Original-URL des Artikels: https://www.golem.de/news/domain-recht-schweizer-switch-schaltet-domain-wegen-malware-ab-1304-98872.html    Veröffentlicht: 22.04.2013 18:31    Kurz-URL: https://glm.io/98872

Domainrecht

Schweizer Switch schaltet Domain wegen Malware ab

Der Schweizer Domainverwalter Switch hat die Domain npage.ch vorübergehend abgeschaltet, weil darüber Malware verbreitet wurde. Der Schweizer Domainverwalter ist stolz auf diesen "weltweit einmaligen Prozess".

6.681 Webseiten waren für fast 24 Stunden offline, weil eine davon einen Redirect zu einer Webseite enthielt. Die Schweizer Switch - vergleichbar mit der deutschen Denic - ist dabei ihren Richtlinien gefolgt, die vom Gesetzgeber vorgegeben sind, und hat die Domain vorübergehend aus den DNS-Zonefiles entfernt. Wegen einer falsch hinterlegten E-Mail-Adresse wurde der Domaininhaber aber erst informiert, als Switch die Domain bereits abgeschaltet hatte.

Eine Klausel in der Schweizer Fernmeldeverordnung berechtigt Switch, Domains abzuschalten, die Schadsoftware verbreiten: "Die Registerbetreiberin muss einen Domainnamen blockieren und die diesbezügliche Zuweisung zu einem Namenserver aufheben, wenn der begründete Verdacht besteht, dass dieser Domainname benutzt wird, um schädliche Software zu verbreiten", heißt es in Artikel 14 der Schweizer Fernmeldeverordnung. Der Schweizer Domainverwalter rühmt sich damit, der einzige weltweit zu sein, der diesen "Service" anbietet. Die Schweiz habe deswegen die wenigsten infizierten Webseiten weltweit.

Subdomain mit Redirect auf Malware

Die Auswirkung dieser Klausel bekam das deutsche Unternehmen Asnetworks zu spüren, das die Domain npage.ch verwaltet. Dort werden Subdomains vermietet, meist an kleine Gewerbetreibende. Eine davon enthielt eine Webseite mit einem Redirect auf einen Server, der Malware auslieferte. Switch entdeckte den Redirect und informierte am 12. April 2013 denjenigen, der die Domain bei der Switch registrierte - der britische Domain-Reseller Mesh. Dessen E-Mail-Adresse stand in den Registrierungsinformationen, die bei Switch eingereicht wurden.

Pech für Asnetworks, denn die hinterlegte E-Mail-Adresse von Mesh war ungültig. Da Switch auch nach drei Tagen keine Antwort von Mesh erhielt, wurde die Domain am 15. April 2013 um 15 Uhr aus der Zonefile entfernt. Switch informierte zwölf Minuten später den eigentlichen Domaininhaber Asnetworks, dessen E-Mail-Adresse zusätzlich hinterlegt wurde - und in den Whois-Informationen ebenfalls auftaucht.

Erstmal offline

Da war es schon zu spät, sämtliche Subdomains unter npage.ch waren offline. Asnetworks reagierte zwar prompt und informierte Switch, dass es den Redirect von der Webseite entfernt hatte. Bis die Domain wieder freigeschaltet wurde, vergingen aber fast 24 Stunden.

Jeder Verdacht wird geprüft

Wer letztendlich die ungültige E-Mail-Adresse bei Switch hinterlassen hat, lässt sich nicht mehr feststellen. Mesh verwies uns an sein Schwesterunternehmen Hosteurope. Dessen Mitarbeiter sah die Schuld bei Asnetworks, die allerdings die Domain über Hosteurope gebucht hatte. Switch hätte sich indes an den bei ihm ordnungsgemäß registrierten Inhaber der Domain wenden können, den er einfach zu spät informierte.

Auch wenn das Schweizer Fermelderecht eine Abschaltung bereits innerhalb der ersten 24 Stunden vorsieht, wenn der Betroffene nicht auf die E-Mail von Switch reagiert, wartete die Schweizer Domainverwaltung drei Tage, bis sie handelte. Die Aufhebung der Sperre erfolgte ebenfalls unbürokratisch, wie Andreas Schroth von Asnetworks zu Golem.de sagte.

Aktiv bei klaren Indizien

Warum aber schaltete Switch die Domain ab, obwohl es sich lediglich um ein Redirect handelte, die Schadsoftware also gar nicht auf der Webseite unter npage.ch lag? Das sieht eben das Schweizer Fernmelderecht vor, auf das Switch in seinen AGB hinweist, denn es handelte sich um eine Webseite, die - wenn auch über einen Redirect - Schadsoftware verbreitete. "Wir prüfen jeden Verdacht, bevor irgendwelche Maßnahmen ergriffen werden. Nur bei klaren Indizien auf eine Infektion durch Schadcode werden wir auch aktiv", informierte uns Switch per E-Mail.

Lediglich in 20 Prozent der Fälle werde die Domain permanent abgeschaltet, teilte Switch Golem.de mit. Das Schweizer Fernmeldeverordnung erlaube lediglich eine Blockierung für fünf Tage. "In den meisten Fällen wird vor Ablauf dieser Frist eine Lösung gefunden. Die wenigen übrigen Fälle sind aufwendig zu bearbeiten, konnten jedoch bisher immer gelöst werden", schreibt Serge Droz von der Sicherheitsabteilung bei Switch. Vergangenes Jahr habe Switch "3.000 von Kriminellen infizierte Domains gesäubert."

Egal, welche Domain

Und Switch mache keinen Unterschied, ob es sich dabei um große bekannte oder kleine unbekanntere Domains handelt. Jede Blockierung und Aufhebung werde dokumentiert und Switch erstattet dem Schweizer Bundesamt für Kommunikation (BAKOM) vierteljährlich oder auf Verlangen Bericht darüber.

Die Denic in Deutschland kennt solche Regeln nicht. Dort sei jeder Domaininhaber selbst für den Inhalt auf seinen Domains verantwortlich, hieß es auf Anfrage. Eine Löschung erfolge nur dann, wenn beispielsweise der Domainname selbst als anrüchig oder rechtswidrig eingestuft wird, etwa wenn er Namen bekannter Nationalsozialisten enthält.

Nachtrag vom 23. April 2013, 10:30 Uhr

Die AGB der Switch richten sich nach den Vorgaben der Schweizer Fernmeldeverordnung. Das haben wir im Artikel nochmals klargestellt.  (jt)


Verwandte Artikel:
BGH: Missbrauchte Domainnamen müssen gelöscht werden   
(28.10.2011, https://glm.io/87367 )
Domain: Richard Gutjahr pfändet Compact-online.de   
(23.01.2018, https://glm.io/132331 )
Incident Response: Social Engineering funktioniert als Angriffsvektor weiterhin   
(25.02.2018, https://glm.io/132972 )
Europäische Kommission startet Umfrage zum "Cybersquatting"   
(02.08.2002, https://glm.io/21058 )
Flightsim Labs: Flugsimulator-Addon klaut bei illegalen Kopien Passwörter   
(20.02.2018, https://glm.io/132882 )

© 1997–2021 Golem.de, https://www.golem.de/