Nach zehn Jahren, nachdem im Januar 2019 die Behörden eingeschalten wurde, hat die Telekom aufgehört ihre DNS-Server zu manipulieren [1]. Wer Telekom-Kunde war und eine Internetadresse im Browser falsch eingegeben hatte, wurde auf eine T-Online Navigationshilfe umgeleitet. Dies geschah auch dann noch, als die Telekom diese Navigationshilfe an Ströer verkauft hatte.
Die Telekom betrieb einen DNS-Resolver. Normalerweise würde auf Grund der Fehlermeldung NXDOMAIN bei einem Vertipper eine Fehlermeldung im Browser angezeigt werden. Bei Telekom-Kunden, die den DNS-Record im Router nicht geändert haben, erhielten eine Navigationshilfe mit hauseigener Werbung. Der DNS-Resolver wird laut RIPE NCC [2], der Verwaltung für Internet Number Resources, durch die Telekom Deutschland GmbH betrieben.
Die Weiterleitung wurde durch DNS-Hijacking in Form eines Man-in-the-Middle-Angriffs realisiert. Obwohl eine Subdomain nicht existiert, antwortete der DNS-Resolver fälschlicherweise mit NOERROR und zwei IPv4-Adressen. Eigentlich dürfte niemand anders als der für die eingegebene Domain zuständige autoritative Nameserver Subdomains besetzen oder nicht besetzen.
Dieses Vorgehen war allerdings nur auf Port 80 möglich. Bei https/Port 443 wurde die Verbindung schon vor der eigentlichen Datenübertragung vom Browser abgebrochen. Übertragen wurde trotzdem noch die IP-Adresse des Kunden. Was gespeichert wurde, insbesondere bei unverschlüsselten Verbindungen, ist unbekannt.
Die Krone setzt dem auf, dass die Navigationsseite an Ströer Media verkauft wurde, die Plattformen wie GIGA, Spieletipps.de, aber auch Statista betreibt. Die Datenbank von RIPE NCC bestätigt, dass der Netzwerkverkehr der Navigationshilfeseite über den IP-Adressbereich, der zum Medienunternehmen gehört, lief.
Durch [1] wurde eine Strafanzeige gegen die Deutsche Telekom AG und ihrer Tochter Telekom Deutschland GmbH erstattet. Die Staatsanwaltschaft Bonn hat wegen des Verdachts der rechtswidrigen Datenveränderung ein Ermittlungsverfahren eingeleitet. Ebenso wurde der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Bundesnetzagentur informiert. Als Resultat wurde die Funktion am 26. April 2019 nach zehn Jahren abgeschalten.
Quellen:
[1] https://www.elookon.de/artikel/wie-die-telekom-mit-unserem-vertrauen-spielt
[2] https://www.ripe.net/about-us/what-we-do