Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / REGISTRAR ABUSE RESPONSE FAILURE

Meldungen über Missbrauch durch Registrare werden ignoriert

The Enablers Registry·Editorial mirror·/de/registrar-abuse-response-failure

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Wenn Missbrauchsmeldungen ins Leere laufen – Versäumnisse bei der Reaktion der Registrierstelle
REPORTAGE • 15–18 Minuten Lesezeit

Wenn Missbrauchsmeldungen ins Leere laufen: Wie Registrare zu stillen Komplizen bei Cyberkriminalität werden

Wir senden Missbrauchsberichte mit zahlreichen Belegen – Erkennungen bei VirusTotal, Screenshots, Blacklist-Daten, Antiviren-Scans. Die Registrare erhalten diese, unternehmen aber nichts. Einige Possibly phishing-Domains bleiben bestehen 1.788 Stunden und 13 separate Berichte. Das ist kein Systemfehler – es handelt sich um eine bewusste Entscheidung bei der Konzeption. Hier sind die Daten.

Das kaputte System

Jede Missbrauchsmeldung, die wir versenden, folgt einem klaren Protokoll: Domain-URL, Kategorie (Possibly phishing, Krypto-Drainer, gefälschtes Casino), Anzahl der Erkennungen bei VirusTotal, Screenshot-Beweismaterial und Status auf der Blacklist. Das sind keine vagen Beschwerden – es handelt sich um forensische Dossiers. Und dennoch bleibt eine Domain nach der anderen online für Wochen und Monate nach dem ersten Bericht.

Es gibt keinen einheitlichen Standard dafür, wie Registrare mit Missbrauchsmeldungen umgehen müssen. Keine SLA. Keine vorgeschriebene Reaktionszeit. Keine Kennzahl zur Rechenschaftspflicht. Jeder Registrar entscheidet selbst, ob eine Domain, die von 16 Antiviren-Engines verdient Beachtung – oder eine Standardantwort und ein geschlossenes Ticket.

1.788 h
payscrow[.]bet — seit 75 Tagen aktiv, trotz 6 Meldungen und 16 Erkennungen durch VirusTotal. Registrar: IANA #69 / Identity Digital.

Wer setzt sich über 16 Antiviren-Engines hinweg?

Das ist die Frage, die kein Registrar beantworten möchte. Wenn Kaspersky, ESET, Fortinet, BitDefender, Sophos, G-Data und zehn weitere Sicherheitsanbieter stufen eine Domain auf VirusTotal als bösartig ein – woraufhin das Abuse-Team des Registrars beschließt, „Keine Maßnahmen erforderlich“ — Wer genau hat diesen Anruf getätigt?

Man stelle sich einmal diese Absurdität vor: Ein einziger Missbrauchsanalyst bei einer Registrierungsstelle setzt sich über die gesammelten Erkenntnisse der Bedrohungsanalyse von 16 unabhängige Antiviren-Engines, die jeweils über Milliarden von Datenpunkten, eigene Forschungslabore und jahrzehntelange Erfahrung verfügen. Auf welcher Grundlage? Über welche Scan-Infrastruktur verfügt ein Missbrauchsbekämpfungsteam bei IANA #3765 oder GlobalDomainGroup, die die von Kaspersky übertrifft?

Die Antwort ist einfach: keine. Sie prüfen nicht. Sie verifizieren nicht. Entweder sehen sie sich den Bericht gar nicht erst an, oder sie ziehen eine finanzielle Bilanz: Eine aktive Domain generiert Einnahmen, eine gesperrte Domain hingegen nicht.

[REDACTED] — 13 Missbrauchsmeldungen gesendet. 13 Erkennungen bei VirusTotal. Seit 1.352 Stunden (56 Tage) aktiv. Die Registrierungsstelle ([REDACTED] / Verisign) erhielt Hinweise von Antiviren-Anbietern, Threat-Intelligence-Plattformen und der ICANN-Compliance-Abteilung. Die Domain ist weiterhin aktiv. Wer hat entschieden, dass das in Ordnung ist?

Lassen Sie uns ganz klar sagen, was das bedeutet: Jemand bei der Registrierungsstelle hat sich die Beweise von 13 unabhängigen Sicherheitsanbietern und 13 separaten Missbrauchsmeldungen angesehen – und entschieden, dass das eigene Urteil darüber steht. Das ist kein Fehler. Das ist eine Richtlinie.

Keine Autorität, die sie respektieren

Nennen Sie mir einen einzigen Antiviren-Anbieter, den Registrare als maßgebend ansehen. Das können Sie nicht – denn es gibt keinen.

  • Kaspersky — Erkennt die Domain? Wird ignoriert.
  • ESET — wird es als Possibly phishing markiert? Ignoriert.
  • Fortinet — blockiert es auf Netzwerkebene? Wird ignoriert.
  • BitDefender — warnt Millionen von Nutzern? Wird ignoriert.
  • Google Safe Browsing — das größte Web-Sicherheitssystem der Welt? Wird immer noch ignoriert.

Es gibt keine Nachweisgrenze in denen ein Registrar zum Handeln verpflichtet ist. Nicht 5 Suchmaschinen. Nicht 10. Nicht 16. Eine Domain kann von jedem Antiviren-Anbieter auf VirusTotal markiert sein, auf mehreren Blacklists stehen und ein Dutzend Missbrauchsmeldungen erhalten haben – und der Registrar ist dennoch zu keinerlei Maßnahmen verpflichtet.

Das ist keine Lücke im System. Das ist das System. Die Domain-Registrierungsbranche hat es erfolgreich vermieden, sich an verbindliche Standards halten zu müssen, die sie dazu verpflichten würden, die Erkenntnisse von Sicherheitsforschern, Antiviren-Anbietern oder Threat-Intelligence-Plattformen zu berücksichtigen. Wenn 16 von 70 Scannern eine Domain erkennen – dann ist das kein „vielleicht“. Das ist ein Konsens. Und das Missbrauchsteam des Registrars, das über keinerlei Scan-Infrastruktur verfügt und ein finanzielles Interesse daran hat, die Domain am Leben zu erhalten, setzt sich über diesen Konsens hinweg.

0
Die Anzahl der Antiviren-Anbieter, deren Ergebnisse von Registrierstellen verpflichtet auf die man reagieren könnte. Nicht Kaspersky. Nicht ESET. Nicht Google. Gar nichts.
Die „Mauer des Schweigens“ der Branche – über 50.000 gemeldete Domains sind weiterhin online und wurden von IANA #3765, IANA #69, GlobalDomainGroup, apiname, IANA #1861, IANA #472 und Endurance gesperrt
Über 50.000 Missbrauchsmeldungen eingegangen. Die Registrar-Barriere hält stand. Die Domains bleiben online.

Der finanzielle Anreiz

Domain-Registrare erheben für jede Domain jährliche Gebühren. Jede Sperrung bedeutet einen Einnahmeverlust. Jede Abschaltung birgt das Risiko einer Rückerstattung. Es gibt einen direkten, messbaren finanziellen Anreiz, Domains aktiv zu halten – und keine finanziellen Sanktionen für das Ignorieren von Missbrauchsmeldungen.

Das gilt jedoch nicht für alle Infrastrukturanbieter. IANA #1910… bearbeitet beispielsweise Missbrauchsmeldungen effizient und erzielt keine Einnahmen aus Domain-Registrierungen in gleicher Weise. Dieser Unterschied ist von Bedeutung: Wenn das Unternehmen, das Ihre Meldung bearbeitet, davon profitiert, dass die Domain online bleibt, liegt ein struktureller Interessenkonflikt vor.

Die Fakten: Live-Daten aus unseren Berichten

Nachfolgend finden Sie einen Auszug aus unserem Eskalationsprotokoll für Missbrauchsfälle vom März 2026. Jeder Eintrag steht für eine echte Possibly phishing-Domain, die noch aktiv zum Zeitpunkt der Berichterstattung, trotz früherer Berichte und bestätigter Nachweise.

DomäneBerichteAktiv (Stunden)VTBLMissbrauch durch Registrare
payscrow[.]bet61.788 h16IANA #69
[REDACTED]41.783 h41Ausdauer
[REDACTED]21.781 h3IANA #3765
airdrop[.]autos31.364 h41IANA #1923
[REDACTED]71.363 h141IANA #69
[REDACTED]71.363 h91IANA #69
[REDACTED]41.363 h101[REDACTED]
aavleaderboard[.]assetavenue[.]capital21.359 h1IdentityDigital
[REDACTED]21.359 h1IANA #1068
[REDACTED]131.352 h13[REDACTED]
[REDACTED]41.330 h14Verisign
zordex[.]us31.314 h14[REDACTED]
[REDACTED]21.278 h15GlobalDomainGroup
[REDACTED]21.278 h71IANA #3765
[REDACTED]41.278 h41IANA #3765
[REDACTED]21.278 h61IANA #69
[REDACTED]41.228 h16Schweinebrötchen
[REDACTED]21.049 h16IANA #472
amlinfo[.]now21.033 h2Schweinebrötchen
[REDACTED]41.026 h14GlobalDomainGroup
[REDACTED]61.021 h14[REDACTED]
menty[.]sbs4985h16[REDACTED]
[REDACTED]5971h14[REDACTED]
amlbot[.]im4965h6nic.im
[REDACTED]2879h2GlobalDomainGroup
[REDACTED]5826h11PDR
[REDACTED]2803h2IANA #3765
[REDACTED]2751h6PDR
[REDACTED]2730h3Ausdauer
[REDACTED]2717h15GlobalDomainGroup
[REDACTED]2717h6GlobalDomainGroup
[REDACTED]2674h2PIR
[REDACTED]2652h2PIR
[REDACTED]2618h15IANA #1923
[REDACTED]5539h14INWX
[REDACTED]5535h12GlobalDomainGroup
[REDACTED]2496h3IANA #1509
[REDACTED]2448 h1[REDACTED]
patricksstash[.]to2427h2tonic.to
[REDACTED]2427h5IANA #3765
[REDACTED]2402h14[REDACTED]
[REDACTED]2388h16[REDACTED]
dexscreener[.]at2328h16nic.at
[REDACTED]116Verisign
appether[.]fi1131

VT = VirusTotal erkannte Bedrohungen, ermittelt anhand von ca. 70 Scan-Engines. „Aktiv“ = Stunden seit der ersten Erkennung zum Zeitpunkt der Eskalation. Daten: THE ENABLERS REGISTRY-Eskalationsprotokoll für Missbrauchsfälle, 19.–21. März 2026.

Die Zahlen lügen nicht

Durchschnittliche aktive Zeit

943h

~39 Tage im Durchschnitt über alle Domains mit bekannten Betriebszeiten

Maximale aktive Zeit

1.788 h

payscrow[.]bet — 75 Tage, 6 Meldungen, VT:16

Gesamtzahl der versendeten Berichte

150+

Zusammengefasste Berichte über alle Bereiche hinweg, allein in dieser Stichprobe

Domains mit VT ≥ 10

22

Fast die Hälfte aller Domains – von mehr als 10 Antiviren-Engines als bösartig bestätigt, aber immer noch aktiv

Die Wiederholungstäter: Aufschlüsselung nach Standesämtern

Nicht alle Registrare sind gleich. Unsere Daten zeigen deutliche Muster – einige Registrare tauchen immer wieder unter den Einträgen mit der schlechtesten Leistung auf.

[REDACTED]

  • [REDACTED] — 1.352 Stunden, 13 Meldungen, VT:13
  • zordex[.]us — 1.314 Stunden, 3 Meldungen, VT:14
  • [REDACTED] — 1.021 Stunden, 6 Meldungen, VT:14
  • [REDACTED] — 971 Stunden, 5 Meldungen, VT:14

4 Domains. Insgesamt: 4.658 Stunden kriminelle Infrastruktur. 27 Meldungen ignoriert.

GlobalDomainGroup

  • [REDACTED] — 1.026h, VT:14
  • [REDACTED] — 717h, VT:15
  • [REDACTED] — 717h, VT:6
  • [REDACTED] — 535h, VT:12
  • [REDACTED] — 356h, VT:9
  • [REDACTED] — 357h, VT:2
  • [REDACTED] — 327h, VT:6
  • [REDACTED] — 327h, VT:2
  • [REDACTED] — 293h, VT:1
  • [REDACTED] — 365h, VT:1

10 Domänen. Der größte einzelne Cluster in unserem Datensatz. Ein Muster, kein Zufall.

IANA #69 / IdentityDigital

  • payscrow[.]bet — 1.788 Stunden, 6 Meldungen, VT:16
  • [REDACTED] — 1.363 Stunden, 7 Meldungen, VT:14, BL:1
  • [REDACTED] — 1.363 Stunden, 7 Meldungen, VT:9, BL:1
  • [REDACTED] — 1.278 Stunden, 2 Meldungen, VT:6, BL:1

IANA #69: Insgesamt 22 Meldungen, 5.792 Stunden Betrug. amlstats erhielt 7 Meldungen – eine pro Woche – und hat sie alle überstanden.

IANA #3765 (IANA #3765)

  • [REDACTED] — 1.781 h, VT:3
  • [REDACTED] — 1.278 h, VT:7, BL:1
  • [REDACTED] — 1.278 Stunden, 4 Meldungen, VT:4, BL:1
  • [REDACTED] — 803h, VT:2
  • [REDACTED] — 427h, VT:5
  • [REDACTED] — 310h, VT:2
  • [REDACTED] — erster Bericht, VT:1
  • [REDACTED] — erster Bericht, VT:2

8 Bereiche. Insgesamt über 5.877 Stunden. Zuvor untersucht: Fazit zu IANA #3765 — Es wurden keine legitimen Verwendungszwecke gefunden.

Schweinebrötchen

  • [REDACTED] — 1.228 Stunden, 4 Meldungen, VT:16
  • amlinfo[.]now — 1.033 Stunden, 2 Meldungen, VT:2
  • [REDACTED] — 712 Stunden, 2 Meldungen, VT:1

[REDACTED]: 16 Antiviren-Erkennungen, 4 Meldungen und 51 Tage online. Was hat das Abuse-Team von IANA #1861 als akzeptabel eingestuft?

IANA #472

  • [REDACTED] — 1.049 Stunden, 2 Meldungen, VT:16
  • aave[.]events – erster Bericht, VT:2, BL:1
  • [REDACTED] — erster Bericht, VT:9

[REDACTED]: 16 VT-Erkennungen und 44 Tage krimineller Aktivitäten. IANA #472 ist ein von der ICANN akkreditierter Registrar.

[REDACTED]

  • [REDACTED] — 388h, VT:16
  • [REDACTED] — 402h, VT:14

Beide Domains wurden von 14 bis 16 Antivirenprogrammen erkannt. Beide waren nach der zweiten Meldung weiterhin aktiv.

Stille Komplizen der Cyberkriminalität – Netzwerkdiagramm, das Registrare zeigt, die mit dem ABUSE IGNORED-Hub verbunden sind und stundenlang untätig blieben
Jeder Knoten ist ein von der ICANN akkreditierter Registrar. Jede Zahl steht für die Anzahl der Stunden, die eine bestätigte kriminelle Infrastruktur nach Missbrauchsmeldungen noch online bleibt.

Gesamtzahl der Stunden, in denen der Registrator untätig war

IANA #3765
5.877 h
IANA #69
5.792 h
GlobalDomainGroup
5.520 h+
[REDACTED]
4.658 h
Schweinebrötchen
2.973 h
Ausdauer
2.513 h
IANA #472
1.049 h+
[REDACTED]
790h

Gesamtzahl der aktiven Stunden aller gemeldeten Domains pro Registrar in unserem Datensatz vom März 2026. Dies entspricht nicht dem gesamten Missbrauch durch Registrare – sondern lediglich dem, was wir in einer Stichprobe festgestellt haben.

Was wir senden vs. was sie tun

Jede Missbrauchsmeldung bei THE ENABLERS REGISTRY enthält:

Unser Bericht enthält

  • Domain-URL und Registrierungsdaten
  • VirusTotal-Bewertung mit Herstellernamen
  • Ganzseitiger Screenshot der Possibly phishing-Seite
  • Kategorisierung (Possibly phishing, Drainer, Betrugs-Casino)
  • Blacklist-Status aus mehreren Feeds
  • URLscan.io oder ähnliche Scan-Ergebnisse
  • Bisherige Berichtshistorie und Zeitachse

Antwort der Registrierstelle

  • Überhaupt keine Reaktion (am häufigsten)
  • Standardbestätigung, keine Maßnahme erforderlich
  • „Wir werden das prüfen“ – Wochen vergehen, die Domain bleibt bestehen
  • „Wir können diese Behauptung nicht überprüfen“ – trotz 16 VT-Erfassungen
  • Ticket ohne Lösung geschlossen
  • Antrag auf Berücksichtigung bereits vorgelegter Beweismittel

Nachdem die Registrierungsstelle nicht reagiert hat, eskalieren wir den Fall an Einhaltung der ICANN-Vorgaben (compliance@icann.org). In jedem der oben genannten Fälle wurde die ICANN im zweiten oder einem der nachfolgenden Berichte in Kopie gesetzt. Das Ergebnis? Ebenso keine Reaktion.

Der ICANN-Standard, den es nicht gibt

ICANNs Registrar-Akkreditierungsvereinbarung (RAA), Abschnitt 3.18 verpflichtet Registrare dazu, eine Kontaktstelle für Missbrauchsfälle zu unterhalten und „angemessene und unverzügliche Maßnahmen zu ergreifen, um Meldungen über Missbrauch zu untersuchen und angemessen darauf zu reagieren“.

In der Praxis bedeutet „angemessen und unverzüglich“ das, was der Registrator darunter versteht. Es gibt:

  • Keine maximale Antwortzeit — Ein Registrierungsdienstleister kann wochenlang warten und behaupten, dies sei „angemessen“ gewesen
  • Keine Schwelle für eine obligatorische Sperre — 16 VT-Erkennungen lösen nicht automatisch irgendetwas aus
  • Keine Verpflichtung zur öffentlichen Berichterstattung — Die Registrierstellen müssen weder veröffentlichen, wie viele Meldungen sie erhalten, noch, welche Maßnahmen sie daraufhin ergreifen.
  • Keine nennenswerte Strafe — Die ICANN hat bisher nur selten eine Akkreditierung wegen Untätigkeit bei Missbrauchsfällen entzogen

Das Ergebnis: Registrare betrachten die Bearbeitung von Missbrauchsfällen als Kostenfaktor, den es zu minimieren gilt, und nicht als Sicherheitsverpflichtung, die es zu erfüllen gilt.

Wie der Standard aussehen sollte: Bestätigung innerhalb von 24 Stunden. Maßnahmen innerhalb von 72 Stunden bei Domains mit VT ≥ 10. Automatische Sperrung nach mindestens drei unabhängigen Meldungen. Öffentliche vierteljährliche Berichterstattung über Missbrauchsdaten. Geldstrafen bei systematischer Nichteinhaltung.

Sie gehen gegen Typosquatting vor – aber nicht gegen Possibly phishing

Und das macht die Sache noch absurder. Einige derselben Registrare, die Possibly phishing-Meldungen monatelang ignorieren, gehen bei einer bestimmten Art von Missbrauch äußerst effizient vor: Typosquatting — Domains, die verwechselbar ähnlich zu etablierten Markennamen sind.

Warum? Weil Typosquatting darauf abzielt, Unternehmen mit Rechtsbudgets. Wenn Google, Apple oder Microsoft eine UDRP-Beschwerde wegen einer ähnlich klingenden Domain einreichen, reagieren die Registrare innerhalb weniger Tage. Die Gefahr von Rechtsstreitigkeiten und ICANN-Sanktionen wegen Markenmissbrauchs ist real und unmittelbar.

Aber was ist, wenn eine Possibly phishing-Domain einzelnen Opfern Geld stiehlt? Wenn ein „Crypto Drainer“ jemandem die gesamten Ersparnisse raubt? Wenn ein gefälschtes Casino Kreditkartendaten von Spielern stiehlt? Keine Rechtsabteilung des Unternehmens. Keine UDRP-Klage. Keine Dringlichkeit. Die Abteilung für Missbrauchsfälle der Registrierungsstelle wendet einen anderen Maßstab an – einen, bei dem der finanzielle Schaden des Opfers nicht dieselbe Reaktion auslöst wie die Bedenken einer Marke hinsichtlich ihrer Markenrechte.

Bericht zum Typosquatting

  • Markeninhaber reicht UDRP-Klage ein
  • Die Registrierungsstelle antwortet innerhalb weniger Tage
  • Domain schnell gesperrt/ausgesetzt
  • Rechtliche Folgen bei Untätigkeit

Meldung zu Possibly phishing/Betrug

  • Opfer/Forscher reichen Missbrauchsanzeigen ein
  • Der Registrar ignoriert das seit Wochen/Monaten
  • Die Domain bleibt bis zum Ablaufdatum aktiv
  • Keine Konsequenzen für Untätigkeit

Die Botschaft ist klar: Registrare schützen Marken, nicht Menschen. Sie reagieren auf rechtliche Befugnisse, nicht auf Nachweise für einen Schaden. Unsere Berichte enthalten mehr objektive Beweise als jede UDRP-Klage – VirusTotal-Scans, Antiviren-Erkennungen, Bestätigungen von Blacklists, Screenshots – und dennoch bleiben sie unbeantwortet.

Wir machen ihre Arbeit – kostenlos

THE ENABLERS REGISTRY ist ein unabhängiges, nichtkommerzielles Projekt. Wir scannen Domains. Wir klassifizieren Bedrohungen. Wir erstellen VirusTotal-Berichte. Wir machen Screenshots. Wir verfassen detaillierte Missbrauchsberichte und senden diese an Registrare, Registries und die ICANN. Wir übernehmen die Sicherheitsaufgaben, die eigentlich von den Registrierungsstellen selbst erledigt werden sollten.

Und hier ist die unangenehme Wahrheit: Einige Registrare übernehmen diese Aufgabe tatsächlich. Einige Registrare betreiben ihre eigene Infrastruktur zur Domain-Überprüfung, nutzen private Threat-Intelligence-Feeds und sperren bösartige Domains proaktiv, noch bevor sie überhaupt gemeldet werden. Es gibt sie. Sie beweisen, dass es möglich ist.

Registrare, die handeln

  • Interne Scan-Tools ausführen (privat, nicht öffentlich)
  • Offensichtliche Betrugsdomains proaktiv sperren
  • Reagieren Sie innerhalb weniger Stunden auf Missbrauchsmeldungen
  • Zusammenarbeit mit Forschern und Strafverfolgungsbehörden
  • Daten von VirusTotal und der Blacklist als Beweismittel akzeptieren

Diese Registrare beweisen, dass eine schnelle Reaktion auf Missbrauch technisch und wirtschaftlich machbar ist.

Registrare, die Betrüger schützen

  • Überhaupt keine Scan-Infrastruktur
  • Warte auf die Berichte und ignoriere sie dann
  • Standardantworten, Ticket geschlossen, Domain aktiv
  • Deny-Berichte ablehnen (IANA #1479-Muster)
  • 16 Antiviren-Engines ohne jegliche Beweise außer Kraft setzen

Diese Registrare haben den Gewinn der Sicherheit vorgezogen. Ihre Untätigkeit wird dadurch subventioniert, dass die Sicherheitsgemeinschaft ihre Arbeit kostenlos erledigt.

Die Frage ist nicht, ob eine schnelle Reaktion auf Missbrauch möglich ist. Das ist es. Die Frage ist, warum sich manche Registrare dagegen entscheiden. Und die Antwort führt jedes Mal wieder auf denselben strukturellen Anreiz zurück: Aktive Domains generieren Einnahmen. Gesperrte Domains tun dies nicht.

Maßgebliche Standards, die gelten sollten

Der Rahmen für die Rechenschaftspflicht von Registrierstellen ist bereits vorhanden – er wird nur nicht durchgesetzt:

ICANN-RAA § 3.18

Die Vereinbarung über die Akkreditierung von Registrierstellen verpflichtet Registrare dazu, Ansprechpartner für Missbrauchsfälle zu benennen und Meldungen unverzüglich zu untersuchen. Eine Durchsetzung dieser Vorschrift findet praktisch nicht statt.

APWG

Die Anti-Phishing-Arbeitsgruppe veröffentlicht vierteljährliche Berichte zu Possibly phishing-Trends, die das Ausmaß des Problems verdeutlichen. Die Registrare sind Mitglieder der APWG – und ignorieren die Berichte dennoch.

Maßnahmen der FTC

Die Warnschreiben der FTC an IANA #1479 (Dez. 2024) hat ausdrücklich darauf hingewiesen, dass Betrugsfälle nicht bekämpft wurden. Die ICANN selbst Compliance-Abteilung nimmt unsere Eskalationen entgegen und antwortet nicht.

DNSAI

Die DNS Abuse Institute (von PIR) entwickelt Tools wie DAAR und fördert bewährte Verfahren. Doch in PIRs eigenem Register sind [REDACTED] (674h aktiv, VT:2) und [REDACTED] (652h) registriert.

50.000 Domains – und es werden immer mehr

Die obigen Beispiele sind ein Auszug aus einer einzelnen Woche. Das tatsächliche Ausmaß ist atemberaubend.

50.000+
Aktive Possibly phishing-Domains in unserer Liste löschen zu denen Missbrauchsmeldungen eingegangen sind. Die meisten davon sind noch online.

Unser ständig aktualisierter Bedrohungs-Feed unter content_active.txt enthält über 50.000 Domains, die als bösartig gemeldet wurden. Für jede davon ging mindestens eine Missbrauchsmeldung ein. Bei vielen waren es sogar mehrere. Die Registrare erhielten die Beweise – die VirusTotal-Scans, die Screenshots, die Bestätigungen der Aufnahme in die Blacklist – und entschieden sich dennoch für ihre Kunden statt für die Sicherheit der Öffentlichkeit.

Denn genau darum geht es hier: eine Wahl. Der Kunde des Registrars ist die Person, die die Domain registriert hat – der Betrüger. Der Kunde des Registrars ist nicht die Großmutter, die ihre Ersparnisse auf einer gefälschten Bankseite verloren hat, oder der Krypto-Nutzer, dessen Wallet leergeräumt wurde, oder der Gamer, dessen [REDACTED]-Konto gestohlen wurde. Der Registrar hat sich für den Betrüger entschieden. Jedes Mal.

50.000 Domains, null Rechenschaftspflicht – Fließbandproduktion von Phishing-Domains mit dem Vermerk „KEINE MASSNAHMEN“ von IANA #3765, IANA #69, GlobalDomainGroup, apiname und IANA #1861
Das Fließband der Missbrauchsmeldungen: Domains werden mit VT:16-Erkennungen eingespielt, mit „KEINE MASSNAHMEN“ gekennzeichnet und laufen weiter. Die Namen der Registrare leuchten über der von ihnen erstellten Zeile.

Von der Meldung bis zur Hilfe für die Opfer: Jede Stunde zählt

Sobald wir eine Missbrauchsmeldung absenden, läuft eine Frist an. Ab diesem Zeitpunkt ist die Registrierungsstelle offiziell bekannt dass eine von ihnen verwaltete Domain für betrügerische Zwecke genutzt wird. Jede Stunde, in der nach dieser Benachrichtigung nichts unternommen wird, ist eine Stunde, in der bewusste Mittäterschaft.

Viele Domains in unserem Datensatz überstehen nicht nur einige wenige Meldungen – sie bestehen so lange, bis ihre Die Anmeldefrist läuft ab. Sie durchlaufen den gesamten Zyklus: Registrierung, Betrug, Meldung, erneute Meldung, Eskalation an die ICANN, Fortsetzung des Betrugs, natürliches Ablaufen der Registrierung. Der Registrar hat die Registrierungsgebühr eingestrichen. Der Betrüger hat das gestohlene Geld eingestrichen. Die Opfer gingen leer aus.

IANA #1479 hat öffentlich bestritten, Missbrauchsmeldungen erhalten zu haben, für deren Übermittlung wir dokumentierte Nachweise haben. Wenn ein Registrar über den Erhalt von Meldungen lügt, um sich der Rechenschaftspflicht zu entziehen, welche Rechtsmittel stehen den Opfern dann zur Verfügung? Vielleicht ist es an der Zeit für eine unabhängige Prüfung der Missbrauchsbearbeitung durch Registrare – eine Prüfung, bei der die übermittelten Meldungen mit den ergriffenen Maßnahmen verglichen werden und deren Ergebnisse öffentlich gemacht werden.

Eine rechtzeitige Domain-Sperrung ist nicht nur eine Verwaltungsmaßnahme. Sie ist nicht nur „eine Unannehmlichkeit für den Registranten“. Es handelt sich um eine Rettungsaktion. Jede rechtzeitig gesperrte Domain bedeutet eine nicht leergeräumte Geldbörse, keine gestohlenen Zugangsdaten und kein leergeräumtes Sparkonto. Registrare, die solche Abschaltungen als „Zensur“ oder „Geschäftsbeeinträchtigung“ darstellen, zeigen damit deutlich, wessen Interessen sie vertreten.

Sollten Registrare den Opfern eine Entschädigung zahlen?

Hier ist die Frage, mit der sich die gesamte Domain-Registrierungsbranche nicht auseinandersetzen will:

Wenn ein Registrar eine fundierte Missbrauchsmeldung erhält – mit Erkennungen durch VirusTotal, Screenshots und Bestätigungen aus Blacklists – und beschließt, nicht tätig zu werden, haftet der Registrar dann für Schäden, die den Opfern ab diesem Zeitpunkt entstehen?

Denken Sie mal darüber nach. Sobald die Registrierungsstelle den Bericht erhält, ist sie nicht mehr unwissend. Ihnen wurde unter Vorlage von Beweisen mitgeteilt, dass eine unter ihrer Kontrolle stehende Domain dazu genutzt wird, Geld, Zugangsdaten und Identitäten zu stehlen. Von diesem Moment an ist anhaltende Untätigkeit keine Fahrlässigkeit mehr – sie ist eine bewusste Entscheidung um Schaden zuzulassen.

  • Ist der Registrator bereit, die Haftung zu übernehmen? für jeden Dollar, der über eine Domain gestohlen wurde, vor der sie gewarnt worden waren?
  • Ist die Registrierungsstelle bereit, den Opfern eine Entschädigung zu zahlen? Wer hat Geld verloren, nachdem die Missbrauchsanzeige erstattet und ignoriert wurde?
  • Ist die Rechtsabteilung des Registrars Verstehen Sie, dass die Aussage „Wir haben das geprüft und keine Probleme festgestellt“ – obwohl 16 Antiviren-Engines zu einem anderen Ergebnis kommen – keine vertretbare Position ist?

Wenn die Antwort auf alle drei Fragen „nein“ lautet, gibt es keinen triftigen Grund, die Domain weiterhin aktiv zu halten. Erst suspendieren, dann untersuchen. So arbeiten verantwortungsbewusste Infrastrukturanbieter. So arbeitet IANA #1910. So arbeiten Hosting-Anbieter wie Hetzner und IANA #433 zunehmend. Nur Domain-Registrare halten an einem Modell fest, bei dem die Bequemlichkeit des Betrügers Vorrang vor der Sicherheit des Opfers hat.

Wer zahlt den Preis?

Jede Stunde, in der eine Possibly phishing-Domain online bleibt, bedeutet direkt neue Opfer:

  • Domains, die Kryptowährungen abziehen (farewex, perowex, xerowex, naebex) – Geldbörsen, die innerhalb von Sekunden leergeräumt wurden. Die insgesamt 4.658 Stunden, die die Domains von [REDACTED] in Betrieb waren, stehen für Tausende potenzieller Geldbörsenplünderungen.
  • Gefälschte Casinos / CS:GO-Betrugsmaschen (casebattle-Varianten, csgomy, ggddrop, tastdrop) – Kreditkartenbetrug, Identitätsdiebstahl und manipulierte Spielergebnisse, die sich gegen Gamer richten.
  • Vortäuschung einer falschen Dienstidentität (dexscreener[.]at, [REDACTED][.]receipts[.]sh, amlbot[.]im, [REDACTED]) – Vortäuschung einer Markenidentität, die zum Diebstahl von Zugangsdaten und finanziellen Verlusten führt.
  • Kardierinfrastruktur (patricksstash, stashhpatrick) – Verkauf gestohlener Zahlungsdaten an andere Kriminelle.
75
Tage dass payscrow[.]bet in Betrieb war – das ist so, als würde man einen Taschendieb 2,5 Monate lang in einem Einkaufszentrum gewähren, nachdem der Sicherheitsdienst über ihn informiert worden war, ihm das Videomaterial gezeigt und den Verdächtigen identifiziert hatte.

Was sich ändern muss

Das derzeitige Modell ist von Grund auf fehlerhaft. Registrare profitieren davon, dass Domains aktiv bleiben. Die ICANN verfügt über keine Durchsetzungsbefugnisse. Die Betroffenen haben keine Handhabe. Folgendes würde Abhilfe schaffen:

  1. Verbindliche SLA für die Reaktion auf Missbrauch: Bestätigung innerhalb von 24 Stunden, erste Maßnahmen innerhalb von 72 Stunden, Eskalationspfad innerhalb von 7 Tagen. Messbar. Nachprüfbar.
  2. Schwellenwert für die automatische Sperrung: Jede Domain mit ≥10 Erkennungen bei VirusTotal und mindestens 2 unabhängigen Meldungen muss bis zur Überprüfung gesperrt werden – nicht umgekehrt.
  3. Öffentliche Berichte zur Transparenz bei Missbrauchsfällen: Jeder von der ICANN akkreditierte Registrar muss vierteljährlich folgende Angaben veröffentlichen: eingegangene Meldungen, durchschnittliche Bearbeitungszeit, ergriffene Maßnahmen, gesperrte Domains.
  4. Geldstrafen bei Nichteinhaltung: Gestaffelte Bußgelder für Registrare, die systematisch ihren Verpflichtungen nicht nachkommen. Entzug der Akkreditierung bei Wiederholungstätern.
  5. Unabhängiger Ombudsmann für Missbrauchsfälle: Eine unabhängige Stelle, die Entscheidungen von Registrierstellen überprüfen, Untätigkeit außer Kraft setzen und bei kritischen Bedrohungen Sperrungen im Eilverfahren veranlassen kann.
  6. Sperrliste für mehrere Registrare: Wird bei einem Registranten festgestellt, dass er ein Serientäter ist, sollten alle akkreditierten Registrare darüber informiert werden. Kein „Domain-Shopping“ mehr.

Was THE ENABLERS REGISTRY dagegen unternommen hat

Wir verfassen keine Berichte und warten nicht darauf, dass sich die Branche von selbst reformiert. Wir entwickeln Systeme, die Transparenz erzwingen und Konsequenzen für Untätigkeit nach sich ziehen.

Öffentliche Bedrohungsdatenbank

Wir haben die Liste löschen — eine öffentliche, ständig aktualisierte Datenbank mit über 50.000 bösartigen Domains. Jede Missbrauchsmeldung, die wir versenden, wird nun an den Registrar weitergeleitet: Diese Domain wird in einer öffentlichen Datenbank aufgeführt.. Potenzielle Opfer der Domains ihrer Kunden können sehen, wann die Meldung eingegangen ist und wie lange der Registrar sie ignoriert hat. Das ist für Registrare unangenehm – und genau darum geht es.

Seiten zu Domain-Bedrohungen

Jede Domain, die wir markieren, hat nun eine eigene Seite unter enablers.report/domain — mit umfassender Analyse, einer KI-generierten Bedrohungsbeschreibung und einer Pipeline zur Reaktion auf Bedrohungen mit Angabe der genauen Bearbeitungsschritte: Erkennung, Versand des Berichts, Eskalation, Benachrichtigung der ICANN. Die Status werden in Echtzeit aktualisiert. Wir fügen nun genaue Zeitstempel für jeden Folgebericht hinzu, um vollständige Transparenz zu gewährleisten. Jeder kann genau sehen, wann der Registrar benachrichtigt wurde und wie lange er nichts unternommen hat.

Eskalationssystem – Keine Überschwemmungen melden

Wir tun nicht die Registrare mit doppelten Meldungen zu überfluten. In 98 % der Fälle versenden wir nur eine einzige Erstmeldung und wiederholen diese nicht – sowohl aufgrund der täglichen E-Mail-Limits als auch, weil wir der Ansicht sind, dass eine massive Duplizierung der falsche Ansatz ist. Wir versenden nur dann eine Folgemeldung, wenn eine Domain erneut als aktiv erkannt bei einem neuen Scan. Wenn wir jede aktive Domain täglich mit Spam-Mails überschütten würden, wären das 50.000 E-Mails pro Tag. Das tun wir nicht. Unser Eskalationssystem erstellt Folgeberichte (#2, #3 usw.) mit KI-analysierten Bedrohungszusammenfassungen, aktualisierten Werten von VirusTotal und einer Angabe der Stunden, in denen der Registrar die Bedrohung ignoriert hat.

Tool zur erneuten Meldung von Community-Inhalten

In unserem [REDACTED]-Bot @EnablersRegistry, können Nutzer nun Nachberichte für Domains, die nach unserer ersten Meldung noch immer aktiv sind. Da zu viele Registrare Betrügern freien Lauf lassen und die verheerenden Schäden ignorieren, geben wir der Community eine Stimme. Wenn ein Registrar nicht auf uns hört, hört er vielleicht auf die Vielzahl unabhängiger Meldungen von echten Nutzern.

Ein Hinweis an Betreiber von Betrugsprojekten und fahrlässige Registrare: Wenn Sie glauben, wir würden Sie mit einer Flut von Meldungen „überhäufen“ – das tun wir nicht. Wir versenden pro Erkennungsfall eine Meldung. Wenn Sie viele Meldungen erhalten, liegt das daran, dass Sie viele bösartige Domains haben. Die Meldungen sind alle unterschiedlich, beziehen sich auf verschiedene Domains und enthalten unterschiedliche Belege. Das Problem ist nicht unser Meldeaufkommen – es ist Ihr Domain-Portfolio.

THE ENABLERS REGISTRY – wir schützen keine Marken. Wir setzen uns nicht für Opfer ein. Wir zerstören Possibly phishing- und Betrugsinfrastrukturen.

Fazit

Wenn 16 Antiviren-Engines eine Domain als bösartig einstufen und ein Registrar „keine Maßnahmen“ ergreift, handelt der Registrar nicht nach eigenem Ermessen – er schützt vielmehr seine Einnahmen. Wenn 13 separate Missbrauchsmeldungen unbeantwortet bleiben und eine Domain 1.352 Stunden lang aktiv bleibt, arbeitet der Registrar nicht einen Rückstand ab – er ermöglicht damit Kriminalität.

Die Daten in diesem Artikel sind nicht theoretischer Natur. Es handelt sich um unser Echtzeit-Protokoll zur Eskalation von Missbrauchsfällen aus einer einzigen Woche im März 2026 – und dahinter stehen Über 50.000 gemeldete Domains in unserem ständig aktualisierten Bedrohungs-Feed. Dies ist kein isoliertes Problem, das nur einen Registrar betrifft. Es handelt sich um ein branchenweites Versagen dass das Ökosystem der Domainregistrierung kein Interesse daran hat, dies zu beheben, da das derzeitige Modell profitabel ist.

Es gibt keinen Antiviren-Anbieter, dessen Feststellungen die Registrare berücksichtigen müssen. Es gibt keine Erkennungsschwelle, die zwingende Maßnahmen auslöst. Es gibt kein SLA, keine Rechenschaftspflicht, keine Konsequenzen. Der Registrar kassiert die Gebühr, ignoriert die Berichte, und die Opfer zahlen den Preis.

Registrare sind keine neutralen Infrastrukturanbieter. Sie sind die „Gatekeeper“, die sich – jeden Tag, mit jeder ignorierten Meldung – dafür entscheiden, kriminelle Infrastrukturen online zu lassen. Sie wissen um den Schaden. Sie haben die Macht, ihn zu stoppen. Sie entscheiden sich dagegen. Und solange niemand ihnen die einzige Frage stellt, auf die es ankommt – „Sind Sie bereit, die Opfer der Domains, deren Sperrung Sie abgelehnt haben, zu entschädigen?“ — Es wird sich nichts ändern.

Das Schweigen der Branche zu dieser Frage ist die deutlichste Antwort von allen.

#AbuseReports#ICANN#Registrars#VirusTotal#PhishingTakedown#Investigation#CyberSecurity

Verwandte Forschungsarbeiten

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings