Der Sex.com-Raub: Ein gefälschter Brief, der die wertvollste Domain des Internets stahl
Im Jahr 1995 stahl ein Betrüger namens Stephen Cohen sex.com vom rechtmäßigen Eigentümer Gary Kremen mit einem einzigen gefälschten Brief an Network Solutions. Der jahrelange Kampf um die Rückgabe endete mit einem Urteil über 65 Millionen Dollar, einem Flüchtigen in Mexiko und einem wegweisenden Urteil, das Domains als Eigentum einstuft.
- domains
- security
- dns
- domain-security
Im Jahr 1995 wechselte die wertvollste Adresse im Internet aufgrund eines einzigen Blattes Papier den Besitzer.
Es gab keinen Einbruch, kein Lösegeld, keinen ausgeklügelten Exploit. Ein Betrüger tippte einen Brief, unterschrieb ihn mit einem fremden Namen und faxte ihn an einen Domain-Registrar in Virginia. Der Registrar las ihn, glaubte ihm und übergab sex.com – eine Domain, die später einem Unternehmen mit einem gemeldeten Viertelmilliarden-Dollar-Umsatz zugrunde liegen würde – an einen Mann, der keinen Anspruch darauf hatte. Der rechtmäßige Eigentümer erfuhr es erst im Nachhinein und verbrachte dann fast ein Jahrzehnt damit, die Domain zurückzubekommen.
Dies ist der erste große Domain-Raub der Geschichte, und er bleibt die klarste Antwort auf eine Frage, die sich jeder Domain-Inhaber stellen sollte: Was genau hindert jemanden daran, meinen Namen einfach zu nehmen? Im Jahr 1995 lautete die Antwort: fast nichts.
Willkommen bei Domain Mayday / 域名浩劫 – tiefgehende Analysen der Sicherheitsvorfälle, die unsere Vorstellung vom Besitz eines Namens im Internet geprägt haben. Folge 02: der gefälschte Brief, der sex.com stahl.
Was sex.com wert war
Anfang 1994 betrachtete der Unternehmer Gary Kremen – der auch Match.com gründete – das brandneue kommerzielle Internet und erkannte das Offensichtliche. Gerichtsakten belegen das Registrierungsdatum genau: Gary Kremen registrierte den Domain-Namen sex.com bei Network Solutions, Inc. am 9. Mai 1994. Damals waren Domains kostenlos, wurden per schneller E-Mail registriert, und kaum jemand verstand, was sie einmal wert sein würden. Das Neunte Bundesberufungsgericht eröffnete später sein Urteil in diesem Fall mit dem Witz, der über die gesamte Saga hing: „Sex im Internet?" sagten alle. „Damit wird man nie Geld verdienen."
Es wurde Geld verdient. Nachdem die Domain gestohlen worden war, verwandelte der Dieb sie in eine Maschine: eine werbeintensive Website, die bis zu 25 Millionen Aufrufe pro Tag verzeichnete, die berichten zufolge 50.000 bis 500.000 Dollar pro Monat durch Klicks und andere Werbung einbrachte. Manchen Berichten zufolge wurde die gestohlene Domain zur Grundlage eines 250.000.000-Dollar-Unternehmens während der Jahre, in denen er die unrechtmäßige Kontrolle über den Domain-Namen sex.com hatte. Es war eine Domain, die nach Ansicht mancher Branchenbeobachter wertvoller sein könnte als jede bisher verkaufte Domain.
Ein so wertvoller Name, geschützt durch die Registrar-Sicherheit der 1990er Jahre, war eine Schatztruhe mit einem Papierschloss.
Der Diebstahl: ein einziger gefälschter Brief
Der Mann, der dieses Schloss knackte, war Stephen Michael Cohen, und er war kein Ersttäter. Das Neunte Bundesberufungsgericht und Wikipedia stellen beide fest, dass er frisch aus dem Gefängnis kam: Stephen M. Cohen, der kürzlich eine Gefängnisstrafe nach einer Verurteilung wegen Betrugs verbüßt hatte. Er sah in sex.com genau das, was Kremen sah – ein Vermögen – und beschloss, es sich zu nehmen.
Der Mechanismus war fast beleidigend simpel. Cohen täuschte Network Solutions mit einem gefälschten Brief eines nicht existierenden Geschäftsführers von Kremens Unternehmen Online Classifieds, der die Übertragung von Sex.com an Cohen genehmigte. Einfach ausgedrückt, Cohen stahl Gary Kremens Domain-Namen sex.com, indem er einfach einen gefälschten Übertragungsbrief mit gefälschter Unterschrift beim Domain-Registrar Network Solutions einreichte.
Am 18. Oktober 1995 übertrug Network Solutions die Domain ohne Genehmigung an Stephen M. Cohen, einem Mann, der laut Wikipedia seit einiger Zeit versucht hatte, durch Falschangaben, Telefonanrufe, E-Mails und gefälschte Briefe die Kontrolle über die Domain zu erlangen. Der wertvollste Name im Internet hatte einen neuen „Eigentümer" – und der echte wusste es nicht einmal.
Der gefälschte „Dimmick-Brief"
Die Fälschung selbst verdient einen Moment der Betrachtung, denn sie war kein Meisterwerk. Es war ein Fax – und ein schlampiges noch dazu.
Laut dem Bezirksgerichtsprotokoll informierte Sharon Dimmick in einem Brief vom 15. Oktober 1995, angeblich im Namen von Online Classified, Stephen Cohen darüber, dass Online Classified „beschlossen hatte, den Domain-Namen sex.com aufzugeben." Der Briefschreiber hatte ein echtes Problem zu lösen: Wie „gibt" ein Unternehmen eine Domain auf, damit ein Fremder sie nehmen kann? Cohens Antwort, im Berufungsurteil zitiert, bestand darin, den Brief erklären zu lassen, dass da wir keine direkte Verbindung zum Internet haben, bitten wir Sie, die Internetregistrierung in unserem Namen zu benachrichtigen, um unseren Domain-Namen sex.com zu löschen. Ein Unternehmen, das Websites betreibt und behauptet, keinen Internetzugang zu haben – und Network Solutions zuckte nicht einmal mit der Wimper.
Die „Sharon Dimmick", deren Name auf dem Brief stand, war eine reale Person, hatte aber nichts mit dem Aufgeben von irgendetwas zu tun. Wie The Globe and Mail berichtete, erhielt Network Solutions Ende 1995 einen Brief, der angeblich von Sharyn Dimmick, damals eine Mitbewohnerin von Herrn Kremen, unterschrieben worden war. Cohen hatte den Namen von Kremens Mitbewohnerin benutzt, um Kremens eigenes Unternehmen zu imitieren.
Und er schrieb den Namen falsch. Wie eine Fallzusammenfassung nüchtern festhält, schrieb Cohen Dimmicks Unterschrift auf dem gefälschten Brief falsch. Der Journalist, der später ein Buch über den Fall schrieb, war noch vernichtender und beschrieb das Dokument als eines, bei dem die Person, die es angeblich gesendet hat, ihren eigenen Namen nicht buchstabieren konnte; der Briefkopf sieht aus, als wäre er auf einer John Bull Heimdruckpresse von einem analphabetischen Kindergartenkind hergestellt worden.
Das ist das Detail, das diese Geschichte so bitter macht. Das Schloss, das die wertvollste Domain des Internets schützte, war so schwach, dass es von einer Fälschung geknackt werden konnte, bei der die vermeintliche „Autorin" ihren eigenen Namen nicht buchstabieren konnte – und der Registrar akzeptierte sie für bare Münze und gab die Kontrolle ab.
Der jahrelange Kampf um die Rückgabe
Sex.com zu stehlen dauerte einen Brief. Es zurückzubekommen dauerte Jahre der Rechtsstreitigkeiten, und Kremen musste auf zwei Fronten gleichzeitig kämpfen: gegen Cohen und gegen den Registrar, der seine Domain weggegeben hatte.
Gegen Cohen waren die Fakten eindeutig, und Cohen wusste es. Er reagierte wie Betrüger es tun – indem er noch mehr Papier produzierte. Er fälschte Dokumente, um zu belegen, dass er die Domain schon immer besessen und eine Marke für sex.com gehabt habe, und konstruierte eine fiktive Geschichte zur Verteidigung des Diebstahls. Das Gericht ließ sich nicht täuschen. Richter James Ware erklärte die Übertragung für nichtig: Das Bezirksgericht entschied, dass Cohen Betrug begangen hatte, und erklärte seinen Besitz von sex.com für nichtig, da er den Domain-Namen durch einen betrügerischen Brief erworben hatte. Das Morelaw-Urteilsprotokoll formuliert das Ergebnis einfach – Urteil zugunsten des Klägers mit einer Anordnung, dass sex.com an den Kläger zurückgegeben wird. Kremen, den der Richter als rechtmäßigen Eigentümer von sex.com anerkannt hat, hatte seinen Namen endlich zurück.
Der schwierigere Kampf war der gegen Network Solutions, und er ist der Teil, der für alle anderen von Bedeutung war. Kremen argumentierte, dass der Registrar für die Enteignung seines Eigentums haftbar sein sollte – dafür, dass er es weggegeben hatte. Network Solutions argumentierte, eine Domain sei gar kein „Eigentum", sondern nur eine von ihm erbrachte Dienstleistung, und ein unteres Gericht stimmte dem zunächst zu. Im Berufungsverfahren widersprach Richter Kozinski und stufte Domains klar dem Eigentumsrecht unter: Kremens Domain-Name ist durch das kalifornische Umwandlungsrecht geschützt. Seine Analogie traf ins Mark – eine Domain aufgrund eines gefälschten Briefes an die falsche Person zu übergeben, schrieb er, unterscheidet sich nicht davon, ein Unternehmen haftbar zu machen, wenn es unter denselben Umständen die Aktien von jemandem weitergibt. Der Fall wurde anschließend außergerichtlich beigelegt, aber der Grundsatz blieb bestehen: Ein Domain-Name ist Eigentum, das man besitzen, verlieren und einklagen kann.
Das 65-Millionen-Dollar-Urteil – und Cohens Flucht
Die mit dem Diebstahl verbundene Summe war für die damalige Zeit enorm. Das Gericht befand Cohen haftbar für Betrug und Fälschung in Höhe von 40 Millionen Dollar Schadensersatz für entgangene Gewinne und 25 Millionen Dollar Strafschadenersatz – ein Betrag, den das Neunte Bundesberufungsgericht als Urteil zusammenfasste, bei dem das Gericht 40 Millionen Dollar kompensatorischen Schadensersatz und weitere 25 Millionen Dollar Strafschadenersatz zusprach. The Register fasste das Ergebnis klar zusammen: Der Kampf endete schließlich im April 2001, als Kremen die Domain zurückgegeben und 65 Millionen Dollar zugesprochen wurden.
Die Eintreibung war eine andere Sache. Cohen hatte nicht die Absicht zu zahlen. Er ignorierte die Anordnung und überwies große Geldsummen auf Offshore-Konten, was den Richter veranlasste, laut dem Urteil selbst, die Handschuhe auszuziehen: Er erklärte Cohen zum Justizflüchtling, unterzeichnete einen Haftbefehl und schickte die U.S. Marshals hinter ihm her. Da war Cohen bereits verschwunden. Als ein Haftbefehl ausgestellt wurde, floh Cohen nach Mexiko und wurde das, was The Globe and Mail den ersten Domain-Namen-Flüchtigen des Internets, gesucht von der Polizei in den Vereinigten Staaten und Mexiko, nannte. Er meldete persönlichen Bankrott an und floh nach Mexiko, wo er der Festnahme mehrere Jahre lang entkam, bis er 2005 von mexikanischen Behörden wegen Einwanderungsverstößen abgeschoben wurde.
Kremen gewann die Domain und das Urteil. Der vollen Summe von 65 Millionen Dollar kam er nie auch nur nahe. Die Lektion ist düster, aber wichtig: Ein Urteil auf dem Papier ist nur so gut wie die Möglichkeit, es gegen jemanden durchzusetzen, der bereit ist zu fliehen.
Wie Registrare dies in den 1990ern ermöglichten
Es ist verlockend, dies als einen fahrlässigen Registrar und ein einmaliges Ereignis zu betrachten. Das war es nicht. Es war das vorhersehbare Ergebnis davon, wie Domain-Eigentum im Jahr 1995 tatsächlich funktionierte.
In dieser Ära bestand der „Beweis" für den Besitz einer Domain aus einem Eintrag in der Datenbank eines Registrars und einem administrativen Kontakt – und die Art, ihn zu ändern, war zu fragen, normalerweise per Brief oder Fax. Es gab keine kryptographische Signatur, keine Zwei-Faktor-Bestätigung, keine automatische Benachrichtigung an den bestehenden Eigentümer, bevor eine Übertragung durchgeführt wurde. Das System funktionierte auf Vertrauen und der Annahme, dass niemand einfach lügen würde. Network Solutions unternahm, als Cohens Brief eintraf, keinerlei Versuch, Kremen zu kontaktieren, und wie Wikipedia zusammenfasst, akzeptierte Cohens betrügerischen Brief für bare Münze und führte keine Due-Diligence-Prüfung durch, um Fehler in Cohens Argumentation zu finden oder Kremen zu kontaktieren, um zu verifizieren, dass er die Domain aufgegeben hatte.
Hier stapeln sich zwei strukturelle Versäumnisse übereinander:
- Autorisierung durch Identitätsdiebstahl. Der Registrar authentifizierte ein Dokument, keine Person. Jeder, der einen plausibel aussehenden Brief auf dem richtigen „Unternehmens"-Briefkopf produzieren konnte, konnte eine Domain verschieben. Identität war ein Kostüm.
- Keine Benachrichtigung des echten Eigentümers. Die eine Kontrolle, die dies sofort gestoppt hätte – Kremen zu sagen „jemand versucht, Ihre Domain zu übertragen", bevor gehandelt wurde – existierte schlicht nicht. Das Opfer erfuhr es als Letztes.
Das sind nicht Cohens Versäumnisse. Das sind die Versäumnisse eines Systems, das die wertvollsten Namen der Welt wie Bibliotheksausweise behandelte.
Was dies über Domain-Eigentum lehrt
Der sex.com-Raub ist dreißig Jahre alt, aber seine Lektionen sind zeitlos, weil sich die grundlegende Architektur des Domain-Eigentums weniger verändert hat, als man denken würde.
- Ihre Domain ist Eigentum – und Eigentum wird gestohlen. Das dauerhafteste Vermächtnis von Kremen v. Cohen ist das Urteil, dass eine Domain Eigentum ist, das durch das Umwandlungsrecht geschützt ist. Das ist eine gute Nachricht (Sie haben Rechte) und eine Warnung (etwas mit Wert und einem Eigentümer lohnt sich zu stehlen).
- Das schwächste Glied ist der Übertragungsprozess, nicht das Passwort. Cohen hat nie ein Passwort erraten. Er griff den administrativen Weg an – den menschlichen Prozess zur Änderung des Eigentümers eines Namens. Die meisten Domain-Hijackings zielen immer noch auf diese Naht ab: Registrar-Support, Übertragungsgenehmigungen, Änderungen von Kontaktdaten.
- Papiernes Vertrauen ist keine Sicherheit. „Es sah offiziell aus" – so verließ die wertvollste Domain der Welt das Haus. Eine Unterschrift, ein Briefkopf, eine plausible Geschichte – nichts davon beweist, wer tatsächlich autorisiert ist.
- Benachrichtigung und Verifizierung sind unverzichtbar. Die einzige Kontrolle, die den gesamten Raub verhindert hätte, war die Bestätigung der Anfrage beim echten Eigentümer vor dem Handeln. Jedes System, das Ihre Domain bewegen kann, ohne nachweislich Sie einzubeziehen, ist ein System, das Ihre Domain verlieren kann.
- Ein Urteil ist keine Rückerstattung. Kremen gewann 65 Millionen Dollar und erhielt weit weniger. Prävention schlägt Rechtsstreitigkeiten jedes Mal, weil Sie sich keine Domain zurückklagen können, die ein Flüchtiger bereits monetarisiert hat und ein Gericht nicht finden kann.
Die Namefi-Perspektive
Lässt man die Mexiko-Flucht und die Einnahmen des Porno-Imperiums beiseite, ist der sex.com-Raub eine Geschichte über eine Sache: Es gab keine manipulationssichere, eigentümerkontrollierte Aufzeichnung darüber, wem der Name gehörte. Das Eigentum lebte in einer privaten Datenbank und konnte von jedem neu geschrieben werden, der den Sachbearbeiter mit einem gefälschten Brief mit einem falsch geschriebenen Namen täuschen konnte.
Namefi geht vom entgegengesetzten Grundsatz aus. Wenn eine Domain tokenisiert wird, ist das Eigentum an kryptographischen Schlüsseln verankert, die Sie kontrollieren, und jede Übertragung ist eine On-Chain-Aktion, die autorisiert, sichtbar und prüfbar ist – kein Fax, das jemand „für bare Münze nimmt". Es gibt keinen Sachbearbeiter zu täuschen, keinen administrativen Hinterkanal, in dem ein überzeugender Brief den echten Eigentümer übertrifft, und keine stille Übertragung, von der der Eigentümer Monate später erfährt. Die Kontrolle ist nachweisbar, Übertragungen werden vom Eigentümer signiert, und der Prüfpfad ist von Grund auf öffentlich – und bleibt dabei kompatibel mit dem DNS, auf das das restliche Internet angewiesen ist.
Cohens gefälschter Brief funktionierte, weil das Einzige, was zwischen ihm und sex.com stand, die Bereitschaft eines anderen war, ein Stück Papier zu glauben. Der Sinn von verifizierbarem, manipulationssicherem Eigentum besteht darin, diesen Angriff schon im Ansatz unmöglich zu machen: Man kann einen privaten Schlüssel nicht auf die gleiche Weise imitieren, wie man eine Unterschrift imitieren kann. Die wichtigste Lektion des ersten großen Domain-Diebstahls des Internets ist, dass wer diesem Namen gehört eine Tatsache sein sollte, die Sie beweisen können – keine Geschichte, die ein Fremder erzählen kann.
Quellen und weiterführende Lektüre
- Wikipedia — Sex.com
- Wikipedia — Kremen v. Cohen
- U.S. Court of Appeals, Ninth Circuit — Kremen v. Cohen / Online Classifieds v. Network Solutions, 325 F.3d 1035 (vollständiges Urteil, PDF)
- MoreLaw — Gary Kremen v. Stephen Michael Cohen, et al. (Fallakte)
- CircleID — Domain Name Theft, Fraud And Regulations
- The Globe and Mail — The fugitive, the Cupid and sex.com
- The Register — Sex.com: read it if you dare (Rezension von Kieren McCarthys Buch)
- Studicata — Kremen v. Cohen — Fallzusammenfassung
- Kieren McCarthy — The lowdown on the Sex.com case
- CircleID — Book Review: Sex.com by Kieren McCarthy
Über die Autor*innen
Verwandte Leitfäden
- Die 12-Dollar-Minute: Als jemand google.com stillschweigend kaufteIm September 2015 kaufte ein ehemaliger Google-Mitarbeiter google.com über Google Domains für 12 Dollar und hatte etwa eine Minute lang die administrative Kontrolle über die wertvollste Domain der Welt. Die Geschichte von Sanmay Ved, dem 6.006,13-Dollar-Kopfgeld und was eine Minute Eigentumsrecht darüber verrät, wer wirklich eine Domain kontrolliert.
- Domain Mayday EP03: Die Twitter-Bitcoin-Kontoübernahme 2020Am 15. Juli 2020 verschafften sich Angreifer per Telefon Zugang zu Twitter, übernahmen die verifizierten Konten von Obama, Biden, Musk, Gates, Apple und Uber und führten einen Bitcoin-Verdopplungsbetrug durch – mit einer Beute von rund 118.000 US-Dollar. Eine Tiefenanalyse, wie die Kontrolle über eine Online-Identität gestohlen wurde und was das für den Besitz eines Namens bedeutet.
- Domain Mayday EP05: Der Squarespace-DeFi-Domain-Massenraub 2024Im Juli 2024 verwandelte eine Registrar-Migration von Google Domains zu Squarespace schwache Standard-Authentifizierung in eine Massenangriffsfläche. Angreifer kaperten die Domains von Krypto- und DeFi-Projekten – Compound Finance, Celer Network, Pendle, Unstoppable Domains – und leiteten sie auf Wallet-Drainer-Phishing-Seiten um. So schuf eine „nahtlose" Migration hunderte ungesicherter Eingangstüren, und was das über Registrar-Sicherheit und MFA lehrt.
- Der BadgerDAO-Frontend-Angriff: 120 Millionen Dollar durch ein eingeschleustes Skript abgezogenIm Dezember 2021 kompromittierten Angreifer das Cloudflare-Konto von BadgerDAO und schleusten ein bösartiges Skript in das Website-Frontend ein. Die auditierten Smart Contracts wurden nie berührt — und dennoch verschwanden rund 120 Millionen Dollar durch Wallet-Freigaben, die Nutzer unwissentlich unterzeichneten. Eine Tiefenanalyse darüber, warum die Website Teil Ihrer Sicherheitsoberfläche ist.