Ein relativ neuer Kunde übersendet per Post einen Fragebogen zur Lieferantenselbstauskunft. Dabei werden in einer Spalte die von uns bereits bekannten Daten aufgeführt und in einer weiteren Spalte sind Korrekturmöglichkeiten oder Ergänzungen möglich. Das ist auch dringend nötig, denn abgesehen vom (falsch geschriebenen) Firmennamen und unserer Anschrift scheint der Kunde bisher keinerlei Lieferantendaten zu kennen oder zumindest nicht ins System eingespielt zu haben.
Die gewünschten Auskünfte erteilen wir daher gerne. Nicht so einfach möglich ist hingegen die Anerkenntnis der “Lieferantenverpflichtung”, welche uns abweichend von den getroffenen vertraglichen Vereinbarungen zusätzliche Pflichten auferlegen möchte. Maßgeblich für unsere Leistungen sind nun einmal einheitlich die Tarifleistungsbeschreibung, Preisliste, AGB und Domainregistrierungsbedingungen. Jede Abweichung davon ist für uns in jedem Einzelfall mit hohen rechtlichen Prüfkosten und nicht unerheblichem Aufwand verbunden (da ja in jeder Stelle des Unternehmens sichergestellt sein muss, dass die sonst nicht vorhandene Sonderregelung auch wirklich wirksam bekannt ist und bleibt). In der Regel ist das daher leider nicht möglich, da anderenfalls im Laufe der Zeit ein regelrechter “Wust” an Sondervereinbarungen, individuellen Regelungen und einzelvertraglichen Spezialpflichten entstehen würde. Die damit verbundenen Kosten durch zusätzliche Bürokratie und erhöhte rechtliche Beratungskosten müssten am Ende alle Kunden mittragen, was wir gerne vermeiden möchten.
Ein Schnäppchen der besonderen Art kommt von Kunde O. aus Wien. Er bietet uns an, seine bei uns hinterlegten, inzwischen veralteten Adressdaten im Kundenmenü zu aktualisieren und dort wieder eine gültige Postanschrift anzugeben. Für diese “Pflege der Kundendaten” möchte er günstige 25 €. Das Angebot gilt jedoch nur noch bis zum 13.04., bei Interesse heißt es also: schnell zuschlagen.
Nur blöd, dass die Hinterlegung aktueller und richtiger Daten sowohl als vertragliche Nebenpflicht anzusehen als auch in unseren “AGB” eindeutig geregelt ist:
6.3. Der Kunde ist verpflichtet, dem Anbieter seinen vollständigen Namen und eine ladungsfähige Postanschrift (keine Postfach- oder sonstige anonyme Adresse), E-Mailadresse und Telefonnummer anzugeben. [...] Der Kunde versichert, dass alle dem Anbieter mitgeteilten Daten richtig und vollständig sind. Der Kunde hat bei Änderungen die Daten unverzüglich über sein Kundenmenü oder durch Mitteilung an den Anbieter per Post, Telefax oder E-Mail zu aktualisieren.
Als Geschäftsmodell eignet sich die Idee von Kunde O. also eher nicht. Aber versuchen konnte er es ja mal 
.
Kunde unserer Lowcost-Tochter domain*go: “Ich möchte meinen Hostingvertrag gem. § 312d BGB widerrufen”.
Wir: “Okay, kein Problem.”
Kunde: “Und auch den Domainvertrag, ich brauche die Adresse nun doch nicht. Immerhin könnt ihr die Domain ja löschen und von einem anderen Kunden neu registrieren lassen, weshalb das Widerrufsrecht gem. BGB gilt.”
Genau. Zufälle soll es geben. Selbst wenn sie noch so unwahrscheinlich sind.
Aber mal im Ernst: Auf Kundenwunsch in Echtzeit und vor Ablauf der Widerrufsfrist bestellte Domainnamen unterliegen aus gutem Grund nicht dem gesetzlichen Widerrufs- und Rückgaberecht bei Fernabsatzverträgen. Immerhin sind uns reale Kosten für die Registrierung der Domain bei der Vergabestelle entstanden, die wir nicht zurück erhalten. Auch wird sich kein anderer Kunde für die betroffene Domain interessieren, zumal bei einem für andere Nutzer so spannenden Namen wie “auto-service-schroeder-bergheim.tld” (fiktives Beispiel). Diese Domain braucht halt nur derjenige, für den sie ursprünglich registriert worden ist.
Wir bieten dem Kunden jetzt an, dass er nur einen Teil des vereinbarten Preises bezahlen muss. So bleiben wir wenigstens nicht auf den uns selbst entstandenen Domaingebühren sitzen und können hoffentlich eine zufriedenstellende Lösung finden.
Bereits im Jahr 2007 haben sich zwei Accountinhaber, die ihren Vertrag bei uns auf einen “Fantasienamen” abgeschlossen haben, zerstritten und versucht, sich gegenseitig ihre bis dahin gemeinsamen Domainnamen und Inhalte wegzunehmen. Damals haben wir das verhindert, was uns wie fast immer in solchen Fällen einigen Ärger und Drohungen eingebracht hatte, da keiner der beiden die Rechte nachweisen konnten und sich die beiden gegenseitig beschuldigt haben.
Das Ganze ist dann irgendwann eingeschlafen und die Nutzung (und Zahlung) des Tarifs weiter erfolgt. Wir haben das dann auf sich beruhen lassen und auf ein Happy End gehofft. Bis jetzt.
Nun ging das Spiel von vorne los, aber an der Sach- und Rechtslage ändern nun einmal auch die inzwischen vergangenen vier Jahre nichts. Um dem Thema endlich – zumindest bei uns – einen Schlusspunkt zu setzen, haben wir den Vertrag fristgerecht und ordentlich an die bei uns hinterlegten Adressdaten gekündigt. Denn immerhin hat sich das Problem seit 2007 nicht gelöst und wird sich nun auch nicht lösen. Das gilt unserer Erfahrung nach leider für viele Streitigkeiten um Domainnamen und Inhalte zwischen (Ex-)Partner, egal ob im geschäftlichen oder privaten Bereich. Wirklich schade, wenn Freundschaften oder gemeinsame geschäftliche Unternehmungen so enden müssen 
.
Das ist ungünstig: Ein privater Kunde hat für eine Domain abweichende Inhaber- und Kontaktdaten hinterlegt, darunter auch für den Tech-C und Zone-C. Aufgrund der Bedingungen der Vergabestelle ist es erforderlich, für den Tech- und Zone-C jeweils eine gültige Faxnummer anzugeben. Darauf weisen wir bei der Handleerstellung im Kundenmenü auch hin.
Natürlich kam es, wie es kommen musste: Wir wurden durch die zuständige Registry darüber informiert, dass keine gültige Faxnummer eingetragen ist und unter Fristsetzung zur Korrektur aufgefordert. Was gar nicht so einfach ist, wenn man den Kunden auf keinem Wege erreichen kann und sogar auf seiner Homepage ermittelte Kontaktdaten nicht funktionieren.
Was also tun? Den Kunden ins “offene Messer” laufen und ganz formell den Weg über einen sofortigen Transit gehen, an dessen Ende ein Verlust der Domain stehen kann? Oder das Tech-C/Zone-C Handle vorerst auf den Standardwert ändern, damit der drohende Fristablauf und damit verbundene Konsequenzen erstmal vom Tisch sind?
Bei einem Reseller wäre die Antwort eigentlich klar gewesen: Wir nehmen in solchen Fällen keine Änderung an Handles vor, alles Andere würde nur für Ärger sorgen da u.U. der Endkunde so von uns erfahren könnte. Das würde uns unterm Strich der Reseller vermutlich – bei allem guten Willen – nicht danken. Zudem muss man an einen gewerblichen Anbieter, der beruflich im Domain-/Hostinbusiness tätig ist, auch andere Ansprüche an eine wie auch immer geartete Erreichbarkeit stellen können als an eine Privatperson.
Im vorliegenden Fall hinterlegen wir ausnahmsweise und angesichts des Einzelfalls ein Standard- Tech-C und Zone-C Handle für die Domain. Das macht uns zwar nicht wirklich glücklich, ein sofortiger Transit der Domain wäre jedoch absehbar weniger im Interesse unseres Kunden gewesen, da vermutlich auch die Vergabestelle ihn nicht erreichen könnte und daher eventuell die Domain löschen würde.
Nun gewinnt der Kunde etwas in dieser Situation sehr wertvolles: Zeit.
(Selbstverständlich erhält unser Partner nun noch ein Einschreiben mit entsprechenden Details. Auch bleiben wir an dem Fall dran, damit da absehbar eine abschließende Lösung erfolgen kann.)
Bereits im Juni dieses Jahres berichtete Spiegel Online (“SPON”) über eine “Abzock-Masche”, die einer Online-Schutzgelderpressung gleich kommt: Damit die eigene Webseite (z.B. ein Onlineshop) nicht durch DDOS-Attacken lahm gelegt wird, ist ein bestimmter Geldbetrag über den Umweg eines Drittanbieters zu bezahlen. Die Feststellung für den geschilderten Fall war damals:
Die Eingangs zitierte Drohmail aber ist von anderer Natur. “Natürlich”, sagt Heitmeyer, “ist nichts passiert.” Denn offenbar geht es hier eher um das klassische Geschäftsfeld Spam: Man verschickt irgend etwas massenhaft und hofft, dass zumindest einige darauf reagieren. Da Spam-E-Mailversand so gut wie kostenlos ist, lohnt sich die Sache schon, wenn man nur einige Male Erfolg hat.
Wir und betroffene Kunden, die solche E-Mails erhalten haben, können leider aus eigener Erfahrung gegenteiliges berichten. So auch in einem aktuellen Fall, bei dem der Kunde eine dem “SPON”-Artikel entsprechende E-Mail erhalten hat und dessen Webseite daraufhin tatsächlich durch massenhafte Seitenaufrufe überlastet wurde. Erst der Umzug auf einen dedizierten Server (“Überlastungsschutz”) konnte das Problem eindämmen. Da die überlastenden Aufrufe – zumindest auf die Schnelle – auch nicht von “normalen” Besuchern zu unterscheiden waren, kam eine Filterung des unerwünschten Datenverkehrs leider nicht in Betracht.
Die erste Nachricht der Täter lautete wie folgt:
Betreff: Downtime ihres Shops!
Sehr geehrter Shop-Admin,
am 18.10.2010 werden wir Ihren Shop für mehrere Stunden unerreichbar für Sie und Ihre Kunden machen.
Dies hat folgenden Grund: Wir werden Ihren Online Shop mit einfachen DDoS attackieren, so dass weder Sie, noch Ihre Kunden Zugriff auf Ihre Webseite, geschweige denn auf den Server haben. Dies wird nur ein kleiner Testlauf damit Sie sehen, wie ernst es uns ist!
Wir bieten Ihnen hiermit die Option an, weder die Testattacke noch den folgenden DDoS zu bekommen indem Sie bis morgen 500 Euro in Form eines Ukash Vouchers (an jeder Tankstelle zu erhalten) uns via eMail, an die angegebene E-Mail Adresse (ddos@********.cc) senden. Informationen über Ukash finden Sie auch auf http://www.u****.com oder an Ihrer Tankstelle.
Sollte bis morgen 11:45 Uhr kein U**** Code eingegangen sein, so werden wir den DDoS-Angriff starten, anfangs nur für einen relativ kurzen Zeitraum. Falls Sie nicht zahlen wird Ihr Service aber für längere Zeit offline bleiben was ihren Umsatz wohl stark sinken lassen wird.
Mit freundlichen Grüßen
ddos@********.cc
Der angegebene Zahlungsanbieter ist übrigens mit dem bei “SPON” genannten identisch; auch im gestern hier veröffentlichten Fall kam der gleiche Dienstleister zum Einsatz. Dies wirft die Frage auf, ob das laut Whois- und Kontaktangaben in Großbritannien beheimatete Unternehmen, dessen Gutscheine z.B. anonym an deutschen Tankstellen erhältlich sind, genügend gegen den Missbrauch seiner Dienste unternimmt.
Nach der Attacke wurde unser Kunde jedenfalls erneut kontaktiert:
Sehr geehrter Shop-Admin,
Da von ihnen kein Ukash-Code an meine E-Mail einging haben wir wie bereits angekündigt am 18.10.2010 ihren Shop einer mehrstündigen DDOS-Attacke ausgesetzt.
Sollte am 19.10 bis 11:45 Uhr kein Ukash-Code in Höhe von 500€ eingegangen sein wird ihr Shop erneut von uns für mehrere Stunden angegriffen und somit ihren Kunden nicht zur Verfügung stehen. Dieser Zeitraum erhöht sich mit jeden weiteren Tag ohne Zahlungseingang bis ihr Shop 24 Std am Tag nicht für Kunden erreichbar ist. Die daraus resultierenden finanziellen Folgen sollten sie selbst am besten einschätzen können.
Informationen über Ukash finden Sie auch auf http://www.u****.com oder an Ihrer Tankstelle.
Mit freundlichen Grüßen
ddos@********.cc
Es ist zu befürchten, dass die Angriffe fortgesetzt werden. Natürlich stehen wir mit unserem Kunden in Kontakt und können auch anderen eventuell zukünftig betroffenen Webseitenbetreibern nur dringend raten, sich mit ihrem Hostprovider in Verbindung zu setzen. Zu viel erwarten sollte man davon jedoch nicht, da je nach Art und Intensität des Angriffs keine grenzenlose Gegenwehr möglich ist. Wie dies im schlimmsten Fall aussehen kann, hatten wir hier beschrieben. Die gestrige Situation war damit zum Glück ebenso wenig vergleichbar, wie die vielen anderen regelmäßigen Angriffe gegen unsere Kunden, bei denen wir alles tun, um Schäden und Beeinträchtigungen einzudämmen bzw. zu verhindern.
Was also kann man tun?
Letztendlich: Viel zu wenig. Zwar kann man je nach Art und Umfang der Attacke durchaus nach z.B. Auffälligkeiten suchen und über Firewall- und Filtersysteme entsprechende Filterregeln individuell erstellen. Dies ist jedoch stets ein manueller Vorgang, der mit viel Zeit und Arbeit verbunden ist. Zudem greift er nur, wenn eben Abweichungen oder Unterschiede von “echten” Webseitenbesuchern zu erkennen sind. Aber genau das ist nicht immer der Fall. Auch (im preislich im sechsstelligen Eurobereich liegende) “Appliances” spezialisierter Hersteller sind leider kein Allheilmittel und können nur beschränkten Schutz bieten.
Wer nun darüber nachdenkt, ob nicht die Zahlung des “Schutzgeldes” das kleinere Übel wäre, sollte die damit verbundenen Folgen genau überdenken. Immerhin garantiert niemand, dass sich die Kriminellen nach der einmaligen Erfüllung ihrer Forderung zufrieden geben. Im Gegenteil könnte eine erste Zahlung die Gier der Erpresser überhaupt erst befeuern. Was mit 100, 250 oder 500 Euro beginnt, wird dann auf einmal zum Fass ohne Boden, an dessen Ende (wenn man irgendwann nicht mehr zahlen mag oder kann) dann eben doch ein Angriff stehen wird.
Im Übrigen kann natürlich eine Strafanzeige gegen unbekannt erstattet werden. Schaden sollte es jedenfalls wenig und vielleicht ergibt sich ja entweder im Einzelfall oder bei Gesamtschau aller gleichartigen Anzeigen ein Ermittlungsansatz.
Ein Kunde vertreibt u.a. “Bots” für das bekannte Spiels “World of Warcraft”. Ob die Nutzungsbedingungen des Onlinespieleanbieters dies überhaupt erlauben, ist uns nicht bekannt. Zumindest scheint er sich jedoch bei anderen Spielern oder Anbietern solcher Softwareprogramme unbeliebt gemacht zu haben, da der Kunde (und damit auch: wir und andere Kunden von uns) nun zum wiederholten Male Opfer einer massiven DDOS-Attacke geworden sind. Solche “Distributed Denial Of Service”-Angriffe, denen mehrere tausende oder zehntausende angreifende und weltweit verteilte Rechnersysteme zu Grunde liegen können, zählen zu den unschönsten Erscheinungen im Internet, mit denen man sich als Hoster und Netzanbieter herumschlagen muss. Um den Angriff in den Griff zu bekommen, müssen diese vielen (zehn-)tausend angreifenden, häufig “gekaperten” Computersysteme erst einmal ermittelt und herausgefiltert werden.
Der heutige, mit einem Angriffsvolumen von mehreren Gbit/s verbundene Fall hat daher leider für einen kurzen Zeitraum nicht nur unseren Kunden in Mitleidenschaft gezogen, sondern darüber hinaus Auswirkungen auf einige andere Internetpräsenzen gehabt.
Die Situation ist sowohl für den Kunden als auch für uns sehr unschön. Denn durch die wiederholten Angriffe entsteht bei uns ein ganz erhebliches Datenvolumen, auf dessen Kosten wir sitzen bleiben. Dies gilt auch für den gesamten entstehenden Arbeits- und Zeitaufwand bei uns. Noch schlimmer sind jedoch die möglichen Beeinträchtigungen anderer Nutzer, die sich trotz eines aktiven Netzmanagements und erheblicher “Reserve-Ressourcen” nicht vollständig ausschließen lasen.
Nach langem hin und her haben wir nun mit dem Kunden schweren Herzens besprochen, die Zusammenarbeit fristgerecht zu beenden. Dem gingen bereits frühere und intensive Gespräche im Rahmen der Kundenbetreuung voraus. Die Situation ist aber so, wie sie derzeit ist, unter Berücksichtigung aller Aspekte nicht mehr tragbar.
Die Chance, den Tätern habhaft zu werden, ist übrigens enorm gering.
Übrigens: Auch um die Folgen solcher Attacken möglichst gering zu halten, nehmen wir eine laufende und proaktive Netzwerkaufrüstung vor. Ein weiterer Schritt ist – unabhängig von dem aktuellen Angriff – bereits fest eingeplant und steht vor seiner zeitnahen Umsetzung.
Bei einer nennenswerten Anzahl unserer gewerblichen Kunden handelt es sich um ein kleines Gewerbe betreibende Einzelpersonen oder aus mehreren Einzelpersonen bestehenden Gesellschaften bürgerlichen Rechts (GbR). In solchen Fällen entspricht die Firma dem Kundennamen [z.B. "Max Muster"* bzw. im Falle einer GbR z.B. "Muster und Schulz GbR"*] — und nicht irgend einer selbst erfundenen Firmierung.
Leider kommt es aber immer wieder vor, dass durch Kunden eine reine “Fantasiebezeichnung” (z.B. Musterwerbeagentur”*) anstatt des eigentlichen und richtigen Firmennames (z.B. “Max Mustermann Werbeagentur”*) angegeben wird, was aufgrund der dann auf diesen Fantasienamen registrierten Domainnamen unangenehme Konsequenzen haben kann. Die möglichen Folgen im Worst-Case-Fall sind weitreichend und können bis hin zum Verlust einer solchen auf eine nicht-existente Firma registrierte Domain gehen. Dies kommt zwar selten vor, ist aber auch nicht auszuschließen.
Um unsere Kunden noch direkter auf diese Problematik hinzuweisen, haben wir – ergänzend zu den vertraglichen Regelungen – nun eine neue Information in unser Bestellsystem integriert und machen damit hoffentlich deutlich: Wer nicht über eine ins Handelsregister eingetragene Firmierung verfügt, tut gut daran, als Firmennamen seinen Vor- und Zunamen bzw. im Falle einer GbR die Nachnamen der Gesellschafter in Verbindung mit dem Zusatz “GbR” zu verwenden. Das erspart Ärger und sichert die eigenen Rechte im Streitfall. Die zusätzliche (!) Aufnahme der “Fantasiebezeichnung” ist hingegen in der Regel (und sofern noch Platz ist) unschädlich.
*) Alle Namen sind rein beispielhaft gewählt. Eventuelle Übereinstimmungen oder Ähnlichkeiten mit real existierenden Personen oder Firmen sind nicht beabsichtigt und reiner Zufall.
Manchmal fällt ein Brief einfach auf. Zum Beispiel, weil er mit gaaanz vielen Briefmarken beklebt ist (okay, sind “nur” sieben) und eine interessante Falztechnik aufweist.
[Wobei man sich natürlich auch mal verfalten kann 
]
Wenn ein Kunde anfragt, ob er von externen Servern einen Zugriff auf seine MySQL Datenbank erhalten kann, ist Umsicht und Rücksprache gefragt. Denn auch wenn auf den ersten Blick ein “externer, nicht bei uns gehosteter” Server gemeint sein kann, muss dem nicht so sein. So war es auch im konkreten Fall: Gemeint war der Zugriff von bei uns gehosteten Servern (“extern”) auf den MySQL-Dienst eines anderen bei uns verwendeten Servers.
Merke: Nicht jeder versteht unter ein und dem selben Begriff das Gleiche, weshalb ein vorsorglicher Abgleich sehr empfehlenswert ist, um Mißverständnisse zu vermeiden.
