Forensic Investigations / Fi Blog

Fi Blog

Seit die DeNIC , eine Genossenschaft zur Verwaltung der länderspezifischen Top-Level-Domain Deutschlands (.de) ankündigt hat, dass bald Domainnamen, die nur aus Ziffern bestehen, bestimmte vorher nicht registrierbare reservierte Domains, und Domainnamen die aus weniger als 3 Zeichen bestehen bald zur Registrierung verfügbar sein würden, war der Goldrausch im Lager der Domain-Grabber wohl kaum mehr zu bremsen.

Das Problem des deutschen Domainnamenssystems ist, das im Gegensatz zu anderen Ländern ein direkter Zugang zur NIC lediglich den Mitgliedern der Genossenschaft möglich ist, d.h. Mitglieder der Genossenschaft stehen "höher in der Nahrungskette" als Normalsterbliche oder kleine Provider, die sich eine Mitgliedschaft in der Genossenschaft nicht leisten können oder wollen. Es steht also zu Befürchten, das sich Mitglieder der Genossenschaft ein grosses Stück vom Kuchen abschneiden werden.

Zudem sind einige Domainnamen aus gutem Grund reserviert und von einer Registrierung ausgeschlossen, wie beispielsweise "com.de", "net.de", "org.de", "edu.de", "mil.de" oder "gov.de". Der Besucher erwartet hier nämlich bestimmte Arten von Organisationen, wie unter entsprechenden internationalen TLDs, oder wie auch bestimmten anderen Ländern üblich. Deutschland nimmt auch hiermit eine weltweite Sonderrolle ein. Die Freigabe dieser Domains liegt wohl nicht im Interesse des Verbraucherschutzes, schon eher im Interesse der 20 Mio. €, auf die das Marktvolumen der neu registrierbaren Domains geschätzt wird . Kein Wunder, wenn da Preise von mehreren zehntausend Euro für bestimmte Domains kursieren.

Es steht auch zu befürchten, daß eine große Menge von Domains einfach von denjenigen gehortet werden, die die Möglichkeit dazu haben, ohne dass das geringste legitime Interesse am Besitz des Namens besteht. Abkürzungen mit zwei Buchstaben passen auf vieles, bespielsweise auf Kfz-Kennzeichen, deren Registrierung vorher gar nicht möglich war, Zahlenkombinationen können Postleitzahlen oder Vorwahlen wiederspiegeln. Da findet sich schon irgendwie ein Käufer, und die Registrierung und Aufrechterhaltung kosten paar lumpige Cents im Jahr.

Da Internet-Domains inzwischen zu so einer Art Marke im Internet geworden sind, sollte man sich fragen, ob man nicht erstens die Schutzfähigkeit und legitimes Interesse überprüft, und zweitens eine Art Benutzungszwang analog zum Markenrecht einführt, um solche Auswüchse zu verhindern oder wenigstens einzudämmen. Mit der neuen Registrierungs-Policy dürfte wohl eine Menge Zusatzarbeit auf die Gerichte zukommen...

UPDATE 23.10.2009: Es kam wie es kommen mußte, über 10000 Domains in 90 Minuten automatisiert unter den Nagel gerissen.

UPDATE 23.10.2009: Besonders schön: DeNIC trägt sich selbst als Eigentümer der Domain "de.de" ein , noch vor dem offiziellen Start der neuen Domains, und dies obwohl die DeNIC dies satzungsmäßig nicht dürfe. Hier liegt der Gleiche Interessenskonflikt zu den Genossenschaftsmitgliedern vor, wie zwischen Genossenschaftsmitgliedern und Normalsterblichen.

UPDATE 24.10.2009: Wie es kommen mußte: De-Kurzdomains sehr ungleich verteilt , ein Anbieter hat sich 28% der neuen Domains gesichert.

UPDATE 28.10.2009: Wie es kommen mußte: De-Kurzdomains in die USA abgezogen und auf Briefkastenfirmen umgeschrieben

UPDATE 18.11.2009: Wie es kommen mußte: Die Domain "de.de" sei nun auf die österreichische österreichische "Space Monkey GmbH" überschrieben worden, als Admin-C sei mit Bernhard Syndikus ein "alter Bekannter" eingetragen, wie Thomas Stadler schreibt. Ein Schelm wer denkt, dies sei womöglich eine ideale Phishing-Domain oder hier sei etwas nicht mit richtigen Dingen zugegangen.

UPDATE 14.12.2009: Wie es kommen mußte: Der Inhaber der Domain "co.de" hofft wohl auf die Verwechslung mit einer richtigen Toplevel-Domain und gibt Unterdomains für günstige 99€ ab.


Natürlich freuete ich mich, als ich hörte, dass die it-sa 2009, die in diesem Jahr erstmals als eigenständige Messe und nicht im Rahmen der Systems in München abgehalten wurde, Nürnberg als Messestandort ausgewählt hatte. Nachdem auch die Eintrittskarte wie immer gratis war, dachte ich, warum nicht mal vorbeischauen, zumal ich auch einige langjährige Geschäftspartner besuchen wollte.

Ausser recht hübschen Engelchen & Teufelchen, die auf der Messe zur Promotion unterwegs waren, war nicht so überragend viel geboten. Gar internationales Flair, wie es etwa bei der "Embedded World " der Fall war, kam jedoch kaum auf. Alles in allem war die sich über gerade mal 2 kleine Hallen erstreckende Messe sehr überschaubar und von daher auch irgendwie gemütlich. Als Aushängeschild diente die Keynote von Dr. Taher Elgamal , mit dessen Arbeiten ich auch im Rahmen eines unserer letzten Projekte im Bereich Kryptographie zu tun hatte.

Schockierend war die niedrige Kompetenz an vielen Ständen auch sehr grosser Anbieter, ohne jetzt Namen nennen zu wollen. Viel mehr als "Blabla" und die üblichen Hype-Argumente, die man auch entsprechenden Hochglanzprospekten entnehmen kann, wurde da nicht vermittelt. Technische Fakten leider komplett Fehlanzeige. Es scheint so eine verbreitete Unart der Sicherheitshersteller zu sein, hier nur mit Vertrieblern aufzulaufen, statt auch kompetente Fachleute mitzunehmen, aber nicht die erste Messe, auf der ich Fachansprechpartner häufig vermisst habe. Alles so nach dem Motto "die Leute verstehen ja sowieso nichts vom Thema Sicherheit, die wollen sich ja hauptsächlich sicher fühlen, und dieses Gefühl vermittelt die Größe unseres Standes/die Höhe unserer Umsätze/die Bekanntheit unseres Names [nichtzutreffendes bitte streichen]".

Die angebotenen thematischen Messerundgänge waren auch nicht gerade üppig besucht, teilweise wie beim Thema "Web Application Security" rückte nicht ein einziger Teilnehmer an. So schlecht fand ich das Thema nicht, erstaunlich dass so gar keine Resonanz folgte. Diese schlechte Resonanz hätte höchstens das miserable örtliche Catering verdient gehabt. Die Highlights waren eher in manchen Vorträgen zu finden, allen voran im offenen Forum.

Fazit: Wirkliche brandheiße Themen im Bereich IT-Sicherheit fehlten, die Messe muß wohl auch noch einiges tun, um ein internationales Pflaster für die IT-Security-Welt zu werden. Dennoch gute Ansätze sind da und ich konnte doch noch einige gute Gespräche führen, z.B. mit einigen Rechtsanwälten und großen Versicherungen und ein paar alte Kontakte auffrischen, sodass die Messe die paar km Anfahrt dann doch wert war.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31