Verwirrung um dns-ok.de

Norbert Tuschen • 13 Januar 2012 • Allgemein, Sicherheit

Zwei Tage nach der Veröffentlichung der Webseite dns-ok.de herrscht Verwirrung.

Viele Internetanwender vermuten hinter der Website dns-ok.de eine Falle des BKA, um den viel diskutierten Staatstrojaner zu verbreiten.

Man kann darüber lachen oder diese Zweifel ernst nehmen. Eins ist aber klar: Der ganze Vorgang ist kein Meisterstück der Kommunikation, sondern eher ein Trauerspiel.

Warum dieses Urteil? Ganz einfach:

Das Bundesamt für Sicherheit in der Informationstechnologier (BSI) hat eigentlich den guten Gedanken, Internetanwender auf einen möglichen Befall des Rechners aufmerksam zu machen.

Das BSI überlegt sich also eine Möglichkeit, die Rechner aus der Ferne auf eine Veränderung des DNS-System zu überprüfen. Man macht dies vermutlich über zwei verschiedene DNS-Einträge. Einen manipulierten DNS Eintrag für infizierte Rechner, der auf eine andere IP zeigt als der korrekte Eintrag. So lässt sich völlig ohne Eingriff auf den Anwenderrechner direkt und sekundenschnell testen, ob er infiziert ist. Erscheint nämlich die Webseite mit der grünen Grafik, ist alles prima. Aber wenn die rote Seite erscheint kommt, sie vom Server mit der IP-Adresse aus den Botnetz-Servern. Damit ist ein Befall sofort nachgewiesen.

Der technische Background ist also in 6-8 Zeilen Text beschrieben.

Statt aber dieses Verfahren kurz öffentlich zu beschreiben und mit einer kleinen Grafik für Klarheit zu sorgen, geht man hin und legt diese Seiten nicht einmal auf den Servern des BSI ab. Und auch nicht auf den Servern der deutschen Telekom, sondern man lässt das ganze über Server eines in der breiten Anwenderschaft unbekannten Unternehmens machen.

Die Webseite wird also nicht unter “dns-ok.bsi.de” eingerichtet, was ja den Anbieter transparent nennen würde. Irgendein Marketing-Stratege empfiehlt wahrscheinlich, es lieber unter einer “griffigen” Domain namens “dns-ok.de” anzulegen.

So etwas kann doch nur für Verwirrung sorgen, insbesondere, da man so eine Seite doch auch schnell nachbauen kann, oder?

Also an der Stelle  ein wenig Hintergrundrecherche.

Man kommt schnell zu dem Ergebnis, dass die korrekte Seite die IP 85.214.11.195 hat. Die zuständigen Nameserver liegen in einer Domain “hsd.de”. Die IP-Adresse selbst liegt im Bereich einer Firma namens Cronon AG.

Nanu. Wer ist denn das? Klingt Cronon nicht ähnlich wie Digitask? (Zur Erinnerung, das ist die Firma, die den “Staatstrojaner” entwickelt hat.) Was macht Cronon? Professional IT-Services. Aha. Digitask hat als Arbeitsbereich “Spezielle Kommunikationssysteme” gewählt. Da kann man also durchaus ins Grübeln kommen.

Aber nicht Grübeln, sondern weiter nach Informationen suchen. Die Cronon AG sitzt nach eigener Angabe auf der Website in Berlin. Cronon ist eine Tochtergesellschaft der Strato AG. Strato ist einer der führenden Webhostingprovider in Deutschland.

Laut Wikipedia handelt es sich bei Strato und damit auch bei Cronon um ein nicht börsennotiertes Tochterunternehmen der Telekom AG. Im Zuge von mehreren Übernahmen ist das offenbar seit 2009 der Fall. All diese Angaben decken sich auch mit den Angaben aus den verfügbaren Whois-Datenquellen.

Nun zurück zu “hsd.de”. Diese Domain gehört zum Dunstkreis von Computacenter, einem Service & Solution-Anbieter, der Rahmenverträge mit vielen Behörden und Bundesministerien hat. Das sieht also auch plausibel aus.

Leider lassen sich zur weiterechen Recherche, ob Cronos oder Strato im Branchenverband eco sind, keine weiteren Recherchen anstellen. Im Moment (13.1.2012, 08:20 Uhr) ist der Webserver des BRANCHENVERBANDES eco nicht erreichbar. Nach längerer Wartezeit erscheint die Meldung (502 Bad Gateway). Und das passiert über verschiedene Zugänge. Das lasse ich einfach mal unkommentiert so stehen.

Beenden wir die Recherche einmal an diesem Punkt. Ohne jetzt eine verbindliche Aussage treffen zu können, ob die Website im Hintergrund nicht doch IP-Adressen sammelt, sieht eigentlich alles prima aus.

By the way, ist das Impressum von “dns-ok.de” eigentlich in der Form korrekt? Immerhin nehmen in dem Projekt ja mindestens zwei andere privatwirtschaftlich organisierte Firmen an dem Projekt Teil. Sollte man diese nicht auch einfach mal anführen, um für mehr Vertrauen zu sorgen?

Fazit für mich: Eigentlich ist das Projekt vom Zweck und der Umsetzung prima. Aber was die Kommunikation mit dem Endanwender angeht, ist es furchtbar umgesetzt. Das BSI verlangt doch immer wieder die Schulung des Anwenders. (Siehe BSI Grundschutz & Co…) Immer wieder drängt man dazu, nicht unreflektiert auf irgendwelche unbekannten Seiten zu gehen. Und jetzt schafft man es im Vorfeld nicht, das Verfahren zu erläutern und nachvollziehbar und transparent umzusetzen?

Liebes BSI: Gerade im Sektor IT-Sicherheit sind Kommunikation und Transparenz wichtig, damit der Endanwender die Ernsthaftigkeit des Anbieters versteht. Ich muss also klar sagen, der Ansatz ist absolut in Ordnung. Aber kommunikativ stellt das gesamte Projekt aus meiner Sicht einen echten Flop dar. Man kann Anwender kaum mehr verunsichern.