[datensicherheit.de, 05.06.2026] Mit dem Anstoß zur Fußball-WM am 11. Juni 2026 startet wohl nicht nur das größte Sportereignis des Jahres – sondern auch eine cyberkriminelle Hochsaison mit einer kalkulierbaren Welle gezielter Cyberangriffe. Die Zahlen aus dem Jahr 2022 sprechen demnach eine deutliche Sprache: Die Recorded Future’s Insikt Group dokumentierte über 1.200 betrügerische WM-Domains. Für 2026 – nun mit drei Gastgeberländern, 16 Standorten und einer deutlich größeren digitalen Angriffsfläche – rechnen Experten mit einer neuen Dimension. Paolo Passeri, „Cyber Intelligence Principal“ bei Netskope, betont in seiner aktuellen Stellungnahme die Kernbedrohung: „Die Omnipräsenz von KI ermöglicht es Kriminellen, Schwachstellen schneller zu identifizieren und immer ausgefeiltere Kampagnen zu entwickeln.“ Er warnt eindringlich vor auf „Clouds“ basierender Malware-Auslieferung über von „Hacktivisten“ getriebene Infrastrukturangriffe bis hin zu Phishing-Kampagnen mittels Künstlicher Intelligenz (KI), welche selbst IT-erfahrene Nutzer täuschen könnten.

Großereignisse wie WM oder Olympische Spiele im Fadenkreuz organisierter Cyberangreifer

Passeri führt aus: „Am 11. Juni richtet sich aller Augen auf die Vereinigten Staaten, Kanada und Mexiko – die Gastgeber der ,FIFA Fußball-Weltmeisterschaft 2026‘. Doch nicht nur Fans und Medien werden das Ereignis verfolgen: Auch Cyberkriminelle werden versuchen, die festliche Stimmung für ihre Zwecke zu nutzen.“

• Allein rund um die WM 2022 in Katar hätten Sicherheitsforscher von Recorded Future bereits über 1.200 betrügerische Domains mit WM-Bezug identifizieren können – „Typosquat“-Seiten, gefälschte Ticketportale und Phishing-Kampagnen, um gezielt die Aufmerksamkeit rund um das Turnier auszunutzten.

Dass solche Großereignisse längst im Fadenkreuz organisierter Angreifer stehen, hätten zuletzt auch die „Olympischen Spiele 2024“ in Paris gezeigt, bei denen die französische Cyberbehörde ANSSI eine signifikante Zunahme von Angriffen auf Kritische Infrastruktur (KRITIS) dokumentiert habe.

Großereignisse wie eine Fußball-WM erzeugen per se hohes Aktivitätsniveau – auch bei Cyberkriminellen

Für die anstehende WM 2026, welche erstmals drei Länder und über 16 Austragungsorte umfasst, ist laut Passeri mit einer noch größeren Angriffsfläche zu rechnen. Er unterstreicht in diesem Zusammenhang die Bedeutung einer robusten Cybersicherheitsinfrastruktur – gerade in solchen Ausnahmesituationen, welche gewohnte operative Abläufe auf den Kopf stellten:

• „Großereignisse wie eine Fußball-Weltmeisterschaft erzeugen per se ein Aktivitätsniveau, das ihrer Größe entspricht. Der Informationsfluss steigt exponentiell an – ebenso wie das Volumen der Finanztransaktionen. Beides sind starke Anreize für Cyberkriminelle, diese Ströme für eigene Zwecke zu missbrauchen.“

Da solche Ereignisse enorme Medienaufmerksamkeit auf sich zögen, sähen Angreifer darin zudem eine Bühne: Sie wollten den Sportlern die Schlagzeilen stehlen. Dieses Risiko werde durch die aktuelle geopolitische Lage noch verstärkt – „Hacktivisten“ könnten ein Medienereignis dieser Dimension nutzen, um auf ihre Anliegen aufmerksam zu machen.

Enge Zusammenarbeit zwischen Cyber- und physischen Sicherheitsexperten zumal bei einer WM erforderlich

Hinzu komme, dass Cybersicherheit und physische Sicherheit untrennbar miteinander verbunden seien. „Ein kompromittiertes Zutrittskontrollsystem in einem Stadion gefährdet die Sicherheit aller Beteiligten – innen wie außen. Eine enge Zusammenarbeit zwischen Cyber- und physischen Sicherheitsexperten ist deshalb das Fundament jeder soliden Verteidigungsstrategie.“

• Auch Zuschauer und externe Teilnehmer müssten Verantwortung tragen: „Durch umsichtiges Verhalten – etwa beim Umgang mit öffentlichem WLAN oder unbekannten Links – können sie verhindern, Teil einer Angriffskette zu werden, die letztlich das Turniernetzwerk gefährdet.“

Schließlich verstärke der allgegenwärtige Einsatz Künstlicher Intelligenz (KI) all diese Risiken erheblich: Diese ermögliche es Kriminellen, Schwachstellen schneller zu identifizieren und immer ausgefeiltere Kampagnen zu entwickeln. Passeri betont abschließend: „Unternehmen müssen deshalb KI ihrerseits nutzen – integriert in maßgeschneiderte Sicherheitslösungen – und gleichzeitig auf einen Zero-Trust-Ansatz setzen, der für den Schutz Kritischer Infrastrukturen unverzichtbar ist.“

Weitere Informationen zum Thema:

netskope
A SASE and Zero Trust Market Leader / Hybrid work and digital transformation have changed how networks and security need to work. As a market leader, Netskope understands these changes and works with you to provide optimized access and real-time security for people and data anywhere they go.

netskope
Paolo Passeri – Principal Sales Engineer

datensicherheit.de, 05.06.2026
Niederlage oder Sieg: Backups im Kontext der Cyberrisiken rund um die Fußball-WM 2026 / Die enorme globale Aufmerksamkeit macht Großveranstaltungen zu einem attraktiven Ziel auch für Cyberkriminelle – Teil der Verteidigungsmaßnahmen potenzieller Opfer muss auch eine resiliente Backup-Strategie sein

datensicherheit.de, 29.05.2026
Fußball-WM 2026 als Weltbühne: Cyberkriminelle und Bedrohungsakteure laufen sich warm / Die bevorstehende Fußball-WM wird die größte Angriffsfläche für ein Sportereignis dieser Größenordnung darstellen

datensicherheit.de, 13.05.2026
Fußball-Weltmeisterschaft 2026: Cyberkriminelle Hochsaison voraus / KnowBe4 rät zum „VAR-Check“, um echte Angebote für Tickets, Dienstleistungen und Gewinnspiele von cyberkriminellen Betrugsmanövern zu unterscheiden

[datensicherheit.de, 21.11.2025] Weltweit existieren derzeit rund 371,7 Millionen registrierte Domains (Berechnung von Global Domain Report 2025 und Verisign). Jede einzelne Domain kann Ziel eines Angriffs sein. Für Unternehmen bedeutet das: Die eigene Adresse im Netz ist längst nicht mehr nur ein technischer Eintrag, sondern strategisches Kern-Asset. Wer sie verliert, verliert digitale Handlungsfähigkeit, Vertrauen und oft auch Geschäft.

Zahlreiche bekannte Beispiele

Bekannte Beispiele zeigen, wie schnell es gehen kann. Microsoft verlor schon Ende der 1990er-Jahre durch Social Engineering zeitweise die Kontrolle über die eigene Domain. Google versäumte 2021 die Verlängerung von google.com.ar – ein Privatnutzer registrierte sie kurzerhand. Auch die Open-Source-Plattform perl.com wurde entführt und wochenlang auf fragwürdige Inhalte geleitet.

Solche Fälle sind keine Randnotizen, sondern Warnungen: Wenn selbst Branchenriesen straucheln, sind Mittelständler erst recht gefährdet.

Die wachsende Angriffsfläche

Das Wachstum des Domain-Bestands zeigt die Dimension: Der DNIB-Report weist für Q2/2025 einen Anstieg um 3,3 Millionen Domains im Vergleich zum Vorquartal aus. Parallel steigt die Zahl der Streitfälle. 2024 registrierte die Weltorganisation für geistiges Eigentum (WIPO) 6.168 UDRP-Verfahren aus 133 Ländern – ein neuer Höchstwert. UDRP steht für Uniform Domain-Name Dispute-Resolution Policy, ein von der ICANN entwickeltes Schlichtungsverfahren für Domain-Streitigkeiten. Auch der Domain Dispute Digest 2025 von GigaLaw meldet ein anhaltend hohes Streitvolumen. Unternehmen aller Branchen müssen ihre Rechte verteidigen – der Aufwand wächst stetig.

Domain-Hijacking ist dabei nur eine von mehreren Bedrohungen. Angreifer nutzen Social Engineering, um Mitarbeitende zur Herausgabe von Zugangsdaten zu bewegen. Sie täuschen Registrare mit gefälschten Dokumenten oder nutzen schlicht organisatorische Lücken, wenn Verlängerungen versäumt werden. Auch Reverse Hijacking, also der Missbrauch angeblicher Markenrechte, nimmt zu. Die Konsequenzen reichen von unterbrochener Kommunikation bis hin zu kompletten Reputationsverlusten.

Noch immer wird die Sicherung von Domains oft in der IT verortet – ein gefährlicher Trugschluss. Denn betroffen ist nicht nur die technische Infrastruktur, sondern die gesamte Unternehmensidentität. Kunden unterscheiden nicht, ob eine Website wegen eines Hacks oder wegen eines internen Fehlers offline ist. Sie sehen: Die Marke hat ihre Hausaufgaben nicht gemacht.

Für Vorstände und Geschäftsführung heißt das: Domain-Sicherheit gehört in die Unternehmensstrategie. Sie betrifft Marketing, Kommunikation, Compliance und IT gleichermaßen. Wer das Thema delegiert, riskiert Kontrollverlust über das zentrale Tor zur Marke.

Organisatorische und technische Hausaufgaben

Ein wirksamer Schutz beginnt mit klaren Verantwortlichkeiten:

• Wer verwaltet das Domain-Portfolio?
• Wie darf auf die Haupt-Domain zugreifen?
• Wie sind Zugangsdaten dokumentiert?
• Sind Prozesse für Verlängerungen automatisiert?

Ohne diese Grundlagen greifen auch die besten Sicherheitsmechanismen nicht.

Technisch sind mehrere Ebenen unverzichtbar. Zwei-Faktor-Authentifizierung ist Pflicht, Registrar- und Registry-Locks erschweren unautorisierte Transfers. DNSSEC (Domain Name System Security Extensions) sichert die Authentizität von DNS-Antworten ab. Monitoring-Tools schlagen Alarm, wenn Nameserver geändert oder ähnliche Domains registriert werden. Und: Alte Domains sollten nicht einfach aufgegeben werden. Wer sie löscht, öffnet Angreifern Tür und Tor zu Catch-All-Adressen, über die sensible Kommunikation abgefangen werden kann.

Der Weg zurück zur eigenen Domain ist zeitaufwendig. Verfahren wie die UDRP bei der WIPO dauern Monate und erfordern eindeutige Markenrechte. Nationale Mechanismen wie der Dispute-Eintrag bei der DENIC bieten Schutz, sind aber ebenfalls nur reaktiv. Das zeigt: Prävention ist billiger als Rückeroberung. Laut WIPO dauert ein UDRP-Fall im Schnitt mehrere Monate und verursacht Kosten von mehreren tausend US-Dollar, ganz abgesehen von Reputationsschäden, die kaum bezifferbar sind.

Resilienz als Führungsaufgabe

Das Thema gewinnt auch durch Regulierung an Relevanz. Mit der europäischen NIS-2-Richtlinie werden Unternehmen verpflichtet, digitale Assets konsequent abzusichern. Domains sind Teil davon. Für die Geschäftsführung bedeutet das: Wer hier spart, riskiert nicht nur Imageschäden, sondern künftig auch Bußgelder.

Damit wird klar: Domains sind kein technisches Anhängsel, sondern Teil der Business Continuity. Ein Ausfall bedeutet Stillstand in Vertrieb, Kommunikation und Service. Strategisch geführte Unternehmen behandeln ihre Domain-Portfolios deshalb wie andere kritische Assets – von Produktionsanlagen bis zu Finanzsystemen.

Fazit: Domains sind Chefsache

Domains sind weit mehr als Webadressen. Sie sind die Eintrittspforte zur Marke, Vertrauensanker für Kunden und Grundlage geschäftlicher Kommunikation. Ihr Verlust trifft Unternehmen ins Herz. Wer Domains nicht absichert, handelt fahrlässig – technologisch, organisatorisch und strategisch. Das Fazit ist eindeutig: Domain-Management ist Chefsache. Denn nur wenn Führungskräfte Verantwortung übernehmen, werden die nötigen Ressourcen und Prozesse geschaffen, um Angriffe abzuwehren. In einer digitalen Wirtschaft, die von Vertrauen lebt, sind sichere Domains kein Detail. Sie sind Chefsache.

Über den Autor:

Christian Dallmayer, General Manager united-domains GmbH, Bild: united-domains GmbH

Christian Dallmayer verfügt über mehr als 15 Jahre Erfahrung im Web-, Technologie- und E-Commerce-Bereich, darunter bei der Q&A-Plattform gutefrage.net, dem Softwareunternehmen equinux AG und der Live-Shopping-Plattform 1-2-3.tv. Er hat einen Abschluss als Diplom-Politologe (Univ.) mit Schwerpunkt Politikwissenschaft, Marketing, Methoden der empirischen Sozialforschung an der Otto-Friedrich-Universität Bamberg. Er arbeitet seit 2022 bei der united-domains GmbH und ist als General Manager für die Bereiche B2B und B2C verantwortlich.

Weitere Informationen zuzm Thema:

datensicherheit.de, 13.05.2025
Domain-Hijacking: Wie Unternehmen ihre digitale Identität verlieren können

[datensicherheit.de, 31.08.2025] Deutschland steht wegen der langsamen Fortschritte in der Digitalisierung immer wieder in der Kritik – dennoch hat derzeit kaum ein Land mehr registrierte Webseiten: Mit 17,6 Millionen „.de”-Domains sei Deutschland weltweit die zweitgrößte länderspezifische Webpräsenz und Marktführer in Europa – auf Platz 1 stehe China mit seinen rund 21 Millionen „.cn”-Registrierungen. Laut einer aktuellen diesbezüglichen Stellungnahme von Hostinger basieren diese Erkenntnisse auf einer Analyse der Plattform „Domain Name Industry Brief“, welche regelmäßig die Anzahl der weltweit registrierten Domains erfasse.

Abbildung: HOSTINGER

Diese Daten (Auszug) spiegeln demnach den aktuellen Stand vom 23. Juli 2025 wider (könnten jedoch aufgrund von Verzögerungen bei der Datenübertragung geringfügig vom Echtzeitwert abweichen)

Analyse gibt auch Aufschluss über Verbreitung einzelner Länderdomain-Endungen im Verhältnis zur Einwohnerzahl

Deutschland habe weltweit eine der erfolgreichsten nationalen Internet-Identitäten aufgebaut: „Mit 17,6 Millionen ,.de’-Domains ist das Land weltweit die zweitgrößte länderspezifische Webpräsenz und Marktführer in Europa.“

• Zu diesem Ergebnis kommt der Anbieter von Webhosting- und Internet-Services Hostinger, der nach eigenen Angaben untersucht hat, welche Länderdomains die meisten Websites gemeldet haben. Diese Analyse gebe auch Aufschluss darüber, wie stark einzelne Domain-Endungen wie „.cc“ und „.ai“ im Verhältnis zur Einwohnerzahl ihrer Herkunftsregionen verbreitet sind.

Die vorliegenden Zahlen belegten die digitale Relevanz Deutschlands: Mit seinen 17,6 Millionen „.de”-Registrierungen liege Deutschland deutlich vor Großbritannien (10,2 Millionen „.uk“-Domains). Noch beeindruckender sei, dass die deutsche „.de“-Domain mehr Registrierungen habe als Russland („.ru“ mit 6,6 Millionen) und die Niederlande („.nl“ mit 6,1 Millionen) zusammen.

Bei der Anzahl der Domains im Verhältnis zur Einwohnerzahl liegen Kokosinseln weit vorne

Die USA mit viermal so vielen Einwohnern im Vergleich zu Deutschland lägen auf Platz 15 der Länder-Domainregistrierungen, da die US-Amerikaner standardmäßig eher „.com“ verwendeten.

• Damit steche Deutschland mit seiner nationalen digitalen Identität auf der globalen Bühne deutlicher hervor. „Das einzige Land, das Deutschland übertrifft, ist China, dessen Domain ,.cn’ mit 21 Millionen Registrierungen an der Spitze liegt.“

Wenn man die Anzahl der Domains ins Verhältnis zur Einwohnerzahl setzt, lägen die Kokosinseln (Australien) weit vorne, wo jeder der 593 Einwohner statistisch 3.204 Websites mit der Domain „.cc“ (insgesamt 1,9 Millionen Registrierungen) repräsentiere.

Passende Länderdomains werden auch gerne als generische Domains verwendet

Dabei sei indes zu beachten, dass die Top-Level-Domain „.cc“ nicht nur als länderspezifische Endung verwendet wird: Laut Domain-Anbietern werde sie auch häufig von Websites außerhalb der Region genutzt, da „.cc“ auch für „commercial company“ (kommerzielles Unternehmen) oder „creative commons“ stehen könne. Es handele sich um eine vielseitige Domain-Endung, welche weltweit frei registriert werden dürfe.

• Ähnlich verhalte es sich mit der Endung „.ai“ – offiziell zu Anguilla, einem britischen Überseegebiet in der Karibik gehörend. Diese erfreue sich weltweit großer Beliebtheit, insbesondere bei Unternehmen aus dem Bereich der Künstlichen Intelligenz (KI), da diese Abkürzung offensichtlich perfekt zum englischen Begriff „artificial intelligence“ passt.

Insgesamt seien 598.000 „.ai“-Domains registriert – bei einer Bevölkerung von 14.598 Einwohnern bedeute mithin dies knapp 41 Domains pro Einwohner, Tendenz stark steigend.

Weitere Informationen zum Thema:

HOSTINGER
Über uns

HOSTINGER, Vera P., 14.08.2025
Länderdomain-Ranking: Warum “.de” Europas stärkste Länderdomain ist / Deutschland hat still und leise eine der weltweit erfolgreichsten nationalen Internet-Identitäten aufgebaut: Mit 17,6 Millionen .de-Domains ist das Land weltweit die zweitgrößte länderspezifische Webpräsenz und unangefochtener Marktführer in Europa.

datensicherheit.de, 13.05.2025
Domain-Hijacking: Wie Unternehmen ihre digitale Identität verlieren können / Unternehmen sollten ihre strategische Assets durch geeignete technische und organisatorische Maßnahmen schützen und im Ernstfall reaktionsfähig sein.

datensicherheit.de, 02.09.2020
Cybersquatting: Angreifer imitieren Domains großer Marken / Missbrauch von facebook, Apple, Amazon und Netflix, um Verbraucher mit falschen Domains hinters Licht zu führen

datensicherheit.de, 10.07.2020
E-Mail – Ungeschützte Absender-Domains gefährden Marken / 75 Prozent der Unternehmen machen Online-Werbung / eco Studie: Online-Werbung hat viel Verbesserungspotenzial / Online-Shopping per Handy bei jedem zweiten Händler zu langsam

datensicherheit.de, 02.04.2020
Hacker missbrauchen Netflix: Sicherheitsforscher finden gefälschte Domains / Check Point Research hat die nächste Bedrohung für Anwender im Internet entdeckt, denn Cyber-Kriminelle machen sich die steigende Beliebtheit des Video-Streamingdienstes zunutze / Die Zahl der Fake-Domains mit Bezug zum Streaming-Dienst ist stark gestiegen

datensicherheit.de, 01.08.2019
Warnung von Zscaler: Missbrauch von Domains für Angriffe / Große Phishing-Kampagnen hinter gefälschten Webseiten enttarnt

datensicherheit.de, 28.12.2018
Betrugsversuch: Domain-Inhaber erhalten dubiose Rechnungen / PSW GROUP warnt vor Betrügern, die angeblich für Web-Domain-Registrierung zehnjährige Vorauszahlung fordern

[datensicherheit.de, 13.07.2025] Check Point warnt in einer aktuellen Stellungnahme vor einer zunehmenden Bedrohung durch die berüchtigte Hacker-Gruppe „Scattered Spider“. Sicherheitsforscher berichteten demnach zuletzt im Mai 2025 davon, wie die mutmaßlich mit dem „DragonForce“-Ransomware-Kartell in Verbindung stehenden Gruppe den britischen Einzelhandel angriff. Nun hat Check Point Research (CPR), die IT-Forensiker der Check Point® Software Technologies Ltd., nach eigenen Angaben über 500 Phishing-Domains identifiziert, welche gezielt auf Unternehmen – insbesondere in der Luftfahrtbranche – zielen.

Typische Phishing-Domains als neue Indikatoren

„In den vergangenen Wochen wurden mehrere Vorfälle publik, die mit der Gruppe in Verbindung gebracht werden – darunter der massive Datenverlust bei Qantas im Juli 2025, bei dem Daten von rund sechs Millionen Kunden kompromittiert wurden.“ Auch Angriffe auf Hawaiian Airlines und WestJet unterstrichen die Dringlichkeit, Sicherheitslücken zu schließen, insbesondere bei Drittanbietern im Luftfahrtsektor. CPR habe ein konsistentes Muster in der Infrastruktur der Angreifer identifizieren können: „Domains, die Unternehmensportale täuschend echt nachahmen, um Mitarbeiter zur Herausgabe von Zugangsdaten zu bewegen.“ Typische Namensmuster sind laut CPR:

• victimname-sso.com
• victimname-servicedesk.com
• victimname-okta.com

CPR-Beispiele für entdeckte Phishing-Domains:

• chipotle-sso[.]com
• gemini-servicedesk[.]com
• hubspot-okta[.]com

Diese Domains richteten sich nicht nur gegen Technologie-, Einzelhandels- und Luftfahrtunternehmen, sondern auch gegen die Fertigung, Medizintechnik, Finanzdienstleistungen und Unternehmensplattformen – ein Hinweis auf die opportunistische Natur dieser Gruppe.

Phishing-Gruppe „Scattered Spider“ wohl seit 2022 aktiv

Diese Gruppe sei seit mindestens 2022 aktiv und bestehe aus jungen Akteuren aus den USA und Großbritannien. Ihre Taktiken umfassen laut CPR:

• Aggressive Social-Engineering-Methoden (u.a. Ausnutzung der Multi-Faktor-Authentifizierung-Ermüdung der Angestellten, Vishing, SIM-Swapping).
• Einsatz von Remote-Access-Tools wie „TeamViewer“, „Ngrok“ und „Tactical RMM“.
• Nutzung von Malware wie „WarZone RAT“ und „Raccoon Stealer“.
• Ransomware-Angriffe mit „BlackCat“/„ALPHV“.

Um sich der Angriffe und Methoden von „Scattered Spider“ effektiv zu erwehren, empfiehlt Check Point:

• Monitoring verdächtiger Domains und Blockieren passender Muster.
• Mitarbeiterschulungen zu MFA-Missbrauch und „Vishing“.
• Adaptive Authentifizierung mit Anomalie-Erkennung.
• Robuste Endpunkt-Sicherheitsmaßnahmen.
• Für Luftfahrtunternehmen: Striktes „Vendor Risk“-Management und branchenspezifische „Incident Response“-Playbooks.

Weitere Informationen zum Thema:

CHECK POINT, Check Point Research, 07.07.2025
Exposing Scattered Spider: New Indicators Highlight Growing Threat to Enterprises and Aviation

CHECK POINT Cyberint, Adi Bleih, 08.05.2025
Meet Scattered Spider: The Group Currently Scattering UK Retail Organizations

CHECK POINT, Check Point Research, 06.05.2025
DragonForce Ransomware: Redefining Hybrid Extortion in 2025

datensicherheit.de, 19.02.2025
Kleine und mittlere Flughäfen: BSI stellt IT-Grundschutz-Profil bereit / BSI-Empfehlungen für Mindestabsicherung kleiner und mittlerer Flughäfen in Deutschland

datensicherheit.de, 28.06.2017
Bitkom-Positionspapier zur Cyber-Sicherheit in der Luftfahrt veröffentlicht / Branchenverband sieht bei der Pilotenausbildung Handlungsbedarf

[datensicherheit.de, 02.09.2020] Palo Alto Networks geht in einer aktuellen Stellungnahme auf den Umstand ein, dass Benutzer im Internet auf Domain-Namen angewiesen sind, um Marken, Dienstleistungen, Fachleute und persönliche Websites zu finden. Cyber-Kriminelle machten sich dies zunutze, indem sie Namen registrieren ließen, „die mit bestehenden Domains oder Marken in Verbindung zu stehen scheinen“ – von Experten „Cybersquatting“ genannt. IT-Sicherheitsforscher von Palo Alto Networks haben nach eigenen Angaben diesen Trend ausführlich untersucht und unter anderem eine „Top 20“-Liste der am häufigsten missbrauchten Domains erstellt.

Zweck des Squattings von Domains besteht darin, die Benutzer zu verwirren

Absicht der Cyber-Kriminellen sei es, von Benutzerfehlern zu profitieren: Der Zweck des Squattings von Domains bestehe darin, die Benutzer zu verwirren – sie sollten glauben, „dass die angepeilten Marken (wie Netflix) diese Domainnamen besitzen (wie netflix-payments[.]com), oder um von Tippfehlern der Benutzer zu profitieren (wie whatsalpp[.]com für WhatsApp)“.
Während Cybersquatting gegenüber Benutzern nicht immer böswillig sei, sei es indes in den USA illegal. Squatting-Domains würden häufig für Angriffe verwendet oder umgenutzt.

Im Dezember 2019 13.857 Squatting-Domains registriert

Das Squatting-Erkennungssystem von Palo Alto Networks habe entdeckt, dass im Dezember 2019 13.857 Squatting-Domains registriert worden seien – durchschnittlich also 450 pro Tag. „Die Forscher fanden heraus, dass 2.595 (18,59 Prozent) besetzte Domainnamen bösartig sind und häufig Malware verbreiten oder Phishing-Angriffe durchführen. 5.104 (36,57 Prozent) besetzte Domains, die untersucht wurden, stellen ein hohes Risiko für die Benutzer dar, die sie besuchen.“
Es gebe somit Beweise für eine Verbindung mit bösartigen URLs innerhalb der Domain oder für die Nutzung von „Bullet-Proof-Hosting“.

Domain-Squatter bevorzugen profitable Ziele

Palo Alto Networks hat demnach eine Rangliste der „Top 20“ der am meisten missbrauchten Domains im Dezember 2019 erstellt, basierend auf der angepassten Malware-Rate, „was bedeutet, dass eine Domain entweder mit vielen Squatting-Domains in Verbindung steht oder die meisten dieser Squatting-Domains nachweislich bösartig sind“.
Die Forscher hätten herausgefunden, dass Domain-Squatter profitable Ziele bevorzugten, wie z.B. Mainstream-Suchmaschinen und Soziale Medien, Finanz-, Shopping- und Bank-Websites. Benutzer würden dort zu Zielen für Phishing und Betrügereien, um sensible Zugangsdaten oder Geld zu stehlen.

Vielzahl bösartiger Domains mit unterschiedlichen Zielen

Von Dezember 2019 bis heute hätten die Forscher eine Vielzahl von bösartigen Domains mit unterschiedlichen Zielen beobachtet:

• Phishing: Eine Domain im Zusammenhang mit Wells Fargo (secure-wellsfargo[.]org) habe auf Kunden abgezielt, um vertrauliche Informationen zu stehlen, einschließlich E-Mail-Zugangsdaten und Geldautomaten-PINs. Außerdem sei eine Domain im Zusammenhang mit Amazon, die speziell auf mobile Benutzer in Indien abziele, (amazon-india[.]online) eingerichtet worden, um Benutzeranmeldeinformationen zu stehlen.
• Verbreitung von Malware: Eine Domain im Zusammenhang mit Samsung (samsungeblyaiphone[.]com) habe die „Azorult“-Malware zum Stehlen von Kreditkarteninformationen gehostet.
• „Command-and-Control“ (C2): Domains im Zusammenhang mit Microsoft (microsoft-store-drm-server[.]com und microsoft-sback-server[.]com) versuchten C2-Angriffe durchzuführen, um ein ganzes Netzwerk zu kompromittieren.
• „Re-bill Scam“ (Betrug durch erneute Rechnungsstellung): Mehrere Phishing-Websites im Zusammenhang mit Netflix (wie z.B. netflixbrazilcovid[.]com) seien eingerichtet worden, um das Geld der Opfer zu stehlen. Hierbei böten sie zunächst eine kleine Anfangszahlung für ein Abonnement für ein Produkt wie Gewichtsabnahmepillen an. „Wenn Benutzer das Abonnement jedoch nach dem Aktionszeitraum nicht kündigen, werden ihre Kreditkarten mit viel höheren Kosten belastet, in der Regel 50 bis 100 US-Dollar.“
• Potenziell unerwünschtes Programm (PUP): Domains im Zusammenhang mit Walmart (walrmart44[.]com) und Samsung (samsungpr0mo[.]online) verbreiteten potenziell unerwünschte Programm wie Spyware, Adware oder eine Browser-Erweiterung. Sie führten in der Regel unerwünschte Änderungen durch, wie das Ändern der Standardseite des Browsers oder das Hijacken des Browsers zum Einfügen von Werbung. „Bemerkenswert ist, dass die Samsung-Domain wie eine legitime australische Bildungsnachrichten-Website aussieht.“
• „Technical Support Scam“: Domains im Zusammenhang mit Microsoft (wie z.B. microsoft-alert[.]club) versuchten, Benutzer dazu zu verleiten, für gefälschten Kundensupport zu bezahlen.
• „Reward Scam“: Eine Domain im Zusammenhang mit facebook (facebookwinners2020[.]com) betrüge Benutzer mit Belohnungen wie kostenlosen Produkten oder Geld. Um den Preis zu bekommen, müssten Benutzer ein Formular mit ihren persönlichen Daten wie Geburtsdatum, Telefonnummer, Beruf und Einkommen ausfüllen.
• Domain-Parking: Eine auf die RBC Royal Bank (rbyroyalbank[.]com) hindeutende Domain nutze einen beliebten Parking-Service, „ParkingCrew“, um einen Gewinn zu erzielen, der davon abhänge, wie viele Benutzer auf der Website landen und auf die Werbung klicken.

Verbraucher sollten Domainnamen korrekt eingeben und überprüfen, ob Inhaber vertrauenswürdig sind

Die Forscher von Palo Alto Networks hätten Domain-Squatting-Techniken wie „Typo-Squatting“, „Combo-Squatting“, „Level-Squatting“, „Bit-Squatting“ und „Homograph-Squatting“ untersucht. Böswillige Akteure könnten diese Techniken zur Verbreitung von Malware oder zur Durchführung von Betrugs- und Phishing-Kampagnen einsetzen. Um Squatting-Domains aufzuspüren, habe Palo Alto Networks ein automatisiertes System entwickelt, mit dem aufkommende Kampagnen von neu registrierten Domains sowie von passiven DNS (pDNS)-Daten erfasst werden könnten.
Palo Alto Networks identifiziere bösartige und verdächtige Squatting-Domains und ordne sie den entsprechenden Kategorien zu (z.B. Phishing, Malware, C2 oder Grayware). Ferner werde Unternehmen empfohlen, „ihren Datenverkehr zu blockieren und genau zu überwachen“, während Verbraucher darauf achten sollten, „dass sie Domainnamen korrekt eingeben, und vor dem Besuch von Websites überprüfen, ob die Domaininhaber vertrauenswürdig sind“.

Squatting-Domains häufig für Aktivitäten wie Phishing, Verbreitung von Malware und PUPs, C2 sowie verschiedene Betrügereien genutzt

„Zusammenfassend lässt sich sagen, dass Domain-Squatting-Techniken sich die Tatsache zunutze machen, dass sich die Nutzer auf Domainnamen verlassen, um Marken und Dienstleistungen im Internet zu identifizieren.“ Diese Squatting-Domains würden häufig für Aktivitäten wie Phishing, Verbreitung von Malware und PUPs, C2 und verschiedene Betrügereien genutzt. „Es wurde eine hohe Rate böswilliger und verdächtiger Nutzung unter Squatting-Domains beobachtet. Daher ist eine kontinuierliche Überwachung und Analyse dieser Domains zum Schutz der Benutzer erforderlich.“
Palo Alto Networks überwache neu registrierte Domains und neu beobachtete Hostnamen aus pDNS- und Zonendateien, um aufkommende Squatting-Kampagnen zu erfassen. Die automatische Pipeline veröffentliche die von ihr erkannten Domains an „URL Filtering“ und „DNS Security“ unter Verwendung der entsprechenden Kategorie, einschließlich Malware, Phishing, C2 oder Grayware. „Bei der Analyse des Squatting-Ökosystems stellten die Forscher fest, dass Domain-Squatter bestimmte Arten von Zieldomains, Registraren, Hosting-Diensten und Zertifizierungsstellen bevorzugen.“

Folgenden Attribute sind bei gefährlichen Squatting-Domains üblich:

• Domainnamen, die auf bekannte Finanz-, Einkaufs- und Bankdomains abzielen.
• Domains, die häufig missbrauchte Registrare und Hosting-Dienste nutzen.
• Domains, die nicht über vollständig validierte SSL-Zertifikate verfügen.

Daher rät Palo Alto Networks allen Benutzern, „beim Umgang mit diesen Domains vorsichtiger zu sein“.

Weitere Informationen zum Thema:

palalto NETWORKS, UNIT42, Zhanhao Chen & Janos Szurdi, 01.09.2020
Cybersquatting: Attackers Mimicking Domains of Major Brands Including Facebook, Apple, Amazon and Netflix to Scam Consumers

datensicherheit.de, 01.03.2020
Palo Alto Networks warnt vor neuer Phishing-Kampagne

[datensicherheit.de, 28.12.2018] Laut einer aktuellen Warnung der PSW GROUP sehen sich Inhaber von Web-Domains momentan einem neuen Betrugsversuch per E-Mail ausgesetzt. „Per E-Mail erhalten sie offiziell anmutende Warnmeldungen von Absendern wie Deutsche Domain-Namen oder auch European Trademarks & Domains. Im Schreiben geht es inhaltlich um die Website des Domain-Inhabers und um die Namensrechte für verschiedene Domain-Endungen“, erläutert deren Geschäftsführer Christian Heutger. Die Masche mit betrügerischen E-Mails sei nicht neu – es gebe bereits zahlreiche, als „Abzocker“ bekannte Absender. Diese hat die PSW GROUP zum Online-Abruf zusammengestellt.

© PSW Group

Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG

Angebliches Vorkaufsrecht

Wer in den vergangenen Wochen eine E-Mail von den Absendern Deutsche Domain-Namen, European Trademarks & Domains, DNS Germany, German Domain and Trademark Office oder Internet Domain Service Austria erhalten hat, sollte höchste Vorsicht walten lassen, so Heutger. Es handelt sich demnach hierbei um eine neue Betrugsmasche: Domain-Inhaber werden darauf angesprochen, einen „Antrag auf Registrierung der Website xy erhalten“ zu haben. Man sei „gesetzlich dazu verpflichtet, […] [die Domain-Inhaber] zu kontaktieren, um Ihnen das erste Registrierungsrecht anzubieten“.
Diese E-Mail solle den Anschein erwecken, als habe ein Dritter nach einer alternativen Domain-Endung angefragt. Derjenige, der das Schreiben erhält, solle eine Art „Vorkaufsrecht“ erhalten. Für eine zehnjährige Registrierung der angeblich angefragten Domain kämen dann Kosten von knapp 200 Euro auf das Opfer zu. Binnen 24 Stunden sei die Bearbeitung abgeschlossen. Heutger warnt: „Ob eine solche Registrierung der Domain-Endung tatsächlich stattfindet, ist fragwürdig. Ich rate dazu, diese E-Mail zu ignorieren, denn sie ist in keinster Weise seriös und kommt einem Betrugsversuch gleich.“

Hinweise zum Erkennen von Betrugs-E-Mails

Die Macher der E-Mail hätten sich Mühe dabei gegeben, den Eindruck zu erwecken, dass das Schreiben von einer Behörde stammt. Im Logo der Betrugs-Mail fänden sich die typischen Farben Schwarz, Rot und Gelb – das mache den Eindruck, es handele sich um eine Bundesbehörde. Jedoch sei der Adler im Logo etwas verändert worden. Außerdem lauteten die Domainendungen auf „.com“ – keine deutsche Behörde verwende diese Endung. Auf den Websites der Versender fehlten sowohl Impressum als auch die Angabe einer Telefonnummer. „Ein klares Zeichen für E-Mail-Betrug“, so Heutger.
„Eine Domain-Endung kann übrigens jeder registrieren. Dafür fällt jedoch keine Zehn-Jahresgebühr, sondern ein jährlicher Preis an. Der Domain-Check über ,www.inwx.de‘ zeigt, ob eine Wunsch-Domain verfügbar ist und was sie jährlich kosten würde.“ Soll es für eine Haupt-Domain unterschiedliche Domain-Endungen geben, könnten auch diese registriert und mittels 301-Weiterleitung auf die Haupt-Domain umgeleitet werden. Da sich lediglich die URL in der Adresszeile des Browsers ändert, bleibe die 301-Weiterleitung für Website-Besucher nahezu unbemerkt. „Eine solche Weiterleitung wird mittels PHP oder ,.htaccess‘-Datei erstellt. Beim Apache-Webserver ist das ,mod_rewrite‘-Modul zu verwenden. Wer es sich zutraut, kann die Umleitung selbst einrichten, ansonsten lässt man sie über eine Partneragentur einrichten“, empfiehlt Heutger.

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 20.11.2018
Rechtliches / E-Mail Betrug: Dubiose Rechnungen an Domain-Inhaber

datensicherheit.de, 05.12.2018
Weihnachten: Ein Fest für Datendiebe

datensicherheit.de, 09.01.2017
EU-Datenschutz-Grundverordnung ante portas: PSW GROUP empfiehlt Informations-Sicherheits-Analyse

[datensicherheit.de, 02.10.2018] Domain-Registrare müssen künftig einen geringeren Datenumfang von ihren Kunden erheben. Zuletzt hat die Internetverwaltung ICANN diesbezüglich einen Gerichtsstreit verloren. „Tatsächlich hat die ICANN die zweijährige Übergangsfrist zur DSGVO verschlafen und konnte sich im Streit über die datenrechtskonforme Erfassung von Domain-Besitzern nicht durchsetzen“, begründet Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG.

Dem vorausgegangen war ein Streit zwischen dem hier beheimateten Registrar EPAG und ICANN: Die ICANN wollte, dass die Kontaktdaten der technischen und administrativen Domain-Verwaltung (Tech-C und Admin-C) auch nach Inkrafttreten der EU-Datenschutzgrundverordnung erhoben und ihr mitgeteilt werden. EPAG jedoch weigerte sich, persönliche Daten zu verarbeiten, zu denen der Registrar keinen direkten Bezug hat. „Damit folgte die EPAG dem Beispiel der Denic, die für die Vergabe von .de-Domains zuständig ist und diese Informationen ebenfalls nicht mehr erfasst, wodurch der Datenzugang für Dritte deutlich eingeschränkt wurde“, erklärt Heutger. Mit einer Klage wollte die ICANN erreichen, dass zusätzliche Daten trotz DSGVO auch in Zukunft sowohl erhoben als auch ihr mitgeteilt werden können. Diese wies das Bonner Landgericht zurück, wodurch EPAG nicht mehr verpflichtet ist, Daten zur technischen sowie administrativen Domainverwaltung zu erheben.

© PSW Group

Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG

Registrare, die sich seit 25. Mai 2018 datenschutzkonform verhalten wollen, fehlt die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten des Webseitenbetreibers sowie des Ansprechpartners für technische und administrative Belange der Website. „So genannte Whois-Abfragen sind seit Inkrafttreten der DSGVO nicht mehr in der uns bekannten Form möglich. Davor konnte ein Domaininhaber zum Beispiel ganz einfach über eine Whois-Abfrage ermittelt werden, indem der Rechteinhaber auf der Website des Registrars die entsprechende Web-Adresse eingab. Sofort erhielt er Informationen über die Identität des Domaininhabers und den Ansprechpartner für technische und administrative Belange dieser Domain“, blickt der IT-Sicherheitsexperte zurück und ergänzt in Bezug auf den Gerichtstreit zwischen EPAG und ICANN: „Die ICANN beispielsweise konnte nicht glaubhaft darlegen, dass das Speichern jener Daten, die über die Information des Domaininhabers hinausgehen, erforderlich ist. Vor dem Hintergrund des in der DSGVO verankerten Grundsatzes der Datensparsamkeit konnte das Gericht nicht erkennen, wozu zusätzliche Daten erhoben werden.“ Zudem hat die ICANN eingeräumt, dass Domains registriert werden können, wenn diese drei Datensätze identisch sind.

In diesem Zusammenhang macht Heutger auch auf Zertifizierungsstellen aufmerksam: „Durch die Änderungen bei der Herausgabe von Daten, die im Zusammenhang mit einer Domain gespeichert werden dürfen, haben auch die Zertifizierungsstellen ihre Validierungsguidelines angepasst. Somit werden bei DV-Zertifikaten nicht mehr die im WHOIS hinterlegten E-Mail-Adressen zur Bestätigung herangezogen. Ebenso können bei OV- und EV-Zertifikaten die Angaben aus dem WHOIS nicht mehr für die Organisationsvalidierung genutzt werden.“

Weitere Informationen zum Thema:

PSW Group Blog
Daten im WHOIS minimieren: ICANN verschläft DSGVO-Frist

datensicherheit.de, 06.09.2018
Mehr Vertraulichkeit im Internet durch DNS über HTTPS

datensicherheit.de, 28.06.2018
Whois: Bedrohung durch die DSGVO

[datensicherheit.de, 11.09.2018] Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt hat eine Möglichkeit gefunden, betrügerische Website-Zertifikate auszustellen. Diese Zertifikate sollen die Vertrauenswürdigkeit von Internet-Domains sicherstellen. Das Team um Dr. Haya Shulman hat gezeigt, dass eine Schwachstelle in der Domänenvalidierung ausgenutzt werden kann und deshalb die Sicherheit von Internet-Infrastrukturen verbessert werden muss. Die Forscher haben betroffene Web-CAs (Zertifikats-Ausgabestellen) informiert und stellen eine Implementierung vor, die Web-CAs verwenden können, um den Angriff abzuschwächen.

Webzertifikate sind die Grundlage des SSL-/TLS-Protokolls, das die meisten Websites schützt, wie beispielsweise Mailanbieter und geschäftliche Anwendungen, Online-Handelsplattformen und Online-Banking. Wenn eine Website ein gültiges Zertifikat vorweist, signalisiert der Browser dies dem Nutzer, beispielsweise durch ein grünes Vorhängeschloss vor der URL. Dies soll dem Benutzer zeigen, dass die Identität der Website verifiziert und die Seite vertrauenswürdig ist. Das Team des Fraunhofer SIT hat demonstriert, dass diese Vertrauenswürdigkeit auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

Domain Validation zur Verifitkation der Identität einer Website

Zertifikate werden von sogenannten Web-CAs ausgestellt. Praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat dargelegt, dass die Domain Validation grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyberkrimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten – z. B. für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

Das von Dr. Haya Shulman geleitete Fraunhofer-Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch oder die Gelben Seiten des Internets, es bildet die Domainnamen auf Internetadressen ab. Cybersicherheits-Forscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die Domain Validation. Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer – etwa auf nationaler Ebene – hätte ausnutzen können. Das Team hat zum ersten Mal gezeigt, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. „Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung“, sagt Dr. Haya Shulman vom Fraunhofer SIT.

Das Team hat die deutschen Sicherheitsbehörden und Web-CAs informiert. Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV ++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt. Die Forscher stellen die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (ACM CCS) in Toronto, Kanada, im Oktober dieses Jahres vor.

Weitere Informationen zum Thema:

Fraunhofer SIT
Domain Validation ++ / Die sichere Version von Domain Validation

datensicherheit.de, 06.09.2018
Mehr Vertraulichkeit im Internet durch DNS über HTTPS

datensicherheit.de, 28.10.2016
DDoS-Angriff auf DynDNS: Vier Lehren für die Sicherheit im Internet der Dinge

datensicherheit.de, 22.10.2016
Schwerpunkt US-Ostküste: Ausfall beim DNS-Provider Dyn nach DDoS-Attacke

datensicherheit.de, 21.03.2017
Fraunhofer SIT bietet Volksverschlüsselung für kleine und mittlere Unternehmen

Mit Beiträgen von Yann Lequerler, Jurist bei OVH mit Spezialisierung auf Domain-Fragen, und Marianne Georgelin, Verantwortliche für Registration Policy bei der AFNIC.

[datensicherheit.de, 28.06.2018] Das Whois, eine Wortschöpfung aus dem englischen „Who is“, erlaubt jedem Internetnutzer, den Inhaber einer Domain zu ermitteln. Der Fortbestand dieses „öffentlichen Internetverzeichnisses“, das häufig und manchmal missbräuchlich genutzt wird, ist zurzeit durch die neue europäische Datenschutz-Grundverordnung (DSGVO) bedroht. Einige Registrys, wie zum Beispiel die AFNIC (Association Française pour le Nommage Internet en Coopération), die unter anderem die Domains .fr verwaltet, haben bereits Vorkehrungen getroffen, um den Zugriff auf Informationen zum Domaininhaber einzuschränken. Werden andere diesem Beispiel folgen? Wird der Schutz der persönlichen Daten des Domaininhabers ebenso zum Kriterium für die Wahl der Domainendung wie die Originalität der URL oder ihre SEO-Optimierung? Die Diskussion ist eröffnet.

DSGVO: Warum sind wir alle betroffen?

Die europäische Datenschutz-Grundverordnung (DSGVO), die im Mai 2016 im Amtsblatt der Europäischen Union angekündigt wurde, tritt am 25. Mai 2018 in Kraft. Dieser Text hat Vorrang vor nationalen Gesetzen und vereinheitlicht so das Datenschutzrecht personenbezogener Daten auf europäischer Ebene. OVH hat erst kürzlich sein Engagement zu diesem Thema verstärkt und damit begonnen, die Allgemeinen Geschäftsbedingungen im Rahmen der DSGVO sowie des von OVH mitverfassten CISPE Code of Conduct zu überarbeiten.
Dieser europäische Verordnungstext stellt eine Revolution der elektronischen Verarbeitung personenbezogener Daten dar. Daher ist er zunehmend in aller Munde und steht auch bei den Geschäftsleitungen großer Unternehmen auf der Tagesordnung. Der Umgang mit personenbezogenen Daten ist nun wesentlich strikter geregelt, als in den meisten bisherigen nationalen Bestimmungen. Datenschutz-Folgenabschätzung (1), Datenübertragbarkeit, Einholen und Widerruf der Einwilligung oder Profiling von Nutzern − die DSGVO veranlasst viele große und kleine Unternehmen, ihre Prozesse mit der neuen Regelung in Einklang zu bringen. Abgesehen von den drohenden Strafen, die in der Tat abschreckend sind (es drohen bis zu 4 % des Unternehmensumsatzes), geht es für die Unternehmen auch und vor allem darum, den Nutzern, die sich zunehmend um Schutz und Verwendung ihrer personenbezogenen Daten sorgen, mehr Garantien zu geben.

Die Verarbeitung personenbezogener Daten bei der Domainregistrierung: ein Konflikt zwischen den Ansichten zum Schutz des Privatlebens in Europa und den USA

In diesem Kontext steht die rechtliche Diskussion zwischen europäischen Domain Registrys wie AFNIC und Registraren wie OVH (führender Registrar in Frankreich und Platz 2 in Europa) auf der einen Seite und der ICANN auf der anderen Seite. Als bedeutendste Regulierungsstelle des Internets verwaltet die ICANN die Vergabe der Top-Level-Domains (gTLD). Die Organisation unterliegt amerikanischem Recht und akkreditiert Registrys wie VeriSign (.com, .net), Donuts (die einen Teil der neuen Extensions wie .social, .media, .email etc. verwaltet), Affilias (.info, .pro, …) oder etwa die Stadt Paris (.paris), sowie Registrare (beispielsweise OVH).

Einige der vertraglichen Verpflichtungen, um als Registrar bei der ICANN akkreditiert zu werden und die Endungen der für gTLD und neue gTLD zuständigen Registrys zu vermarkten, scheinen nicht vereinbar mit dem künftigen europäischen Gemeinschaftsrecht.

Hierzu gehört auch die Verbreitung personenbezogener Daten (Adressen) des Domaininhabers im Rahmen des Whois-Dienstes, die von den Registrys und Registraren zu übermitteln sind(2). Das ist jedoch nicht alles: Die Übermittlung dieser Daten vom Registrar über das Registry bis hin zu weiteren Domainverwaltern an die ICANN wirft weitere Fragen auf. Zum Beispiel zum Transfer personenbezogener Daten außerhalb der Europäischen Union und zu deren Aufbewahrungsdauer. Darüber hinaus sind auch die Verantwortlichkeitsbereiche der einzelnen Parteien nicht klar definiert: Wer ist zuständig für die Verarbeitung und wie sind beispielsweise die Verpflichtungen im Falle eines Datenlecks?
Die DSGVO schreibt außerdem vor, dass Nutzer besser über die Verarbeitung und den konkreten Zweck ihrer personenbezogenen Daten informiert werden. Und zwar noch bevor der Registrar vom Nutzer eine informierte Einwilligung einholt. Es wird schnell deutlich, dass es viel Arbeit bedeutet, die aktuellen Praktiken mit den in der DSGVO aufgeführten Pflichten in Einklang zu bringen.

In Deutschland ist die Denic die zentrale Regierungsstelle und verwaltet das Register aller .de-Domains. Mit Inkrafttreten der DSGVO werden nur noch die Kontaktdaten des Domaininhabers, zwei zusätzliche E-Mail-Adressen als Kontaktmöglichkeit für Missbrauchsfälle sowie allgemeine und technische Anfragen wie auch die üblichen technischen Domaindaten erfasst. Was die Denic nicht mehr erfasst: AdminC“-Daten, „TechC“-Daten sowie „ZoneC“-Daten.
Die zwei nicht personalisierten Mail-Adressen liegen in der Verantwortung des Registrars. Sie sind notwendig für allgemeine und technische Anfragen („General Request“) sowie für Missbrauchsmeldungen („Abuse“).

Warum das Whois ein Problem darstellt

Das Whois ist ein frei zugänglicher Dienst, über den man Informationen zum Domaininhaber erhalten kann: Name, Vorname, (gegebenenfalls) Unternehmen, postalische und elektronische Adresse und Telefonnummer. Durch diesen langjährigen Internetdienst, der 1982 eingerichtet wurde, konnte man verzeichnen und ermitteln, wer Informationen über das Arpanet, den Vorgänger des Internets, übermittelte. Der Dienst wurde seither von sämtlichen Registrys auf der Grundlage von mehr oder weniger homogenen RFC-Standards gemeinsam fortgeführt. Dies geschah einerseits aus Gründen der Transparenz, auf die die Pioniere des Internets großen Wert legten. Vermutlich wurde das Whois aber auch beibehalten, weil sich die verschiedenen Interessensgruppen des Internets − Registrare, Gerichte, Markeninhaber, Organisationen zur Eindämmung von Spam, Autoren urheberrechtlich geschützter Werke usw. − darüber einig waren, dass ein solcher Dienst notwendig ist.

Whois stellt folglich von Grund auf ein Problem für den Schutz des Privatlebens dar. Die öffentliche Verbreitung der Identität sowie weiterer Angaben zum Inhaber einer Domain ermöglicht die kommerzielle Nutzung dieser Daten ohne vorhergehende Einwilligung, und natürlich auch Spam. Bestimmte Unternehmen haben sich darauf spezialisiert, die Daten aus dem Whois in regelmäßigen Abständen zu extrahieren, um den Inhalt zu archivieren und diese Daten anschließend zu vermarkten – auch zusammen mit weiteren Angaben basierend auf der wahrscheinlichen Tätigkeit des Inhabers (Registrant), auf die anhand der Wörter im Domainnamen (die vor dem Punkt der Top-Level-Domain stehen) geschlossen werden kann.

Natürlich kann das Whois für legitime Zwecke genutzt werden, beispielsweise zum Markenschutz (durch Anti-Cybersquatting oder Anti-Typosquatting Dienste oder das Trademark Clearinghouse). Manch andere Einsatzzwecke sind da schon überraschender. Es ist zum Beispiel möglich, Benachrichtigungsdienste zu abonnieren, die nicht auf der Domain basieren, sondern auf deren Inhaber. So können Ihre Wettbewerber auch darüber informiert werden, welche neuen Domains Sie gerade registrieren lassen!

Diese Dienste, die die Daten des Whois ausnutzen, operieren heute in einer rechtlichen Grauzone, die durch die DSGVO geschlossen werden soll. Amerikanische Akteure, allen voran die ICANN, müssen jedoch noch von den Vorteilen eines Modells überzeugen werden, das mehr Schutz für persönliche Daten bietet. Auch wenn Anonymität es einigen ermöglicht, Domains zu registrieren, auf denen sie umstrittene oder widerrechtliche Inhalte veröffentlichen können, ist sie doch gleichzeitig eine Garantie für die Meinungsfreiheit. Cybermobbing, das an sich schon eine unangenehme Erfahrung darstellt, kann schnell zur Belästigung „in real life“ werden, wenn sich der Eigentümer einer Website beispielsweise zu einer religiösen, sexuellen oder politischen Gemeinschaft bekennt.

Die AFNIC als Vorreiter der eingeschränkten Verbreitung von Whois-Daten

Die nationalen Endungen (ccTLD), wie zum Beispiel .de, .fr, .be, … sind vertraglich nicht in gleicher Weise mit der ICANN verbunden wie die generischen Endungen. Sie werden direkt und vollkommen unabhängig von den jeweiligen Staaten verwaltet. So wurde in Frankreich die AFNIC, eine gemeinnützige Organisation, vom Staat als Registrierungsstelle für .fr und geografische Endungen für Regionen in Übersee (.re, .tf, .yt, .pm und .wf) eingesetzt.

Da die AFNIC mit der ICANN lediglich durch eine gegenseitige Anerkennungsvereinbarung verbunden ist, führte sie 2006 ein Verfahren zur Anonymisierung der Whois-Daten ein, das grundsätzlich für jede Privatperson (natürliche Person) gilt, die eine Domain unter .fr, .re, .tf, .yt, .pm oder .wf registriert.
Im Eintrag für Ihre Website im Whois-Verzeichnis werden Ihre persönlichen Adressdaten (Name, Adresse, Telefon usw.) somit durch eine Bemerkung zum eingeschränkten Zugriff ersetzt. Diese Adressdaten sind nur zugänglich, wenn ein ausdrückliches und begründetes Ersuchen an die juristische Abteilung der AFNIC gerichtet wird, woraufhin ein sogenanntes Verfahren zur Aufhebung der Anonymität (franz.: „procédure de levée d‘anonymat“) eingeleitet wird. Geschäftliche Kontaktdaten, die vom Vertreter einer juristischen Person (Eigentümer, Verwaltungs- und Rechnungskontakt oder technischer Kontakt, die auch ein und dieselbe Person sein können) angegeben werden, bleiben hingegen im Whois frei zugänglich.
Das Vorgehen der AFNIC wurde von der französischen Datenschutzbehörde CNIL und durch eine Entscheidung des Pariser Berufungsgerichts aus dem Jahr 2012 bestätigt und hat sich inzwischen als wegweisend erwiesen. Einige andere Registrys, die für die Verwaltung nationaler Endungen zuständig sind, haben sich seither an dieser Verfahrensweise orientiert. So findet sich dieses optionale System einer eingeschränkten Verbreitung personenbezogener Daten auch bei der Registrierung einer Domain auf .eu (von EURid verwaltet) oder .cat (neue Endung für Katalonien).

Folgendes ist jedoch zu beachten: Bei Endungen wie .paris, .alsace, .bzh, .corsica, … oder auch .ovh, für welche die AFNIC die Rolle eines technischen Dienstleisters (Registry Service Provider) übernimmt, handelt es sich nicht um nationale Endungen (ccTLD), sondern um generische Top-Level-Domains (gTLD). Diese Endungen unterliegen daher vertragsrechtlich den Vereinbarungen mit der ICANN, deren Bestimmungen zurzeit keine Anonymisierung der Angaben im Whois zulassen. Die Möglichkeiten zur eingeschränkten Verbreitung bieten daher um einiges weniger Schutz, wie wir im Folgenden sehen werden.

Grenzen der Anonymisierungs-Dienste (Privacy Services) für gTLDs

Was gTLDs betrifft (.com, .org, .net, .ovh, .top, .pro, .xyz, .paris, .online, .mobi, um nur einige zu nennen, die bei OVH am häufigsten verkauft werden), macht die ICANN klare Vorgaben zur Verwaltung der Registrys. Und hier gelten völlig andere Spielregeln. Auch wenn die ICANN Verfahrensweisen zum Thema „Privacy“ im Whois zulässt (ohne sie jedoch zu unterstützen), erlaubt sie selbst bei natürlichen Personen keine vollständige Anonymisierung. Ihr(e) Name(n) und Vorname(n) – im Plural für den Fall, dass Eigentümer und Verwaltungs-, Rechnungs- und technischer Kontakt nicht ein und dieselbe Person sind – werden systematisch im Whois angezeigt.

Einige Registrys setzen zwar nicht auf die eingeschränkte Verbreitung von Whois-Daten, haben aber interessante Zwischenlösungen gefunden (auch wenn diese nicht unbedingt zufriedenstellend sind). So hat zum Beispiel das Registry für .amsterdam den Zugriff auf seinen Whois-Server eingeschränkt und verlangt von Anfragenden zunächst die Unterzeichnung eines Nutzungsvertrages. Wieder andere Registrys lehnen es grundsätzlich ab, dass durch Registrare Teil-Anonymisierungsverfahren egal welcher Art eingeführt werden.

Soweit dies von dem für die jeweilige Endung zuständigen Registry erlaubt ist, bietet OVH einen optionalen kostenlosen Anonymisierungsdienst (Privacy Service) für bestimmte Angaben im Whois an: für Postadresse, E-Mail und/oder Telefonnummer (für natürliche Personen, juristische Personen können nur ihre E-Mail-Adresse verbergen). Im Rahmen des OWO Dienstes leitet OVH Ihre E-Mails über eine E-Mail-Adresse weiter, die speziell für diesen Zweck eingerichtet wird und über einen Spamschutz verfügt, und sendet Ihnen gegebenenfalls empfangene Postsendungen (wie zum Beispiel ein Aufforderungsschreiben) nach. Dabei wird Ihre Adresse zu keiner Zeit verbreitet oder gar weiterverkauft.
Der OWO Dienst bietet so einen minimalen Schutz, kann aber weder die Anonymität des Inhabers noch einen umfassenden Schutz gegen unerwünschte Werbeangebote gewährleisten. Denn der Abgleich von Daten durch Dritte ist zwar illegal, jedoch nicht unmöglich.

An dieser Stelle eine Warnung an jene, die versucht sind, bei der Registrierung einer Domain falsche Informationen anzugeben: Dieser Trick kann einem teuer zu stehen kommen. Die ICANN führt regelmäßig Kontrollen durch und kann beim Registrar eine Kopie des Identitätsnachweises des Inhabers anfordern. In Betrugsfällen hat sie das Recht, die Abschaltung der Domain zu verlangen. Genau aus diesem Grund, d. h. um die Richtigkeit der Informationen zu überprüfen, muss der Registrar jedes Jahr eine E-Mail an jeden Inhaber einer generischen Domain (gTLD) senden und um Bestätigung der Angaben bitten, die bei der Registrierung gemacht wurden. Außerdem verstößt man durch falsche Angaben auch gegen die besonderen Vertragsbedingungen, die man gegenüber OVH mit der Bestellung seiner Dienstleistungen unterzeichnet hat. Gleiches gilt für Inhaber von Domains mit der Endung .fr, deren Adressen in 25.000 Fällen pro Jahr durch die AFNIC überprüft werden, und deren Registrare ebenfalls zur Aktualisierung verpflichtet sind.

Bleibt noch der „Proxy-Registrierungsservice“, bei dem Sie einen Dritten dafür bezahlen, dass er Ihre Angaben durch die seinen im Whois ersetzt. Dieser Service ist jedoch teuer (schließlich geht der Dritte rechtliche Risiken ein, wenn er die Haftung als Inhaber übernimmt) und wurde insbesondere von anspruchsberechtigten Unternehmen bereits vor Gericht angegriffen, für die dieses Verfahren zur Anonymisierung der Domaininhaber das Einreichen von Klagen enorm erschwert.

Was ist die Zukunft des Whois?

Die Frist bis zum Inkrafttreten der DSGVO in den nächsten Monaten erhöht den Druck. Die ICANN wird die Empfehlungen der europäischen Registrys und Registrare, die eine Arbeitsgruppe gebildet haben, berücksichtigen müssen.

Diese Arbeitsgruppe, zu der auch die AFNIC und OVH gehören, arbeiten zurzeit daran, ein für die Beteiligten akzeptables Modell zu entwerfen, das die Praktiken der ICANN an das Gemeinschaftsrecht anpasst. Diese mit Sicherheit hitzigen Diskussionen betreffen einerseits die Verfahren zur Anonymisierung der Whois-Angaben. Allgemeiner geht es auch um den Lebenszyklus jener Daten, die von Registrys und Registraren im Rahmen ihrer Tätigkeit gesammelt werden. Wo werden diese Daten gespeichert? Wie lange werden sie nach Ablauf eines Vertrages aufbewahrt? Es stellen sich viele Fragen, bei denen die Nutzer dank der DSGVO ein Anrecht darauf haben, genaue und zufriedenstellende Antworten zu erhalten.

Dies könnte zu einer Klärung der verschiedenen Schutzniveaus führen, die von den Registrys für die personenbezogenen Daten der Registranten angeboten werden. Die Wahl Ihres nächsten Domainnamens wird das vermutlich nicht leichter machen… Aber jetzt wissen Sie wenigstens, dass es einen guten Grund dafür gibt.

Wir werden auf diese Debatten und ihre Tragweite beim Treffen des Koordinierungskomitees der AFNIC am 12. Oktober zurückkommen. Dieses steht ausnahmsweise allen offen, um über die DSGVO und ihre Auswirkungen auf unser Business und die betroffenen Kunden zu diskutieren.

Fortsetzung folgt…

(1) Eine Folgenabschätzung ist bei der Übertragung von personenbezogenen Daten außerhalb der EU oder in Fällen vorgeschrieben, die mit Risiken verbunden sind.
(2) Bei einigen Domainendungen übernehmen die Registrare die Veröffentlichung des Whois. Das ist der Unterschied zwischen „Thick“ und „Thin“ Whois. So ist zum Beispiel die Endung .com zurzeit ein „Thin Whois“. Das heißt, dass der Registrar das Whois veröffentlicht. Dieses System wird sich ändern. Die ICANN hat eine neue Leitlinie veröffentlicht, die alle Registrys, die gTLD-Domains verwalten, dazu verpflichtet, das „Thick Whois“-Verfahren einzuführen. Das bedeutet, dass das Registry selbst die Veröffentlichung des Whois übernimmt.

Weitere Informationen zum Thema:

datensicherheit.de, 02.05.2018
Bedrohung bleibt: Details von DDoS-Angriffen im Jahr 2017

[datensicherheit.de, 09.01.2012] Eine Website ist sehr wichtig für ein Unternehmen, um die Firma im Internet zu präsentieren. Dazu gehört auch die passende Domain. Die Domain kann über viele Anbieter wie z.B. United Domains etc. bestellt werden. Schon bei der Bestellung der Domain-Namen werden viele Daten preisgegeben. Dazu gehört die gesamte Anschrift mit Namen und auch die Bankverbindung, wenn die Domain mit Zusatzfunktionen nicht kostenlos zur Verfügung steht. Doch wie sieht es mit der Datensicherheit und dem Datenschutz aus – wie sicher sind die angegebenen Daten?
Die Anbieter geben schon bei der ersten Bestellung den Schutz über ein automatisiertes System. Die eingegebenen Daten werden verschlüsselt übertragen. Der eigene PC bietet auch die Sicherheit durch zugelassene Cookies. Das sind kleine Textdateien, die bei jedem Besuch auf den eigenen PC gespeichert werden. Mit diesen Cookies wird jedes Mal die Autorisierung des Inhabers sichergestellt. Niemals werden die eingegebenen Daten an Dritte weiterverkauft oder zu Werbezwecken genutzt. Keine fremde Werbung wird Zugriff auf die Homepage haben.
Die Daten sind beim Anbieter in der Datenbank gespeichert und ein Zugriff kann nur verschlüsselt erfolgen. Fremde Personen soll es dadurch nicht möglich sein an die gespeicherten Daten zu gelangen. Firewall-Systeme sorgen für einen zusätzlichen Schutz. Sogar das Öffnen und Bearbeiten des Kundenmenüs erfolgt verschlüsselt, so dass kein Dritter in dem Moment Zugriff auf die Daten bekommt.
Die einzige Stelle, die einige Daten vom Nutzer erhält, ist der Registrar, bei dem die Domain angemeldet wird. Das ist Vorschrift und kann nicht umgangen werden. Es werden jedoch nur notwendige Daten wie Name, Anschrift und Telefon benötigt, um die Domain zu registrieren. Somit sind die Daten an dieser Stelle ebenfalls gesichert.