Wie die Telekom mit unserem Vertrauen spielt

Wenn Europas größtes Telekommunikationsunternehmen
zehn Jahre lang ungestraft das DNS manipuliert

Von ElooKoN, am 11. Mai 2019

Vorwort

1Schon im Jahre 2009 berichtete heise online über die Einrichtung einer mit ›T-Online Navigationshilfe‹ betitelten Website durch die Deutsche Telekom1, auf die Kunden des Internetdienstanbieters weiter­ge­leitet wurden, etwa, wenn sie sich beim Eintippen von Internetadressen in den Webbrowser vertippten oder der Nameserver der angesteuerten Website nicht ordnungsgemäß konfiguriert war. Auch ein Jahr später wurde das Thema vom Magazin aufgegriffen2, doch in den letzten Jahren wurde es still. Es wurde so still, dass der Autor es nicht für möglich gehalten hätte, dass die Deutsche Telekom ihren Kunden bis vor Kurzem – wir sprechen von Ende April 2019 – immer noch DNS-Resolver zur Verfügung stellte, die mitunter gefälschte Daten zurückliefer­ten. Was der Autor im September 2018 im ersten Moment als Angriff auf seine eigenen DNS-Server einstufte, waren tatsächlich nicht ordnungsgemäß funktionierende DNS-Resolver eines größeren Netzbetreibers. Nicht, weil diese etwa gehackt wurden oder einen Software­fehler hatten, sondern, weil diese vom Betreiber selbst jahrelang manipuliert wurden.

2Wie sich später aufgrund der Eigentümerverhältnisse der beteiligten Verbindungspunkte herausstellen sollte, wurden durch diese Manipulation offensichtlich Daten aus dem Netz der Deutschen Telekom an Dritte, die in keiner Verbindung mit den Kunden standen, weitergeleitet. In erster Linie sprechen wir hier natürlich von den IP-Adressen der Kunden, doch auch andere Daten, vor allem jene, die ein Web­browser bei unverschlüsselten Verbindungen nun einmal standardmäßig überträgt, waren davon betroffen.

3Der Autor hat deshalb schon im Januar 2019 die Behörden eingeschaltet (III). Drei Monate danach, genau genom­men vor rund zwei Wochen3, hat die Telekom dann tatsächlich – nach zehn Jahren – endlich damit aufgehört, ihre DNS-Server zu manipulieren. Doch nun erst einmal zum Anfang der Geschichte:

I. Technik

1) Vertrauen

4Um das Problem zu verstehen, muss man sich zunächst klarmachen, dass der technische Stand vieler Bereiche des heutigen Internets nach wie vor dem der Pionierzeit entspricht. Grundlegende Prinzipien basierten damals alleine auf Vertrauen und wurden bis heute nicht wesentlich verändert. Nicht erst DNS-Server können von denen, die sie bereitstellen, ohne Anstrengungen manipuliert werden, sondern ganze IP-Adress­be­reiche (Subnetze) und der damit verbundene Netzwerkverkehr können zum Teil erschreckend einfach von Dritten vereinnahmt werden, obwohl ihnen die Adressen überhaupt nicht zugewiesen wurden. Dieses BGP-Hijacking kommt immer wieder vor, unabsichtlich und absichtlich4.

5In vielerlei Hinsicht wird also noch heute darauf vertraut, dass Charlie nicht eingreift, wenn Alice mit Bob kommuniziert. Dies gilt insbesondere dann, wenn Charlie bloß Übermittler der Nachricht ist, er diese gemäß seiner Bestimmung also nicht verändern oder unterdrücken darf. Aus dieser Verpflichtung folgt zugleich das Providerprivileg, das den Übermittler vor rechtlichen Angriffen schützen soll.

2) Domain Name System (DNS)

6DNS-Server bzw. Nameserver dienen u. a. dazu, Domainnamen mithilfe einer Datenbank in IP-Adressen zu übersetzen, im Falle des Reverse-DNS in umgekehrter Reihenfolge. Eine eindeutige Verknüpfung von Domainname und IP-Adresse (A-Record) in einer solchen Datenbank kann zum Beispiel so aussehen:

7www.elookon.de.     3600     IN     A     185.236.8.41

8Bei den DNS-Servern, die die Deutsche Telekom ihren Kunden zur Verfügung stellt, handelt es sich um nichtöffentliche, rekursive DNS-Resolver. Sie sind nicht – wie z. B. der Google Public DNS5 – für jeder­mann nutzbar, sondern nur für Teilnehmer aus dem Telekom-Netz. Weil es sich um DNS-Resolver handelt, enthalten nicht sie die eigentlichen Datenbankeinträge (außer im Zwischenspeicher), sondern sie fragen diese ihrerseits von anderen DNS-Servern ab und leiten diese nur weiter.

9DNS-Resolver funktionieren nach folgendem Prinzip:

a) Normale DNS-Resolver

10Tippt ein Nutzer einen nicht existenten oder ungültigen Domainnamen wie elookon.dee (ein 'e' am Ende zu viel) in seinen Webbrowser ein, oder gibt es aufsei­ten des für die Website zuständigen Name­servers technische Probleme, erhält er aufgrund der DNS-Statusmeldung NXDOMAIN normal­erweise eine Fehlermeldung des Webbrowsers, die in Mozilla Firefox (66.0.3) derzeit so aussieht:

Fehlermeldung im Mozilla Firefox

b) DNS-Resolver der Deutschen Telekom

11Nicht so bei Kunden der Deutschen Telekom. Diese wurden bis vor Kurzem noch auf eine Naviga­tionshilfeseite weitergeleitet, die dem Nutzer nirgendwo hilft, sondern hauseigene Werbung präsentiert:

Navigationshilfe

II. Analyse

12Zunächst muss man wissen, dass die DNS-Resolver der Deutschen Telekom ganz automatisch vom System des Kunden verwendet werden, wenn er in seinem Router oder Betriebssystem nicht explizit andere auswählt. In der Weboberfläche der bekannten FRITZ!Box (07.02) sieht das dann so aus:

Automatische Zuweisung der DNS-Server
Auflistung der genutzten DNS-Server

13Ein Blick in die Datenbank der RIPE NCC, der Verwaltung für Internet Number Resources, u. a. zuständig für Europa, zeigt, dass die IP-Adressen der aufgelisteten DNS-Server im Netz der Deutschen Telekom liegen.6 Nachdem die Deutsche Telekom AG bzw. ihre Tochtergesellschaft, die Telekom Deutschland GmbH, ihren Kunden diese DNS-Server auch selbst zuweist, ist klar, dass es sich hierbei um ihre DNS-Resolver handelt, womit auch sie für deren ordnungsgemäßen Betrieb verantwortlich ist:

Abfrageergebnis zu 217.0.43.1 und 217.0.43.193
Abfrage des INETNUM-Objekts aus der RIPE-NCC-Datenbank
Announcement des spezifischen 217.0.0.0/13
Abfrage des INETNUM-Objekts aus der RIPE-NCC-Datenbank

1) Weiterleitung

14Die Weiterleitung wurde realisiert, indem im Falle der Nichtauffindbarkeit der vom Nutzer einge­gebenen Internet­adresse abwei­chende, d. h. schlichtweg gefälschte Daten an den Nutzer übermittelt wurden, anstatt korrekterweise den Fehlerstatus zurückzuliefern, der zur Fehlermeldung im Browser führt. Es wurden fremde, mit der eigen­tlichen Domain nicht in Verbindung stehende IPv4-Adressen übermittelt.

15Diese Praktik nennt sich DNS-Hijacking, hier in Form eines klassischen Man-in-the-Middle-Angriffs. Verifizieren ließ sich diese Tatsache später in Raspbian (Linux) recht einfach mit einem Befehl aus dem Paket dnsutils. Im nachfolgen­den Beispiel wurde die IPv4-Adresse des gültigen, aber nicht existenten Domainnamens wwww.bfdi.bund.de (ein 'w' am Anfang zu viel) abgefragt. Obwohl diese Subdomain nicht existiert, antwortete der DNS-Resolver fälschlicherweise mit einem NOERROR und zwei IPv4-Adressen:

Ergebnis einer DNS-Abfrage vom 24. Januar 2019
Ergebnis der DNS-Abfrage vom 24. Januar 2019

16Bei der Domain bfdi.bund.de handelt es sich übrigens um die Website des Bundesbeauftragten für den Daten­schutz und die Informationsfreiheit (BfDI). Wir sprechen also von der Website einer Bundes­be­hörde. Ob die Subdo­main mit den vier anstatt den gängigen drei 'w' nun existiert oder nicht – sie gehört ein­deutig zur Domain bfdi.bund.de, was bedeutet, dass eigentlich niemand anders als der für diese Domain zuständige autoritative Name­server Subdomains besetzen oder nicht besetzen kann.

2) Netzwerkverkehr

17Die Technologie muss mangels Authentifizierung davon ausgehen, dass die Informationen stimmen, also nicht manipuliert wurden. Jeder Webbrowser leitet den Benutzer bzw. bestimmte Daten daher ohne Weiteres auf den Server weiter, der sich hinter der vom DNS-Server zurück­gelieferten IP-Adresse verbirgt. Der Angreifer muss also nicht mehr tun, als lediglich einen falschen Status und eine falsche IP-Adresse zurückzugeben, um gegebenenfalls die Daten abzugreifen, die er daraufhin automatisch erhalten wird.

18Solange der Benutzer die Internetadresse ohne TLS (also nur mit einem http:// davor) aufrief, wurden u. a. folgende Daten an den fremden Server übermittelt:

19Dieses standardmäßige Browserverhalten lässt sich nicht nur z. B. über die Entwicklerkonsole von Google Chrome (F12-Taste) belegen, sondern auch, wenn man den Netzwerkverkehr direkt analysiert. Obwohl es sich eigentlich um die falsche Ziel-IP-Adresse handelt, werden die Daten wie beschrieben übertragen:

Analyse des Netzwerkverkehrs mit Wireshark (3.0.0)
Analyse des Netzwerkverkehrs mit Wireshark

20Eine Übertragung fand in unserem Fall nur dann nicht statt, wenn der Benutzer eine TLS-geschützte Internetadresse (also mit einem https:// davor) aufrief. Dies lag daran, dass die Navigationshilfeseite standardmäßig keinen Netzwerkverkehr auf Port 443, sondern nur auf Port 80 durchließ, die Verbindung also schon vor der eigentlichen Datenübertragung vom Webbrowser abgebrochen wurde:

Fehlermeldung in der Entwicklerkonsole von Google Chrome 74
Fehlermeldung in der Entwicklerkonsole von Google-Chrome

21Übertragen wurde jedoch auch hier die IP-Adresse des Kunden. Wäre (sinnloserweise) auch der Port für verschlüsselte Verbindungen abgehört worden, wäre immerhin der abgefragte Domainname, also www.elookon.de übermittelt worden, denn diese Information gehört aus technischen Gründen noch zum Teil der unverschlüsselten Vorinfor­mationen, bevor die TLS-Verbindung gestartet werden kann.8

22Natürlich bedeuten diese Ergebnisse nicht, dass die Daten auch gespeichert wurden. Es bedeutet aber auch nicht, dass diese Daten nicht gespeichert wurden. Tatsächlich weiß kein Mensch, ob oder welche Daten wie lange wo gespeichert wurden – man weiß aber nun, dass sie jedenfalls übertragen wurden.

3) Übermittlung an Dritte

23Der nächste Schritt lag nun darin, herauszufinden, wer sich hinter der ominösen Navigations­hilfeseite eigentlich verbirgt. Es sollte keine Überraschung sein, dass die mit T-Online überschriebene Website ausweislich ihres Impressums9 gar nichts (mehr) mit der Telekom zu tun hat. Und tatsächlich, sie hat das Webportal im Jahre 2015 an die Ströer Digital Publishing GmbH verkauft10. Dieses Medien­unter­nehmen gehört zum Konzern Ströer SE & Co. KGaA (kurz Ströer Media), der mit mehr als einhundert Tochter- und Enkel­gesellschaften11 nicht nur Plattformen wie GIGA und Spieletipps.de12, sondern auch Statista, nach eigenen Angaben einen Anbieter für Markt- und Konsumentendaten13 betreibt.

24Die Datenbank der RIPE NCC bestätigte schlussendlich, dass auch der Netzwerkverkehr der Navigations­hilfeseite nicht über die Deutsche Telekom, sondern über Dritte laufen muss, denn die entsprechenden IP-Adress­bereiche, die das genannte Medienunternehmen verwendet, sind mit einem Rechenzentrum ver­bunden, das mit der Deutschen Telekom nichts zu tun hat:

Announcement von 62.138.238.0/24 und 62.138.239.0/24
Announcement von 62.138.238.0/24 und 62.138.239.0/24
Abfrageergebnis zu 62.138.238.45 und 62.138.239.45
Abfrageergebnis zu 62.138.238.45 und 62.138.239.45
Die RIPE NCC selbst hat diese IP-Adressbereiche lediglich dem Rechenzentrum zugewiesen, sie sind aber auf den Namen des Medienunternehmens in der Datenbank registriert.

25Die Daten blieben also offenbar nicht bei der Deutschen Telekom, wie man zunächst annehmen konnte, sondern es muss vor dem Hintergrund dieser Ermittlungen davon ausgegangen werden, dass diese über die letzten Jahre, seit dem Verkauf der Plattform T-Online, automatisch an Dritte übermittelt wurden.

4) Kein Opt-in-Verfahren

26Nach allem, wie es aussieht, wurde die Navigationshilfe-Funktion nie auf ein Opt-in-Verfahren um­gestellt. Vielmehr mussten die Kunden die 2009 eingeführte Funktion stets manuell im Kundencenter deaktivieren. Dafür sprechen neben früheren Medienberichten, unzähligen Artikeln auf Hilfeseiten14 vor allem die zahlreichen Beschwerden im Telekom-Kunden­forum auch in jüngerer Vergangenheit15. Und auch der Autor kann sich nicht erinnern, diese Funktion jemals aktiviert zu haben. Warum auch.

III. Konsequenzen

1) Strafanzeige

27Der Autor hat deshalb, wie bereits eingangs angedeutet, im Januar 2019 eine Strafanzeige gegen die Deutsche Telekom AG und ihre Tochter, die Telekom Deutschland GmbH erstattet, woraufhin die Staats­anwalt­schaft Bonn wegen des Verdachts der rechtswidrigen Datenveränderung (§ 303a StGB) ein Ermitt­lungs­verfahren ein­geleitet hat.16 Ebenso wurden der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Bundesnetzagentur über den Vorfall informiert.17

28Von der Bundesnetzagentur liegt nach drei Monaten gar keine Antwort vor, die beiden anderen Verfahren laufen zum Zeitpunkt dieses Artikels noch. Sollte sich etwas Neues ergeben, wird hier davon berichtet.

2) Abschaltung der Funktion

29Nachdem die Behörden in Kenntnis gesetzt wurden, ist erstmals Bewegung in die Sache gekommen. Die Funktion wurde am 26. April 2019, rund zehn Jahre nach ihrer Einführung, abgeschaltet, wie einer offiziellen Verlautbarung im Telekom-Kundenforum18 und einer Direktnachricht des Twitter-Accounts @Telekom_hilft19 zu entnehmen ist. Das frühere Verhalten der DNS-Resolver ist also heute nicht mehr reproduzierbar, sie geben den korrekten Status und auch keine falschen IP-Adressen mehr zurück:

Ergebnis einer DNS-Abfrage vom 9. Mai 2019
Ergebnis der DNS-Abfrage vom 9. Mai 2019

30Ruft man den auf zahlreichen Hilfeseiten häufig geteilten Link20 auf, mit dem man die Navigationshilfe früher deaktivieren konnte, erhält man als Kunde mittlerweile diese Fehlermeldung:

Weiterleitung
https://kundencenter.telekom.de/kundencenter/kundendaten/navigationshilfe/

IV. Schlusswort

31Es war eine Sache, die hauseigenen DNS-Resolver zu manipulieren. Wie man als marktbeherrschender Internet Access Provider überhaupt auf eine solche Schnapsidee kommen konnte, ist unklar. Während sich andere Internetdienstanbieter sogar gerichtlich gegen Versuche von außen, die Netzneutralität einzu­schränken, wehrten21, verletzte die Deutsche Telekom diesen Grundsatz selbst. Sie beschnitt auch die Datenhoheit anderer – ein Recht, das ihr schlichtweg nicht zustand. Wir sprechen hier von Grundsätzen, die aus gutem Grund immer mehr an Bedeutung gewinnen. Bei den verantwortlichen Stellen ist offenbar nicht angekommen, dass das Internet nicht nur ein lustiger Affenzirkus ist, sondern dass es sich hierbei durchaus um ein wichtiges, zu schützendes Instrument handelt, das zugleich als Spiegelbild nicht nur die Verfasstheit unserer Gesellschaft, sondern auch die unseres Rechtsstaates wiedergibt.

32Eine ganz andere Sache war, dass durch diesen Eingriff offenbar auch noch eine Datenübermittlung an Dritte veranlasst wurde. Dieser Vertrauensbruch ist als klares Zeichen und Handlungsaufforderung an all jene zu verstehen, denen ihre Daten wichtig sind, solche DNS-Server nicht mehr zu verwenden, sondern sich nach Alternativen umzusehen – ob das Verfahren nun abgestellt wurde, oder nicht.

ElooKoN

Inhaltsverzeichnis

Einzelnachweise

Reaktionen aus Presse und Blogs

media viewer image