufzeichnung.
Dies ist wichtig, weil spektakuläre Wertschätzungen die Abhilfemaßnahmen verzerren können. Eine Schlagzeile mag die Anzahl der Adressen mit einem beobachteten Preis multiplizieren und einen Verlust von mehreren zehn Millionen Dollar verkünden. Eine solche Schätzung mag eine Größenordnung ausdrücken, aber sie begründet keinen Rechtsanspruch, keinen realisierten Erlös und keinen ersatzfähigen Schaden. Sie sagt dem Vorstand auch nicht, welche Kontrolle versagt hat.
Die für die Governance relevante Einheit ist die unbefugte Entscheidung: wie der Block den Status änderte, welche Beweise fehlten, welcher Account handelte, welche Prüfung sie hätte aufhalten sollen und wie lange die Ausnahme sichtbar blieb.
Die Knappheit hätte AFRINIC veranlassen sollen, die Überwachung vor dem Skandal zu verstärken. Große Zuteilungen, historische Aktualisierungen und Änderungen an ruhenden Datensätzen wurden zu wirtschaftlich sensiblen Transaktionen. Eine Institution muss nicht annehmen, dass jeder Mitarbeiter korrupt ist. Sie muss annehmen, dass ein wertvolles Privileg irgendwann Fehler, Druck, Absprachen oder Missbrauch anziehen wird.
Zwei-Personen-Genehmigung (Maker-Checker), obligatorische Abwesenheit, Rotation in Hochrisiko-Warteschlangen, Konfliktoffenlegung, unabhängige Stichproben von Ausnahmen und automatisierte Anomalieerkennung sind gewöhnliche Antworten auf diese Annahme.
Die Bedrohung erstreckte sich auch über den ersten Akt hinaus. Ein Block mit einem zweifelhaften Eintrag konnte über ein unverbundenes Netzwerk geroutet, an Kunden vermietet, als Sicherheit in einem Handelsarrangement verwendet oder an einen Käufer verkauft werden, der dem öffentlichen Eintrag glaubte. Jede weitere Partei erhöht die Korrekturkosten. Das bedeutet, dass Schnelligkeit Teil der Kontrollwirksamkeit ist. Eine drei Jahre später untersuchte Warnung kann helfen, die Vergangenheit zu erklären, während sie wenig dazu beiträgt, rechtliche und operationelle Verstrickungen zu verhindern.
Was die nachträgliche Prüfung tatsächlich beweist
Der Bericht von AFRINIC aus dem Jahr 2021 ist unverzichtbar und begrenzt. Er ist unverzichtbar, weil er die eigenen Kategorien, Methoden, Zahlen und Korrekturkontrollen der Institution identifiziert. Er gibt an, dass die spätere Überprüfung interne Ressourcendateien, Protokolle und WHOIS-Historien, delegierte Statistiken, Ticketeinträge, Mitgliedschafts- und Ressourcenanträge, Reverse-DNS, das Internet Routing Registry, externe historische Aufzeichnungen, öffentliche Berichte und Hinweisgeberinformationen verwendet hat. Das kommt dem Beweissatz nahe, den ein wirksames kontinuierliches Kontrollsystem abgleichen sollte.
Er ist begrenzt, weil AFRINIC ihn nach der Krise verfasst hat, als noch Rechtsstreitigkeiten und eine polizeiliche Untersuchung anhängig waren. Er enthält Schlussfolgerungen über Abzweigung und rechtmäßige Verwahrung, die von den betroffenen Parteien möglicherweise bestritten wurden. Leser müssen eine administrative Schlussfolgerung einer Registry von einer endgültigen gerichtlichen Feststellung unterscheiden. Der Bericht kann feststellen, was AFRINIC vorgefunden und welche Maßnahmen es nach eigenen Angaben ergriffen hat.
Er kann nicht von sich aus jeden umstrittenen Block klären oder die strafrechtliche Verantwortung einer Einzelperson feststellen.
Die Zahlen des Berichts offenbaren die Komplexität der Reparatur. Im November 2020 listete er 1.060.864 Adressen, die aus dem Pool wiedererlangt und unter Quarantäne gestellt wurden, 1.310.720 Pool-Adressen, die noch in Prüfung waren, 467.968 historische Adressen, deren ungerechtfertigte Änderungen rückgängig gemacht wurden, 394.496 historische Adressen, die auf Anfrage der Holdinggesellschaften konsolidiert wurden, und 936.704 historische Adressen, die bis zur Klärung der Verwahrung strittig waren. Diese Kategorien zeigen, dass die Korrektur keine einfache Löschoperation war.
Einige Einträge konnten wiederhergestellt werden, andere erforderten eine Unternehmenskonsolidierung, und viele betrafen konkurrierende Ansprüche.
AFRINIC räumte ein, dass die Rückgängigmachungen langsam erfolgten. Wenn mehrere Organisationen die Verwahrung beanspruchten, sperrte es die Adressen gegen weitere WHOIS-Änderungen, bis eine Einigung oder eine zuständige Entscheidung vorlag. Wenn Inhaber nicht auf Aktualisierungsanfragen reagierten und keine Einwände eingingen, gab es an, dass die verdächtigen Aktualisierungen rückgängig gemacht und die Adressen gesperrt wurden, bis ein rechtmäßiger Inhaber eine Sorgfaltsprüfung durchführte.
Diese Maßnahmen können den Status quo bewahren, aber sie zeigen auch, warum Prävention wichtig war: Eine Zuteilungsdatei, die die Autorität vor dem Streitfall hätte klären können, reichte danach nicht mehr aus, um dies sauber zu tun.
Der Bericht beschrieb auch die nach der Aufdeckung eingeführten oder verstärkten Kontrollen.
Er verwies auf Automatisierung, eine geplante Änderungskontrollrichtlinie für zusätzliche Überprüfungen und Rückverfolgbarkeit, die endgültige Überprüfung von Ressourcen- und Mitgliedschaftsanträgen durch einen Vorgesetzten, eine im Juni 2019 verabschiedete Richtlinie zu Betrug und Korruption, eine 2020 gestartete unabhängige Meldestelle, verstärkte Überprüfung historischer Aktualisierungen, tägliche Inkonsistenzberichte zwischen MyAFRINIC und WHOIS, einen Abgleich mit den delegierten Statistiken, PGP-Authentifizierung, rollenbasierte Zugriffsbeschränkungen und die Eskalation von Änderungen außerhalb der üblichen Mitarbeiterprivilegien.
Diese Maßnahmen sollten nicht als Eingeständnis gelesen werden, dass zuvor keine existierten. Institutionen beschreiben oft Verbesserungen, ohne eine präzise Vorher-Nachher-Kontrollmatrix zu veröffentlichen. Aber die Liste ist analytisch aufschlussreich. Jede Maßnahme antwortet auf einen erkennbaren Fehlermodus: Automatisierung begrenzt willkürliche Abkürzungen; die endgültige Überprüfung unterbricht die Selbstgenehmigung; Rückverfolgbarkeit bewahrt, wer was geändert hat; der Abgleich erkennt abweichende Einträge; abgestufte Privilegien reduzieren übermäßigen Zugriff; unabhängige Meldung umgeht die Unterdrückung durch das Management.
Die Liste der Reformen zeigt direkt auf die Flächen, auf denen die vorherige Sicherung unzureichend war.
Protokolle, die niemand bestreitet, sind nur Archive
Es ist verlockend, sich vorzustellen, dass vollständige technische Protokolle das Problem gelöst hätten. Sie hätten geholfen, aber ein Protokoll ist nur dann eine Kontrolle, wenn eine Institution definiert, was zu erkennen ist, wer prüft, wie schnell und was dann geschieht. Ein Eintrag, der zeigt, dass eine autorisierte Mitarbeiterkennung einen Organisations-Handle geändert hat, ist neutral. Eine Warnung, die zeigt, dass dieselbe Person den Antrag bewertet, die Änderung genehmigt und einen großen Block geändert hat, ist eine Governance-Information.
Eine wirksame Protokollierung einer Registry erfordert mindestens drei Ebenen. Die Ereignisebene zeichnet Authentifizierung, Handelnden, Zeit, Schnittstelle, Objekt, alten Wert und neuen Wert auf. Die Autoritätsebene verknüpft das Ereignis mit dem Ticket, der Richtlinienversion, der Genehmigung und den Belegen. Die Assurance-Ebene zeichnet auf, ob automatisierte Prüfungen bestanden wurden, ob ein Prüfer die Änderung inspiziert hat, welche Ausnahmen aufgetreten sind und wie sie geschlossen wurden. Ohne die Autoritätsebene weiß ein Prüfer, was passiert ist, aber nicht, ob es hätte passieren sollen.
Ohne die Assurance-Ebene kann die Institution nicht beweisen, dass jemand hingesehen hat.
Die Protokolle müssen zudem fälschungssicher sein und über die Lebensdauer des relevanten Anspruchs aufbewahrt werden. Die Verwahrung von IPv4 kann Personal, Systeme und Unternehmen überdauern. Eine kurze betriebliche Aufbewahrungsfrist mag für routinemäßige Anwendungsprotokolle sinnvoll sein, ist aber für die autoritative Historie eines /16 verheerend. Die Registry muss eine signierte, nur anhängbare Historie über Status, Organisation, Kontakte, Maintainer, Tickets und Genehmigungen bewahren. Vertrauliche Antragsunterlagen können separat geschützt werden, während Hashes und Referenzen die Integrität wahren.
Das Design von Warnmeldungen muss Wert und Muster folgen. Große Präfixe, wiederholte Änderungen durch denselben Akteur, Aktualisierungen außerhalb der üblichen Geschäftszeiten, neu gegründete Organisationen, die umfangreichen Raum erhalten, kürzlich registrierte Kontaktdomains, die Wiederverwendung von Adressen zwischen ansonsten unverbundenen Inhabern, Statusänderungen mit historischer Klassifizierung und Abweichungen zwischen autoritativen Beständen sind hochwertige Signale. Kein einzelnes Signal beweist ein Fehlverhalten. Ihr Zweck ist es, ein zweites Paar Augen zu verlangen, solange die Beweise frisch sind.
Der Abschluss ist ebenso wichtig wie die Erkennung. Jede Warnung muss mit einem von vier dokumentierten Ergebnissen enden: autorisiert und gerechtfertigt, als Fehler korrigiert, zur Untersuchung eskaliert oder als dokumentierte Ausnahme durch eine namentlich genannte Führungskraft akzeptiert. Wiederholte harmlose Erklärungen sollten die Regel verbessern. Wiederholte Ausnahmen, die denselben Akteur, dieselbe Organisation oder denselben Broker betreffen, sollten die Prüfung ausweiten. Eine wachsende Warnliste ohne Zuständigkeit erweckt den Anschein von Überwachung, während das Risiko altern kann.
Der Vorstand musste kein Hostmaster sein
Die Verwaltungsräte können nicht jede Zuteilung prüfen. Sie sollten es nicht versuchen. Ihre Verantwortung ist es, vom Management zu verlangen, dass es nachweist, dass das zentrale Register korrekt bleibt und dass Ausnahmen eingedämmt sind. In einer Nummern-Registry kann diese Pflicht nicht allein durch den Jahresabschluss erfüllt werden. Der knappe Bestand und die Autoritätsaufzeichnung sind betriebliche Vermögenswerte, deren Korruption Verbindlichkeiten, Rechtsstreitigkeiten und einen Legitimitätsverlust verursachen kann, ohne zuvor als Rechnungslegungsabweichung in Erscheinung zu treten.
Der Vorstand hätte bei jeder Sitzung einen knappen Kontrollbericht verlangen sollen. Er könnte die Anzahl und das Adressvolumen neuer Zuteilungen, historische Hochrisikoänderungen, Änderungen außerhalb der Standard-Schnittstellen, nicht abgestimmte Datensätze zwischen Bestand, Mitgliedschaft und WHOIS, offene Warnungen nach Alter, Ausnahmegenehmigungen, privilegierte Accounts, ungelöste Konfliktmeldungen und Prüfungsergebnisse nach Schweregrad enthalten. Der Bericht würde keine Antragstellergeheimnisse preisgeben. Er würde den Verwaltungsräten sagen, ob die Kontrolle funktionierte.
Die in dem Zeitraum veröffentlichten Mandate der Prüfungsausschüsse bezogen sich auf Finanzberichte, interne Finanzkontrolle, Risikomanagement, interne Revision, Informationssysteme und Technologie-Governance. Dieser Bereich war breit genug, um Fragen zu den Registrierungsdiensten zu stellen. Dennoch zeigen die öffentlichen Protokolle von 2018, dass der Ausschuss über die Einstellung eines internen Revisors diskutierte, während die Protokolle vom April 2019 einen internen Prüfungsplan beschreiben, der die Unternehmens-Compliance, Finanzen und Rechnungswesen, Registrierungsdienste und Betriebskontinuität abdeckte.
Das Vorhandensein eines Plans ist kein Beweis dafür, dass die relevanten Tests abgeschlossen waren, bevor das Problem öffentlich wurde.
Diese Unterscheidung – Mandat, Plan, Durchführung, Feststellung, Abhilfe – ist die angemessene Verantwortungskette. Vorstände verkünden oft eine Charta und nehmen an, dass die Sicherung folgt. Das ist nicht der Fall. Der Ausschuss muss einen risikobasierten Plan genehmigen, sicherstellen, dass der Prüfer Zugang und Unabhängigkeit hat, die Feststellungen entgegennehmen, Zuständigkeiten und Termine zuweisen und den Abschluss überprüfen.
Wenn die Registrierungsdienste erst nach Jahren zunehmender Knappheit in den Prüfungsplan 2019 aufgenommen wurden, sollten die Verwaltungsräte fragen, warum der Hauptvermögenswert nicht schon früher vergleichbaren betrieblichen Tests unterzogen worden war. Wenn er getestet worden war, sollten sie fragen, welche Tests die ungerechtfertigten Status- und Identitätsänderungen nicht erkannt haben.
Individuelles Wissen bleibt relevant, ist aber nicht der einzige Test. Ein Verwaltungsrat, der eine spezifische Warnung erhalten und nichts unternommen hat, trägt eine andere Verantwortung als einer, der nie informiert wurde. Die Institution kann sich immer noch nicht damit verteidigen, dass dem Vorstand detailliertes Wissen fehlte, wenn ihr Berichtswesen materielle Ausnahmen außerhalb des Blickfelds des Vorstands hielt. Governance besteht zum Teil darin, diese Sichtlinie aufzubauen.
Öffentliche Berichterstattung war eine externe Kontrolle der letzten Instanz
Die von MyBroadband, KrebsOnSecurity und anderen Medien veröffentlichten Berichte fügten öffentliche und kommerziell erhältliche Aufzeichnungen zu einem beunruhigenden Bild zusammen. Sie verfolgten historische Einträge, Unternehmen, Domains, Kontakte und Routing. Ihre Arbeit war wertvoll, weil sie Inkonsistenzen in eine Form zwang, die betroffene Institutionen und Inhaber nicht länger einfach ignorieren konnten. Sie hätte nicht der primäre Erkennungsmechanismus der Registry sein dürfen.
Investigativer Journalismus hat andere Beweisstandards als eine Zuteilungsentscheidung. Journalisten können Anomalien identifizieren, um Stellungnahmen bitten und gestützte Schlussfolgerungen veröffentlichen. Eine Registry, die einen Eintrag annulliert, muss die Autorität Block für Block feststellen und konkurrierenden Anspruchstellern ein faires Verfahren bieten. Dieser Unterschied ist kein Grund, die Berichterstattung abzulehnen. Er ist ein Grund für die Registry, glaubwürdige externe Signale als Hinweise aufzunehmen und gleichzeitig ihre eigene dokumentierte Prüfung durchzuführen.
Die Berichterstattung hat auch Grenzen. Preisschätzungen variieren je nach Datum, Reputation des Blocks, Transaktionsbedingungen und Marktliquidität. Historische WHOIS-Dienste können unvollständige Momentaufnahmen enthalten. Unternehmensverflechtungen können Kontrolle oder eine Verbindung zeigen, ohne zu beweisen, dass eine bestimmte Ressourcentransaktion autorisiert war. Das Routing von einem Block identifiziert nicht von selbst die Partei, die den Eintrag geändert hat.
Eine verantwortungsvolle institutionelle Analyse schreibt daher Behauptungen zu, trennt Beobachtung von Schlussfolgerung und vermeidet es, Wiederholung als Bestätigung zu behandeln.
Die späteren Feststellungen von AFRINIC lieferten institutionelle Unterstützung für das zentrale Anliegen: Der Bericht gibt an, dass internes Personal möglicherweise mit Dritten gehandelt hat, dass die Untersuchung von APNIC zu Disziplinarverfahren geführt hat und dass ein ehemaliger Hostmaster seine Rechte und Privilegien missbraucht hatte. Er bezifferte auch die Pool-Ressourcen, die seiner Schlussfolgerung nach ohne Berechtigung zugewiesen worden waren. Dies sind schwerwiegende Feststellungen. Sie beseitigen dennoch nicht die Notwendigkeit, die Kontrollen zu prüfen.
Im Gegenteil: Je stärker die Feststellung gegen einen Insider, desto klarer der Beweis, dass Insiderresistenz Teil des Registry-Designs sein musste.
Die nützlichste öffentliche Frage ist nicht, warum ein Mitarbeiter hätte profitieren wollen. Knappe Ressourcen schaffen offensichtliche Anreize. Sie lautet, warum eine Institution, die über den täglichen Bestand, die Tickets, die Änderungshistorie und die Account-Daten verfügte, Anomalien nicht in eine unabhängige und zeitnahe Herausforderung umwandelte. Außenstehende konnten Fragmente sehen; die Registry besaß die Verbindungsstellen. Ein Kontrollsystem hätte diese Verbindungen zur Routine machen müssen.
Die Instandsetzung erfordert einen nachweisbaren Eintrag, nicht ein saubereres Aussehen
Nach einem Skandal besteht der Druck, WHOIS schnell zu korrigieren. Dieser Druck kann den ursprünglichen Fehler wiederholen, indem die Veröffentlichung als Wahrheit behandelt wird. Eine Registry darf einen nicht berechtigten Inhaber nicht durch einen anderen ersetzen, nur weil der zweite Anspruch plausibler erscheint. Sie braucht einen Standard der Wiederherstellung, der Beweise bewahrt, Kontinuität schützt und Unsicherheit sichtbar macht.
Erstens müssen der ursprüngliche Zustand und die vollständige Änderungshistorie eingefroren werden. Die Ermittler benötigen Kopien der Tickets, Nachrichten, Genehmigungen, Ausweisdokumente, Protokolle, delegierten Statistiken, Routing-Beobachtungen und relevanten Unternehmensunterlagen. Zweitens muss der Zugang, der mit einem glaubhaften Manipulationsrisiko verbunden ist, eingeschränkt werden, ohne Beweise zu löschen. Drittens muss jeder Block eine Akte erhalten, die die Herkunft aus dem Pool, die Historie, den aktuellen Eintrag, die gegenwärtige Nutzung, die Beweise des Anspruchstellers und den rechtlichen Status trennt.
Viertens muss die Abhilfe der Verlässlichkeit entsprechen. Ein Pool-Block ohne gültigen Antrag und mit einem klaren unautorisierten Pfad kann vorbehaltlich einer Ankündigung und Prüfung zurückgeholt werden. Ein historischer Block mit konkurrierenden Nachfolgern kann eine Sperrung erfordern, bis ein Gericht oder ein vereinbarter Prozess die Verwahrung klärt. Ein gegenwärtiger Nutzer, der anscheinend gutgläubig gekauft hat, mag keinen vorrangigen Anspruch gegenüber dem rechtmäßigen Inhaber haben, aber eine abrupte technische Störung kann dennoch Kunden schädigen.
Registerkorrektur, Routing-Realität und kommerzielle Abhilfe sind zusammenhängende, aber getrennte Fragen.
Fünftens sollte die Registry aggregierte Fortschritte veröffentlichen, ohne Fälle vorzuentscheiden. Zählungen nach Status, Adressvolumen, Alter und Abhilfe ermöglichen es den Mitgliedern zu beurteilen, ob die Institution an dem Problem arbeitet. Die Öffentlichkeit braucht keine privaten Beweise oder anklagenden Details zu ungelösten Anspruchstellern. Sie muss den Umfang, die Entscheidungsregeln, den Überprüfungsweg und die Frage kennen, ob Korrekturen schneller werden.
Schließlich muss die wiederhergestellte Datei robuster sein als die Datei vor dem Skandal. Sie muss die Belege enthalten, die die endgültige Position stützen, jede Stellungnahme, jeden Einwand, jede Entscheidung, jeden Prüfer und jede betriebliche Änderung. Die Wiederherstellung ist nicht abgeschlossen, wenn der aktuelle WHOIS-Eintrag sauber aussieht. Sie ist abgeschlossen, wenn eine unabhängige Person erklären kann, warum dieser Eintrag nun maßgeblich ist.
Eine Kontrollarchitektur für ein öffentliches, knappes Register
Praktische Reformen sind weder exotisch noch strafend. Die Identitätsprüfung muss unabhängig von dem Analysten sein, der den Antrag vertritt. Große Zuteilungen und Änderungen der historischen Kontrolle müssen zwei Genehmigungen erfordern. Das System muss das genehmigte Präfix, die Organisation und den Status mit dem Ausführungsbefehl verknüpfen. Laufende und historische Aufzeichnungen müssen auf autoritativer Ebene nur anhängbar sein. Privilegien müssen rollenbasiert begrenzt, vierteljährlich überprüft und bei Funktionsänderungen unverzüglich entzogen werden. Niemand darf seinen eigenen Zugang verwalten.
Der Abgleich muss täglich zwischen dem Ressourcenbestand, den Mitgliedsdatensätzen, dem Ticketsystem, den delegierten Statistiken und WHOIS durchgeführt werden. Hochrisiko-Abweichungen müssen weitere Änderungen bis zur Klärung blockieren. Der interne Revisor muss gewöhnliche Dateien als Stichproben prüfen und jede materielle Ausnahme inspizieren, nicht nur bestätigen, dass ein Verfahren existiert. Der Prüfungsausschuss muss die Feststellungen direkt erhalten und die Abhilfe nachverfolgen. Ein unabhängiger Meldekanal muss es Personal, Mitgliedern und Außenstehenden ermöglichen, Bedenken mit Schutz vor Vergeltungsmaßnahmen einzureichen.
Konfliktkontrollen verdienen gleiche Aufmerksamkeit. Mitarbeiter, die an der Ressourcenbewertung beteiligt sind, müssen externe Unternehmen, enge finanzielle Interessen und Beziehungen zu Brokern oder Antragstellern offenlegen. Die Offenlegungen müssen aktualisiert, mit bekannten Gegenparteien abgeglichen und von jemandem außerhalb der direkten Linie des Mitarbeiters überprüft werden. Eine Offenlegung ist keine rituelle Form; sie muss die Fallzuweisung und den Zugang ändern, wenn ein Konflikt auftritt.
Kennzahlen müssen Durchschnittswerten widerstehen, die das Risiko verschleiern. Der Vorstand benötigt adressbezogene Ausnahmenzahlen, nicht nur den Prozentsatz der Ticketeinträge. Er muss die größten nicht gerechtfertigten oder ungelösten Blöcke, die ältesten Ausnahmen, die Häufigkeit von Ausnahmegenehmigungen, die Konzentration nach Akteur und die Zeit zwischen erster Warnung und Eindämmung sehen. Eine einzelne /12-Anomalie verdient mehr Aufmerksamkeit als Hunderte harmloser Kontaktkorrekturen.
Eine unabhängige Prüfung sollte periodisch eine kalte Rekonstruktion versuchen. Wählen Sie einen Block in WHOIS und beweisen Sie seinen Weg zurück zum erhaltenen Bestand oder zur historischen Delegierung. Wählen Sie dann ein Genehmigungsticket und beweisen Sie seinen Weg vorwärts bis zum exakten veröffentlichten Block. Beide Richtungen erfassen unterschiedliche Fehler. Vorwärtstests finden genehmigte Maßnahmen, die falsch ausgeführt wurden. Rückwärtstests finden öffentliche Einträge, für die keine ausreichende Autorität existiert.
Mitglieder sollten eine Überprüfungsrolle haben, ohne die Last der Registry zu tragen. Regelmäßige Kontoauszüge können einen Inhaber auffordern, Ressourcen, Kontakte und Maintainer zu bestätigen. Eine ausbleibende Antwort sollte eine Nachverfolgung und eine verstärkte Prüfung auslösen, nicht den automatischen Ausschluss. Ein Inhaber sollte in der Lage sein, eine Änderungshistorie für seine Ressourcen zu erhalten und eine unautorisierte Änderung zeitnah anzufechten. Dies verteilt die Erkennung und bewahrt gleichzeitig die Verantwortung der Registry für ihre eigenen Handlungen.
Das institutionelle Urteil
Zwischen 2013 und 2019 verwaltete AFRINIC eine Ressource, deren Knappheit und kommerzieller Nutzen stark zunahmen. Ihre öffentliche Registrierung trug eine Autorität weit über das Büro hinaus, das sie pflegte. Spätere Beweise zeigen, dass einige Dateien und Änderungen die Behauptungen, die die Registry veröffentlicht hatte, nicht stützen konnten und dass die Instandsetzung eine umfassende rückwirkende Prüfung, externe Hilfe, Disziplinarmaßnahmen, Sperren, Annullierungen und streitfallbehaftete Entscheidungen erforderte.
Dieses Ergebnis als das Werk einer einzelnen schlechten Person zu bezeichnen, ist ein Ausweichen. Ein Insider kann Missbrauch einleiten, aber nur eine Institution verleiht diesem Missbrauch dauerhafte Autorität. Die Zuteilungsdatei hätte jeden Antrag durch unabhängige Bewertung, Genehmigung, Ausführung, Abgleich und Prüfung zwingen müssen. Die Änderungshistorie hätte außergewöhnliche Handlungen schnell sichtbar machen müssen. Der Vorstand hätte den Zustand der Kontrollumgebung kennen müssen, ohne jedes Präfix kennen zu müssen.
Die Lektion geht über AFRINIC hinaus. Die dezentrale Governance des Internets preist oft Vertrauen, Gemeinschaft und technische Kompetenz. Diese Tugenden ersetzen keine Kontrollen. Die Legitimität einer Registry beruht auf der Fähigkeit zu beweisen, dass die in ihrem Register angegebene Person die Autorität durch einen fairen, dokumentierten und überprüfbaren Prozess erhalten hat. Wenn sie das nicht kann, besteht der Verlust nicht nur in einer Anzahl von Adressen. Die Institution hat die Kontrolle über ihr eigenes Wort verloren.
Quellen und analytische Grenzen
Der primäre institutionelle Beweis ist derWHOIS-Datenbank-Genauigkeitsberichtvon AFRINIC, zu lesen als rückblickende Darstellung einer interessierten Institution und nicht als endgültiges Urteil über jeden Ressourcenstreit. DieRFC 7020liefert die Anforderungen an das Registrierungssystem hinsichtlich Eindeutigkeit und Genauigkeit der Einträge. Das archivierteKonsolidierte Richtlinienhandbuch Version 1.0von AFRINIC zeigt das öffentliche Richtlinienumfeld, in dem das Personal die Zuteilungsverantwortung ausübte. DerJahresbericht 2018und die veröffentlichten Vorstandsunterlagen beschreiben das formelle Prüfungsmandat und den Aufbau der internen Prüfungsfähigkeit. DieUntersuchung vom Dezember 2019von MyBroadband liefert zugeordnete Feststellungen aus öffentlichen Registern und wird nicht als Gerichtsurteil behandelt.
Diese Analyse stellt keine strafrechtliche Verantwortung, wirtschaftliches Eigentum, Schäden oder den rechtmäßigen Verwalter eines umstrittenen Präfixes fest. Sie unterstellt nicht, dass jede nach 2019 beschriebene Kontrolle zuvor vollständig fehlte. Sie bewertet die öffentlich sichtbare Autoritätskette und die institutionellen Implikationen der eigenen späteren Feststellungen von AFRINIC. Wenn die Beweise nur eine Behauptung, eine administrative Schlussfolgerung oder eine Schlussfolgerung stützen, wird sie als solche behandelt.

