Warum wir berichten
Nur per E-Mail
Wir stellen Registrare mit vollständigen Beweismaterialien zur Verfügung – und übernehmen dabei kostenlos die Ermittlungsarbeit. Unsere Berichte folgen den rechtlichen Vorschriften, da interne Plattformregeln internationale Vorschriften nicht außer Kraft setzen können.
Warum das wichtig ist
Possibly phishing ist nicht nur eine Unannehmlichkeit. Es ist eine weltweite kriminelle Industrie, die jeden Tag Leben und Unternehmen zerstört.
Der rechtliche Rahmen
Vereinbarung über die Akkreditierung von Registrierstellen § 3.18.1
„Der Registrar muss eine Missbrauchs-Kontaktstelle einrichten, um Meldungen über Missbrauch entgegenzunehmen... Der Registrar muss auf der Startseite seiner Website eine E-Mail-Adresse veröffentlichen, unter der solche Meldungen entgegengenommen werden.“
Quelle: RAA 2013, Abschnitt 3.18.1
Anforderung einer 24-Stunden-Überwachung
„Der Registrar muss eine spezielle Kontaktstelle für Missbrauchsfälle einrichten und unterhalten, einschließlich einer speziellen E-Mail-Adresse und Telefonnummer, die rund um die Uhr, sieben Tage die Woche, besetzt ist.“
Quelle: ICANN RAA § 3.18.2
Gesetz über digitale Dienste – Artikel 16
„Anbieter von Hosting-Diensten müssen Mechanismen einrichten, die es jeder natürlichen oder juristischen Person ermöglichen, sie über das Vorhandensein bestimmter Informationen auf ihrem Dienst zu informieren, die diese natürliche oder juristische Person als rechtswidrige Inhalte ansieht.“
Quelle: EU-DSA, Artikel 16
Änderungen zum DNS-Missbrauch 2024
„Um die Einreichung von Meldungen durch Dritte, die Missbrauch und/oder rechtswidrige Handlungen geltend machen, zu erleichtern, muss der Registrar eine E-Mail-Adresse oder ein Webformular veröffentlichen, das leicht zugänglich ist... Für die Einreichung von Missbrauchsmeldungen darf bei Webformularen keine Anmeldung erforderlich sein.“
Warum Webformulare versagen
Fehlgeschlagene CAPTCHAs und technische Barrieren
Einige Registrare setzen unlösbare CAPTCHAs, Ratenbeschränkungen und technische Hindernisse ein, die das Absenden von Formularen unmöglich machen. Wenn Meldungen fehlschlagen, führen sie „technische Probleme“ oder „Meldungen sind nicht eingegangen“ als Grund an.
Kein Prüfpfad
Webformulare liefern keinen nachprüfbaren Nachweis über die Übermittlung. E-Mails bilden eine mit einem Zeitstempel versehene, rechtsgültige Aufzeichnung, die der ICANN-Compliance-Abteilung vorgelegt werden kann, falls der Registrar nicht tätig wird.
Vorsätzliche Behinderung
Manche Registrare gestalten ihre Formulare absichtlich kompliziert, um von einer Meldung abzuschrecken. Dies stellt einen direkten Verstoß gegen die RAA-Vorgabe dar, wonach Kontaktstellen für Missbrauchsfälle „leicht erreichbar“ sein müssen.
Die Absurdität automatischer Antworten
Manche Registrare versenden automatische Antworten, in denen Possibly phishing als „Plagiat“ oder „Urheberrechtsprobleme“ eingestuft wird – was eine vorsätzliche Missachtung der von der ICANN festgelegten Definitionen für DNS-Missbrauch offenbart.
Anmeldevoraussetzungen
Die ICANN erklärt ausdrücklich: „Webformulare dürfen für die Übermittlung von Missbrauchsmeldungen keine Anmeldung erfordern.“ Die Verpflichtung zur Erstellung eines Kontos verstößt gegen vertragliche Verpflichtungen.
Beliebige Feldanforderungen
Pflichtfelder für irrelevante Angaben, Zeichenbeschränkungen bei der Beschreibung von Belegen sowie die erzwungene Einordnung in falsche Meldetypen tragen allesamt dazu bei, seriöse Melder zu verärgern.
Was wir tatsächlich versenden
Unsere Berichte sind umfassende Beweismaterialien, die darauf ausgelegt sind, dem Team für Missbrauchsfälle die Arbeit so einfach wie möglich zu machen. Wir übernehmen die Ermittlungsarbeit – sie müssen nur noch handeln.
Eindeutige Tracking-ID und Einstufung des Bedrohungsgrades
Domain, IP-Adresse, Zeitstempel der Erkennung, forensische Links von URLScan
Erkennungen bei VirusTotal, Analyse durch die Bedrohungs-Engine, Status auf der Blacklist
Automatisch erstellter Screenshot, der Possibly phishing-Inhalte belegt
Konkrete Verstöße gegen die Nutzungsbedingungen (AUP/TOS) und geltende Gesetze
Klare Handlungsschritte für das Missbrauchsteam
100 % gemeinnützig
Wir erhalten keine Spenden, keine Zahlungen, kein Gewinn. Keine Verträge, keine Vorstände, keine kommerziellen Interessen. Unser Projekt ist vollständig Open Source und dient ausschließlich dem Kampf gegen Betrug.
Ein Ziel: Bedrohungen beseitigen
Wir schützen kein bestimmtes Opfer und kein bestimmtes Unternehmen. Wir beseitigen Bedrohungen aus dem Internet, bevor sie weiteren Schaden anrichten. Das ist alles. Keine Hintergedanken.
Von Anfang an komplett
In unserem ersten Bericht haben wir alle verfügbaren Beweise bereits zu Beginn zusammengetragen: Domain, IP, URLScan-Analyse, Screenshots (mehrere, als Dateien und im PDF-Format beigefügt), VirusTotal-Erkennungen und Bedrohungsinformationen. Mehr können wir dazu einfach nicht sagen.
Warum wir möglicherweise nicht auf Nachfragen reagieren
Unsere erste E-Mail enthält bereits alles, was wir haben: Domain, IP, forensische Links von URLScan, Erkennungen von VirusTotal, mehrere Screenshots (als Dateien angehängt UND in den PDF-Bericht eingebettet), Verstöße gegen Richtlinien sowie rechtliche Verweise. Die Aufforderung nach „zusätzlichen Screenshots“, obwohl bereits drei oder mehr angehängt sind, oder die Bitte um „weitere Beweise“, obwohl ein vollständiger PDF-Bericht beigefügt ist, lässt darauf schließen, dass der Bericht nicht vollständig geprüft wurde.
Zudem haben wir erfahren, dass die Missbrauchsformulare einiger Registrare Meldungen an unabhängige Dritte weiterleiten – an ihre Partner, Wiederverkäufer oder an völlig andere Domains als die gemeldete. Um eine ordnungsgemäße Bearbeitung zu gewährleisten, halten wir uns an das von der ICANN vorgeschriebene Verfahren: Wir leiten Meldungen an die offizielle E-Mail-Adresse für Missbrauchsfälle weiter, die in den WHOIS-Einträgen veröffentlicht ist.
Ein Fehlalarm? Wir möchten es wissen
Wir nehmen Fehlalarme ernst und arbeiten aktiv daran, sie zu vermeiden. Wenn Sie der Meinung sind, dass eine Domain fälschlicherweise gemeldet wurde, teilen Sie uns dies bitte über einen der folgenden Kanäle mit:
- Einspruchsformular (empfohlen) — anonym, einfach, mit Ticket-Verfolgung zur Statusüberwachung
- GitHub-Issue — öffentlich, transparent, für die Gemeinschaft einsehbar
- appeal@enablers.report — kann sich aufgrund von Spam-Mails von gemeldeten Betrügern verzögern
Das Beschwerdeformular wird bevorzugt, da verärgerte Betrüger unsere E-Mail-Adresse häufig mit Spam-Mails überschwemmen, wodurch berechtigte Beschwerden leicht übersehen werden können. Das Formular generiert eine Ticketnummer zur Nachverfolgung und erfordert keine Angabe persönlicher Daten.
Unsere Methodik
Vollständiges Beweismaterial
Jeder Bericht enthält eine umfassende Dokumentation: WHOIS-Daten der Domain, Screenshots, URLScan-Ergebnisse, eine Quellcode-Analyse sowie PDF-Anhänge. Wir stellen alles bereit, was das Abuse-Team des Registrars benötigt, um ohne weitere Nachforschungen eine fundierte Entscheidung zu treffen.
Direkte Kommunikation per E-Mail
Wir verwenden die in WHOIS-Einträgen und auf Registrar-Websites veröffentlichten E-Mail-Adressen für Missbrauchsmeldungen, genau wie es in §3.18.1 der ICANN-RAA vorgeschrieben ist. Dies schafft einen rechtlichen Prüfpfad und stellt sicher, dass unsere Meldungen die dafür vorgesehenen Ansprechpartner für Missbrauchsmeldungen erreichen.
Eindeutige Klassifizierung von DNS-Missbrauch
In unseren Berichten wird die Art des DNS-Missbrauchs (Possibly phishing, Malware, Botnets, Pharming) unter Verwendung der offiziellen Definitionen der ICANN aus SAC115 ausdrücklich benannt. Wir verwenden keine vagen Begriffe, die es Registraren ermöglichen, sich der Verantwortung zu entziehen.
ICANN-Eskalationsverfahren
Wenn Registrare nicht angemessen reagieren, leiten wir den Fall an die ICANN-Abteilung für Vertragsüberwachung weiter, wobei wir unsere Berichte sowie die Nichteinhaltung von RAA §3.18 durch den Registrar umfassend dokumentieren.
✓ Fazit
Interne Plattformrichtlinien, firmeneigene Formulare und benutzerdefinierte Verfahren haben keinen Vorrang vor den vertraglichen Verpflichtungen gegenüber der ICANN oder den EU-Vorschriften. Ein Registrar darf keine Hindernisse erfinden, um sich seiner gesetzlichen Pflicht zu entziehen, begründete Missbrauchsmeldungen zu untersuchen und darauf zu reagieren.
Was das Gesetz tatsächlich besagt
Registrare müssen Ermittlungen einleiten
„Der Registrar hat angemessene und unverzügliche Maßnahmen zu ergreifen, um alle Missbrauchsmeldungen zu untersuchen und angemessen darauf zu reagieren.“ In der RAA heißt es nicht: „Untersuchen Sie nur, wenn die Meldung über unser bevorzugtes Formular eingeht“ oder „Reagieren Sie nur, wenn es Ihnen passt.“
Fristgebundene Verpflichtungen
Gemäß den Änderungen der DNS-Missbrauchsbestimmungen von 2024 müssen Registrare „unverzüglich die geeigneten Abhilfemaßnahmen ergreifen, die vernünftigerweise erforderlich sind, um zu verhindern oder anderweitig zu unterbinden, dass der registrierte Name für DNS-Missbrauch genutzt wird.“ Possibly phishing-Domains erfordern sofortiges Handeln – keine bürokratischen Verzögerungen.
E-Mail ist der gesetzliche Standard
Die ICANN verpflichtet Registrare ausdrücklich dazu, eine E-Mail-Adresse für Missbrauchsmeldungen zu veröffentlichen und zu überwachen. Webformulare sind zwar als zusätzliche Option zulässig, dürfen jedoch nicht die einzige Methode sein und keine Hindernisse für die Meldung von Missbrauch darstellen. E-Mail bleibt die gesetzlich vorgeschriebene Mindestanforderung.
Die Nichteinhaltung hat Konsequenzen
Registrare, die gegen RAA §3.18 verstoßen, müssen mit Verstoßmitteilungen seitens der ICANN Contractual Compliance rechnen. Anhaltende Verstöße können zur Aufhebung der Akkreditierung führen. Wir dokumentieren alles und leiten die Angelegenheit bei Bedarf an die zuständige Stelle weiter.
Empfehlungen für Registrare
Wenn Sie unseren Bericht erhalten, empfehlen wir Ihnen zusätzlich zur Sperrung der einzelnen Domain Folgendes:
Den Kunden prüfen
Wenn eine Domain kompromittiert oder bösartig ist, Alle Domains dieses Kunden überprüfen. Es ist sehr wahrscheinlich, dass auch ihre anderen Domains schädliche Inhalte enthalten – entweder, weil das Konto gehackt wurde, oder weil der „Kunde“ in Wirklichkeit ein Betrüger ist, der Ihre Infrastruktur systematisch missbraucht.
Blockieren ≠ Gerechtigkeit
Die bloße Sperrung einer Domain hält den Kriminellen nicht auf. Wenn es sich bei dem Kunden um einen Betrüger handelt, wird er neue Domains registrieren und weitermachen. Überlegen Sie, ob dies eine vollständige Kontoschließung sowie eine mögliche Weiterleitung an die Strafverfolgungsbehörden in Ihrem Zuständigkeitsbereich.
Beweismittel sichern
Je nach Rechtsordnung sind Sie nach Erhalt unseres Berichts möglicherweise verpflichtet, Protokolle und Kundendaten aufbewahren für mögliche Anfragen von Strafverfolgungsbehörden. Sie wurden offiziell darüber informiert, dass diese Ressource wahrscheinlich schädlich ist – handeln Sie entsprechend im Hinblick auf die Datensicherung.
Berücksichtigen Sie gesetzliche Verpflichtungen
In vielen Rechtsordnungen führt das wissentliche Betreiben krimineller Infrastruktur nach einer entsprechenden Benachrichtigung zu einer Haftung. Unser Bericht gilt als formelle Benachrichtigung. Wenden Sie sich diesbezüglich an Ihre Rechtsabteilung Meldepflichten gegenüber Behörden sowie die Aufbewahrungspflichten für Beweismittel.
Kompromittierte vs. böswillige Registrierung
Wir berichten, was wir feststellen – wir beurteilen nicht die Absicht. Es ist Ihre Aufgabe, zu untersuchen, ob die Domain kompromittiert (legitimer Kunde, gehacktes Konto) oder in betrügerischer Absicht registriert (Betrüger, der Ihren Dienst nutzt). In jedem Fall muss die Bedrohung entschärft werden, doch Ihre weiteren Maßnahmen können unterschiedlich ausfallen.
Einhaltung oder Mittäterschaft.
Deine Wahl.
Wir liefern umfassende Beweise für kriminelle Aktivitäten. Wir halten uns an die gesetzlichen Meldewege. Wir übernehmen die Arbeit Ihres Teams zur Bekämpfung von Missbrauch kostenlos. Danach liegt die Entscheidung bei Ihnen: Schützen Sie die Internetnutzer oder ermöglichen Sie Betrug.
Halten Sie sich an die Gesetze
- Berichte umgehend prüfen
- Bestätigte Possibly phishing-Domains sperren
- Einhaltung von § 3.18 der ICANN-RAA
- Schützen Sie Ihren Ruf
Machen Sie mit
- Dokumentierten Missbrauch ignorieren
- Endlose „Erläuterungen“ einfordern
- Mitteilungen über Datenschutzverletzungen bei der ICANN
- Beendigung der Risikoakkreditierung
Wir sind nicht eure Feinde. Wir erweisen Ihrer Abteilung für Missbrauchsfälle einen Dienst, indem wir Bedrohungen für Ihre Infrastruktur aufdecken, bevor diese zu behördlichen Maßnahmen, Reputationsschäden oder rechtlicher Haftung führen. Arbeiten Sie mit uns zusammen, statt gegen uns.
Über Fehlalarme
Es tut uns leid, wenn das passiert
Ja, es kommt zu Fehlalarmen. Und das tut uns aufrichtig leid. Wir sind Freiwillige, die unsere Erkennungslogik und Überprüfungssysteme ständig verbessern. Jeder Fehlalarm ist uns peinlich, und wir tun alles in unserer Macht Stehende, um sie auf ein Minimum zu reduzieren.
Unsere Erfolgsbilanz
Seit Juli 2025 liegt unsere Falsch-Positiv-Rate bei weniger als 1 von 1.000 korrekt identifizierte Bedrohungen. Unser Repository ist vollständig offen – Sie können jeden Bericht, jede Entfernung und jede Korrektur, die wir vorgenommen haben, überprüfen.
Unser offenes Repository ansehen →Benutze unsere Fehler nicht, um deine eigenen zu rechtfertigen
Unsere gelegentlichen Fehler rechtfertigen es nicht, berechtigte Meldungen zu ignorieren oder jede Meldung als Fehlalarm zu behandeln. Wir sind unbezahlte Freiwillige ohne rechtlichen Schutz und ohne Verpflichtung, Betrüger zu verteidigen. Wir hoffen lediglich, dass Sie sich an die gesetzlichen Standards halten und eine kompetente Abteilung für Missbrauchsfälle unterhalten.
Volle Transparenz & offene Daten
Alles, was wir versenden, ist offen. Alles, was wir tun, ist öffentlich. Keine Geheimnisse, keine versteckten Absichten.
Unsere Berichte weiterleiten
Sie dürfen unsere Berichte an den Domaininhaber, den mutmaßlichen Betrüger, Dritte, Strafverfolgungsbehörden oder andere Personen weiterleiten. Wir gestatten dies ausdrücklich.
Unsere E-Mail-Adresse anzeigen
Unsere E-Mail-Adresse abuse@enablers.report ist öffentlich.
Sie können es gerne an jeden weitergeben, auch an die gemeldete Person.
Inhalt des Berichts teilen
Der vollständige Inhalt unserer Berichte, einschließlich aller Anhänge und PDF-Dateien, darf uneingeschränkt weitergegeben, kopiert oder veröffentlicht werden.
Den Behörden vorlegen
Sie können unsere Berichte und alle damit verbundenen Daten an Strafverfolgungsbehörden, Aufsichtsbehörden oder im Rahmen von Gerichtsverfahren weitergeben. Wir begrüßen dies.
Keine vertraulichen Informationen
Unsere Berichte enthalten keine vertraulichen oder privaten Informationen. Alles, was wir bereitstellen – Domains, IP-Adressen, Screenshots, Analysen – ist entweder öffentlich zugänglich oder wurde von uns unter der MIT-Lizenz erstellt. Wir verlangen keine Vertraulichkeit, Geheimhaltung oder einen undurchsichtigen Umgang mit unserer Kommunikation.
Danke
An alle Registrare, Hosting-Anbieter und Missbrauchsbekämpfungsteams, die sich an die Regeln halten, Meldungen fair prüfen und Maßnahmen zum Schutz der Internetnutzer ergreifen –Danke. Du machst das Internet für alle sicherer.
Wir stehen alle auf derselben Seite. Das soll auch so bleiben.