Ein besonders dreister Fall von Domain-Hijacking sorgte am Wochenende für Schlagzeilen: Einem Kunden des Webhosters Intergenia war es am vergangenen Freitag gelungen, die Domain eBay.de auf seine Homepage umzuleiten. Am 28. August hatten verdutzte Surfer für einige Stunden unter eBay.de lediglich die Site eines deutschen Spiele-Clans zu sehen bekommen. Die Motive für die Piraterie sind bisher unklar.
Klar dagegen ist, dass der Intergenia-Kunde mit einiger Dreistigkeit die eingebauten Sicherungen der deutschen Domain-Verwaltung aushebeln konnte. Nach vorläufiger Rekonstruktion der Ereignisse hatte er am 18. August bei seinem Webhoster Provider-Wechselanträge für sehr populäre Domains wie google.com, web.de, amazon.de und eben ebay.de gestellt. Er hatte vorgegeben, selbst Inhaber der Domains zu sein und diese nun zu Intergenia umziehen zu wollen. Intergenia leitete diese Anträge ungeprüft an die deutsche Registry DeNIC weiter. Eine Blacklist habe immerhin dafür gesorgt, dass es beispielsweise nicht möglich war, google.com zu beantragen, teilte der Hoster mit. ebay.de und amazon.de waren aber in dieser Liste nicht verzeichnet.
Gemäß den Providerwechselregelungen fragte das DeNIC bei den bisherigen Providern per automatisch generierter E-Mail nach. Der Hoster von Amazon.de beispielweise antwortete umgehend mit einem "Not Acknowledged" (NACK) -- also einer Ablehnung der Domain-Übertragung. Vom in Kanada sitzenden eBay-Provider Tucows hörte das DeNIC trotz zweimaliger Nachfrage nichts. Die diesbezügliche Regelung der .de-Registry sieht für einen solchen Fall vor, dem Wechsel per AutoACK zuzustimmen, was das DeNIC auch tat.
Am 27. August gegen 16 Uhr erhielt Intergenia die DeNIC-Zustimmung. Daraufhin änderte der Provider automatisiert die Inhaberdaten und leitete ebay.de auf die Kundenpräsenz auf dem eigenen Shared-Hosting-Server um. Am nächsten Morgen stellte man fest, dass der entsprechende Server wegen Überlastung in die Knie gegangen war und eine Menge Supportanfragen eingetrudelt waren. Zu diesem Zeitpunkt wurde auch das DeNIC aktiv und setzte aufgrund einer Benachrichtigung von eBay die Domain-Daten zurück.
Bis sich eine solche Änderung beispielsweise unter den DNS-Servern im Internet herumspricht, kann schon einmal ein Tag vergehen. Intergenia stellte denn auch im Laufe des Tages fest, dass beispielsweise der Proxyserver von AOL die Änderung nicht aufgenommen hatte, sondern allen AOL-Surfern nach wie vor die Fehlerseite des Kölner Webhosters zeigte. In einer Telefonaktion bat man einige größere Provider, ihre Proxyserver manuell zu refreshen.
Während die Versteigerungen unter der gewohnten Adresse von eBay nicht erreichbar waren, lief das System im Hintergrund weiter und Auktionen endeten, obwohl viele potenzielle Interessenten nicht mehr mitbieten konnten. Für die Verkäufer entstand dadurch ein finanzieller Schaden, der sich zwar kaum beziffern lässt, den sie aber sicherlich gerne ersetzt hätten. Die eBay-Regelungen für einen Systemausfall greifen in diesem Fall wohl kaum, weil eigentlich kein Ausfall vorlag.
In einer Mitteilung hatte eBay erklärt, das System selbst sei zu keiner Zeit beeinträchtigt und Nutzer-Daten nicht gefährdet gewesen. So ganz sicher ist man sich da freilich wohl selbst nicht. Zumindest wandte sich das Online-Auktionshaus bereits am Samstag an das Bundeskriminalamt, das inzwischen Ermittlungen aufgenommen hat; offensichtlich befürchtete man eine Phishing-Attacke. Diese Befürchtung war nicht aus der Luft gegriffen: Aktiviert ein Nutzer am eBay-Frontend die Option "Ich möchte auf diesem Computer eingeloggt bleiben", so werden die Zugangsdaten dort gespeichert und per Cookie an den Server übertragen.
Was also, wenn tausende eBay-Nutzer nun unwissentlich diese Daten an den falschen Server geschickt haben? Zu dieser und vielen anderen offenen Fragen hat eBay weder gegenüber seinen Nutzern noch den Medien Stellung bezogen. Auch Nachfragen von heise online blieben bisher unbeantwortet. Ein Intergenia-Mitarbeiter erklärte allerdings gegenüber heise online, die Sichtung der Webserver-Logfiles habe keine Anhaltspunkte für einen Phishing-Angriff ergeben.
Bisher ungeklärt ist auch die Frage nach der Schuld für den Vorfall. Das DeNIC weist eine Verantwortung weit von sich. Mit einem zweistufigen Verfahren sei der Providerwechsel hierzulande besser abgesichert als bei vielen anderen Registries, erklärte DeNIC-Chefin Sabine Dolderer im Gespräch mit heise online: "In diesem Fall sind beide vorgesehenen Sicherungen fehlgeschlagen. Zuerst ist die Prüfung durch den neuen Provider wohl nicht erfolgt, und zum zweiten hat der alte Provider ebenfalls nicht im Sinne seines Kunden geprüft." Es handle sich also um eine Ausnahme. "Bei gut arbeitenden Providern ist es allgemein üblich, dass ein Providerwechsel, wenn kein Kundenwunsch vorliegt, grundsätzlich abgelehnt wird."
Der schwarze Peter wird also teilweise in Richtung Kanada zum Provider Tucows gespielt. Wohl nicht ganz zu Unrecht: Domain-Experten können kaum fassen, dass Tucows den Wechselantrag von Intergenia nicht sofort mit einem NACK an das DeNIC zurückgewiesen hat. Das DeNIC sieht dennoch als Hauptübeltäter den Kunden von Intergenia, der offenbar bewusst beim Transferantrag geschwindelt hat. Dolderer kündigte an, eventuell Strafantrag gegen ihn stellen zu wollen.
Nicht zuletzt muss sich allerdings auch Intergenia vorwerfen lassen, Providerwechsel nicht gemäß den DeNIC-Regelungen auszuführen beziehungsweise ihre Berechtigung zu überprüfen. "Diesen Schuh müssen wir uns anziehen", meinte denn auch Intergenia-Vorstand Thomas Strohe. Er wies darauf hin, dass eine Menge Webhoster die Überprüfung des Domain-Inhabers bisher unter den Tisch fallen lassen. Intergenia werde demnächst einen telefonischen Gegencheck einführen um sicherzustellen, dass der Providerwechsel seine Richtigkeit habe.
