Wer sich in seinem Browser bei der URL vertippt, bekommt bei vielen großen Providern oft statt einer Fehlermeldung eine sogenannte „Hilfeseite“ in Form einer Suchmaschine. Sucht man nach einem heimlich installierten Browser-Plug-in, wird man nicht fündig. Das ist nicht weiter verwunderlich, denn die Provider erreichen dieses Verhalten durch Fälschen von DNS-Antworten.

Wenn bei dem DNS-Server des Providers eine nicht existierende Domain angefragt wird, etwa www.diese-domain-gibts-nicht.de, fragt der DNS-Server, zunächst bei einem der Root-Server an, sofern er keine Informationen in seinem Cache hat. Dieser verweist ihn auf die sechs TLD-Server für die Domain .de. Die TLD-Server antworten korrekt mit NXDOMAIN für die nicht existierende Domain. Diese Antwort müsste der DNS-Server des Providers eigentlich unverändert an den Kunden weitergeben.

Stattdessen tauscht der DNS-Server des Providers die erhaltene Antwort durch eine A-Antwort mit einer IP-Adresse aus. Dem Anwender wird also vorgegaukelt, dass die Domain existiere. Er landet dann auf einer mit Werbung versehenen Such-Seite. Diese fragwürdige Praxis betreiben in Deutschland unter anderem Alice, Kabel Deutschland und T-Online.

<Update>Kabel Deutschland hat inzwischen seine DNS-Fälschungen komplett eingestellt.</Update>

Grundsätzlich sollten alle Zugangsanbieter von DNS-Fälschungen absehen. Ein rekursiv auflösender DNS-Server hat die Aufgabe, die Information, die er letztendlich von den autoritativen DNS-Servern für die angefragte Domain bekommt, unverändert zum Client zu transportieren. Dazu gehört auch die Antwort NXDOMAIN. Das Abfangen und Verändern der Daten ist nicht nur eine „Unsitte“, sondern verstößt auch gegen geltendes Recht.

Konkret werden §202b StGB (Abfangen von Daten) und §88 TKG (Fernmeldegeheimnis) verletzt. §88 TKG Absatz 3 erlaubt Dienstanbietern eine Einsichtnahme in die Kommunikation ihrer Kunden nur dann, wenn dies „für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme“ erforderlich ist.


Bild 1: Viele Provider lösen nicht existierende Domains per DNS absichtlich falsch auf.

Für die Erbringung der Leistung „DNS“ ist es grundsätzlich nicht erforderlich, Einsicht in die DNS-Antworten für Kunden zu nehmen. Zum Schutz der technischen Systeme gilt ein präventives Logging von ein bis zwei Tagen als angemessen, um etwa DDoS-Angriffe nachverfolgen und abwehren zu können. Eine Einsichtnahme zum Zwecke des absichtlichen Abfangen und Austausch der Daten mit dem Ziel, zusätzlichen Umsatz zu generieren, kann der Schutz der technischen Systeme hingegen nicht rechtfertigen. Dass diese Praxis auch gegen §202b StGB verstößt und mit Freiheitsstrafe bestraft werden kann, dürfte offensichtlich sein.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago