Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / ICANN CYBERCRIME ECONOMY EXPOSED

Wie die ICANN die weltweite Cyberkriminalität finanziert

The Enablers Registry·Editorial mirror·/de/icann-cybercrime-economy-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

0
Aktive Domains im Erfassungsbereich (7 TLDs)
0
Missbrauchsfälle mit hoher Wahrscheinlichkeit
$0.27
Gebühr auf Registrierungsseite / Domain (Modell)
~2,16 Mio. $
Gebühreninnahmen der Registrierungsstelle / Jahr (Modell)

Der Interessenkonflikt im Zentrum des Internets

Die ICANN präsentiert sich als oberste, unabhängige Regulierungsbehörde des globalen Domainmarktes. Sie legt die Regeln fest, akkreditiert die Registrare, schließt die Verträge mit den Registries ab und soll Missbrauch im gesamten Namensraum überwachen.

Es gibt ein Detail, das dieses Bild unmerklich durchbricht: Die ICANN wird von genau jenem Markt finanziert, den sie eigentlich überwachen soll. Mit jeder registrierten Domain fließt Geld an die ICANN. Stellen Sie sich einmal vor, die SEC hätte buchstäblich Anteile an LEI:5493004F7TI6QBM4WX72 und würde für jeden Handel eine Gebühr erheben. Genau diese strukturelle Position hat sich die Domainbranche selbst geschaffen.

Die Funktionsweise ist kein Geheimnis. Die Einrichtung einer neuen Top-Level-Domain-Zone erfordert eine Anmeldegebühr in Höhe von 227.000 Dollar. Sobald eine Zone live ist, zahlt die Registrierungsstelle eine Jahresgebühr von 25.800 Dollar. Und sobald eine Zone die Marke von 50.000 registrierten Domains überschreitet, erhebt die ICANN etwa $0.25 for every registered domain. Die Rechnung ist einfach, ebenso wie der Anreiz, den sie schafft: Je mehr Domains es gibt, desto mehr Geld fließt – ganz gleich, ob diese Domains ein Krankenhaus oder eine Betrugsseite beherbergen.

Die Anreizstruktur belohnt Massenanmeldungen, nicht die Sicherheit.

Eine Regulierungsbehörde, die pro Einheit des von ihr regulierten Gegenstands bezahlt wird, hat keinen finanziellen Anreiz, sich weniger Einheiten zu wünschen – selbst wenn ein großer Teil dieser Einheiten aus Scheineintragungen besteht, die zum Zweck des Missbrauchs erstellt wurden.

Haftungsausschluss zu Genauigkeit und Methodik

Hierbei handelt es sich um ein Modell auf Gebührenbasis, nicht um einen Gewinn der ICANN. Die Datensätze enthalten aktive Domains und Signale zur Missbrauchs-Triage, aber nicht genaue Transaktionszahlen, die Zuordnung zu Registrierstellen, Großhandelspreise der Registries oder die Betriebskosten der ICANN.

In diesem Bericht verwenden wir durchgehend den Ansatz Gebühreneinnahmen, Umsatzrisiko und Bruttohonorar-Modell. Wir erheben niemals den Anspruch auf „Rentabilität“. Jede der nachstehenden Zahlen ist eine transparente Berechnung auf der Grundlage öffentlich zugänglicher Gebührensätze, die auf die Anzahl der aktiven Domains angewendet wurden – eine Schätzung in der Größenordnung der durch das System fließenden Geldbeträge, keine gemessene Gewinn- und Verlustrechnung.

Das Ausmaß: Ein Jahr, weniger als 10 % abgedeckt

Am 5. Juli, der THE ENABLERS REGISTRY öffentliche Datenbank (DestroyList) wird ein Jahr alt. Es ist offen, kostenlos und wird von Forschern, Wallet-Anbietern und Sicherheitsanbietern auf der ganzen Welt genutzt.

Und hier ist die unangenehme Wahrheit nach einem ganzen Jahr Betrieb: In zwölf Monaten ununterbrochener Arbeit, Es ist nicht gelungen, auch nur 10 % der Possibly phishing-Flut einzudämmen. Nicht, weil das Team aufgehört hätte – denn das Angebot an neuen bösartigen Domains ist bei dem Preisniveau, auf das das System ausgelegt ist, praktisch unbegrenzt. Wenn eine Domain weniger kostet als eine Tasse Kaffee und eine Regulierungsbehörde an jeder neu geschaffenen Domain profitiert, gewinnt immer die Menge.

Die Zahlen: Ein Modell zur Gebührenerhebung

Quer durch 7 der am stärksten von Missbrauch betroffenen neuen TLDs, bei unserer Triage wurde festgestellt, dass 7.945.325 aktive Domains. Allein für diese Domains ergibt sich bei Anwendung der von der ICANN selbst veröffentlichten Gebührenordnung das untenstehende Modell.

0
Domains mit IP-Adresse (38,35 %)
0
Domains ohne IP-Adresse (61,65 %)
0
Domains mit Hostnamen (11,49 %)
0
Missbrauchsfälle mit hoher Zuverlässigkeit (0,10 %)

ICANN-Gebührenmodell auf Registrierungsseite

Quelle: ICANN-Basis-Registrierungsvereinbarung, Artikel 6.1 – feste Registrierungsgebühr in Höhe von 6.250 US-Dollar pro Quartal und TLD, zuzüglich einer Registrierungs-Transaktionsgebühr von 0,25 US-Dollar pro jährlicher Zunahme ab Erreichen der Schwelle von 50.000 Transaktionen.

ModellreiheBerechnungSchätzung
Gebühr für die Eintragung7,945,325 × $0.25$1,986,331.25
Pauschalgebühr für die Registrierung7 TLDs × $25,000/year$175,000.00
ICANN-Gebührenmodell auf RegistrierungsseiteTransaktion + fest$2,161,331.25 / year-model
Effektive Gebühr pro Domain auf Registry-Ebene÷ 7,945,325$0.27

Optionales Pass-Through-Modell auf Registrierungsseite

Quelle: ICANN-Akkreditierungsvereinbarung für Registrare, Abschnitt 3.9. Hinweis: Der Wert von 0,18 $ pro Domain und Jahr ist eine Modellannahme, nicht eine bestätigte Rechnung. Diese Ebene wird lediglich als Sensitivitätsszenario dargestellt.

ModellreiheBerechnungSchätzung
Verwaltungsmodell für Registrare7,945,325 × $0.18$1,430,158.50
Kombiniertes variables Modell7,945,325 × $0.43$3,416,489.75
Kombinierte Variable + Registerwert festgelegt$3,591,489.75 / year-model
Gesamtgebühr pro Domain÷ 7,945,325$0.45
Betrachten Sie diese als Umsatzrisiko und nicht als Ertrag.

Das kombinierte Modell (~3,59 Mio. $/Jahr) stellt die Obergrenze der Gebühren dar, die über diesen 7-TLD-Bereich fließen. Es handelt sich dabei um die Brutto-Gebühreneinnahmen vor Abzug von Kosten, Rückerstattungen, Löschungen oder Großhandelsanteilen – ein Indikator für die Größenordnung, nicht für den Gewinn eines einzelnen Akteurs.

Aufschlüsselung nach TLD

Die sieben Zonen sind nicht gleich. Bei einigen geht es ausschließlich um das Volumen; in anderen konzentriert sich der Missbrauch. Die .vip und .icu Allein diese Zonen machen den überwiegenden Teil der Missbrauchsverdachtsfälle mit hoher Zuverlässigkeit aus.

TLDAktive DomänenMit IPMissbrauch mit hohen Berechtigungen führt zuRegistry-basiertes ModellKombiniertes Modell
.sbs1,900,628632,352243$500,157.00$842,270.04
.vip1,891,8991,235,9094,388$497,974.75$838,516.57
.bond1,333,658104,650134$358,414.50$598,472.94
.cfd936,860402,780242$259,215.00$427,849.80
.icu934,951279,0932,607$258,737.75$427,028.93
.cyou744,378270,49874$211,094.50$345,082.54
.buzz202,951122,06613$75,737.75$112,268.93
GESAMT7,945,3253,047,3487,701$2,161,331.25$3,591,489.75

Missbrauchsfälle mit hoher Zuverlässigkeit nach Grund

Grund für die FeststellungLeads
punycode_idn6,794
crypto_brand_plus_action_or_auth372
document_or_mail_brand_plus_auth_doc188
finance_brand_plus_auth_payment170
wallet_drainer_lure102
apple_icloud_plus_auth93
social_brand_plus_auth80
brand_auth_random_suffix23
[REDACTED]3

Leads nach TLD

TLDLeads
.vip4,388
.icu2,607
.sbs243
.cfd242
.bond134
.cyou74
.buzz13

Leads nach IP-Land

LandLeads
(leer / ungeklärt)5,166
USA940
HK566
CN375
SG131
MEIN87
DE78
IN69
JP46
GB40
CA34
BG28

Ein Präzedenzfall der Untätigkeit

Das Standardargument lautet, dass die ICANN über eine Compliance-Abteilung verfügt, die sich mit Missbrauch befasst. In der Praxis ist diese Compliance-Abteilung jedoch ein Ort, an dem gut dokumentierte Beschwerden eingereicht werden, um dann in der Schublade zu verschwinden.

Betrachten wir die „Artists vs. IANA #1479“ – ICANN-Konformitätsverfahren. Eine umfassend begründete Beschwerde über den Umgang eines Registrars mit Missbrauchsfällen wurde über den offiziellen Weg eskaliert – und die ICANN hat sich praktisch aus der Sache herausgehalten. Das Muster lässt sich direkt in der ICANN-Compliance-Dashboard: Eine stetige Flut von Beschwerden, die als „geklärt“ abgehakt wurden, ohne dass sich das Verhalten des Registrars nennenswert geändert hätte.

Öffentliches Register

ICANN-Compliance-Dashboard (04/2026): compliance-reports.icann.org/compliance/dashboard/2026/0426/report.html

Die Spieler

ShortDot SA – Die Volume-Engine

Einige der in diesem Bericht genannten Zonen werden betrieben von ShortDot SA (an dem IANA #1479 Berichten zufolge einen Anteil von rund 11 % hält). Das ShortDot-Portfolio umfasst .icu, .bond, .cyou, .sbs, .cfd, .qpon und .buzz.

Eine berechtigte Frage, die man jedem in der Branche stellen kann: Wann hast du das letzte Mal eine seriöse, bekannte White-Hat-Website mit einer dieser Endungen gesehen? Die ehrliche Antwort lautet für die meisten Menschen „nie“. Diese Domains befinden sich fast ausschließlich im „Long Tail“ der Wegwerf-Registrierungen.

Die Heuchelei rund um .bond.

.bond wurde als Premium-Standort für die Finanzbranche vermarktet. Die echte Finanzwelt lehnte dies jedoch rundweg ab – keine seriöse Bank und kein seriöser Vermögensverwalter verlegte seinen Firmensitz dorthin. Stattdessen entwickelte es sich zu einer Goldgrube für Possibly phishing im Bank- und Kryptobereich: eine Bezeichnung, die nach Finanzwesen klingt, ohne dass sie der gleichen genauen Prüfung unterliegt wie der Finanzsektor.

IANA #3736 – Von Grund auf sicher

Dann gibt es noch IANA #3736, ein belarussisches Unternehmen, das sozusagen Ein absolut sicheres DNS – nur zwei Tage nach dem Start und ist seitdem für die ICANN praktisch unerreichbar geblieben. Missbrauchsmeldungen laufen ins Leere; die „Aufsichtsbehörde“ verfügt über keine wirksamen Hebel.

Am auffälligsten ist dabei die geopolitische Dimension: Die Sanktionen scheinen die Aufsichtsbehörde gänzlich zu umgehen.. Eine Einrichtung, die in fast jeder anderen regulierten Branche tabu wäre, ist im ICANN-Ökosystem weiterhin tätig, weil die Gebühren weiterhin eingehen und niemand einen Anreiz hat, dies zu unterbinden.

Zugehörige Untersuchung

IANA #3736: „Bulletproof DNS“ wurde zwei Tage nach dem Start konfiguriert — Den vollständigen IANA #3736-Bericht lesen →

Erscheint vor dem 5. Juli: Der Einjahresbericht

Noch bevor die Datenbank ihren ersten Geburtstag feiert, wird THE ENABLERS REGISTRY einen Jahresbericht, der die Registrare entlarvt — einschließlich IANA #3736, IANA #3765, IANA #1479 und andere — das völlig berechtigte Missbrauchsmeldungen ignorierte, weil Über 300 Tage, bis die betreffenden Domains einfach von selbst abliefen.

Es wird keine Zusammenfassung sein. Es wird Folgendes enthalten: die Originaltexte der Meldungen, die Folgeberichte und die genauen Zeitstempel — eine lückenlose Dokumentationskette, aus der genau hervorgeht, wie lange eine dokumentierte, aktiv böswillig genutzte Domain weiterbetrieben werden kann, während die dafür bezahlten Kontrollinstanzen wegschauen.

Mehr als 300 Tage Schweigen sind kein Rückstand. Es ist ein Geschäftsmodell.

Wenn das einzige, was eine bösartige Domain letztendlich offline nimmt, ihr eigenes Ablaufdatum ist, hat das System zur Bekämpfung von Missbrauch aufgehört, ein Sicherheitsmechanismus zu sein, und ist zu einem Abrechnungszyklus geworden.

Quellen

ICANN-Basisregistrierungsvereinbarung, Art. 6.1

Gebührenordnung mit Festgebühr für die Registrierung sowie Transaktionsgebühren, die im registrierungsseitigen Modell zur Anwendung kommt.

ICANN-RAA, Abschnitt 3.9

Jährliche + variable Akkreditierungsgebühren, die im optionalen Pass-Through-Modell anfallen.

ICANN-Compliance-Dashboard 04/2026

Öffentlich zugängliche Aufzeichnung über eingegangene Beschwerden und deren Ergebnisse.

Künstler gegen IANA #1479 – Rechtsstreit um die Einhaltung von Vorschriften

Dokumentierte Beschwerde bezüglich der Einhaltung von Vorschriften (UNY-783-11184) und deren Ergebnis.

Die Datenbank wird am 5. Juli ein Jahr alt

DestroyList ist offen, kostenlos und wurde von Betreibern entwickelt. Seit einem Jahr kämpft die Plattform darum, mit einer Flut von Einträgen Schritt zu halten, die durch die Gebührenstruktur immer wieder neu angefüllt wird. Nutzt sie, spiegelt sie, baut darauf auf – und haltet Ausschau nach dem Bericht der Registrierungsstelle zum einjährigen Bestehen, der vor dem 5. Juli veröffentlicht wird.

Öffne die öffentliche Datenbank Eine Domain melden Weitere Ermittlungen
#ICANN#DomainAbuse#OSINT#PhishingEconomy#RegistryFees

Verwandte Ermittlungen

IANA #3736: „Bulletproof DNS“ wurde zwei Tage nach dem Start konfiguriert
GRÜNDLICHE UNTERSUCHUNG
IANA #3736: Der „kugelsichere“ Registrar, den die ICANN nicht erreichen kann
Das Ende von [REDACTED]: IANA #1479 entlarvt
GRÜNDLICHE UNTERSUCHUNG
Das Ende von [REDACTED]: IANA #1479 entlarvt
UNTERSUCHUNG
Registrare, die weltweite Betrugsmaschen ermöglichen

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings