Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Porno-Abmahnungen: Indizienkette zur IP-Adressen-Ermittlung verdichtet sich

Neue Indizien legen nahe, dass die Rechteinhaber der Porno-Videos oder deren "Ermittler" die behaupteten Urheberrechtsverletzungen ohne aktives Mitwirken der Abgemahnten selbst generiert haben könnten.

In Pocket speichern vorlesen Druckansicht 1718 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Holger Bleich

Allmählich fügen sich die einzelnen Informationen zur Streaming-Abmahnwelle um Porno-Abrufe beim Portal Redtube.com zu einem Bild. Nicht endgültig geklärt ist aber, wie der Rechteinhaber The Archive die IP-Adressen der Abgemahnten ermittelt hat. Ein Gutachten zur angeblich verwendeten Ermittlungssoftware "GLADII 1.1.3" liegt zwar in Auszügen vor, ist aber wenig erhellend. Die an der Abmahnwelle Beteiligten schweigen sich zu diesem Thema aus. Viele Indizien sprechen nun für eine Vorgehensweise, die in den strafrechtlich relevanten Bereich reicht und zumindest den Verdacht auf Computerbetrug in gewerblichem Ausmaß nahelegt.

In Foren meldeten sich Abgemahnte, die ihre Browser-Historien nach Aufrufen von Redtube.com zum Zeitpunkt durchforsteten, an dem laut Abmahnung der Abruf des Pornovideos stattgefunden haben soll. Dabei fiel auf, dass unmittelbar vor dem Abruf ein Zugriff auf trafficholder.com verzeichnet war. Von dort aus ging es offenbar per automatischer Weiterleitung zur Domain retdube.net. Hier ein Beispiel:

http://hit.trafficholder.com/transfer.php?http://49655.movfile.net
http://49655.movfile.net/
http://49655.retdube.net/

Was ist hier abgelaufen? Der Browser wurde von irgendwoher zu trafficholder.com weitergeleitet. Dort sorgte der Aufruf des Skripts transfer.php mit dem Parameter http://49655.movfile.net dafür, dass direkt zur Seite 49655.movfile.net weitergeleitet wurde, von dort aus zu 49655.retdube.net. Auf retdube.net befand sich schließlich eine Weiterleitung zu Redtube.com.

Es spricht vieles dafür, dass hier beispielhaft der Ablauf des IP-Loggings für die Abmahnwelle dokumentiert ist. Trafficholder.com ist ein sogenannter Adult-Traffic-Broker. Er zieht Seitenaufrufe gegen Bezahlung zu seinem Redirect-Dienst und lässt sich umgekehrt dafür bezahlen, diese Seitenaufrufe zu einem anderen als dem vom Nutzer gewünschten Ziel weiterzuleiten. So können sich beispielsweise Pornobildchen-Portale ein Zubrot verdienen. Sie streuen Trafficholder-Redirects ein. Der Nutzer bekommt dann etwa beim Klick auf ein Thumbnail anstatt der großen Version des Bildes eine ganz andere Seite angezeigt.

Trafficholder verkauft diese Zwangsumleitungen ohne Wissen und Wollen des Nutzers für knapp 3 US-Dollar pro Tausend. Der Clou dabei: Trafficholder arbeitet mit Geolokalisation. Es ist also zum Beispiel möglich, 10.000 von Pornoseiten umgeleitete Zugriffe deutscher IP-Adressen für unter 30 US-Dollar für eine bestimmte Ziel-URL zu kaufen. Im vorliegenden Fall wurde offensichtlich der URL 49655.movfile.net gezielt deutscher Traffic zugeführt.

Die Domains movfile.net und retdube.net wurden am 22. Juli 2013 anonym registriert. Die in den Abmahnungen genannten Tatzeitpunkte begannen zwei Tage später, am 24. Juli. Die Ziffernfolge vor dem Domainnamen entspricht jeweils der ID eines abgemahnten Redtube-Streams. retdube.net fungierte in dieser Kette also wohl als eine Art Proxy, dem Traffic unwissender Nutzer zugeführt wurde. Auf diesem Proxy, so ist anzunehmen, dürften die "Ermittler" IP-Adressen geloggt haben, bevor sie den Traffic zu den Original-Redtube.com-Seiten mit dem Stream weitergeleitet haben. Im Webseiten-Archiv archive.org ließ sich der Redirect im Quelltext der Seiten bis zum heutigen Freitag Nachmittag teilweise noch nachvollziehen. Mittlerweile hat archive.org die gespeicherten Seiten aus unbekannten Gründen gelöscht.

Sollte es wie beschrieben abgelaufen sein, würde das bedeuten: Die Rechteinhaber oder deren "Ermittler" haben gezielt deutschen Traffic über Trafficholder zu ihren Fake-Proxy-Seiten geleitet, dort die IP-Adressen erfasst und dann die nichts ahnenden Nutzer zu Redtube.com weitergleitet. Damit hätten sie die behaupteten Urheberrechtsverletzungen ohne aktives Mitwirken der Abgemahnten selbst generiert. Auf die beschriebene Weise hätten sie anders als behauptet keine Möglichkeit gehabt, einen Abruf des Pornostreams beweissicher zu dokumentieren.

Ein Leser ermittelte anhand zugänglicher Archive, dass die Zugriffszahlen auf von U+C abgemahnte Porno-Streams zum Zeitpunkt der angeblichen IP-Adress-Erfassung sprunghaft anstiegen.

(Bild: Jan Broer, München)

Ein findiger Leser hat eine Recherche angestellt, die diese Vermutung zur Vorgehensweise untermauert. Er untersuchte die Abrufzahlen zu den abgemahnten Redtube-Videos. Dazu bediente er sich gespeicherter Zählerstände auf den entsprechenden Redtube-Seiten, beispielsweise aus dem Google-Cache oder von archive.org. "Dies reichte aus, um zum einen die Höhe der durchschnittlichen monatlichen Aufrufe bis Juli 2013, sowie den letzen Wert vor Bekanntwerden der URLs durch die Berichterstattung ab dem 6. Dezember festzustellen", erklärte er. heise online bestätigt anhand eigener Abrufe der Archive die Plausibilität seiner Darstellung. Deshalb veröffentlichen wir an dieser Stelle die selbsterklärende Infografik, die der Leser erstellt hat.

(hob)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten