Um den Gewinn zu steigern, geben viele Provider gefälschte DNS-Antworten. Sie leiten Nutzer auf dubiose Suchanbieter um, die auffällig viele Daten an Yahoo senden. ZDNet erläutert diese Praxis und zeigt, wie man sich ihr entziehen kann.
Wer sich in seinem Browser bei der URL vertippt, bekommt bei vielen großen Providern oft statt einer Fehlermeldung eine sogenannte "Hilfeseite" in Form einer Suchmaschine. Sucht man nach einem heimlich installierten Browser-Plug-in, wird man nicht fündig. Das ist nicht weiter verwunderlich, denn die Provider erreichen dieses Verhalten durch Fälschen von DNS-Antworten.
Wenn bei dem DNS-Server des Providers eine nicht existierende Domain angefragt wird, etwa www.diese-domain-gibts-nicht.de, fragt der DNS-Server, zunächst bei einem der Root-Server an, sofern er keine Informationen in seinem Cache hat. Dieser verweist ihn auf die sechs TLD-Server für die Domain .de. Die TLD-Server antworten korrekt mit NXDOMAIN für die nicht existierende Domain. Diese Antwort müsste der DNS-Server des Providers eigentlich unverändert an den Kunden weitergeben.
Stattdessen tauscht der DNS-Server des Providers die erhaltene Antwort durch eine A-Antwort mit einer IP-Adresse aus. Dem Anwender wird also vorgegaukelt, dass die Domain existiere. Er landet dann auf einer mit Werbung versehenen Such-Seite. Diese fragwürdige Praxis betreiben in Deutschland unter anderem Alice[1], Kabel Deutschland[2] und T-Online[3].
<Update>Kabel Deutschland hat inzwischen seine DNS-Fälschungen komplett eingestellt[4].</Update>
Grundsätzlich sollten alle Zugangsanbieter von DNS-Fälschungen absehen. Ein rekursiv auflösender DNS-Server hat die Aufgabe, die Information, die er letztendlich von den autoritativen DNS-Servern für die angefragte Domain bekommt, unverändert zum Client zu transportieren. Dazu gehört auch die Antwort NXDOMAIN. Das Abfangen und Verändern der Daten ist nicht nur eine "Unsitte", sondern verstößt auch gegen geltendes Recht.
Konkret werden §202b StGB[5] (Abfangen von Daten) und §88 TKG[6] (Fernmeldegeheimnis) verletzt. §88 TKG Absatz 3 erlaubt Dienstanbietern eine Einsichtnahme in die Kommunikation ihrer Kunden nur dann, wenn dies "für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme" erforderlich ist.
Bild 1: Viele Provider lösen nicht existierende Domains per DNS absichtlich falsch auf.
Für die Erbringung der Leistung "DNS" ist es grundsätzlich nicht erforderlich, Einsicht in die DNS-Antworten für Kunden zu nehmen. Zum Schutz der technischen Systeme gilt ein präventives Logging von ein bis zwei Tagen als angemessen, um etwa DDoS-Angriffe nachverfolgen und abwehren zu können. Eine Einsichtnahme zum Zwecke des absichtlichen Abfangen und Austausch der Daten mit dem Ziel, zusätzlichen Umsatz zu generieren, kann der Schutz der technischen Systeme hingegen nicht rechtfertigen. Dass diese Praxis auch gegen §202b StGB verstößt und mit Freiheitsstrafe bestraft werden kann, dürfte offensichtlich sein.
Neben der juristischen Seite gibt es eine technische Sichtweise der Dinge. Dazu lässt sich feststellen, dass DNS-Fälschungen zu einer Reihe von Störungen führen können. Von der "Umleitung" von nicht existierenden Domains durch DNS-Fälschungen ist nicht nur der Internetdienst World Wide Web betroffen, sondern auch alle anderen Dienste.
Dienste, die ohne Nutzerinteraktion weitgehend automatisiert arbeiten, werden durch DNS-Fälschungen in die Irre geführt. Davon sind beispielsweise E-Mails betroffen. Wenn sich ein Nutzer bei der E-Mail-Adresse vertippt, dann bekommt er normalerweise sofort eine E-Mail zurück mit dem Inhalt, dass die Domain nicht existiert. Gaukelt ein DNS-Server jedoch vor, die Domain gebe es, so versucht der Mailer in der Regel mehrere Tage, die E-Mail zuzustellen, bis er schließlich aufgibt. Hier helfen auch keine MX-Records[7], da RFC 2821[8] in Abschnitt 5 vorschreibt, dass eine Mail an die IP-Adresse des A-Records zuzustellen ist, wenn kein MX-Record vorhanden ist.
Diese technischen Probleme hat das Security and Stability Advisory Committee[9] (SSAC) der ICANN[10] bereits im Juni 2008 in einer Studie[11] (PDF) beschrieben, die die Störungen von vielen Diensten und den negativen Einfluss auf Sicherheit und Stabilität im Internet nachweist. Darüber hinaus sehen die Autoren generelle Probleme, wenn ohne Kenntnis und Zustimmung des Domaininhabers oder des Benutzers Informationen, die der Domaininhaber für seine DNS-Zone festgelegt hat, durch einen Dritten auf dem Übertragungsweg verändert werden.
Einer der Technologieanbieter für DNS-Fälschungen ist die Firma Nominum[12]. Der Vorsitzende des Verwaltungsrates und Chef-Wissenschaftler ist Paul Mockapetris[13], der Erfinder von DNS. Nominum will unter anderem bei den deutschen Providern die Technologie des für zunächst ein Jahr ausgesetzten Internetzensurgesetzes[14] implementieren.
Im Gespräch mit ZDNet sieht Gopala Tumuluri[15], Vice President für Marketing bei Nominum, die Dinge anders: Sein Produkt Vantio NXR[16] liefere nur dann falsche Ergebnisse, wenn die angefragte Domain mit www. beginne. Da es nicht üblich sei, dass andere Dienste als das World Wide Web auf Servern laufen, die mit www. beginnen, gebe es keine technischen Probleme.
Fehler schleichen sich jedoch dann ein, wenn etwa ein kleines oder mittelständisches Unternehmen mehrere Dienste wie Web, E-Mail und VoIP auf nur einem Server betreibt und dessen Name mit www. beginnt. Außerdem führt das Nominum-Konzept zu einer ganz neuen Art von Problemen. Wenn der DNS-Name www.diese-domain-gibts-nicht.de auf eine IP-Adresse umgebogen wird, dürfte sich manche Software daran stören, dass die Domain diese-domain-gibts-nicht.de mit einem NXDOMAIN-Fehler beantwortet wird. Domains, die es gar nicht gibt, können nämlich weder Hostnamen noch Subdomains haben.
Kabel Deutschland und T-Online verwenden die Technologie von Nominum. Eine nicht existierende Domain ohne www. am Anfang wird mit NXDOMAIN quittiert. Anders verhält sich beispielsweise Alice. Dort landet man auf einer unter dem Markennamen AOL betriebenen Suchseite, unabhängig davon, wie die Domain heißt.
Recht unterschiedlich verhalten sich die Provider gegenüber Kunden, die keine gefälschten DNS-Antworten wünschen. Wer bei den "Hilfeseiten" von Alice oder T-Online landet, weil er sich bei der Domain vertippt hat, findet unten einen Link zum Kundencenter. Dort kann der Benutzer die DNS-Fälschungen deaktivieren. So lassen sich mögliche technische Störungen vermeiden.
Allerdings ist es problematisch, DNS-Fälschungen per Default "anzubieten". Ein technisch weniger versierter Benutzer wird möglicherweise auf Fehler stoßen, kann diese aber nicht mit den DNS-Falschantworten in Zusammenhang bringen. Er wird alles Mögliche versuchen, die Probleme zu beheben. An das Abschalten der "Navigationshilfe", wie T-Online seinen "Dienst" nennt, denkt er wahrscheinlich nicht.
Die Deutsche Telekom erklärte gegenüber ZDNet, dass man "im Rahmen der gesetzlichen Möglichkeiten einen uneingeschränkten Internetzugang" anbiete. Das gelte auch, wenn ein Kunde eine nicht vorhandene URL aufrufe, da man den Nutzern keine Seiten vorenthalte. Hansenet hat keine Stellungnahme abgegeben.
Der Auffassung der Telekom ist entgegenzuhalten, dass es bei DNS nicht um "URLs" und "Seiten", sondern um Domains und IP-Adressen geht. Was im Dienst "World Wide Web" nur ärgerlich ist, führt bei anderen Diensten im Internet zu Störungen. Ferner muss die Aussage, man biete einen "uneingeschränkten Internetzugang" an, als durchaus mutig betrachtet werden. Schließlich gehört die Deutsche Telekom zu den Providern, die unabhängig vom Internetzensurgesetz mit dem BKA freiwillig einen Zensurvertrag[17] unterschrieben haben, der nur deshalb nicht umgesetzt wird, weil das BKA derzeit keine Zensurlisten liefert.
Bei Kabel Deutschland kommt man nicht so einfach von den gefälschten DNS-Antworten los. Gegenüber ZDNet betonte Kabel Deutschland, dass man auch DNS-Server anbiete, die keine Informationen verändern. Dazu müsse der Nutzer die kostenlose 24-mal-7-Servicerufnummer (0800) 526 66 25 anrufen. Dort schalte man für Kunden auf Wunsch andere DNS-Server.
Ein Testanruf von ZDNet ergab jedoch, dass der Servicemitarbeiter von nichts wusste. Nach einer kurzen Erklärung verstand er zwar die Problematik, musste aber eingestehen, dass er keine Möglichkeit habe, die DNS-Einstellung zu verändern.
Die Pressestelle erklärte gegenüber ZDNet, dass sich derzeit einige Prozesse in der Umstellung befänden und möglicherweise noch nicht alle Mitarbeiter auf dem aktuellen Stand seien. In Zukunft werde sich das ändern. Die Bearbeitungsdauer für die gewünschte Umstellung betrage etwa 14 Tage. ZDNet wird über die weitere Entwicklung bei Kabel Deutschland berichten.
Auch wenn die Nutzung der zahlreichen, jedoch von den IP-Adressen her unbekannten DNS-Server ohne Fälschung von Antworten derzeit noch faktisch unmöglich ist, muss man Kabel Deutschland zugutehalten, dass dort ein Umdenken stattgefunden hat und den Kunden in naher Zukunft vermutlich keine DNS-Server mit "Hilfestellung" aufgezwungen werden. Besser wäre es allerdings, grundsätzlich keine DNS-Server zu verwenden, die Antworten modifizieren.
Alice und T-Online betreiben ihre "Hilfeseiten" laut IP-Adressabfrage mit whois selbst. Kabel Deutschland nutzt bei seiner "DNS Assistance" als Dienstleister die Firma Infospace[18] in Bellevue im US-Bundesstaat Washington, unweit der Konzernzentrale von Microsoft. Da jedoch bei Alice und Kabel Deutschland exakt dieselben Suchergebnisse und dieselben "verwandten Suchbegriffe" erscheinen, siehe Bild 1[19] und Bild 2[20], lässt sich vermuten, dass Infospace auch bei Alice Inhaltsanbieter der "Hilfeseite" ist.
Bild 2: Die Kabel Deutschland DNS Assistance wird von Infospace betrieben. Die Firma hat ein eher zweifelhaftes Image.
Infospace verwendet die hauseigene "Metasuchmaschine" dogpile[21], um Suchergebnisse von Google, Bing, Ask und anderen anzuzeigen, ohne selbst das World Wide Web zu indizieren. Die Firma gilt als nicht sonderlich seriös. Im März 2000 konnte Infospace durch sogenannte "Lazy-Susan-Deals" den eigenen Aktienkurs auf ein Allzeithoch von 1305 Dollar bringen. Im Juni 2002 betrug der Kurs nach dem Auffliegen der zweifelhaften Geschäfte noch 2,67 Dollar. So verlor[22] Microsoft-Mitgründer Paul Allen 400 Millionen Dollar.
Bei einem Lazy-Susan-Deal investiert eine Firma in eine andere, die jedoch mit dem Geld nichts macht, außer nach einem erstaunlich kurzen Zeitraum einen Teil des Geldes an den Investor zurückzuzahlen. So wird eine hohe Kapitalrendite vorgetäuscht.
Infospace investierte[23] beispielsweise acht Millionen Dollar in die Firma von Atul Jain, dem jüngeren Bruder des Firmengründers Naveen Jain. Atul Jain zahlte umgehend fünf Millionen Dollar an Infospace zurück. Dieses Geld wurde als Umsatz gebucht. Es hätte jedoch auch als einmalige Abschreibung auf Investitionen in den Kosten auftauchen müssen, um ein realistisches Bild der Situation widerzuspiegeln.
Infospace gestand schließlich ein, dass es sich bei den 46 Millionen Dollar Bilanzgewinn aus dem Jahr 2000 in Wahrheit um einen Bilanzverlust von 282 Millionen Dollar gehandelt hatte[24]. Juristisch liegt kein Betrug, sondern die Anwendung einer "kontrovers diskutierten Bilanzierungsmethode" vor. Infospace gelang es, sich mit Geschäftsmodellen wie dem Verkauf von Handyklingeltönen über Wasser zu halten.
Verdächtige Datenübermittlung an Yahoo Search Marketing
Bei einer Firma mit einem Ruf wie Infospace sollte man sich überlegen, ob man nicht besser darauf verzichtet, auf ihre Website zu gelangen. Ob und welche Daten Infospace über den Benutzer speichert, dürfte sich letztendlich auch einer Kontrolle durch Kabel Deutschland und Alice entziehen.
Wer auf ein Suchergebnis aus der Liste der "Hilfeseiten" von Alice, Kabel Deutschland oder T-Online klickt, landet nicht direkt auf der gewünschten Seite, sondern zunächst auf einem Server von Yahoo Search Marketing[25] (früher Overture.com). Der weitere Inhalt der URL ist verschlüsselt. Wählt man etwa den vorgeschlagenen Link für ZDNet.de aus, wird man von der "Hilfeseite" an eine URL wie
http://rc10.overture.com/d/sr/?xargs=15KPjg1hxSt5auwuf0L%5FiXEbqUkwwBlO7B9r0cC%2D V5bqcv8HplV%5FYuPa7By%5FVIaO1l63zYufqQ%5F68fOqz2n%5F%2DUFBCMRlSXG%2Df6yt2QwMFpJvH 0HccW0qQ49trxyItMKi5Rbz%5FuJb32w7KjdIOWajwJoc1slUOPrLVjw8uglL8TEayJgl967Q7Zed9Ara o2nouEboRDHsJsRsfNxjmAIdpNy8ok162UB2gfKT3zrWINvAuNJRFPkQ%2E%2E
weitergeleitet. Erst von dort wird der Benutzer auf die Zielseite geschickt. Das ist eine ziemlich lange URL, und sie enthält entschlüsselt mit Sicherheit mehr Informationen als "http://www.zdnet.de". Selbst wenn man noch Billing- und Provisioning-Daten von ein paar Byte zugesteht, bleibt die Frage offen, welche Informationen an Yahoo übermittelt werden und was Yahoo damit anstellt. Um die mühsam zusammengestellten und verschlüsselten Daten einfach nach /dev/null[26] zu verschieben, sind sie Yahoo bestimmt zu wertvoll.
Die gängige Praxis vieler deutscher Provider, nicht existierende Domains durch DNS-Fälschungen mit einer IP-Adresse aufzulösen, die auf eine Suchseite mit Werbung führt, bereitet eine ganze Reihe von Problemen. Neben der Tatsache, dass das absichtliche Abfangen und Austauschen von Daten strafrechtlich relevante Tatbestände berührt und gegen das Telekommunikationsgesetz verstößt, führt dieses Verhalten in vielen Fällen zu technischen Problemen.
Andere Dienste als das World Wide Web, etwa E-Mail, werden nachhaltig technisch beeinflusst. Dabei spielt es keine Rolle, ob ein Provider alle nicht existierenden Domains absichtlich mit einer falschen IP-Adresse beantwortet oder nur solche, die mit www. beginnen. Letzteres sorgt nicht dafür, dass weniger Probleme auftreten, sondern andere.
Alice und T-Online geben ihren Nutzern eine Opt-Out-Möglichkeit. Kabel Deutschland will das seinen Nutzern nach eigenem Bekunden ebenfalls in naher Zukunft zugestehen. Ein Opt-Out ist allerdings nicht ausreichend. Viele Anwender, die keine IT-Profis sind, können technische Probleme, die die DNS-Fälschungen verursachen, nicht einordnen und somit auch nicht beheben. Oft sind die Leidtragenden auch unbeteiligte Dritte, die von den Nebeneffekten direkt oder indirekt betroffen sind.
Ein Opt-In-Modell für DNS-Fälschungen dürfte nicht funktionieren. Die Nachfrage wird kaum größer sein als eine freiwillige Aufnahme der eigenen E-Mail-Adresse in eine Spam-Datenbank. Gegen Formulierungen der Marketingabteilungen wie "DNS Assistance" oder "Navigationshilfe" sind die meisten Internet-Nutzer mittlerweile erfreulich resistent.
Anwender sollten die DNS-Fälschungen möglichst vermeiden - allein schon, um sicherzustellen, dass keine auffällig langen und verschlüsselten URLs an Yahoo Search Marketing übertragen werden. Kabel-Deutschland-Kunden müssen dazu derzeit auf freie DNS-Server[27] ausweichen oder Googles neuen DNS-Dienst[28] nutzen. Letzterer speichert zwar ebenfalls das Nutzerverhalten, jedoch nur anonymisiert und ohne die IP-Adresse des Nutzers.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/
[19] = http:/
[20] = http:/
[21] = http:/
[22] = http:/
[23] = http:/
[24] = http:/
[25] = http:/
[26] = http:/
[27] = http:/
[28] = http:/