- Ein unbedarfter T-Online-Kunde gibt webmail.google.com in seinen Browser ein.
- Er bekommt keine Fehlermeldung, sonder eine Seite von T-Online unter der URL „http://webmail.google.com/“ zu sehen.
- Auf der von T-Online übermittelten Seite wird einerseits darüber informiert, dass die eingegebene Internet-Adresse nicht gefunden werden konnte. Darüber hinaus hat sich T-Online erlaubt, die eingegebene URL zu analysieren und nach Schlagworten zu durchsuchen. Passend zu diesen Schlagwörtern werden vom Yahoo-Werbeservice Overture.com Werbeanzeigen bzw. Suchergebnisse präsentiert und die Klicks der Nutzer auf Suchergebnisse und Werbeanzeigen getrackt.
- Hätte der Nutzer nur mail.google.com eingegeben, dann wäre er beim gewünschten Service von Google und nicht bei T-Online gelandet …
Das Verfahren, das T-Online für die Realisierung ihrer so genannten „Navigationshilfe“ verwendet, wird auch als DNS-Hijacking bezeichnet: Statt eine korrekte Fehlermeldung bei einem vertippten Domain-Namen zurückzugeben, leitet T-Online diese Anfrage einfach auf ihre Server um und analysiert die Anfrage zu Werbezwecken. Das Verfahren von T-Online ist in vielerlei Hinsicht mehr als bedenklich:
- Der Service zeigt, dass die T-Online nicht als neutraler Internet-Service-Provider agiert und den Nutzer mit dem gewünschten Server verbindet – oder eben auch nicht verbindet, wenn der Server nicht verfügbar ist.
- T-Online bemächtigt sich in den Augen der Nutzer gegebenenfalls der Domains und präsentiert unter der Vorspiegelung des angeforderten Domain-Names andere Inhalte: Der Nutzer muss ja davon ausgehen, dass die Infos, die ihm unter „webmail.google.com“ (Screenshot via T-Online) gezeigt werden auch von Google.com kommen. Das Vorgehen von T-Online deckt sich dabei auf perfide Weise mit Phishing-Angriffen auf Banken zum Identitätsdiebstahl – nicht umsonst verwenden die Phishing-Angreifer mit Rogue-DNS-Servern ein ähnliches Prinzip wie die T-Online mit ihrer „Navigationshilfe“.
- Interessant ist die „Navigationshilfe“ natürlich besonders für die Konkurrenten von besucherstarken Webseiten: Microsoft freut sich sicher über die Platzierung ihres Links auf http://webmail.google.com – und auch die Direktbank Comdirekt ist sicher nicht unglücklich über die prominente Platzierung ihrer Werbung für ein kostenloses Girokonto unter http://online.deutschebank.com (Screenshot via T-Online). T-Online kapert also mit der Navigationshilfe bestehende Domains falls ein Nutzer sich bei der Subdomain verschreibt und schaltet darauf Suchergebnisse und ggf. Werbung von Konkurrenten – über die Schadensersatzforderungen an die Deutsche Telekom AG machen sich hoffentlich bald die Rechtsabteilungen von Google, Deutsche Bank und anderen Gedanken. Auch die Wettbewerbshüter der EU könnten sich zu dem Thema so ihre Gedanken machen.
- Auch ein Teil der falsch geschriebene oder nicht registrierte Domains werden von T-Online abgefangen und kommerziell verwertet. Das ist natürlich weitaus weniger mühsam als interessante Domains für teures Geld zu registrieren und dann, wie z.B. über Sedo.com zu parken und darauf Werbung zu schalten. Auch diese Vorteilsnahme von T-Online ist sicher voll im Sinne der Wettbewerbshüter.
- Wie in den FAQs der „Navigationshilfe“ beschrieben, behält sich die Deutsche Telekom AG alle Abfragen mit falscher Subdomain oder nicht vorhandener Domain zu speichern. Großzügigerweise verzichtet die Telekom auf eine personenbezogene Speicherung. Allerdings frag man sich schon, wofür T-Online dann trotzdem ein Cookie mit einer Verfallszeit von einem Jahr auf dem Rechner der Nutzer speichert. Übrigens werden auch die Klicks auf die präsentierten Suchergebnisse und Werbeanzeigen von der Yahoo-Tochter Overture.com getrackt. Sicher eine Goldgrube für Data-Mining-Experten … und ein Alptraum für Datenschützer.
- Als T-Online-Kunde ist es besonders verwunderlich, dass dieser „Service“ einem ungefragt untergeschoben wird. Kein Double-Opt-In-Verfahren, sondern eine komplizierte Abmeldeprozedur. Die T-Online hätte ihre Kunden ja auch fragen können, ob sie einen manipulierten DNS-Server haben wollen, der ihre Anfragen gegebenenfalls zu Werbezwecken weiterverarbeitet. Dann hätte sich der Service aber sicher nicht so schnell durchgesetzt.
- Die T-Online verstößt mit dem DNS-Hijacking möglicherweise auch gegen die RFC-Standards zur Implementierung von DNS-Servern der Internet Engeneering Task Force – IETF die Grundlage für eine reibungslos funktionierende Internet-Infrastruktur sind. Spamfilter und andere Webservices sind ggf. auf standardkonforme Antworten des DNS-Servers angewiesen um beispielsweise zu erkennen, dass es eine Domain überhaupt nicht gibt. All diese Services funktionieren nicht mehr, wenn sie über T-Online und deren Navigationshilfe mit dem Internet verbunden sind. Vielleicht sollte die ICANN auch die T-Online in die Schranken weisen, wie sie es mit VeriSign 2003 erfolgreich gemacht hatten.
- Mit dem Anzeigen von Werbung und Suchergebnisses auf gekaperten Domains ergeben sich auch eine Reihe von Sicherheitsrisiken – Ryan Singel’s Artikel in der Wired finden sich dazu noch mehr Hintergrundinformationen. Auch im Bericht der ICANN zum VeriSigh Site-Finder-Projekt finden sich weitere Informationen über mögliche Sicherheitsrisiken durch den Navigationshilfe-Service der T-Online.
- Möglicherweise verstößt die Deutsche Telekom AG mit der Einführung der Navigationshilfe auch gegen das Grundrechte der Informationsfreiheit (Art. 5 Abs. 1 GG) und gegen das Fernmeldegeheimnis (Art. 10 Abs. 1 GG). Dazu könnte die DNS-Manipulation durchaus auch den Straftatbestand der Datenveränderung (§ 303a StGB) erfüllen – dann wäre die Staatsanwaltschaft gefordert. Doch darüber sollten die Rechtsanwälte unter euch diskutieren.
Hintergrund: VeriSign musste auf Druck der ICANN 2003 seinen Site-Finder-Projekt einstellen
VeriSign hatte als Registrierungsstelle aller .com und .net Domains im Jahr 2003 mit dem „Site Finder“ Projekt einen ähnlichen Service wie die T-Online Navigationshilfe aufgesetzt. Nach heftigsten Protesten stellte VeriSign unter dem Druck der ICANN den Service nach wenigen Wochen wieder ein. Die ICANN hat über diesen Fall einen Bericht verfasst, der die Gefahren und Problem einer solchen Lösung nochmals klar und deutlich machen. Weitere Hintergründe zu VeriSign Site Finder und zu ähnlichen DNS-Mißbräuchen finden sich in Ryan Singel’s Artikel in der Wired.
Hintergrund: DNS-Server
Das WWW funktioniert nach dem einfachen Prinzip, dass jeder Domain-Name in einer URL wie „http://webmail.google.com“ erstmal in einem dicken „Telefonbuch“ nachgeschalgen werden muss – im sogenannten Domain Name System, kurz DNS. Auf den DNS-Servern ist zu jeder registrierten Domain – und gegebenenfalls auch zu den registrierten Subdomains – eine IP-Adresse hinterlegt, unter der der Server erreicht werden kann. Ist für die gewünschte Domain oder Subdomain kein Eintrag vorhanden, so muss der DNS-Server eine Fehlernachricht zurückschicken (für die Nerds unter Euch: eine NXDOMAIN-Response).
Tja, dieses Beispiel zeigt doch recht nett, wie Netzsperren schon heute umgesetzt werden. Die Freiheit ein „Server Not Found“ zu bekommen, wird genommen. Hoffentlich findet sich eine Verbreitung des Wissens über DNS und der Einsatz von zum Beispiel OpenDNS.com als alternativer DNS Anbieter.
Wie man in 20 Sekunden einen anderen DNS Server mit einem Netgear Server einrichtet hatte ich unter anderem unter http://www.cyber-junk.de/notiert/zensursula-internetsperre-umgehen-in-20-sekunden-router/ notiert.
Toller Beitrag!
Vor allem die rechtlichen Ansätze…
@ Thorsten Zoerner:
Der Hinweis mit OpenDNS.com ist Quatsch, denn auch dort landet man z.B. bei der Eingabe von http://www.webmail.google.com auf einer Werbeseite, ganz so wie bei der T-Kom und man bekommt dort auch yahoo-Ergebnisse und Werbeeinblendungen präsentiert (nur diesmal für USA). Also vom Regen in die Traufe!!!
Die Lösung ist doch ganz einfach:
Nehmt einfach einen DNS-Server einer deutschen Uni!
Die sind (fast) alle öffentlich und superschnell.
Eine Zensur findet dort natürlich auch nicht statt.
Welche Unis kann man z. B. nehmen?
FH Friedberg I 212.201.24.17
FH Friedberg II 212.201.24.20
FU-Berlin 160.45.8.8
TU-Berlin 130.149.4.20
Uni-Bielefeld I 129.70.182.23
Uni-Bielefeld II 129.70.182.7
Uni-Bielefeld III 129.70.132.100
Uni-Erlangen I 131.188.3.2
Uni-Erlangen II 131.188.3.4
Uni-Hamburg I 134.100.33.240
Uni-Hamburg II 134.100.9.61
Uni-Köln I 134.95.100.208
Uni-Köln II 134.95.129.23
Oder fragt im jeweiligen Landesrechenzentrum nach den öffentlichen Nameservern. Die gehen auch…