Beim Domain-Registrar Gandi wurden 751 Domain-Namen gekapert und umgeleitet. Darunter finden sich 27 Top-Level-Domains wie .asia, .au, .jp and .se sowie auch 94 .ch- und .li-Domains. Also 94 Websites (und E-Mail-Adressen mit demselben Namen) von Schweizer Firmen und Organisationen.

Unter den gekaperten Domains fand sich auch die Schweizer Domain "scrt.ch" des Lausanner Security-Unternehmens SCRT Information Security. In einem Blogpost schuf das Unternehmen Transparenz zur illegalen Kaperei. Man habe festgestellt, dass DNS-Requests nicht die korrekten IP-Addressen retournierten, so SCRT, sondern auf eine fremde Website umgeleitet wurden. Die Firma kontaktierte darauf die involvierte nic.ch, worauf dann der Domain-Registrar Gandi identifiziert und kontaktiert werden konnte.

Gandi konnte dann die Umleitungen rückgängig machen.

Der Vorfall ist relativ aussergewöhnlich in seiner Dimension mit so vielen betroffenen Domains, erläutert Andri Steiner CEO von Snowflake Ops und Spezialist beim Schweizer Registrar.

Aussergewöhnlich wirkt auch, wie das geschehen konnte. Gandi wurde nämlich nicht gehackt, ebensowenig die Partner. Sondern ein Krimineller konnte sich mit einem Passwort einloggen und statt scrt.ch andere DNS-Server hinterlegen.

Entweder war dieses Passwort also sehr einfach zu erraten, oder es war irgendwo gespeichert oder Gandi hatte die üblichen netzwerkseitigen Einschränkungen mit dedizierten Servern nicht vorgenommen.

Gandi ist ein normaler Registrar mit Hauptsitz Paris, bei welchem man alle möglichen Internet-Adressen registrieren und entsprehchen die IP-Adressen von Name Servern konfigurieren. Dasselbe bieten diverse Schweizer Firmen an. Laut eigenen Angaben managt Gandi als Registrar 2,1 Millionen Domains und ist seit 1999 am Markt.

Wie üblich bei Registraren arbeitet das Unternehmen im Hintergrund mit mehreren, kaskadierenden Partnern zusammen. Diese sind via automatisierte Schnittstellen miteinander verbunden. Diese Verknüpfung macht aus Sicht der Beteiligten schon sprachlich Sinn, wenn man beispielsweise japanische Top-Level-Domains anbiete.

Allerdings wurde die ganze Kaper-Operation "dilettantisch" durchgeführt, so Steiner, und darum nach vier Stunden von SCRT bemerkt, an Gandi gemeldet und nur eine weitere Stunde später war der Spuk zu Ende.

Nicht sehr raffiniert war es dabei, auf eine Website mit Malware umzuleiten.

Viel raffinierter hingegen wäre es gewesen, wenn die Website und der E-Mail-Verkehr vordergründig funktioniert hätte wie normal, während man die E-Mails im Hintergrund abgriff. Theoretisch wäre es laut dem Spezialisten möglich, so auch eine Online-Banking-Adresse umzuleiten und Infos abzugreifen.

"Wenn man das geschickter macht, wird das relativ lange nicht bemerkt, auch von Switch, verantwortlich für die Registrierung der Domain-Namen mit den Endungen .ch und .li, nicht," so Spezialist Steiner.

Gandi hat inzwischen die Logins zu allen 150 technischen Plattformen, welche man zur Verknüpfung mit Partnern nutzt, geändert. Das Unternehmen hat nachträglich auch einen recht detaillierten Report der Ereignisse publiziert. (Marcel Gamma)