Interview

So wird Switch 1,2 Millionen Domains los

Uhr | Updated

Switch muss über eine Million .ch-Domains migrieren. Geschäftsführer Andreas Dudler und IT-Sicherheitsleiter Serge Droz erzählen, wie die Stiftung diese Mammutaufgabe bewältigt.

Switch-Geschäftsführer Andreas Dudler (links) und Serge Droz, Leiter von Switchs IT-Sicherheitsabteilung (Quelle: Netzmedien)
Switch-Geschäftsführer Andreas Dudler (links) und Serge Droz, Leiter von Switchs IT-Sicherheitsabteilung (Quelle: Netzmedien)

Switch hat am 1. Januar 2015 den Direktverkauf und die Registrierung von .ch-Domains aufgegeben. 450'000 Domain-Inhaber müssen nun ihre rund 1,2 Millionen Websites mit .ch-Endung zu einem anderen Anbieter wechseln. Wie weit fortgeschritten ist dieser Prozess?

Dudler: Switch startete am 1. Januar offiziell mit dem Zügelprozess. Da aber schon vorher bekannt war, dass Inhaber von Websites mit .ch-Endung zu einem anderen Anbieter wechseln müssen, schrieben viele Kunden ihre Domains bereits um. Unser Ziel ist es nun, den Rest bis Mitte 2016 zu migrieren.

Es läuft also alles nach Plan?

Dudler: Wir sind sogar schneller unterwegs als erwartet. 85 Prozent der Domains sind bereits bei unseren Registraren. Vor einem Jahr waren es erst 38 Prozent, Anfang 2015 schon 58 Prozent. Aktuell sind noch etwa 270 000 Domains bei uns registriert.

Dann sind Sie vielleicht sogar schon vor Mitte 2016 fertig.

Dudler: Das ist unwahrscheinlich, da wir bestehende Verträge mit Endkunden natürlich erfüllen müssen. Sie sind privatrechtlicher Natur, und Switch muss die vereinbarten Leistungen auf jeden Fall erbringen. Die letzten Abonnements werden im März 2016 auslaufen und dann beginnen die Karenzfristen. Switch wies alle Kunden auf die Notwendigkeit der Domain-Transfers hin. Einige zügelten ihre Domains umgehend, andere reagierten bis heute gar nicht. Nach Mitte 2016 werden wir die letzten Domains, die immer noch bei uns sind, deaktivieren.

Wie werden die Kunden informiert?

Dudler: Switch schreibt alle Kunden persönlich an. Das geschieht in 12 monatlichen Tranchen. 5 sind bereits durch. Die Briefe verschicken wir drei Monate vor Ablauf eines Abos. Der Kunde hat dann 90 Tage, um den Domain-Transfer zu vollziehen. Während dieser Zeit werden per E-Mail auch der Rechnungskontakt und der technische Kontakt informiert. Lässt der Kunde trotz monatlicher Erinnerungen die Frist verstreichen, erhält er einen eingeschriebenen Brief. Die Domain wird aber noch nicht gelöscht. Switch gewährt nochmals 30 Tage, um aktiv zu werden. Handelt der Kunde auch dann nicht, deaktivieren wir die Domain.

Was heisst deaktivieren genau?

Droz: Deaktivieren heisst, dass wir den .ch-Domain-Namen aus dem Domain Name System herausnehmen. Der Webauftritt ist dann nicht mehr normal erreichbar, da keine DNS-Auflösung mehr stattfindet, und auch Dienste wie E-Mail und FTP funktionieren nicht mehr.

Spätestens dann müssten die Kunden eigentlich aktiv werden.

Dudler: Ja, das ist so. Wir bei Switch hoffen jedoch, dass die Kunden schon früher aktiv werden. Aber wir sind auf alles vorbereitet - auch auf harsche Reaktionen. In diesem Fall schalten wir die Domain dann nochmals 14 Tage lang frei. Natürlich wünschen wir uns möglichst wenig solche Reaktionen, aber sie haben auch einen Vorteil: Sie geben uns einen bestätigten Kontakt. Meldet sich ein Kunde doch nicht mehr, bleibt die Domain deaktiviert.

Was sind das für Kunden, die sich gar nicht melden?

Dudler: Das ist eine gute Frage. Wir gehen davon aus, dass viele der Kunden, die sich nie melden, ihre Domains gar nicht verlängern wollen und sie darum einfach auslaufen lassen. Wir widerrufen Domainnamen vier Monate nach dem Versand des eingeschriebenen Briefes. Einen Monat danach werden sie aus unserer Datenbank gelöscht und können neu registriert werden.

Wie viele Domains musste Switch bereits deaktivieren?

Droz: Switch deaktivierte bis am 25. Juni 4919 Domain-Namen, die nie zu einem Registraren transferiert wurden. In der ersten Tranche schrieben wir 40'000 Domain-Halter an, deren Abo am 30. April endete. Ihnen gehörten rund 65 000 Domains. Nach Ablauf von weiteren 30 Tagen, also ab 1. Juni, mussten wir jene Domain-Namen deaktivieren, die immer noch nicht transferiert wurden. 53 Prozent der deaktivierten Domain-Namen gehörten Organisationen, 47 Prozent Privatpersonen. Rund 15 Prozent der Domains wurden wieder aktiviert, damit sie doch noch transferiert werden können.

Hatten Sie das etwa so erwartet?

Droz: Ja, die Zahlen liegen im Rahmen unserer Erwartungen. Von den oben erwähnten 65 000 Domains mussten wir wie schon gesagt rund 5000 deaktivieren. Das sind etwas mehr als 7 Prozent. Die meisten dieser Domains wurden allerdings sowieso nie genutzt. Mit der Deaktivierung von Domains haben wir ja bereits Erfahrung. Wir tun das zum Beispiel auch dann, wenn Domains für die Verbreitung von Viren oder Malware missbraucht werden. Da geben wir den Domain-Haltern aber nur einen Tag Zeit, um das Problem zu beheben, und die Quote der Deaktivierungen liegt bei rund 20 Prozent. Trotz allem ist das Feedback der Kunden in diesen Fällen praktisch immer positiv.

Dudler: Wir spielten im Vorfeld verschiedene Szenarien durch. Nun liegen wir in der Mitte zwischen dem Best Case und dem Worst Case. Eines dürfen wir nicht vergessen: Das Bakom verlangt von den Domain-Haltern eine klare Willensäusserung, und Switch muss diese jederzeit nachweisen können. Wir sind verpflichtet, einige rechtliche Rahmenbedingungen einzuhalten, was den ganzen Prozess ein wenig verlangsamt. Die technische Lösung, die wir für den Domain-Transfer anbieten, ist aber sehr einfach gestaltet.

Gibt es Kunden, die auch nach einem Domain-Transfer Support anfordern? Switch ist ja dann nicht mehr dafür zuständig.

Dudler: Ja, die gibt es. Und es werden wohl noch einige solche Anrufe kommen. Grundsätzlich unterscheiden wir aber nicht zwischen Kunden und Nicht-Kunden. Wenn eine Frage gestellt wird, die wir beantworten können, tun wir das selbstverständlich auch. Wir mussten unser Callcenter für die Domain-Transfers um rund 30 Temporärstellen aufstocken, weil der ganze Wechselprozess viele Anfragen generiert. Zeitweise arbeiteten damit fast doppelt so viele Mitarbeiter in unserem Callcenter als normal. Der Peak war aber im Februar und März, und nun können wir wieder etwas reduzieren.

Das tönt so, als ob Switch wegen der Domain-Transfers einen massiven Zusatzaufwand hat.

Dudler: Tatsächlich. Wir müssen rund 400 000 normale Briefe und 50 000 eingeschriebene Briefe verschicken, was ja auch nicht gratis ist. Switch tut das aber gerne, schliesslich nehmen wir unsere Kunden ernst. Unsere Callcenter-Dienstleistungen werden bis mindestens Mitte 2016 aufrechterhalten. Erst wenn die Migration abgeschlossen ist und wir keine Domain-Kunden mehr haben, wird sich die Arbeit endgültig zu den Registraren verlagern.

Droz: Wir arbeiten auch ständig daran, die Kommunikation mit unseren Registraren zu verbessern. Gerade beim Thema IT-Sicherheit ist es wichtig, dass die Zusammenarbeit funktioniert. Wenn etwas passiert, müssen die Registrare schnell reagieren können. Wir teilen dafür gerne unser Know-how im Bereich IT-Sicherheit.

Und wie gross ist der finanzielle Zusatzaufwand?

Dudler: Wir gehen davon aus, dass die Aktivitäten rund um die Domain-Transfers 5 bis 6 Millionen Franken kosten werden, also rund einen Fünfliber pro Domain. Die Kosten werden aus den in den letzten Jahren angesparten Übergewinnen finanziert. Zusätzlich mussten wir interne Prozesse anpassen und neu aufbauen. Einige davon auch im Bezug auf die IT-Unterstützung, wie zum Beispiel den Versand von Briefen.

Droz: Für unsere Kundenkommunikation gibt es rund 50 unterschiedliche Texte, die alle in vier Sprachen vorliegen. Unsere Briefe versenden wir zum Beispiel in 12 Tranchen, was die ganze Sache noch komplizierter macht. Die grosse Herausforderung ist dabei aber vor allem die Masse, und nicht die Wechsel an sich. Wir wissen ja bereits, wie wir reagieren müssen, wenn ein Kunde von Switch zu einem anderen Anbieter zügeln will.

Dudler: Auch Prozesse rund um das Thema Domain-Missbrauch mussten wir ändern. Da wir in Zukunft keine Direktkunden mehr haben werden, muss die Kommunikation über unsere Registrare stattfinden. Wir arbeiten dabei eng mit ihnen zusammen. Die Umstellung wird spätestens im Herbst abgeschlossen sein.

Es gibt nun rund 80 zertifizierte Registrare für .ch-Domains, davon 45 aus der Schweiz. Wissen Sie, welche der Anbieter am meisten Switch-Kunden auffangen konnten?

Dudler: Als Registry verhalten wir uns in dieser Beziehung vollständig neutral. Auch Switchplus wird von uns in keinster Weise bevorzugt und arbeitet völlig unabhängig. Darum nennen wir keine Zahlen einzelner Registrare. Wir können aber sagen, dass rund 80 Prozent zu unseren Top-10-Registraren und 90 Prozent zu den Top-20-Registraren wechseln. Es sind vor allem grosse Anbieter, die von den Domain-Transfers profitieren.

Neue Anbieter haben also kaum eine Chance.

Dudler: So würde ich das nicht sagen. Aber ja, die Marktanteile werden sich wohl kaum gross verschieben. Wer schon vor dem Start der Domain-Transfers gross war, wird auch gross bleiben.

Droz: Wir dürfen nicht vergessen, dass das Domain-Namen-Business alleine kein grosses Geschäft ist. Was Geld in die Kasse spült, sind Zusatzdienste wie DNS-Hosting, DNSSEC, Domainweiterleitungen oder Domain Control Panels. Die Rolle als Registrar wird aber wichtig bleiben, da sie ein gutes Mittel für die Kundenbindung ist.

Dudler: Es wird auch in Zukunft möglich sein, sich mit dem Domain-Geschäft einen Namen zu machen. Wer ein Serviceportfolio rund um die Registrar-Tätigkeit aufbaut, kann gutes Geld verdienen. Ich gehe davon aus, dass wir in Zukunft neue Businessmodelle sehen werden. Im Moment sind die Registrare aber wohl vor allem damit beschäftigt, alle Neukunden aufzufangen.

Haben sich die Registrare im Kampf um die Switch-Kunden fair verhalten? Zwischen Switchplus und Hostpoint gab es ja zum Beispiel böses Blut und scharfe Worte.

Dudler: Es ist gar nicht so einfach nachzuvollziehen, ob sich die Registrare fair verhalten oder nicht. Ein Registrar nannte sich zum Beispiel "Nachfolger von Switch" - das geht natürlich nicht. Es stellt sich zudem die Frage, wie Registrare an die Adressen der Kunden kommen, wenn diese direkt beworben werden. Es gab in diesem Bereich Aktivitäten, die an der Grenze des Erlaubten waren. Switch reagierte jeweils umgehend und mahnte fehlbare Unternehmen sofort ab. Einige Registrare haben uns auch auf Fehlverhalten von Konkurrenten hingewiesen. Die meisten Marktteilnehmer haben sich aber kooperativ und fair verhalten.

Wie kam es eigentlich zum Einstieg von Switch als Registrar?

Dudler: Die Hauptaufgabe von Switch ist die Erbringung von Informatikdienstleistungen für Hochschulen. Nur darum haben wir vor fast 30 Jahren mit dem Domain-Geschäft angefangen. Das Internet kam als Forschungsprojekt in die Schweiz. Als Registry sind wir zudem dafür verantwortlich, dass die Domain-Namen-Infrastruktur 24/7 reibungslos läuft. Diese beiden Tätigkeiten - Dienstleister für Hochschulen und Betrieb der Registry - ergänzen sich hervorragend.

Switch stellt Internetzugänge für Schweizer Hochschulen und Unis bereit. Wie läuft dieses Geschäft?

Dudler: Switch bietet Hochschulen eines der modernsten Datennetze weltweit an - mit Zugang zu europäischen Forschungsnetzwerken. Unser Netzwerk wird täglich von rund 300 000 Hochschulangehörigen genutzt. Angeschlossen sind Schweizer Organisationen, die im tertiären Bildungsbereich aktiv sind, unter anderem Fachhochschulen, Universitäten und Pädagogische Hochschulen. Unsere Dienstleistungen basieren auf Glasfasern, die wir selber belichten. Die Bandbreite spielt somit fast keine Rolle, und die Latenzen sind sehr niedrig. Der Hauptlieferant der Glasfasern sind die SBB. Der Betrieb des Netzes ist auch sicherheitstechnisch eine Herausforderung. Er hilft uns aber zu verstehen, wie solche Netzwerke genutzt werden, und wie wir mit Gefahren umgehen müssen.

Wenn 300 000 Hochschulangehörige auf das Netz von Switch zugreifen, tönt das nach einem sicherheitstechnischen Albtraum.

Droz: Die Sicherheitsanforderungen an das Hochschulnetz sind enorm hoch. Die grösste Gefahr ist Cyberkriminalität, die meist in Form von Viren und Malware auftritt. Das Know-how, das wir durch den Betrieb des Hochschulnetzes gewinnen, hilft uns auch bei der Administration der DNS-Infrastruktur. Wir dürfen nicht vergessen, dass das Schweizer DNS vom Bund als kritische Infrastruktur eingestuft wird. Dementsprechend hoch ist der Aufwand, den wir betreiben, um Sicherheit zu gewährleisten.

Dudler: Switch bietet zudem Identity Management im Hochschulraum an. Wir arbeiten nun daran, dass Studenten die Uni auch wechseln können, ohne ihre digitale Identität zu verlieren. Switch stellt dafür die ganze Infrastruktur im Hintergrund zur Verfügung. Bald wird ein grosses Update mit vielen neuen Funktionen kommen.

Was passiert, wenn Switch ein infiziertes System entdeckt?

Droz: Switch informiert die betroffenen Hochschule und Internet Service Provider (ISP) in maximal 24 Stunden. Die Hochschule fordert dann den Besitzer des Computers auf, das Problem zu beheben. ISPs handeln unterschiedlich. Einige verschicken Briefe, andere schränken sofort den Internetzugang der Kunden ein.

Bietet Switch auch Cloud-Dienste für Hochschulen an?

Dudler: Cloud Computing ist an Hochschulen ein wichtiges Thema. Die Nachfrage nach skalierbaren, agilen Infrastrukturen ist gross. Wir erkennen aber, dass Universitäten nicht unbedingt auf die bekannten Public Clouds setzen wollen. Wir arbeiten darum daran, neue Cloud-Dienste in unser Netzwerk zu integrieren. Dabei ist es wichtig, auch auf Datenschutz und Privatsphäre sowie auf Schweizer Recht und Gerichtsstand zu achten.

Plant Switch auch ganz neue Geschäftsfelder?

Dudler: Die Cloud-Dienstleistungen sind ein neues Geschäftsfeld. Wir überlegen uns, unser riesiges Wissen in IT-Security auch kommerziellen Firmen anzubieten. Switch arbeitet in diesem Bereich bereits jetzt erfolgreich mit Banken und Finanzinstituten zusammen. Gut möglich, dass wir dieses Angebot irgendwann ausweiten werden.

Switch will sich nach Abschluss der Domain-Transfers auf den Unterhalt des Registry konzentrieren. Diese Aufgabe wird jedoch 2017 vom Bundesamt für Kommunikation (Bakom) neu vergeben. Muss Switch befürchten, sein Kerngeschäft zu verlieren?

Dudler: Theoretisch ist das natürlich möglich, aber wir rechnen nicht damit. Die Ausschreibung wird wohl nächstes Jahr erfolgen, und wir bereiten uns schon jetzt darauf vor. Wir wollen diese Ausschreibung unbedingt gewinnen.

Wer kann Switch überhaupt gefährden?

Dudler: Die Frage ist, was das Bakom für eine Leistung ausschreibt. Eine 08/15-Backend-Registry oder den Betrieb einer kritischen Infrastruktur? Zwischen diesen beiden Anforderungen liegen Welten. Im ersten Fall würde es eine grosse Konkurrenz geben, im zweiten wohl eine kleinere. Die Schweiz braucht hohe Hürden an Sicherheit und Verfügbarkeit. Ein funktionierendes Domain Name System (DNS) ist für unser Land schliesslich von herausragender Bedeutung.

Was spricht für Switch?

Dudler: Switch stellt seit über 25 Jahren die Registry für die Schweizer Länderendung .ch zur Verfügung - mit grossem Erfolg. Wir haben viel Erfahrung und kennen die Herausforderungen, die mit der Funktion als Registry verbunden sind. Da wir auch ein Datennetz für Hochschulen anbieten, gibt es viele Synergien. Wir verfügen zudem über genug Bandbreite, um auch wuchtige Angriffe abwehren zu können.

Droz: Switch konnte in den letzten Jahren beweisen, dass die Zusammenarbeit mit Partnern bestens funktioniert. Wir wissen auch, wie Kooperationen mit Firmen funktionieren, die andere Interessen haben als Switch. Unsere Partner können das bestätigen, das Bundesamt für Kommunikation ebenfalls. Mit dem Bakom waren wir zum Beispiel nicht immer einer Meinung, aber die Zusammenarbeit war für beide Parteien stets angenehm und konstruktiv.

Dudler: Was Switch bietet, kann nicht einfach von heute auf morgen aufgebaut oder sogar eingekauft werden. Unsere riesige Erfahrung als Registry wird hoffentlich auch für den Bund ein durchschlagendes Argument sein.

Was würde es für Switch bedeuten, den Auftrag nicht mehr zu bekommen?

Dudler: Wir würden das natürlich sehr bedauern, und es müssten sicher einige Arbeitsplätze abgebaut werden. Damit würde auch ein Know-how-Verlust einhergehen. Existenzgefährdend wäre eine Ablehnung für Switch zwar nicht. Aber natürlich werden wir alles daran setzen, die Registry-Funktion auch in Zukunft ausüben zu können.

Webcode
3388