Dialer-Dolzer setzt auf Whois-Zombies

Der weiteren Darstellung des Falls muss ein redaktioneller Hinweis in eigener Sache vorangestellt werden:

"Wegen eines früheren Berichts über Herrn Mario Dolzer beziehungsweise dessen Unternehmungen ist derzeit noch ein gerichtliches Verfahren gegen intern.de anhängig. Es ging um die Benutzung der Domain forum-holocaust-mahnmal.de unter der Dialer verbreitet wurden. Der Kläger fühlte sich durch diesen Beitrag in seiner Ehre verletzt und beantragte über seinen Anwalt, Herrn Bernhard Syndikus, eine Einstweilige Verfügung vor dem LG Frankfurt. Diese wurde bisher zumindest in einem Punkt abgewiesen, ein nachfolgendes Beschwerdeverfahren des Klägers wurde zurückgezogen: Die im Zusammenhang mit den beschriebenen Aktivitäten gebrauchten Ausdrücke "Dialer-Mafia", "kriminelle Energie" und "mafiöse Strukturen" stellen eine zulässige Meinungsäußerung dar. Mit einem Abschluss des Verfahrens auch in der Kostenfrage ist in Kürze zu rechnen. Bis dahin sollte der Vorgang im Sinne einer objektiven Berichterstattung über die Beteiligten erwähnt werden."

Auch der Beitrag des Heise-Verlags behandelt den Einsatz "gebrauchter Domains", die auf ungeklärtem Weg in den Besitz Dolzers geraten sind. Hatte jedoch im Fall forum-holocaust-mahnmal.de der ehemalige Besitzer die Domain freiwillig aufgegeben, so war im Fall lernen-im-netz.de die Domain durch einen Fehler des Providers frei geworden. Und Dolzer konnte sie blitzartig registrieren. Ähnlich hatte es sich wohl auch abgespielt, als Dolzer in den Besitz der Domain hit1-marktplatz.de gelangen konnte (vgl.: "Dialer-Dolzer übernimmt Musikportal").

Doch im aktuellen Fall konnte aufgrund der Denic-Historie gezeigt werden, dass die Registration keine vier Minuten nach Freiwerden der Domain erfolgte. Die Frage des Heise-Beitrags, ob es sich dabei um einen Zufall gehandelt hat, ist rhetorischer Art. Wie der Bericht es weiter beschreibt, scheint eine von Dolzer als "Plug-In" getarnte Software die befallenen Rechner zu Whois-Zombies zu machen. Diese Software wird auf Dolzers Seiten mit Hilfe einer "fingierte(n) Browser-Errorpage" verbreitet.

Sobald die Software installiert ist, nimmt sie laut einer Analyse der Open Source-Projektgruppe "nepenthes" Kontakt zu einem Rechner auf, der sich laut IP der Firma Universal Boards GmbH & Co KG zuordnen lässt, einem Unternehmen des Herrn Dolzer. Diese Kontaktaufnahme dient laut der Analyse auch dem Zweck, verschlüsselte Domain-Daten abzurufen. Und diese Domains werden dann bei den zuständigen Whois-Servern abgefragt, um ihre Verfügbarkeit zu überprüfen.

Das würde erklären, wieso Dolzer so schnell in den Besitz freiwerdender Domains gelangen kann. Denn man kann nun annehmen, dass ein ganzes Heer von Rechnern im Auftrag Dolzers den Status von Domains überprüft. Wobei sich daraus neue Fragen ergeben. Etwa die, woher denn die Listen der zu überprüfenden Domains stammen. Denn wie Heise es darstellt, handelt es sich um "vorwiegend beschreibende Namen und attraktive Domains, die einen hohen Google-Pagerank innehaben".

Um eine solche Liste von Domains mit hohem Google-PageRank aufzustellen, wäre ein direkter Zugriff auf eine Whois-Datenbank sehr sinnvoll. Vor allem dann, wenn der zuständige Registrar - wie etwa die Denic eG - den Zugriff auf die Whois-Server erschwert. Nur Registrars und ihre Partner (z.B. Denic-Mitglieder) haben aber ungehinderten Zugang zur Whois-Datenbank. Das trifft auf Dolzer selbst nach den bisherigen Erkenntnissen aber nicht zu. Auf einen weiteren Hinweis bezüglich der Denic-Mitglieder muss leider verzichtet werden, da die Liste dieser Mitglieder bei der Denic seit einiger Zeit nicht mehr abrufbar ist (Update, 8.August, 16:20: Die Denic-Mitgliederliste ist wieder sichtbar).

Eine weitere, ebenfalls sehr wichtige Frage ist es, ob die von Heise als "Trojaner" bezeichnete Software rechtmäßig ist. Dolzer hat hierzu gegenüber Heise auf eine Stellungnahme verzichtet und auf seinen Anwalt Syndikus verwiesen. Doch dieser scheint bisher auch keine Stellungnahme abgegeben zu haben. Lediglich von Klagedrohungen ist die Rede. Dabei scheint Syndikus teilweise auch als Admin-c betroffener Domains aufzutreten.

Doch auch das ist nicht neu, denn er ist beispielsweise auch im Auftrag des österreichischen Unternehmens Visions4Tomorrow Marketing Verwalter von Domains wie mafia.de. Mafia.de verweist derzeit auf suchmaschine.de, von wo aus Handy Payments (9,98 Euro/Tag) der Global Netcom GmbH angeboten werden (Screenshot). Syndikus war bis 2004 Geschäftsführer dieses Dialer-Unternehmens. Der Tech-c dieser Domains ist in der Vergangenheit häufiger im Zusammenhang mit ungewöhnlichen Domain-Transfers aufgefallen. So war er beispielsweise im Jahr 2003 kurzzeitig im Besitz der Domain wikipedia.de.

Dolzer wiederum hat sich mittlerweile gegen die "Trojaner-Vorwürfe" zur Wehr gesetzt. Dies allerdings nicht dort, wo man es ihm angeboten hat, sondern im Szene-Magazin "Gulli.com". Auch dort kündigt er zunächst rechtliche Schritte gegen Heise an. Hinsichtlich seiner Software und ihrer "Sonderfunktionen" scheint er sich aber der Rechtmäßigkeit sicher.

Denn im "Lizenzvertrag" der Software, dem der Nutzer zustimmen muss, wird nicht nur erwähnt, dass der Explorer durch die Software zur erweiterten Werbeschleuder wird, und dass seine "Favoriten" (Bookmarks) um eine beliebige Anzahl weiterer Links erweitert werden können.

Es heißt dort auch: "Diese Aufzählung ist ausdrücklich nicht vollständig und kann jederzeit den technischen Anforderungen entsprechend geändert werden". Durch diese Formulierung sieht Dolzer also jede weitere Funktionalität seiner Software gerechtfertigt. "Was soll man denn noch mehr machen?" argumentiert er gegenüber Gulli. Unklar ist, was er mit dieser Frage genau meint.

Man darf - gerade nach dem einleitenden Hinweis - nicht allzu sehr spekulieren, was die weiteren Folgen dieser Entdeckung sein werden. Doch man darf auf die rechtliche Prüfung des Vorgangs auch durch einen Staatsanwalt gespannt sein.