hi,

Das Problem ist, daß wohl auch t-online selbst mit dem Adreßpool für die 217.xxx.xxx.xxx nicht herausfinden könnte
... welchem Kunden zu einer bestimmten, exakt spezifizierten Uhrzeit diese IP-Adresse zugeordnet war?
Doch, _das_ müssen die aus ihren Logs feststellen können

Richtig, und das bezweifle ich auch nicht. Aber jetzt hast du den entscheidenden Halbsatz aus meinem posting rausgeschnipselt, der lautete:
"wer sich da auch noch nen Webserver installiert hat bzw. wer mit der zugewiesenen Adresse einen infizierten IIS (möglicherweise sogar völlig ahnungslos) online stellt oder gar wissentlich den Bösewicht immer wieder neu auf die Reise schickt"
Und _das_ können sie nach meinen Informationen nicht. Wenn du besser informiert bist, würde ich das gerne erfahren. Nimm als einfachstes Beispiel an, daß sich jemand über t-online einwählt, nen eigenen Webserver laufen hat (man kann ja leider nicht voraussetzen, daß das dann ein Apache ist) und sich per dyndns ansprechen läßt.

Würden sich jedoch hunderte von Anwendern über dieselbe IP-Adresse zur selben Zeit bei T-Online beschweren ...

Hm. Es ist zwar möglich (und gar nicht mal unwahrschenlich), daß es tatsächlich mehrere hundert Leute gibt, die sekundengenau zur selben Zeit solche Anfragen erhalten. Aber wie soll man die zu einer "konzertierten Aktion" bewegen?

Grüße aus Berlin

Christoph S.