Provider stellte DENIC-Passwort ins Web
Das Passwort für Einträge in der Datenbank des deutschen Domain-Verwalters DENIC hat der Provider ABC Telemedien im Web veröffentlicht.
Der Regensburger Domain-Provider ABC Telemedien hat ein Passwort im Internet veröffentlicht, mit dem die Registrierungsstelle für .de-Domains (DENIC) Personeneinträge in seiner Datenbank schützt. Mit diesem Passwort ist es möglich, die Personendaten bestimmter Domain-Verwalter zu manipulieren, um dann Änderungen am eigentlichen Domain-Eintrag zu beantragen.
In den Anfängen des Internet waren die Personeneinträge ungeschützt. Später gingen die Provider zunehmend dazu über, als "Maintainer" die von ihnen angelegten Einträge mit einem Passwort gegen Manipulationen zu schützen. Jeder Besitzer oder Verwalter einer Domain erhält einen solchen Eintrag, der Name und Anschrift, Telefonnummer und E-Mail-Adresse enthält.
Im Mai dieses Jahres hatte die DENIC aus Sicherheitsgründen alle noch ungeschützten Einträge mit dem Maintainer "DENIC-P" versehen und dafür ein Passwort gesetzt. Die DENIC-Geschäftsführerin Sabine Dolderer erklärte gegenüber heise online, diese Maßnahme sei notwendig geworden, nachdem sich das Internet von einer "friendly" Umgebung zu einem kommerziellen Umfeld gewandelt habe, das immer unüberschaubarer werde. Das DENIC-P-Passwort wurde an alle Provider weitergegeben, die nicht selbst als Maintainer fungierten.
Die Firma ABC Telemedien hat die Sicherheitsmaßnahme des DENIC ausgehebelt, indem sie das Passwort auf einer Webseite jedermann zugänglich machte. Die Seite enthält eine Anleitung zum Ändern von Personeneinträgen per E-Mail. Sie führt einen Beispieldatensatz für "Hans Mustermann" auf, in dem als Maintainer "DENIC-P" und das zugehörige Passwort im Klartext stand. Ein kurzer Test bewies, dass das Passwort aktuell war: Es dauerte nur wenige Minuten, bis die Daten eines Eintrags in den Datenbanken der DENIC und des europäischen Network Coordination Center RIPE geändert waren.
Mark Huger aus Neumark hatte die Seite auf dem ABC-Telemedia-Server entdeckt und heise online gemeldet. Beim DENIC löste unser Anruf einige Bestürzung aus; man versprach, das Passwort umgehend zu ändern. Der Pressesprecher von ABC Telemedia, Wolfgang Glaser, erklärte, dass die Anleitung normalerweise nicht öffentlich einsehbar sei. Glaser weiter: "Im Rahmen eines Programm-Updates war für einen kurzen Zeitraum der Passwortschutz außer Betrieb. Dies wurde sofort geändert und auch das Passwort für den DENIC-P-Maintainer entfernt." (ad)
