Ob sich Google und seine Anwälte darüber freuen, dass T-Online seit neuestem Google-Subdomains bei ihren Kunden kapert und mit Yahoo-Werbung bestückt? Bemerkenswert ist das neue Geschäftsmodell der T-Online auf alle Mal:

• Ein unbedarfter T-Online-Kunde gibt webmail.google.com in seinen Browser ein.
• Er bekommt keine Fehlermeldung, sonder eine Seite von T-Online unter der URL „http://webmail.google.com/“ zu sehen.
• Auf der von T-Online übermittelten Seite wird einerseits darüber informiert, dass die eingegebene Internet-Adresse nicht gefunden werden konnte. Darüber hinaus hat sich T-Online erlaubt, die eingegebene URL zu analysieren und nach Schlagworten zu durchsuchen. Passend zu diesen Schlagwörtern werden vom Yahoo-Werbeservice Overture.com Werbeanzeigen bzw. Suchergebnisse präsentiert und die Klicks der Nutzer auf Suchergebnisse und Werbeanzeigen getrackt.
• Hätte der Nutzer nur mail.google.com eingegeben, dann wäre er beim gewünschten Service von Google und nicht bei T-Online gelandet …

Das Verfahren, das T-Online für die Realisierung ihrer so genannten „Navigationshilfe“ verwendet, wird auch als DNS-Hijacking bezeichnet: Statt eine korrekte Fehlermeldung bei einem vertippten Domain-Namen zurückzugeben, leitet T-Online diese Anfrage einfach auf ihre Server um und analysiert die Anfrage zu Werbezwecken. Das Verfahren von T-Online ist in vielerlei Hinsicht mehr als bedenklich:

• Der Service zeigt, dass die T-Online nicht als neutraler Internet-Service-Provider agiert und den Nutzer mit dem gewünschten Server verbindet – oder eben auch nicht verbindet, wenn der Server nicht verfügbar ist.
• T-Online bemächtigt sich in den Augen der Nutzer gegebenenfalls der Domains und präsentiert unter der Vorspiegelung des angeforderten Domain-Names andere Inhalte: Der Nutzer muss ja davon ausgehen, dass die Infos, die ihm unter „webmail.google.com“ (Screenshot via T-Online) gezeigt werden auch von Google.com kommen. Das Vorgehen von T-Online deckt sich dabei auf perfide Weise mit Phishing-Angriffen auf Banken zum Identitätsdiebstahl – nicht umsonst verwenden die Phishing-Angreifer mit Rogue-DNS-Servern ein ähnliches Prinzip wie die T-Online mit ihrer „Navigationshilfe“.
• Interessant ist die „Navigationshilfe“ natürlich besonders für die Konkurrenten von besucherstarken Webseiten: Microsoft freut sich sicher über die Platzierung ihres Links auf http://webmail.google.com – und auch die Direktbank Comdirekt ist sicher nicht unglücklich über die prominente Platzierung ihrer Werbung für ein kostenloses Girokonto unter http://online.deutschebank.com (Screenshot via T-Online). T-Online kapert also mit der Navigationshilfe bestehende Domains falls ein Nutzer sich bei der Subdomain verschreibt und schaltet darauf Suchergebnisse und ggf. Werbung von Konkurrenten – über die Schadensersatzforderungen an die Deutsche Telekom AG machen sich hoffentlich bald die Rechtsabteilungen von Google, Deutsche Bank und anderen Gedanken. Auch die Wettbewerbshüter der EU könnten sich zu dem Thema so ihre Gedanken machen.
• Auch ein Teil der falsch geschriebene oder nicht registrierte Domains werden von T-Online abgefangen und kommerziell verwertet. Das ist natürlich weitaus weniger mühsam als interessante Domains für teures Geld zu registrieren und dann, wie z.B. über Sedo.com zu parken und darauf Werbung zu schalten. Auch diese Vorteilsnahme von T-Online ist sicher voll im Sinne der Wettbewerbshüter.
• Wie in den FAQs der „Navigationshilfe“ beschrieben, behält sich die Deutsche Telekom AG alle Abfragen mit falscher Subdomain oder nicht vorhandener Domain zu speichern. Großzügigerweise verzichtet die Telekom auf eine personenbezogene Speicherung. Allerdings frag man sich schon, wofür T-Online dann trotzdem ein Cookie mit einer Verfallszeit von einem Jahr auf dem Rechner der Nutzer speichert. Übrigens werden auch die Klicks auf die präsentierten Suchergebnisse und Werbeanzeigen von der Yahoo-Tochter Overture.com getrackt. Sicher eine Goldgrube für Data-Mining-Experten … und ein Alptraum für Datenschützer.
• Als T-Online-Kunde ist es besonders verwunderlich, dass dieser „Service“ einem ungefragt untergeschoben wird. Kein Double-Opt-In-Verfahren, sondern eine komplizierte Abmeldeprozedur. Die T-Online hätte ihre Kunden ja auch fragen können, ob sie einen manipulierten DNS-Server haben wollen, der ihre Anfragen gegebenenfalls zu Werbezwecken weiterverarbeitet. Dann hätte sich der Service aber sicher nicht so schnell durchgesetzt.
• Die T-Online verstößt mit dem DNS-Hijacking möglicherweise auch gegen die RFC-Standards zur Implementierung von DNS-Servern der Internet Engeneering Task Force – IETF die Grundlage für eine reibungslos funktionierende Internet-Infrastruktur sind. Spamfilter und andere Webservices sind ggf. auf standardkonforme Antworten des DNS-Servers angewiesen um beispielsweise zu erkennen, dass es eine Domain überhaupt nicht gibt. All diese Services funktionieren nicht mehr, wenn sie über T-Online und deren Navigationshilfe mit dem Internet verbunden sind. Vielleicht sollte die ICANN auch die T-Online in die Schranken weisen, wie sie es mit VeriSign 2003 erfolgreich gemacht hatten.
• Mit dem Anzeigen von Werbung und Suchergebnisses auf gekaperten Domains ergeben sich auch eine Reihe von Sicherheitsrisiken – Ryan Singel’s Artikel in der Wired finden sich dazu noch mehr Hintergrundinformationen. Auch im Bericht der ICANN zum VeriSigh Site-Finder-Projekt finden sich weitere Informationen über mögliche Sicherheitsrisiken durch den Navigationshilfe-Service der T-Online.
• Möglicherweise verstößt die Deutsche Telekom AG mit der Einführung der Navigationshilfe auch gegen das Grundrechte der Informationsfreiheit (Art. 5 Abs. 1 GG) und gegen das Fernmeldegeheimnis (Art. 10 Abs. 1 GG). Dazu könnte die DNS-Manipulation durchaus auch den Straftatbestand der Datenveränderung (§ 303a StGB) erfüllen – dann wäre die Staatsanwaltschaft gefordert. Doch darüber sollten die Rechtsanwälte unter euch diskutieren.

Hintergrund: VeriSign musste auf Druck der ICANN 2003 seinen Site-Finder-Projekt einstellen
VeriSign hatte als Registrierungsstelle aller .com und .net Domains im Jahr 2003 mit dem „Site Finder“ Projekt einen ähnlichen Service wie die T-Online Navigationshilfe aufgesetzt. Nach heftigsten Protesten stellte VeriSign unter dem Druck der ICANN den Service nach wenigen Wochen wieder ein. Die ICANN hat über diesen Fall einen Bericht verfasst, der die Gefahren und Problem einer solchen Lösung nochmals klar und deutlich machen. Weitere Hintergründe zu VeriSign Site Finder und zu ähnlichen DNS-Mißbräuchen finden sich in Ryan Singel’s Artikel in der Wired.

Hintergrund: DNS-Server
Das WWW funktioniert nach dem einfachen Prinzip, dass jeder Domain-Name in einer URL wie „http://webmail.google.com“ erstmal in einem dicken „Telefonbuch“ nachgeschalgen werden muss – im sogenannten Domain Name System, kurz DNS. Auf den DNS-Servern ist zu jeder registrierten Domain – und gegebenenfalls auch zu den registrierten Subdomains – eine IP-Adresse hinterlegt, unter der der Server erreicht werden kann. Ist für die gewünschte Domain oder Subdomain kein Eintrag vorhanden, so muss der DNS-Server eine Fehlernachricht zurückschicken (für die Nerds unter Euch: eine NXDOMAIN-Response).