Wer sich in seinem Browser bei der URL vertippt, bekommt bei vielen großen Providern oft statt einer Fehlermeldung eine sogenannte „Hilfeseite“ in Form einer Suchmaschine. Sucht man nach einem heimlich installierten Browser-Plug-in, wird man nicht fündig. Das ist nicht weiter verwunderlich, denn die Provider erreichen dieses Verhalten durch Fälschen von DNS-Antworten.

Wenn bei dem DNS-Server des Providers eine nicht existierende Domain angefragt wird, etwa www.diese-domain-gibts-nicht.de, fragt der DNS-Server, zunächst bei einem der Root-Server an, sofern er keine Informationen in seinem Cache hat. Dieser verweist ihn auf die sechs TLD-Server für die Domain .de. Die TLD-Server antworten korrekt mit NXDOMAIN für die nicht existierende Domain. Diese Antwort müsste der DNS-Server des Providers eigentlich unverändert an den Kunden weitergeben.

Stattdessen tauscht der DNS-Server des Providers die erhaltene Antwort durch eine A-Antwort mit einer IP-Adresse aus. Dem Anwender wird also vorgegaukelt, dass die Domain existiere. Er landet dann auf einer mit Werbung versehenen Such-Seite. Diese fragwürdige Praxis betreiben in Deutschland unter anderem Alice, Kabel Deutschland und T-Online.

<Update>Kabel Deutschland hat inzwischen seine DNS-Fälschungen komplett eingestellt.</Update>

Grundsätzlich sollten alle Zugangsanbieter von DNS-Fälschungen absehen. Ein rekursiv auflösender DNS-Server hat die Aufgabe, die Information, die er letztendlich von den autoritativen DNS-Servern für die angefragte Domain bekommt, unverändert zum Client zu transportieren. Dazu gehört auch die Antwort NXDOMAIN. Das Abfangen und Verändern der Daten ist nicht nur eine „Unsitte“, sondern verstößt auch gegen geltendes Recht.

Konkret werden §202b StGB (Abfangen von Daten) und §88 TKG (Fernmeldegeheimnis) verletzt. §88 TKG Absatz 3 erlaubt Dienstanbietern eine Einsichtnahme in die Kommunikation ihrer Kunden nur dann, wenn dies „für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme“ erforderlich ist.


Bild 1: Viele Provider lösen nicht existierende Domains per DNS absichtlich falsch auf.

Für die Erbringung der Leistung „DNS“ ist es grundsätzlich nicht erforderlich, Einsicht in die DNS-Antworten für Kunden zu nehmen. Zum Schutz der technischen Systeme gilt ein präventives Logging von ein bis zwei Tagen als angemessen, um etwa DDoS-Angriffe nachverfolgen und abwehren zu können. Eine Einsichtnahme zum Zwecke des absichtlichen Abfangen und Austausch der Daten mit dem Ziel, zusätzlichen Umsatz zu generieren, kann der Schutz der technischen Systeme hingegen nicht rechtfertigen. Dass diese Praxis auch gegen §202b StGB verstößt und mit Freiheitsstrafe bestraft werden kann, dürfte offensichtlich sein.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

15 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

19 Stunden ago