Achtung: CH Domains nicht mehr sicher

SWITCH (die Registrierstelle für .ch Domains) hat damit begonnen Internetinhalte zu sperren auf Grund einer sehr speziellen Grundlage (Verordnung über die Adressierungselemente im Fernmeldebereich).

Meine Firma betreut mehrere tausend Kunden in Europa rund um Ihre Internetseiten und betreibt in mehreren Ländern Serversysteme (sog. Hosting Provider). Einem unserer Kunden wurde nun in den vergangenen Tagen die Webseite gehackt (was nichts besonderes ist, im Schnitt haben wir 3-4 Fälle dieser Art pro Woche) mit doch ziemlich fragwürdiger Reaktion von SWITCH (die definitiv keinen gesetzlichen Auftrag zur Internetüberwachung hat!).

Das Spezielle ist nun, dass die SWITCH damit angefangen hat auf reinen Hinweis hin, Internetinhalte via Dekonnektierung zu sperren. Normalerweise dürfte das nicht passieren, den für solche Vorfälle unterhält jeder Provider eine abuse@provider Adresse über die solche Meldungen reinkommen und auch i.d.R. rasch bearbeitet werden. Fakt ist, dass die Switch die Provider nicht informiert sondern selbst sperrt ohne das ein Gericht das angeordnet hätte.

Das dies ziemlich extreme willkürliche Auswüchse haben kann möchte ich wie folgt aufzeigen:
Nehmen Sie an, eine Firma bietet Kunden unter deinname.domain.ch kostenlose Homepages an, dies würde nun dazu führen, dass ein einzelner gehackter Account zur Sperrung aller Inhalte hinter der Domain führen würde. Ebenso wäre dies der Fall, wenn ein beliebiger Inhalt als schädlich angesehen würde z.B. wenn unter der Domain mehrere Server verknüpft wären z.B. server1.domain.ch server2.domain.ch

EBENSO wäre das Szenario zu erwarten, wenn ein Link auf einenewsseite.ch auf eine andere Seite zeigen würde die Schadcode verbreitet, den nur der Provider weiss wie die Domain wirklich geroutet wird und unter welchen Adresselementen der schadhafte Inhalt erreichbar ist.

Dieses Verhalten gefährdet meiner Ansicht nach massiv die Betriebsfähigkeit des Schweizer Internets und beruht meiner Ansicht nach auf reiner Willkür, zumal bei dieser Thematik auch google.ch blockiert werden müsste, da man dort Links auf Seiten mit kompromittierten Inhalten findet, scheinbar handelt es sich um reine Willkür, zumal google.ch immer noch erreichbar ist (?)

Meiner Meinung und Aufassung nach darf ein Domainregistrar wie SWITCH Domains nicht ohne richterliche Anordnung sperren, dafür ist bis ein Gericht das beschliesst der Provider zuständig. Es darf nicht sein, dass die SWITCH sämtliche RFC Standards umgeht zumal dies System zu haben scheint.

Gesetzliche Richtlinie: http://www.admin.ch/ch/d/sr/784_104/a14bist.html

Abuse RFC -> http://www.ietf.org/rfc/rfc2142.txt

Unter der Endung .ch/.li kann man also kaum mehr einen grösseren Dienst betreiben, da jederzeit mit einer Blockierung gerechnet werden muss bei einem hohen Datenaufkommen (Risiko ist exponentional mit der Anzahl Inhalte und Fremduser) andere Registrierstellen sind scheinbar in der Lage die Provider zu informieren, dieses Verhalten gibt es meines Wissens derzeit nur bei .ch/.li Domains. Ein Filehostingprovider oder anderer grösserer Dienst lässt sich demnach nicht mehr unter .ch/.li betreiben.

Am Schlimmsten finde ich, dass durch diese Massnahme von SWITCH die schadhaften Inhalte meistens länger abrufbar bleiben, zumal ja durch diese Massnahme die Inhalte weiterhin auf den Servern verbleiben und event. unter anderen Domaiendungen abrufbar bleiben. Ein absolut kontraproduktives Konzept das hier die Switch betreibt.

Interessant, hab ich bis jetzt nicht gewusst.
Ich habe zwar schon davon gehört, dass Switch seiten "sperren" soll, welche Viren verbreiten.

Aber so wie der Gesetztestext lautet, haben die da ziemlich freies Spiel. Denn da steht

Was ist denn eine "schädliche Software"? Ist das irgendwo definiert? Wer entscheidet das?

Switch ist mit mirror.switch.ch auch ein grosser "Filehoster", wenn man dem so sagen will. Ich frage mich, ob bei diesen 5,6 TB Daten nicht auch "schädliche Software" vorhanden ist.
Beispielsweise unter "http://mirror.switch.ch/ftp/software/www/mozilla/addons/" kann ich mir vorstellen, dass da mal "schädliche Software" landet kann.

Wäre dies so, dann wäre die Switch gesetzlich verpflichtet, ihre eigene Domain sperren.

Kannst ja mal auf die Suche gehen, easyswiss

...auf der anderen Seite steht ja auch klipp und klar drin, dass Switch Dich sofort kontaktieren muss...

Die Frage ist einfach, wie schnell dann wieder konnektiert wird, nachdem Du den Missstand behoben hast. Die fünf Tage sind ja extrem krass - aber es steht "höchstens". Dazu später mehr. Und klar: Natürlich bist Du verpflichtet, Inhalte, die Viren verbreiten oder gegen Schweizer Gesetze verstossen, zu entfernen.

Mal ein anderer Gedanke:
Wenn ich Viren oder Schmuddelkram verbreite, und das habe ich letzthin unbeabsichtigt auch unter .ch, dann kann ich Dir eins garantieren: Google reagiert schneller als Switch. (Switch hat überhaupt nicht Wind davon bekommen)

Meine Domain war - dank diversen Warnungen von irgendwelchen Diensten (inkl. Google) auf jeden Fall 24 h lang mehr oder weniger abgeschrieben. ABER: Google WMT bietet die Möglichkeit, einen Spider extra zu bestellen, der dann überprüft, ob die Seite noch Schadsoftware verbreitet. Switch wird beileibe nicht so schnell und flexibel sein.

Bis zu 5 Tage (zusätzlich) offline sein durch Switch wäre aber auf jeden Fall wie die Faust aufs schon blaue Auge. Ich kann verstehen, wenn das ein ungutes Gefühl gibt. Daher würde ich alles daran setzen, Missstände laufend zu beheben, noch bevor irgendjemand auf die Idee kommt, Dich bei Cybercrime oder Switch zu verpfeiffen statt Dich über das Impressum zu kontaktieren. Ist nicht das die Gefahr? Aber ehrlich gesagt: ein Konkurrent, der Dich loswerden will, konnte das über die Cybercrime-Meldestelle schon immer durchziehen. Diese "neue" Möglichkeit macht das Prozedere einfach schneller...

Was ich allerdings nicht verstehen kann, dass man Filehoster unter .ch spielen möchte und denkt, man wäre im völlig rechtsfreien Raum. Grössere Projekte unter .ch sind per se auch nicht alles Filehoster. Nein. Jederzeit hätte man über Cypercrime schon melden können, falls irgendjemand Schmuddelkram bei Dir hochlädt und es wäre gehandelt worden. Jetzt hat der Staat einfach mehr Möglichkeiten, die klar beschrieben sind. Weniger Willkür. Auch was feines.

Als kleiner Tipp: einfach in Webmastertools konfigurieren, dass Google einen EMails schickt, falls Viren und Schadsoftware verbreitet werden. Schon eine Sorge weniger.

Es ist nicht wahr, dass Switch die Registrierungsstelle für CH-Domains ist. Switch ist EINE Registrierungsstelle für CH-Domains. Eine andere ist www.metanet.ch. - Wenn Viren von einer Domain, die bei Metanet registriert ist, verbreitet werden, zieht dann trotzdem SWITCH den Stecker aus ?

Falsch, Metanet ist einer von vielen Switch-Partnern. Siehe https://www.nic.ch/reg/cm/wcm-page/partnerl...list.jsp?lid=de

Bei Switch ist zu diesem Thema folgedes zu Erfahren:

https://www.nic.ch/reg/cm/wcm-page/faqs/tec...alware.html#a12

"Was macht SWITCH bei einem Hinweis Dritter, dass eine .ch-Domain schädlichen Code verbreitet?
SWITCH überprüft zunächst, ob der Verdacht begründet ist. Falls sich dies bestätigt, wird versucht, den Malware verbreitenden Code von der Website zu entfernen. Dazu kontaktiert SWITCH den Halter sowie den technischen Kontakt des Domain-Namens per E-Mail."
...
"Der schädliche Code muss umgehend entfernt werden."
...
"Falls dies nicht passiert - der Halter nicht auf die Benachrichtigung von SWITCH reagiert oder sich weigert, entsprechende Massnahmen zu veranlassen - geht SWITCH von einem begründeten Verdacht gemäss AEFV aus. In diesem Fall wird SWITCH:

den Halter über die Blockierung seines Domain-Namens informieren,
die DNS-Delegation für den Domain-Namen aus dem .ch-Zonenfile entfernen (d.h. der Domain-Name funktioniert nicht mehr), "

Da ist sicherlich vorher informiert worden und wohl in dem Fall nicht reagiert worde, evtl. wegen Ferienzeit.

Na also. So schlimm ist das nicht und bedeutet gewiss nicht das Ende des Schweizer Internets. Obwohl: Angaben von Fristen hätten dem Switch-Text auch nicht geschadet.

Aber klar: natürlich kann es Umstände im Leben geben, wo man mal eine Woche keinen Zugriff auf's Internet hat. Die Gefahr fürs Angebot wird aber eh nicht Switch sein, sondern die Malware-Warnung von Google (und im Firefox). Ferien + ein Nutzer der Switch kontaktiert + eine schnelle Reaktion von Switch = ganz böser Zufall.
Fazit wird wohl eher sein, dass man alle 24h die Emails kontrolliert und eben die Warnungen von Google abonniert.

Beim (beabsichtigten) Hosting illegaler Informatione/Dateien sieht das natürlich anders aus. Aber da hätte Cibercrime auch früher schon reagiert - einfach langsamer.

Damit das Ganze vollständig ist, hier der offizielle Text von SWITCH (natürlich ohne genaue Angaben wo den genau die Malware sich befindet und was genau festgestellt wurde wie das sonst jedes auch nur halbprofessionell geführte CERT/CSIRT übermittelt -> Malware ist so ziemlich alles).

-> Alle Dienste mit vielen Daten wie Facebook, Google, Rapidshare, Dropbox, etc. wären unter einer .ch Domain wohl keinen einzigen Tag online... hier greift ein Adressierungselementanbieter massiv ein und das ist extrem gefährlich! Was kommt wohl als nächstes? Geschütztes Bild gefunden -> Tschüss?

@Peter Schneider
Switch hat bereits seit Jahren eigene Scanner im Einsatz, soviel mir bekannt ist (Denic hat das m.W. auch).

Jeder Usergenerierte Content kann Schadcode enthalten... .ch/.li ist mit diesem Verhalten tod für alle professionell betriebenen grossen Internetdienste mit Usercontent und wie gesagt, google.ch ist erreichbar, ich könnte da innert 10min eine Liste anfertigen mit Links zu Schadcontent, hier haben schlichtweg ein paar Leute die keine Ahnung haben irgendwelche Grundsätze geschaffen. Fakt ist, dieses Konzept das hier umgesetzt wird, funktioniert definitiv nicht, den der Schadcode bleibt auch nach einer Entfernung eines einzelnen Adressierungselements vorhanden.

Ebenso gibt es eine False positive rate.. wenn die so ist wie bei Spam und Co, dann gute Nacht und man sollte einmal überlegen was genau Malware ist, zumal jeder Antivirenhersteller andere Faktoren verwendet, es gibt z.B. Software die bei einzelnen Filterungen anzeigt wird nur weil Sie für den Homeuser ein Risiko darstellen könnte bsp. wäre hier NetWire welches als Proxy durch jede Firewall kommt...

Wir Provider dürfen dank solchen Vorgängen hinterher aufräumen und zwar meist deutlich später als möglich als würde die Mitteilung an den Provider gehen, denn dann würde der Schadcode wirklich innert 24h entfernt und wäre nicht mehr erreichbar. Dies ist wieder ein typisches Fallbeispiel wo jemand denkt, dass das Internet hinter der Grenze aufhört und man mit reiner Abschaltung etwas positives erreichen könnte. Das Ganze zeigt auf, wie schwach das Schweizer Internet ist, mit diesem Hintergrundwissen könnte man automatisiert innert 24h jeden Schweizer Internetdienst mit Usercontent durch gezielte Codeimplementierung lahm legen (wenn wieder einmal ein grosser Dienst wie z.B. proftpd eine Lücke hat) und das wird früher oder später sicher passieren. Ich hoffe das dies nicht kommt, aber in der Vergangenheit habe ich schon einiges miterlebt.

Dieses Werkzeug ist in jedem Fall gefährlich, denn mit dieser Verordnung wird die Legislative ausgeschaltet und es besteht ein enormes Missbrauchspotential (SWITCH ist eine Stiftung, also eine private Organisation!).

Abschaltung von Adresselementen (Domains) ohne Richterbeschluss.. weltweit nirgends möglich ohne Gerichtsbeschluss soviel ich weiss! Warum in der Schweiz?

Ich stimme zu, dass dieses Vorgehen von nic.ch / switch doch sehr bedenklich ist.

Ich hatte erst kürzlich einen false positive, verursacht durch von mir bewusst eingesetzten verschlüsselten JS Code.
AVG hat gemeint, meine Webseite dann als Bedrohung einstufen zu müssen, einfach nur weil deren Webseiten-Analyzer nicht verstand, was der Code bewirkt. Also unverständlicher Code = Bedrohung.
Habe denen dann meine Meinung auf deren Support-Forum gesagt.

Switch sollte den Prozess komplett überdenken, und dem Betreiber mindestens 36 Std. einräumen, um die Seite zu säubern.
In der Zwischenzeit reicht wohl eine vorgeschaltete Warnseite.
Ausserdem ist ja wohl auch selbstverständlich, dass einem mitgeteilt wird, was denn genau mit der Seite nicht stimmt...

Und was wollen die denn mit "Blockierung des Domainnamens" und "richterlicher Verfügung"?

Das sieht dann schon sehr nach drohbrief aus.

Also ich finde das in dieser Form völlig inakzeptabel.

Ok, gebe Euch da Recht.
@Easyswiss: 1 Tag ist natürlich schon drastisch. Ich gehe ja auch nicht täglich online und checke meine Emails. Und ja PH: eine Vorschaltseite wäre in Ordnung.

Im Prinzip ist es definitiv so: Switch spielt sich zum Polizisten, Richter und Henker in einer Instanz auf. (?)

Wie faire "Gewaltentrennung" bei Problemem mit Switch möglich ist, müsste man tatsächlich hinterfragen.
Spannend wäre insbesondere die Frage, ob Switch für Verluste haftet, die durch missbräuchliche Abschaltungen entstehen. Vor einem ordentlichen Gericht...

Missbräuchlich wäre für mich insbesondere Fehleinschätzungen (irgendein JS) UND vor allem eine langsame Wiederaufschaltung.

Warum lässt Switch das alles auf sich zukommen?

Switch ist lediglich ein "Lizenznehmer" vom BACOM, und muss sich an die Vorgaben vom AEFV halten. Switch macht also grob gesagt "nur" wozu sie sich verpflichtet haben um überhaupt noch weiter Domains zu "verkaufen". Switch selbst kann relativ wenig für die Gesetzgebung..

Ein RFC hat null rechtlichen Hintergrund , die Vorgaben vom AEFV dagegen schon.

Natürlich ist es ärgerlich, wenn Switch diesen Schritt einleitet. Erfahrungsgemäss braucht es aber sehr viel bis es soweit kommt, wir hatten diese Fall in unserem Kundenbereich bisher nur einmalig - und in diesem Fall absolut gerechtfertigt. Der Kunde hatte seine Joomla-Installation vor 5 Jahren (!) installiert und nie mehr aktualisiert seither. Bereits von unserer Seite her wurde der Mailversand seit Jahren gesperrt, weil das Ding eine Spamschleuder erster Klasse war. Der Kunde wich dann auf gmail aus - und lebte fröhlich weiter. Auf unsere Mails gab es nie eine Antwort. Identisch wird es auch bei Switch abgelaufen sein.
Btw: Die Seite war bereits rund 2 Monate vorher als "attakierende Webseite" von Google gemeldet worden bevor Switch auch Eingriff.

Eine Webseite betreiben bedeutet Verantwortung. Leider ist sich kaum jemand dessen bewusst - und wird nun langsam aber sicher mit gegebenen Mitteln darauf aufmerksam gemacht. Auf jeden Fall lieber eine gesperrte Seite - als eine massive Schadenersatzklage für den Müll der über die Seite vermittelt und/oder publiziert wurde. So gesehen auch ein Schutz des Betreibers. Und jeder der eine Webseite kommerziell/professionell betreibt - sollte auch innerhalb der gegebenen Fristen reagieren können und seine Stellvertretung geregelt haben. Einige unserer Kunden haben bereits beweisen dass dies auf jeden Fall machbar ist