Fehlkonfiguration bei ICANN ausgenutzt

Das Internet wird oftmals als eine Art rechtsfreier Raum bezeichnet. Dahinter steht häufig die Annahme, dass erlaubt und zulässig sei, was funktioniert.

Was ist geschehen?

Die ICANN ist unter anderem zuständig für die Einführung von neuen Toplevel-Domains wie .berlin, .hotel oder .guru. Für das Betreiben dieser neuen Adress-Räume musste man sich bei der IACNN bewerben. Hierfür betreibt ICANN ein eigenes Portal, in dem die Bewerber ihre Bewerbungsunterlagen hochluden. Das waren vertrauliche Informationen wie Business-Pläne, die ausschliesslich für die Augen der ICANN bestimmt waren. So weit, so gut.

Bei der Einrichtung dieses Bewerber-Portales ist der ICANN ein folgenschwerer Fehler unterlaufen, der zur Folge hatte, dass mit etwas Phantasie (man könnte auch sagen: mit Interesse daran, auszutesten, was alles geht) für jeden Bewerber die Unterlagen der anderen Wettbewerber einsehbar waren. Das ist peinlich für diese Organisation und nur als hoch fahrlässig zu bezeichnen.

Was ist noch geschehen?

Der Fehler bei der Einrichtung des Bewerber-Portales blieb nicht unbemerkt. Mehr als 60 mal wurde die Lücke ausgenutzt und dabei wurden mehr als 200 Datensätze von Wettbewerbern heruntergeladen oder auch nur eingesehen.

Bis hierher sind die Sachverhalte klar und unstrittig. Ab hier beziehe ich mich auf Informationen, die dem Branchenportal DomainIncite zugespielt wurden.