09. August 2010

Register.com soll demnach grob nachlässig oder leichtfertig einen Vertragsbruch verursacht haben, als ein Mitarbeiter des Registrars die Domain im Januar in die Kontrolle eines Hackers übergab. Dabei hatte dieser Hacker Methoden angewandt, mit denen man seit der spektakulären Erschleichung der Domain sex.com in den 90er Jahren eigentlich nicht mehr rechnen musste.

Der Unbekannt nahm Kontakt mit dem Support des Registrars auf und stellte sich als Baidu-Mitarbeiter vor. Er verlangt von dem Dienstleister, die Kontaktadresse des Domain-Eintrags zu ändern. Den Sicherheits-Code, den er in diesem Fall benötigt hätte, konnte der Hacker nicht vorweisen. Daher schickte der Mitarbeiter des Registrars einen neuen Code an die bekannte Adresse des Domain-Eintrags. Zu dieser Mail-Adresse hatte der Hacker keinen Zugang. Doch er schickte seinem Gegenüber einfach einen eigenen, erfundenen Code, um die Änderung zu legitimieren.

Der Mitarbeiter von Register.com akzeptierte nun die Aufforderung, ohne die beiden Codes zu vergleichen und änderte die Mail-Adresse des Domain-Eintrags auf eine Adresse des Freemailers Google Mail - Baidus wichtigster Konkurrent auf dem chinesischen Markt. So konnte sich der Hacker nun ein neues Passwort an die eigene Mail-Adresse schicken lassen und erlangte vollen Zugang zu dem Domain-Eintrag. Alle Requests an die Adresse baidu.com wurden daraufhin zu einer Site umgeleitet, die eine iranische Flagge und einen zerbrochenen Davidstern zeigte ("hacked by the Iranian Cyber Army").

Die Klage Baidus gegen Register.com wegen Vertragsbruch drohte nun abgewiesen zu werden, weil der Registrar-Vertrag die Haftung stark einschränkt. Doch das Gericht wies den Antrag auf Klageabweisung ab. Eine solche Haftungsfreistellung könne zwar zwischen zwei Unternehmen vertraglich vereinbart werden. Doch wenn wie in diesem Fall so nachlässig gehandelt wird, grenzt das an ein absichtliches Versagen des Vertragspartners und macht damit Schadensersatzforderungen möglich.

Links:

• Out-Law