Erlaubt ist, was geht ?

ICANN Softwarefehler als Sicherheitslücke ausgenutzt

Fehlkonfiguration bei ICANN ausgenutzt

Das Internet wird oftmals als eine Art rechtsfreier Raum bezeichnet. Dahinter steht häufig die Annahme, dass erlaubt und zulässig sei, was funktioniert.

Was ist geschehen?

Die ICANN ist unter anderem zuständig für die Einführung von neuen Toplevel-Domains wie .berlin, .hotel oder .guru. Für das Betreiben dieser neuen Adress-Räume musste man sich bei der IACNN bewerben. Hierfür betreibt ICANN ein eigenes Portal, in dem die Bewerber ihre Bewerbungsunterlagen hochluden. Das waren vertrauliche Informationen wie Business-Pläne, die ausschliesslich für die Augen der ICANN bestimmt waren. So weit, so gut.

Bei der Einrichtung dieses Bewerber-Portales ist der ICANN ein folgenschwerer Fehler unterlaufen, der zur Folge hatte, dass mit etwas Phantasie (man könnte auch sagen: mit Interesse daran, auszutesten, was alles geht) für jeden Bewerber die Unterlagen der anderen Wettbewerber einsehbar waren. Das ist peinlich für diese Organisation und nur als hoch fahrlässig zu bezeichnen.

Was ist noch geschehen?

Der Fehler bei der Einrichtung des Bewerber-Portales blieb nicht unbemerkt. Mehr als 60 mal wurde die Lücke ausgenutzt und dabei wurden mehr als 200 Datensätze von Wettbewerbern heruntergeladen oder auch nur eingesehen.

Bis hierher sind die Sachverhalte klar und unstrittig. Ab hier beziehe ich mich auf Informationen, die dem Branchenportal DomainIncite zugespielt wurden.

ICANN hat die Lücke entweder selbst bemerkt oder wurde auf sie aufmerksam gemacht. Jedenfalls wurden zwei externe Unternehmen beauftragt, die Zugriffs-Logs zu untersuchen und das Ausmass des Problemes festzustellen. Dabei kam heraus, dass offenbar 60 Zugriffe und 200 eingesehene Datensätze mit jeweils identischen Zugangsdaten zusammenhängen. In diesem Kontext ist die Äusserung der ICANN nicht ganz klar.

Wenn das stimmen sollte, so hat EINE Person oder EINE Organisation wenigstens mehr als einmal, offenbar 60 mal die Lücke ausgenutzt. Die Betroffenen, deren Daten eingesehen wurden, hat ICANN bereits informiert. Bei der Gelegenheit wurden sie auch darüber informiert, WER auf ihre Daten zugegriffen hat. Eine dieser Personen soll sich bereits über einen Anwalt geäussert haben. Sinngemäss bestreitet sie laut Branchenportal DomainIncite, dass sie unsauber oder unrechtmässig agiert habe. Die namentlich genannte Person sieht sich auch nicht in der Lage zu sagen, ob sie selbst die Zugriffe ausgeführt habe oder ob es eine andere Person mit den Zugangsdaten des namentlich genannten getan habe.

Natürlich sind die Informationen des Branchenportales aus unserer Sicht aus wenigstens zweiter Hand und daher mit einiger Vorsicht zu geniessen. Jedoch sollte auch der gesunde Menschenstand bei der Bewertung eine Rolle spielen.

Da wird jemand beschuldigt, etwas unehrenhaftes, ja sogar kriminelles getan zu haben. Er weist die Anschuldigung jedoch nicht wirklich zurück, sagt nicht: „Nein, das habe ich nicht getan“. Er sagt vielmehr, dass er nicht unsauber oder ungesetzlich vorgegangen sei und er könne auch gar nicht sagen, ob er die Zugriffe überhaupt ausgeführt habe.

Das Muster kommt bekannt vor, man denke an ähnliche Äusserungen von bekannten Politikern.

Links zum Thema