Sonstiges

Co.de: Denic weist Vorwurf der Daten-Herausgabe zurück

DENIC_logo Vier Tage hat die Denic gebraucht, um auf unsere Anfrage zu reagieren. Es geht noch immer um die Spam-Offensive der Websuche Search Technology GmbH, die derzeit reihenweise Blogger und andere Website-Betreiber in Deutschland anschreibt, um ihnen eine einfache Subdomain in Form von .co.de für 99 Euro (pro Jahr) schmackhaft zu machen.

Viele der Angeschriebenen warfen den Brief lachend in den Müll, doch einige wunderten sich auch, wo die kleine Firma aus Osnabrück eigentlich ihre Anschrift her hatte: „Die Adresse kommt aus der DENIC. Ich weiß das deshalb so genau, weil meine Adresse falsch eingetragen wurde und ich den Schreibfehler in dem Anschreiben wiederfand“, war die Vermutung eines Kommentators. Tatsächlich häuften sich die Vorwürfe in diese Richtung: „Die Adresse ist natürlich von DENIC – leicht zu erkennen an der nicht ganz korrekten Schreibweise meines vollständigen Vornamens.“ In einigen E-Mails an uns wurden die Leser konkreter: Über drei Ecken habe man mitbekommen, dass ein Script zum Umgehen der Denic-Captchas eingesetzt worden wäre, um an die Daten zu gelangen. Websuche-Geschäftsführer Martin Steinkamp hatte hingegen im Heise-Interview beteuert, dass die Angeschriebenen „handverlesen“ worden seien.

Wir haben alle Informationen gesammelt und die Denic auf dem Laufenden gehalten. Wie eingangs erwähnt, konnte sich der deutsche Registrator jedoch erst heute zu einem Statement durchringen. Im Folgenden nun der O-Ton der Pressestelle:

DENIC hat vom Angebot der Websuche Search Technology GmbH & Co. KG zur Registrierung von Subdomains unter .co.de erstmals am 13. Dezember 2009 erfahren.

Grundsätzlich ist es jedem freigestellt, Subdomains unterhalb von .de auch für Kundenzwecke zu nutzen. Solche Angebote kommerzieller Art sind daher zunächst prinzipiell konform mit den geltenden Domainrichtlinien. Ob es sich bei der Registrierung einer solchen Subdomain unter .de letztlich um eine attraktive und sinnvolle Maßnahme handelt, ist demzufolge eine rein individuelle Entscheidung.

Inzwischen haben sich sowohl von Websuche kontaktierte Domaininhaber als auch die Presse in dieser Angelegenheit an DENIC gewandt. Dabei wurde der Verdacht geäußert, Websuche habe die Adressdaten direkt von DENIC erhalten. Zur Klarstellung dieses Sachverhalts stellt DENIC fest, dass zu keinem Zeitpunkt Inhaberdaten an unberechtigte Dritte herausgegeben wurden und keine Erkenntnisse darüber vorliegen, wie und woher die einschlägigen Daten beschafft wurden.

Die Veröffentlichung von Domaindaten durch DENIC in Form des Web-whois geschieht in Übereinstimmung mit den deutschen Datenschutzbestimmungen. Die Nutzung für Werbezwecke ist dementsprechend klar untersagt. Das im September dieses Jahres durch DENIC eingeführte Captcha bietet einen erweiterten Schutz gegen den Zugriff durch unberechtigte Personen sowie insbesondere auch durch automatisierte Abfragen, indem die Anzahl der möglichen Abfragen je IP und definiertem Zeitintervall begrenzt wird. Bei der ständigen Weiterentwicklung aller von DENIC bereitgestellten Dienste nimmt das Thema Datensicherheit selbstverständlich einen großen Stellenwert ein.

(André Vatter)

Freunde werden? Like BASIC thinking auf Facebook – und bleib am Ball!


Über den Autor

André Vatter

André Vatter ist Journalist, Blogger und Social Median aus Hamburg. Er hat von 2009 bis 2010 über 1.000 Artikel für BASIC thinking geschrieben.

65 Kommentare

  • Es ist ja auch nicht gesagt das Daten von der DENIC herausgegeben wurden, sondern das man sie sich genommen hat und gegen die Richtlinien der DENIC für kommerzielle Zwecke missbraucht hat. (auch das speichern der durch DENIC erlangt Daten ist untersagt).

    Vieleicht findet sich ja jemand, dessen Domain zwar registriert aber nicht mit Inhalten gefüttert ist. Weil wo sollten in dem Fall die Daten herkommen, wenn nicht aus einem eigenen Impressum.

    Captcha hin oder her.. es gibt es erst seit Sep09 bei DENIC und wenn man mal ein wenig googled findet man sogar schon vorgefertigte captchahack scripts.

  • Dafür das die Benutzung der Daten angeblich für Werbezwecke untersagt ist, dafür geht die DENIC aber ziemlich lax mit den Vorwürfen um. Den großen Stellenwert den die Datensicherheit hier bei denen einnehmen soll kann da kaum ne Rede von sein.

  • Das ist doch Blödsinn:

    >dass zu keinem Zeitpunkt Inhaberdaten an unberechtigte Dritte herausgegeben wurden

    Websuche ist reguläres Mitglied der Denic und damit wohl berechtigt oder aber kein Dritter…

  • Offensichtlich wurden nur Blogbetreiber mit hohen Besucherzahlen angeschrieben. Schon jemand dran gedacht, dass das genannte „Handverlesen“ ganz einfach von statten gehen kann?

    Ein Mitarbeiter nimmt die Deutschen Blogcharts (oder was auch immer) als Referenz und ruft die DENIC-Daten zu den oben gelisteten Domains ab. Kein Script, kein Programm … echte Handarbeit.

    Das ist natürlich ebenfalls gegen die Richtlinien der DENIC.

  • bin geneigt NewShit! zuzustimmen. Zitat aus dem Schreiben „…da Sie eine der wichtigsten Seiten im deutschen Markt betreiben…blablabla…“ Sieht so aus, als ob einer die Position bei Goggle analysiert hat… Wieviele wohl diesen Text erhalten haben? Mit dieser Schmeichellei läßt sich bestimmt gut fischen…

  • „Offensichtlich wurden nur Blogbetreiber mit hohen Besucherzahlen angeschrieben.“
    Woher nimmst du diese Behauptung? Ich wurde auch angeschrieben und zwar mit der Domain einer praktisch unbekannten, sehr kleinen und nur auf Weihnachten bezogenen Webseite, die absolut kein Blog ist und eigentlich auch fast nirgendwo verlinkt wird.

    Edit@Cartoon: Auch an dich: Meine Seite ist extrem unwichtig, wird nicht verlinkt, hat keinerlei SEO-Optimierung etc…. gibt sicherlich hunderttausense deutsche Domains, die wichtiger sind. Werbeblabla.

  • Sorry! Die Daten MÜSSEN von der denic oder einem „Zwischenhändler“ kommen. Im Impressum meines Blogs steht nur meine Anschrift und meine email-Adresse. Die Page ist aber über meine Frau im Paket von 1&1 gemeldet und das Schreiben ging an meine Frau inkl. Angabe ihrer Email-Adresse, die nirgends auf meinem Blog zu finden ist …

  • Damit wird es nun noch kniffliger, denn A kommt man über die WhoIs-Abfrage der DENIC nicht an die Emailadresse des Domaininhabers heran, und B wird eine WHOIS-Abfrage quasi auch bei fast jedem Domainregistrar ( united Domains Ag, regfisch GmbH , usw. ) angeboten und man kann die Daten dort abfischen ( abgesehen von den Bedingungen die es sicherlich ähnlich wie die DENIC untersagen diese Daten in irgendeiner Weise weiter zu verwenden ). Na auf alle Fälle haben die Jungs sich selber nen Ding gedreht mit der Aktion …. Blogger anzuschreiben war auch ne doofe Idee nach den ganzen Wellen der Abmahnungen, und farbigen Olympiaringe 😀

  • Wieso muss ich denn ein spezielles Script einsetzen, welches das Captcha der DENIC Webseite umgeht. Ein einfacher WHOIS Befehl auf einem Linux System (oder unter Windows mit Cygwin) liefert die Informationen ohne Abfrage frei Haus. Klar, das kann man dann noch mit einer Inputdatei der Domainnamen scripten, ist aber kein Hexenwerk und kann jeder halbwegs begabte Unix Admin schnell erledigen.

    Ciao
    Peter

  • „Offensichtlich wurden nur Blogbetreiber mit hohen Besucherzahlen angeschrieben. Schon jemand dran gedacht, dass das genannte “Handverlesen” ganz einfach von statten gehen kann?“

    Das stimmt so nicht. Meine drei betroffenen Domänen bis jetzt sind keine Blogs, noch nicht mal so ähnlich.

  • Ah huch. Mein Kommentar war eigentlich als Antwort auf den von „NewsShit!“ gemeint 😉

    Aber was mir gerade so auffällt. Die Domänen die es bei mir betrifft sind genau die drei ältesten. Kann natürlich Zufall sein, aber warum genau die drei in Folge so wie sie registriert wurden und meine restlichen fast 40 Stück nicht? Hm…

  • Es gibt genug Möglichkeiten ein Captcha auszuhebeln, es ist ja ziemlich klar das hier ein crawler eingesetzt wurde.
    War wohl nichts mit „….Daten werden nicht weitergegeben“ 😉

  • Must Du kein Captcha aushebeln, guckst Du http://whois.domaintools.com/.

    Dort findet man die volle Adresse des Domaininhabers, an die man bei der DENIC nur mit CAPTCHA rankommt.

    Das trifft z.B auch .name Domains zu, bei der WHOIS seit 2007 gar nichts sinnvolles mehr zurückliefert und eine Auskunft beim Registrar kostenpflichtig ist.

    Fazit ist, dass man an die Adresse eines Domaininhabers sehr leicht herankommt.

  • Danke – hatte mich auch über den SPAM-Brief gewundert… aber muss sich ja lohnen, aif dem Postwege zu Spammen und nicht per Mail – sorry aber was für ein Drecksladen…

  • Ja aber doch auch nur dann, wenn man die Daten auf legalem Weg bekommen hat / Werbezwecke nicht ausgeschlossen wurden. Aber das scheint ja grad der Fall zu sein.. Müsste eben mal einer nach dem BSDG Auskunft darüber verlangen wo die Daten eigentlich herkommen. Am besten wär da wohl Ralf / dessen Frau (Kommentar 10).

  • 1) Die Whois Daten gibt es überall, d.h. diese Funktion ist auch über anderen Webseiten ohne Captcha Schutz nutzbar. Der Schutz auf der Denic Seite stellt in keinster Weise eine Hürde dar.
    2) Alles ist also noch offen und die PR Mitteilung ist nichts sagend. Es war vorher auch schon klar, das die Denic selber keine Daten direkt weiter gibt. (Indirekt schon, durch die Whois Abfrage…)

  • @ Mike @ Eldaron
    Bleibt immer noch die Möglichkeit, dass sich die Jungs wirklich die Blogs „händisch“ ansehen und über die Banner-Verlinkung zum blog meiner Frau gekommen sind …
    Aber ich glaub das eher nicht.

  • .co.de-Werbebrief ging an Anschrift, wie sie im Whois steht, nicht im Impressum. Webseite ist kein Blog.

    Ich meine mich zu erinnern, dass ich vor ein, zwei, drei Jahren schon einmal Werbung von einer Websuche aus Osnabrück bekommen habe. Ich glaube es hatte damals was mit Spezialsuchmaschinen und Webkatalogen zu tun.

    Die werden die Whois-Daten nicht erst jetzt von der Denic-Webseite mit Captcha ausgelesen haben, sondern schon vor längerer Zeit. Eventuell auch von einem Händler gekauft, der die Daten legal oder vermutlich eher illegal erlangt hat.

  • Wer glaubt schon (noch) der Denic?! Das ist doch eh eine reine Vetternwirtschaft wie wir nach der Vergabe der neuen Kurzdomains nun wissen! Faire Verteilung von Domains, Pustekuchen! Es wird Zeit, dass die Denic als alleinige Vergabestelle für .de-Domains (was ja Sinn macht) unter Kontrolle gestellt wird. So kann und darf es nicht weitergehen.

  • Hallo,

    vlt. wäre es ja auch eine Überlegung wert welche Gemeinsamkeiten die betroffenen Seite noch haben, neben dem denic Eintrag.

    Zitat:
    „DENIC eingeführte Captcha bietet einen erweiterten Schutz gegen den Zugriff durch unberechtigte Personen.“

    Also ist jeder eine berechtigte Person wenn er das Captcha richtig eingibt. Toller Schutz.

    co.de hätte sich besser mal mein Impressum anschauen sollen, das meine im Impressum veröffentlichten Daten nicht für Werbezwecke genutzt werden dürfen…

  • Dann möge mal jemand gegen die unerlaubte Nutzung der Daten aus dem DeNIC Webwhois vorgehen.. Ich war zwar nicht betroffen, aber bedenklich ist die ganze Aktion ja dennoch irgendwie..

  • Auch ich habe Post von Websuche erhalten. Bezogen auf einen Blog, der seit 2 Jahren nicht mehr gepflegt wird und dementsprechend wenig Traffic hat. Ein zweiter, weitaus stärker frequentierter Blog jüngeren Datums wurde nicht beworben.

    Es scheint ja für „Websuche“ eine sehr lohneswerte Sache zu sein, dass sich eine solch aufwändige Werbeaktion per Brief lohnt. Unfassbar…

  • Ich betreibe einen gut besuchten Blog und habe keinen Biref erhalten. Das dürfte daran liegen, dass ich ausschließlich bei der Denic falsche Adressdaten hinterlegt habe und kein Impressum bereitstelle 😉

  • Ein Skript zum umgehen der Captures, omfg 😀

    Was seid ihr eigentlich für Noobs? Die Daten bekommt man auf jeder whois Seite oder per API direkt über den eigenen Robot via XML, schön zum weiterverarbeiten, Anfänger!

  • […] Inzwischen haben sich sowohl von Websuche kontaktierte Domaininhaber als auch die Presse in dieser Angelegenheit an DENIC gewandt. Dabei wurde der Verdacht geäußert, Websuche habe die Adressdaten direkt von DENIC erhalten. Zur Klarstellung dieses Sachverhalts stellt DENIC fest, dass zu keinem Zeitpunkt Inhaberdaten an unberechtigte Dritte herausgegeben wurden und keine Erkenntnisse darüber vorliegen, wie und woher die einschlägigen Daten beschafft wurden. Die Veröffentlichung von Domaindaten durch DENIC in Form des Web-whois geschieht in Übereinstimmung mit den deutschen Datenschutzbestimmungen. Die Nutzung für Werbezwecke ist dementsprechend klar untersagt. Das im September dieses Jahres durch DENIC eingeführte Captcha bietet einen erweiterten Schutz gegen den Zugriff durch unberechtigte Personen sowie insbesondere auch durch automatisierte Abfragen, indem die Anzahl der möglichen Abfragen je IP und definiertem Zeitintervall begrenzt wird. Bei der ständigen Weiterentwicklung aller von DENIC bereitgestellten Dienste nimmt das Thema Datensicherheit selbstverständlich einen großen Stellenwert ein. Quelle: Basicthinking.de […]

  • Nun sind „wir“ auch keinen Deut schlauer, die DENIC redet schön um den heißen Brei herum. Auch ich gehöre mit einer meiner Domains zu den „handverlesenen“ Domaininhabern. Also ich wusste nicht, dass eine Fetischseite zu den wichtigsten Seiten in Deutschland zählt… Mich würde trotzdem interessieren wie und wo die Domains handverlesen wurden. Ich denke aber, dass diese Aktion noch eine Klagewelle nach sich ziehen wird, gibt doch genügend die solche Dinge direkt an einen Anwalt weitergeben 😉
    MfG
    colognefire
    …der darauf wartet noch mehr Post von co.de zu bekommen, schließlich habe ich noch weitere Domains 😉

    edit: Hmm, scheinbar nehmen die mir das etwas übel das ich vor dieser dubiosen Masche in meinem Forum gewarnt habe *fg*: Eine meiner Domains hat plötzlich einen Wert von 0,- Euro bei dessen Domainbewertung (den Link dazu hatte ich hier auch irgendwo gefunden.)

  • Durch einige Umstellungen beim Hosting meiner Domain, ist diese fälschlicher Weise meinem Sohn zugeordnet worden, welcher die Seite auch als Admin-C verwaltet. Meine Seite gehört laut Denic also der Firma meines Sohnes. Im Impressum meiner Seite ist diese Verbindung nicht dokumentiert, auch habe ich das erst jetzt entdeckt, da wir uns wunderten, dass mein Sohn und nicht ich wegen meiner Domain angeschrieben wurde. Ich werte das als eindeutigen Beweis, dass die Websuche Trallalla Gmbh&CoAgZeugs die Daten von der Denic gezogen hat, und somit gegen geltendes Recht vertößt.
    Das Schreiben behalte ich als Beweisstück. Man weiß ja nie, wozu man das noch benötigt.

  • „Ich betreibe einen gut besuchten Blog und habe keinen Biref erhalten. Das dürfte daran liegen, dass ich ausschließlich bei der Denic falsche Adressdaten hinterlegt habe und kein Impressum bereitstelle ;)“ [Blub]

    Wenn ich sowas lese frage ich mich wie alt du bist.. Soetwas nennt sich Betrug(und beim fehlenden Impressum eben ein Verstoß gegen § 5 TMG..) und ist wirklich mehr als dümmlich, weil man das auf jeden Fall trotzdem zu deinem RL tracen kann, da kannst du auch ein noch so krasser h4XX0R sein…

    „Sieht so aus, als ob einer die Position bei Goggle analysiert hat… “ [Cartoon]

    Wäre ne Möglichkeit. Denn Besucherzahlen haut nicht hin, das sind bei mir zu wenige, aber meiner Seite gibt es einige Sachen wo ich recht weit oben in den SERPS stehe..

  • Ich bin mit meiner Domain Anfang der Woche auch angeschrieben worden und kann damit bestätigen, dass man sich nicht auf Seiten mit hohen Besucherzahlen beschränkt hat. Wenn man dann in der Masse noch Jemanden dransetzt, der die Impressum Daten von Hand abschreibt, wird die gesamte Aktion inklusive Mailingkosten doch noch unwirtschaftlicher. Ich kann mir so schon nicht vorstellen, das sich das Ganze rechnet.

  • Die Daten kommen ganz klar von DENIC,
    ich habe Post wegen Kita-Kiste.de bekommen. Im Impressum dieser Website ist eine Adresse in Magdeburg angegeben. Ich habe die Post jedoch nach Paderborn – an die Adresse, welche bei der DENIC eingetragen ist – bekommen.

  • Ich weiß gar nicht wieso dieses Thema so heiß diskutiert wird. Das Schreiben einfach wegwerfen und fertig.

    Das Schreiben war einfach eine Werbung. Mittlerweile ist es kein Problem mehr Adressen aus dem Internet automatisch herauszufischen.

    Vielleicht wurde ja auch eine Datenbank geklaut und wir haben einen neuen Datenskandal. Ist ja mittlerweile nichts mehr neues.

  • Ich schließe mich der Meinung von Thomas (#48) zu 100% an. Wenn ich daran denke, was der Staat alles an Daten über seine Bürger sammelt. Und der will uns sicherlich nicht bloß irgendwas verkaufen.

  • Hallo,

    hat eigentlich schon jemand Rückmeldung von co[dot]de bezüglich Daten und löschen dieser Daten?

    gruß
    Markus

  • Ich habe schon im Dezember eine Anfrage gemäß Datenschutzgesetz bei Websuche gemacht, auch die aber nicht reagiert wurde. Daher habe ich nach 3 Wochen den Landesbeauftragten für den Datenschutz in Niedersachen informiert. Man hat mir jetzt mitgeteilt, dass es eine datenschutzrechtliche Überprüfung des Unternehmens gebe.

  • Habe heute ein Schreiben der Websuche Search Technology GmbH & Co. KG erhalten auf meine Nachfrage, woher die Daten stammen. „Die oben entnommenen Daten haben wir durch eine Recherche in unserem Hause Ihrem Impressum entnommen“, heißt es in dem Antwortbrief. Das kann aber nicht sein, da die Daten im Impressum auf eine Firma lauten, die erst seit Januar 2010 in den Whois-Daten der Denic aufgeführt ist. Zuvor lautete der Whois-Eintrag auf meine Privatadresse, an die auch der Brief ging.

    Die Websuche lügt also schön vor sich hin. Ein zweifelhafter Verein!

  • Das ist alles so unfassbar!

    Ich hab auf meiner Domain auch brav Impressum stehen und hab so einen Brief bekommen.
    Verärgert hat mich, als ich diesen Post hier gelesen hab und wie scheinheilig manche Firmen sind.
    Wirft kein gutes Licht auf sie und mit solchen Ausreden wie Impressum angeschaut, tzzzz.
    Ich kann da nur für mich sprechen, ich werde in jedem Fall weitere Schritte einleitung und unternehmen!
    Als erstes Impressumsdaten schützen mit Codeeingabe wie Captcha damit man die Daten nicht mehr so leicht auslesen kann.

    Ist das erlaubt wenn ichs begründen kann?

    lg

  • Ich glaub das mit den Captha is höchst problematisch.. Außerdem wurden die ja wohl eh manuell gesammelt und nicht mit nem Bot, von daher brächte nen Captcha auch nichts.

  • Schon ziemlich miese Sache. Ich hab auch so einen Brief bekommen und ihn nicht weiter beachtet. Hätte nicht gedacht, dass das ganze solche Außmaße hat. Werden sicher einige drauf reingefallen sein. Das ganze wirkt per Post natürlich auch seriöser als normale Spam Mails.

  • Alles ist also noch offen und die PR Mitteilung ist nichts sagend. Es war vorher auch schon klar, das die Denic selber keine Daten direkt weiter gibt. (Indirekt schon, durch die Whois Abfrage

  • Herr Steinkamp scheint auch nicht mehr Geschäftführer sämtlicher Websearch Geschichten zu sein.

    Hat er sich zur Ruhe gesetzt oder einen Bauern gefunden, der jetzt geopfert wird.

  • Naja es ist ja eine gängige Praktik..
    sich einen Bauer zu nehmen, ihn als GF einzusetzen, dann steht man selbst nicht im Handelsregister wenn die GmbH gegen die Wand gefahren wird.

  • So ist es. Der Name des „Neuen“ ist ja nun recht selten. Aktuelles findet man zu diesem kaum. Mutmaßlich besteht aber ein Zusammenhang mit http://eu.adr.eu/adr/decisions/decision.php?dispute_id=3725 – und wie der Zufall so will, wurde sich damals wohl doch außergrichtlich(?) „geeingt“ und die fragliche Domain wechselte (spätestens drei Monate später) den Besitzer, der mit dem seinerzeitigen Beschwerdeführer identisch scheint: http://www.eurid.eu/en/content/whois-result?domainName=alpha.eu

  • Mitlerweile heisst die Firma: Domainprofi[punkt]de und macht den gleichen Mist! Herr Steinkamp ist zudem mehr als unfreudlich und wird sofort agressiv. Also da werde ich keine Domain kaufen, mieten oder eine Empfehlung aussprechen. Habe das auch bereits in einem „großem“ Admin Forum gepostet.

  • Wenn also diese Captcha-Umgehungssoftware bspw. 100.000 Datensätze ermittelt und es werden 1000 Datensätze gestrichen, weil man nicht möchte, dass diese Adressaten Post erhalten, z.B. Anwaltskanzleien und andere Institutionen, dann könnten das einige Personen bereits als handverlesen bezeichnen.

Kommentieren