BUSKEISMUS

Sitemap        Home


 

Landgericht Hamburg

Aus dem Internet zum Hintergrund der einstweilige Verfügung v. 20.09.2005 - Az.: 324 O 721/05

1. http://www.heise.de/newsticker/meldung/62538

Dialer-Anbieter verteilt Trojaner

Gerd Schierenbeck war entsetzt, als er auf den Monitor blickte: Wo vor kurzem noch das Angebot seiner Online-Akademie Überlingen zu finden war, lockten jetzt dubiose Versprechungen zum Download eines Dialers. Offenbar hatte jemand die Kontrolle über seine Domain lernen-im-netz.de übernommen.

Nach bisherigen Recherchen kam es durch einen Fehler bei seinen Providern dazu, dass die Domain am 28. Juli 2005 mit einem "Close"-Eintrag zur Neuregistrierung freigegeben wurde. Keine vier Minuten später war sie laut DeNIC-Historie von Mario Dolzer, Geschäftsführer des Dialer-Anbieters Universal Boards, registriert worden.

Wie konnte Dolzer so schnell an Informationen zur freigegebenen Domain kommen? Purer Zufall? Schierenbeck schilderte den Fall heise online. Seit dem gestrigen Donnerstag sind die Dialer von der Website verschwunden, stattdessen forderte eine fingierte Browser-Errorpage zum Herunterladen eines "Plugin" namens k.exe auf. Bei der Installation dieses Programms müssen die "Nutzungsbedinungen" akzeptiert werden, danach verabschiedet sich der Prozess in den Hintergrund und wird künftig bei jedem Systemstart von Windows mitgestartet.

Zusammen mit Spezialisten des deutschen Honeynet-Projekts prüfte heise online, ob das Programm tatsächlich tut, was in den Nutzungsbedinungen angegeben ist, nämlich Werbung einzublenden und die Startseite des Browsers zu ändern. Das tat es tatsächlich. Allerdings ist das längst nicht alles. Das Programm enthält außerdem einen ausgewachsenen Trojaner. Einige der Funktionen sind sogar bereits in einer Analyse des Antivirentool-Herstellers AntiVir erwähnt.

Wir belauschten den Netzwerk-Traffic des Programms. Der Trojaner öffnet an Port 6666 eine Backdoor und meldet sich über Port 80 bei einem Webserver an, der sich in der IP-Range von Dolzers Universal Boards befindet. Dann erhält er verschlüsselt Listen mit Domain-Namen. Nach einem Tag waren es über 12000 verschiedene, vorwiegend beschreibende Namen und attraktive Domains, die einen hohen Google-Pagerank innehaben. Die Liste geht von A wie autohof.de bis Z wie zirkuswelten.de. Solche beliebten Domains sind für Dolzer dafür geeignet, Dialer zu platzieren oder sie in Linkfarmen zu integrieren.

Diese Namen fragt das Programm in regelmäßigem Abstand bei verschiedenen Whois-Diensten ab. Wenn eine Domain frei wird, kann Dolzer zuschlagen und sie sich unter den Nagel reißen. Offensichtlich will man durch die verteilten Anfragen von vielen Trojanern Whois-Sperren umgehen, die dann greifen, wenn zuviele Abfragen pro Zeitintervall von einer Adresse aus erfolgen. Eine vorläufige Analyse der Funktionsweise hat das deutsche Honeynet-Projekt heute bei Sourceforge veröffentlicht. Auf wievielen PCs der Trojaner derzeit installiert ist, bleibt vorerst unklar. heise online hat Ermittlungsbehörden von der Sachlage in Kenntnis gesetzt.

Mario Dolzer war zu einer Stellungnahme nicht bereit und verwies uns stattdessen an seinen Rechtsanwalt Bernhard Syndikus. Syndikus erwiderte mittlerweile auch die Aufforderung zur Rückgabe von lernen-im-netz.de durch die Akademie Überlingen und drohte mit einer Feststellungsklage. In anderen, heise online bekannten Fällen von plötzlichen Domain-Verlusten ohne Zustimmung des Inhabers findet sich Syndikus überdies auch als neuer Admin-C der Domains in der Whois-Datenbank wieder.

Auf lernen-im-netz.de wird mittlerweile in Rotation mit der k.exe-Download-Aufforderung auch zum Download eines Erotik-Dialers eingeladen. Als Jugendschutzbeauftragter für die Site wird Rechtsanwalt Syndikus angegeben. (hob/c't).

2. http://www.gulli.com/aktuell/050926-dolzer-ev-gegen-heise.html

EV verbietet Forenpostings mit Sabotageaufrufen
Einige Gegner hat sich die Universal Boards GmbH & Co. KG gemacht - unter anderem mit den Zugangstools, mit denen sie den Zutritt zu einigen Webseiten freischaltet. Diese beinhalten einige weitere Funktionen, was dazu führte, dass sie unter anderem vom Heise-Verlag als Trojaner bezeichnet wurden. Geschäftsführer Mario Dolzer wollte diese Bezeichnung so indessen nicht akzeptieren. Entsprechend leitete er bereits gegen die Antiviren - Softwareschmiede H+BEDV rechtliche Schritte ein - die Antivir-Software kategorisiert k.exe als Trojaner - wie auch gegen heise, die die Zugangssoftware explizit als Trojaner titulierten. Im letzteren Verfahren hat Dolzer nun einen Etappensieg errungen - wenngleich in einer etwas anders gearteten Angelegenheit, und mit möglicherweise bedenklichen Folgen für den Betrieb von Internetforen in Deutschland.
Im Gefolge der umstrittenen Tickermeldung von heise kam es zu Aufrufen der User, die Universal Boards mit dem massenhaften, automatisierten Download der umstrittenen Zugangssoftware k.exe lahmzulegen. Unter anderem wurden Skripte veröffentlicht, die in einer Endlos-Schleife das Programm "k.exe" herunterladen und sofort löschen:
typeset -i i; while true; do let x=$x+1;
wget -O /dev/null
http://213.203.209.116/k.exe>/dev/null/; echo $x; done

Einzelne dieser Beiträge seien von den Foren-Moderatoren erst gelöscht worden, nachdem ihnen die konkrete URL mitgeteilt wurde, so die Presseerklärung. Der Heise-Verlag weigerte sich jedoch, Vorkehrungen gegen weitere Beiträge zu treffen, in denen zu Server-Attacken gegen die Universal Boards aufgerufen wurde. Dagegen wurde von heise seitens Dolzer gefordert, grundsätzlich solle wirksam unterbunden werden, dass weitere Aufrufe zum dDoS im heise - Forensystem erstellt werden.
Heise berief sich indessen auf die gängige Rechtsauffassung, dass eine Vorabkontrolle von Forenbeiträgen nicht möglich sei und man erst nach Information über entsprechende Inhalte tätig werden könne. Heise-Justiziar Joerg Heidrich erklärte schriftlich, dem Verlag sei es nicht möglich, die vielen Tausende von Postings von inzwischen über 200.000 Teilnehmern zu kontrollieren. Hierzu sei der Verlag auch nach den allgemeinen Regeln nicht verpflichtet.
Nun konnte Dolzer vom Landgericht Hamburg eine Einstweilige Verfügung erlangen, die heise dazu zwingt, Vorkehrungen zu treffen, damit sich solche Aufforderungen zu gezielten Attacken gegen die Server der Universal Boards GmbH & Co. KG nicht wiederholen können.
Das Landgericht Hamburg hat dem Heise Zeitschriftenverlag auf Antrag der Münchener Universal Boards GmbH & Co. KG im Wege der einstweiligen Verfügung mit Beschluß vom 20.09.2005 (AZ: 324 O 721/05) untersagt, Forumsbeiträge zu verbreiten, in denen dazu aufgefordert wird, durch massenhafte Downloads von Dateien den Server-Betrieb der Universal Boards GmbH & Co. KG zu stören. Für jeden Fall der Zuwiderhandlung gegen dieses gerichtliche Verbot wurden dem Heise-Verlag Ordnungsgeld bis zu 250.000 Euro oder Ordnungshaft angedroht.
Der Heise-Verlag müsse gemäß der Presserklärung nun ab sofort sicherstellen, dass keine Forumsbeiträge mehr veröffentlicht werden können, in denen wörtlich oder sinngemäß dazu aufgerufen wird, die Datei "k.exe" von den Servern der Universal Boards GmbH & Co. KG zu laden, um den Serverbetrieb zu stören oder den Traffic zu erhöhen. Bereits ein einziges Posting, das eine solche Aufforderung oder gar Download-Skripte enthält, könne dazu führen, dass gegen den Heise-Verlag ein Ordnungsgeld oder, wenn es zu einer Vielzahl von Verstößen gegen das gerichtliche Verbot käme, gegen die Geschäftsführer des Verlages auch Ordnungshaft verhängt werden könne.
Diese Rechtsauffassung stützt sich auf die Grundsatzentscheidung des Bundesgerichtshofs (BGH) zum Haftungsprivileg von Diensteanbietern (Urteil vom 11.03.2004, I ZR 304/01, "Internet-Versteigerung"). Der BGH hatte entschieden, dass das Haftungsprivileg des § 11 TDG nicht für den Unterlassungsanspruch gilt. Diensteanbieter wurden verpflichtet, nach bereits erfolgten Verletzungshandlungen alle zumutbaren Anstrengungen zu unternehmen, um die Wiederholung solcher Rechtsverletzungen zu verhindern.
Während die Haftung im Vorfeld, die von der EV gefordert wird, nun einigen Boardbetreibern durchaus Bauchschmerzen machen dürfte, ist Dolzer zuversichtlich, dass die EV über den jetzigen Rechtsstreit mit heise folgenlos für die deutsche Boardlandschaft bleibe. Es gehe konkret um den dDoS - Aufruf bei heise, für andere Foren sehe er keine Gefahr. Ohnehin sei davon auszugehen, dass sich heise wohl gezwungenermaßen der EV beugt, in der Sache jedoch ohnehin ein Hauptverfahren anstrebt, in dem auch über die nun vorläufig geregelte Angelegenheit nochmals separat befunden wird.
Die Geschichte dürfte sich indessen noch länger hinziehen: ein Termin für eine Hauptverhandlung mit heise kann nun zwar anberaumt werden, nachdem jetzt zumindest die Einstweilige Verfügung herausgegangen ist - festgesetzt ist ein solcher jedoch noch nicht. Im Fall H+BEDV verzögerte die Erstellung von Gutachten den Prozessbeginn erheblich. Und solange steht auf diversen Seiten Dolzers die k.exe nach wie vor zum Download - mit den unveränderten AGB, die dem Programm nach Zustimmung des Users mehr oder weniger alles erlauben, was es auf dem Rechner des Users anzustellen gewillt ist. Geklagt dagegen habe noch niemand, so Dolzer - in seinen Augen ein Indiz für die Rechtmäßigkeit seines Vorgehens - Berichterstattung hin oder her.

26.9.2005

Kommentare

Siehe

Bitte senden Sie Ihre Kommentare an Rolf Schälike
Dieses Dokument wurde zuletzt aktualisiert am 16.10.05
Impressum