IP-basierte Filter bei T-Com
T-Com, der Festnetzbetreiber der Deutschen Telekom AG, sperrt einige IP-Adressen. Vermutlich steht dies im Zusammenhang mit einem sogenannten Phishing-Angriff auf T-Com-Kunden. Von den Sperren betroffen sind unter anderem alle T-Online-Kunden.
Der Phishing-Angriff
Um den 2004-11-14 herum wurden von Unbekannten E-Mail-Nachrichten mit dem Absender Rechnung-Online@telekom.de verschickt, die den Eindruck erwecken sollten, sie stünden im Zusammenhang mit der Dienstleistung Rechnung Online der Konzerntochter T-Com
der Deutschen Telekom AG. Die Nachrichten sollten die Empfänger dazu verleiten, ihre T-Com-Kundendaten auf einer besonderen Webseite einzugeben (vgl. Gefälschte Telekom-Seite verbreitet Trojaner, Meldung bei Heise Online vom 2004-11-14).
Die Sperre durch T-Com
Schon bald darauf wurde berichtet, daß ein Teil der gefälschten Seiten durch den US-amerikanischen ISP, der das Angebot für einen Kunden bereitstellte, gesperrt wurden, ein anderer Teil jedoch durch T-Com selbst (siehe Steffen Moser, T-Phishing, Usenet-Beitrag vom 2004-11-14; Jörg-Olaf Schäfers, Und sie sperren doch: Phishing-Filter bei der T-Com?, im Medienrauschen am 2004-11-17 veröffentlicht).
Diese Sperre wurden seitens der T-Com innerhalb des eigenen IP-Netzes aktiviert und betrifft alle IP-Kunden der Deutschen Telekom: nicht nur T-Online-Kunden, sondern auch z.B. auch Geschäftskunden. (Anderslautender Bericht: T-Online sperrt Websites, Heise Online, 2004-11-20.) Bei der Art der Sperrung (vermutlich eine sogenannte Null-Route im IGP der T-Com) ist eine Differenzierung nach T-Online-Kunden, Geschäftskunden und Kunden von bestimmten T-DSL-Resellern (letztere ohne eigene IP-Adressen) mit der derzeitigen Routing-Technologie kaum durchführbar. Nicht betroffen sind dagegen T-Com-Kunden, deren IP-Pakete lediglich über den T-Com-Backbone getunnelt werden. Hierzu gehören T-DSL-Kunden, die IP-Adressen von einem anderen ISP beziehen (welcher ISPgate oder ZISP nutzt). Kunden von ISPs, die lediglich IP-Dienstleistungen der T-Com unter eigenem Namen weiterverkaufen (z.B. über die t-ipconnect.de-Plattform) sind dagegen von den Sperren betroffen, da sie (unabhängig vom ISP) IP-mäßig im T-Com-Backbone angesiedelt sind.
Nebenwirkungen
Mittels passiver DNS-Replikation läßt sich feststellen, daß neben den in den E-Mail-Nachrichten genannten Webseiten eine Reihe zusätzlicher URLs betroffen sind. Die Webangebote scheinen unverfänglich zu sein, ein Anlaß zur Sperrung ist nicht zu erkennen:
- http://www.amclassical.com/
- http://www.dreamworldstudio.net/
- http://www.gorillasoft.com/
- http://www.highschoolfever.com/
- http://www.lovecapoeira.com/
- http://www.nodeonline.com/
- http://www.sobrietystones.com/
- http://www.woodstockplayhouse.org/
Diese Liste von Webseiten ist zweifelsohne nur eine verschwindend kleine Teilmenge der tatsächlich betroffenen Seiten. Die Webseiten gehören zum Shared-Hosting-Angebot von iPowerWeb. Bei solchen Angeboten ist es üblich, tausende, wenn nicht gar zehntausende Webseiten über eine einzelne IP-Adresse ins Netz zu stellen. Hinzu kommt, daß die Unbekannten offenbar nach einem Einbruch fremde Webseiten mißbräuchlich abänderten, so daß auch die Inhaber der in den E-Mail-Nachrichten genannten Domains selbst nur Opfer sind (und, trotz entsprechender Aufräumarbeiten, weiterhin gesperrt werden).
Offene Fragen
Das Vorgehen der T-Com wirft einige interessanten Fragen auf:
Werden IP-basierte Filter von den Kunden akzeptiert, auch wenn sie kaum kalkulierbare Nebenwirkungen besitzen?
Wie können die Nebenwirkungen im voraus abgeschätzt werden? Können anonymisierte Zugriffsstatistiken (wie sie passive DNS-Replikation liefert) hierzu eingesetzt werden?
Wird T-Com diese Filter-Dienstleistung auch für andere Zwecke (z.B. Schutz von Bankkunden, Jugendschutz, Verhinderung der direkten Verbreitung von Neonazi-Propaganda über den T-Com-Backbone) einsetzen?
Wie werden die Sperren gepflegt? Inzwischen (2004-11-20) scheinen die Webseiten, die für den Phishing-Angriff genutzt werden, durch iPowerWeb (den Betreiber des Angebots) gesperrt worden zu sein bzw. der Originalzustand wurde durch den Betreiber wiederhergestellt. Der Grund der Sperre scheint somit also entfallen zu sein. Eine mögliche Erklärung wäre, daß die Seiten aus anderem Grund gesperrt wurden, aber aus den vorliegenden DNS-Daten und Websites ergibt sich darauf kein Hinweis.
Die rechtliche Zulässigkeit solcher Sperren dürfte dagegen weitestgehend geklärt sein, daß es keinen Rechtsanspruch auf ein ungefiltertes Internet gibt und Internet-Zugriff seiner Natur nach nur best effort sein kann. Die gezielte Verschlechterung der Dienstqualität ist zudem bei Privatkundenzugängen marktüblich (vgl. Bandbreitenbegrenzung von P2P-Anwendungen, Größenbeschränkungen von Postfächern für E-Mail, äußerst restriktive Spam-Filter).
Falls IP-basierte Sperren in dieser Form (mit erheblichen Nebenwirkungen und ohne sorgfältige, zeitnahe Pflege) tatsächlich hinnehmbar sind, wäre eine kosteneffektive Umsetzung der medienrechtlichen Anforderungen an deutsche Internet-Provider möglich. Die von T-Com nun vorgenommen Sperren sind fraglos experimenteller Natur, aber eine erfolgreiche, von den Kunden akzeptierte Durchführung wird sicherlich Vorbildcharakter für alle deutschen ISPs haben.
Nachtrag (2004-11-23): T-Com deaktivierte inzwischen die Sperren. Eine Stellungnahme liegt noch immer nicht vor.
Weitere Informationen zu Internet-Filtern
Diese Seite soll einen ungefähren Einblick über die Verbreitung, den Umfang und die Qualität von Internet-Filtern an deutschen Hochschulen geben.
T-Com, der Festnetzbetreiber der Deutschen Telekom AG, sperrt einige IP-Adressen. Vermutlich steht dies im Zusammenhang mit einem sogenannten Phishing-Angriff auf T-Com-Kunden. Von den Sperren betroffen sind unter anderem alle T-Online-Kunden.
Nebenwirkungen von IP-basierten Filtern
Filter, die einzelne Webseiten gegenüber Zugriff sperren sollen, können weitaus mehr Seiten sperren, als beabsichtigt. Diese Problematik ist wohlbekannt, konkrete Beispiele fehlten jedoch bislang.
Revisions
2004-11-20: Veröffentlicht.
2004-11-23: Sperren wurden entfernt.