Wenn Missbrauchsmeldungen ins Leere laufen: Wie Registrare zu stillen Komplizen bei Cyberkriminalität werden
Wir senden fundierte Missbrauchsberichte – Erkennungen von VirusTotal, Screenshots, Blacklist-Daten, Antiviren-Scans. Die Registrare erhalten diese, unternehmen aber nichts. Einige Phishing-Domains bleiben bestehen 1.788 Stunden und 13 separate Berichte. Das ist kein Systemfehler – es handelt sich um eine bewusste Entscheidung bei der Konzeption. Hier sind die Daten.
Das kaputte System
Jeder Missbrauchsbericht, den wir versenden, folgt einem klaren Protokoll: Domain-URL, Kategorie (Phishing, Krypto-Drainer, gefälschtes Casino), Anzahl der Erkennungen bei VirusTotal, Screenshot-Beweismaterial und Status auf der Blacklist. Das sind keine vagen Beschwerden – es handelt sich um forensische Dossiers. Und dennoch bleibt eine Domain nach der anderen online für Wochen und Monate nach dem ersten Bericht.
Es gibt keinen einheitlichen Standard dafür, wie Registrare mit Missbrauchsmeldungen umgehen müssen. Keine SLA. Keine vorgeschriebene Reaktionszeit. Keine Kennzahlen zur Rechenschaftspflicht. Jeder Registrar entscheidet selbst, ob eine als missbräuchlich gemeldete Domain 16 Antiviren-Engines verdient Beachtung – oder eine Standardantwort und ein geschlossenes Ticket.
Wer setzt sich über 16 Antiviren-Engines hinweg?
Das ist die Frage, die kein Registrar beantworten möchte. Wenn Kaspersky, ESET, Fortinet, BitDefender, Sophos, G-Data und zehn weitere Sicherheitsanbieter melden eine Domain auf VirusTotal als bösartig – woraufhin das Abuse-Team des Registrars beschließt, „Keine Maßnahmen erforderlich“ — Wer genau hat diesen Anruf getätigt?
Man stelle sich diese Absurdität einmal vor: Ein einziger Missbrauchsanalyst bei einer Registrierungsstelle setzt sich über die gebündelten Erkenntnisse der Bedrohungsanalyse von 16 unabhängige Antiviren-Engines, die jeweils über Milliarden von Datenpunkten, eigene Forschungslabore und jahrzehntelange Erfahrung verfügen. Auf welcher Grundlage? Über welche Scan-Infrastruktur verfügt ein Missbrauchsteam bei NiceNIC oder GlobalDomainGroup, die die von Kaspersky übertrifft?
Die Antwort ist einfach: keine. Sie prüfen nicht. Sie verifizieren nicht. Entweder sehen sie sich den Bericht gar nicht erst an, oder sie ziehen eine finanzielle Rechnung: Eine aktive Domain bringt Einnahmen, eine gesperrte Domain nicht.
Lassen Sie uns ganz klar sagen, was das bedeutet: Jemand bei der Registrierungsstelle hat sich die Beweise von 13 unabhängigen Sicherheitsanbietern und 13 separaten Missbrauchsmeldungen angesehen – und entschieden, dass das eigene Urteil darüber steht. Das ist kein Fehler. Das ist eine Richtlinie.
Keine Autorität, die sie respektieren
Nennen Sie mir einen einzigen Antiviren-Anbieter, den Registrare als maßgeblich ansehen. Das können Sie nicht – denn es gibt keinen.
- Kaspersky — erkennt die Domain? Wird ignoriert.
- ESET — als Phishing markiert? Ignoriert.
- Fortinet — auf Netzwerkebene blockiert? Wird ignoriert.
- BitDefender — warnt Millionen von Nutzern? Wird ignoriert.
- Google Safe Browsing — das größte Web-Sicherheitssystem der Welt? Wird immer noch ignoriert.
Es gibt keine Nachweisgrenze bei denen der Registrar zum Handeln verpflichtet ist. Nicht 5 Suchmaschinen. Nicht 10. Nicht 16. Eine Domain kann von jedem Antiviren-Anbieter auf VirusTotal markiert werden, auf mehreren Blacklists erscheinen und ein Dutzend Missbrauchsmeldungen erhalten – und der Registrar ist dennoch nicht rechtlich verpflichtet, etwas zu unternehmen.
Das ist keine Lücke im System. Das ist das System. Die Domain-Registrierungsbranche hat es erfolgreich vermieden, sich an verbindliche Standards zu halten, die sie dazu verpflichten würden, die Erkenntnisse von Sicherheitsforschern, Antiviren-Anbietern oder Plattformen für Bedrohungsinformationen zu berücksichtigen. Wenn 16 von 70 Scannern eine Domain erkennen – dann ist das kein „vielleicht“. Das ist ein Konsens. Und das Missbrauchsbekämpfungsteam des Registrars, das über keinerlei Scan-Infrastruktur verfügt und ein finanzielles Interesse daran hat, die Domain am Leben zu erhalten, setzt sich über diesen Konsens hinweg.
Der finanzielle Anreiz
Domain-Registrare erheben für jede Domain jährliche Gebühren. Jede Sperrung bedeutet einen Einnahmeverlust. Jede Löschung birgt das Risiko einer Rückerstattung. Es gibt einen direkten, messbaren finanziellen Anreiz, Domains aktiv zu halten – und keine finanziellen Sanktionen für das Ignorieren von Missbrauchsmeldungen.
Das gilt jedoch nicht für alle Infrastrukturanbieter. Cloudflare… bearbeitet beispielsweise Missbrauchsmeldungen effizient und erzielt keine Einnahmen aus Domain-Registrierungen in gleicher Weise. Dieser Unterschied ist entscheidend: Wenn das Unternehmen, das Ihre Meldung bearbeitet, davon profitiert, dass die Domain online bleibt, liegt ein struktureller Interessenkonflikt vor.
Die Fakten: Live-Daten aus unseren Berichten
Nachfolgend finden Sie einen Auszug aus unserem Eskalationsprotokoll für Missbrauchsfälle vom März 2026. Jeder Eintrag steht für eine echte Phishing-Domain, die noch aktiv zum Zeitpunkt der Berichterstattung, trotz früherer Meldungen und bestätigter Nachweise.
| Domain | Berichte | Aktiv (Stunden) | VT | BL | Missbrauch durch Registrare |
|---|---|---|---|---|---|
| payscrow[.]bet | 6 | 1.788 Stunden | 16 | — | Tucows |
| 6chicken9[.]top | 4 | 1783 Uhr | 4 | 1 | Ausdauer |
| apphyena[.]trade | 2 | 1.781 Stunden | 3 | — | NiceNIC |
| airdrop[.]autos | 3 | eintausenddreihundertvierundsechzig Stunden | 4 | 1 | Gname |
| amlstats[.]com | 7 | eintausenddreihundertdreiundsechzig Stunden | 14 | 1 | Tucows |
| amlscore[.]info | 7 | eintausenddreihundertdreiundsechzig Stunden | 9 | 1 | Tucows |
| multi-wallets.io | 4 | eintausenddreihundertdreiundsechzig Stunden | 10 | 1 | nic.io |
| aavleaderboard[.]assetavenue[.]capital | 2 | eintausenddreihundertneunundfünfzig Stunden | 1 | — | IdentityDigital |
| airdropchime.com | 2 | eintausenddreihundertneunundfünfzig Stunden | 1 | — | NameCheap |
| farewex[.]com | 13 | 1,352 Std. | 13 | — | apiname.com |
| app[.]whitewhalesmeme[.]com | 4 | eintausenddreihundertdreißig | 14 | — | Verisign |
| zordex.us | 3 | 1.314 Uhr | 14 | — | apiname.com |
| alhpatrademarket[.]com | 2 | 1.278 Stunden | 15 | — | GlobalDomainGroup |
| angelferno[.]com | 2 | 1.278 Stunden | 7 | 1 | NiceNIC |
| ansol[.]cc | 4 | 1.278 Stunden | 4 | 1 | NiceNIC |
| amltrackerbot[.]com | 2 | 1.278 Stunden | 6 | 1 | Tucows |
| amlstatement[.]info | 4 | 1.228 Stunden | 16 | — | Porkbun |
| a8vx.top | 2 | tausendneunundvierzig Stunden | 16 | — | Dynadot |
| amlinfo jetzt | 2 | 1033 Uhr | 2 | — | Porkbun |
| winner.cc | 4 | eintausendzweihundertsechsundzwanzig Stunden | 14 | — | GlobalDomainGroup |
| xerowex[.]com | 6 | 10:21 Uhr | 14 | — | apiname.com |
| menty[.]sbs | 4 | neunhundertfünfundachtzig Stunden | 16 | — | Allgemeines |
| perowex[.]com | 5 | neunhundertundsiebzig | 14 | — | apiname.com |
| amlbot[.]im | 4 | neunhundertfünfundsechzig Stunden | 6 | — | nichts.im |
| 3capitalstrading[.]com | 2 | Achtundsiebzig Stunden | 2 | — | GlobalDomainGroup |
| naebex[.]com | 5 | 826 Stunden | 11 | — | Wahrgenommene Fahrschwierigkeiten |
| casbatle[.]com | 2 | 803h | 2 | — | NiceNIC |
| amlchecknow[.]digital | 2 | 751 Stunden | 6 | — | Wahrgenommene Fahrschwierigkeiten |
| sollfalare[.]top | 2 | halb acht | 3 | — | Ausdauer |
| marketcsgo[.]net | 2 | 717h | 15 | — | GlobalDomainGroup |
| dinadrop[.]com | 2 | 717h | 6 | — | GlobalDomainGroup |
| dotabuff[.]org | 2 | sechshundertvierundsiebzig | 2 | — | Viele |
| casesbattle[.]org | 2 | sechshundertzweiundfünfzig Stunden | 2 | — | Viele |
| 763182819[.]top | 2 | sechshundertachtzehn Stunden | 15 | — | Gname |
| kahcas[.]com | 5 | fünfhundertneununddreißig Stunden | 14 | — | Ich werde nicht |
| qizaro[.]cc | 5 | Fünfhundertfünfunddreißig | 12 | — | GlobalDomainGroup |
| apexresolvefix[.]com | 2 | vierhundertsechsundneunzig Stunden | 3 | — | Cosmotown |
| amlriskscore[.]ru | 2 | 448 Std. | 1 | — | Ländercode-Top-Level-Domain |
| patricksstash[.]to | 2 | vierhundertsiebenundzwanzig Stunden | 2 | — | tonic.to |
| stashhpatrick[.]cc | 2 | vierhundertsiebenundzwanzig Stunden | 5 | — | NiceNIC |
| stake2win[.]me | 2 | vierhundertzwei | 14 | — | domain.me |
| Wazbee.me | 2 | 388 Stunden | 16 | — | domain.me |
| dexscreener[.]at | 2 | 328h | 16 | — | nichts.at |
| 2fa[.]walletpinet[.]com | 1 | — | 16 | — | Verisign |
| appether[.]fi | 1 | — | 13 | 1 | — |
VT = Erkennungen durch VirusTotal bei ~70 Scannern. „Aktiv“ = Stunden seit der ersten Erkennung zum Zeitpunkt der Eskalation. Daten: PhishDestroy-Eskalationsprotokoll für Missbrauchsfälle, 19.–21. März 2026.
Die Zahlen lügen nicht
Durchschnittliche aktive Zeit
~39 Tage im Durchschnitt über alle Domains mit bekannten Betriebszeiten
Maximale aktive Zeit
payscrow[.]bet – 75 Tage, 6 Meldungen, VT:16
Gesamtzahl der versendeten Berichte
Gesamtberichte über alle Bereiche hinweg allein in dieser Stichprobe
Domains mit VT ≥ 10
Fast die Hälfte aller Domains – von mehr als zehn Antiviren-Engines als bösartig eingestuft, aber immer noch aktiv
Die Wiederholungstäter: Aufschlüsselung nach Standesämtern
Nicht alle Registrare sind gleich. Unsere Daten zeigen deutliche Muster – einige Registrare tauchen immer wieder unter den Einträgen mit der schlechtesten Leistung auf.
apiname.com
- farewex[.]com — 1.352 Stunden, 13 Meldungen, VT:13
- zordex[.]us – 1.314 Stunden, 3 Meldungen, VT:14
- xerowex[.]com — 1.021 Stunden, 6 Meldungen, VT:14
- perowex[.]com — 971 Stunden, 5 Meldungen, VT:14
4 Domains. Insgesamt: 4.658 Stunden krimineller Infrastruktur. 27 Meldungen ignoriert.
GlobalDomainGroup
- xwinner[.]cc — 1.026 Stunden, VT:14
- marketcsgo[.]net — 717h, VT:15
- dinadrop[.]com — 717 Stunden, VT:6
- qizaro[.]cc — 535h, VT:12
- csgomy[.]com — 356 Std., VT:9
- tastdrop[.]com — 357 Stunden, VT:2
- casebatle[.]com — 327h, VT:6
- casebatltle[.]com — 327h, VT:2
- chestix[.]net — 293h, VT:1
- ggddrop[.]com — 365h, VT:1
10 Domänen. Der größte einzelne Cluster in unserem Datensatz. Ein Muster, kein Zufall.
Tucows / IdentityDigital
- payscrow[.]bet — 1.788 Stunden, 6 Meldungen, VT:16
- amlstats[.]com — 1.363 Stunden, 7 Meldungen, VT:14, BL:1
- amlscore[.]info — 1.363 Stunden, 7 Meldungen, VT:9, BL:1
- amltrackerbot[.]com — 1.278 Stunden, 2 Meldungen, VT:6, BL:1
Tucows: Insgesamt 22 Meldungen, 5.792 Stunden Betrugszeit. amlstats erhielt 7 Meldungen – eine pro Woche – und hat sie alle bewältigt.
NiceNIC (nicenic.net)
- apphyena[.]trade — 1.781 Std., VT:3
- angelferno[.]com — 1.278 Std., VT:7, BL:1
- ansol[.]cc — 1.278 Stunden, 4 Meldungen, VT:4, BL:1
- casbatle[.]com — 803h, VT:2
- stashhpatrick[.]cc — 427h, VT:5
- casebaetle[.]com — 310h, VT:2
- casebattle[.]info – erster Bericht, VT:1
- appalmanak[.]live – erster Bericht, VT:2
8 Fachgebiete. Insgesamt über 5.877 Stunden. Bisher untersuchte Fälle: Fazit zu NiceNIC — Es wurden keine legitimen Verwendungszwecke gefunden.
Porkbun
- amlstatement[.]info — 1.228 Stunden, 4 Meldungen, VT:16
- amlinfo[.]now — 1.033 Stunden, 2 Meldungen, VT:2
- amlspace[.]com — 712 Stunden, 2 Meldungen, VT:1
amlstatement[.]info: 16 Antiviren-Erkennungen, 4 Meldungen und 51 Tage online. Was hat das Missbrauchsteam von Porkbun als akzeptabel eingestuft?
Dynadot
- a8vx[.]top — 1.049 Stunden, 2 Meldungen, VT:16
- aave[.]events – erster Bericht, VT:2, BL:1
- aavetrading[.]net – erster Bericht, VT:9
a8vx[.]top: 16 VT-Erkennungen und 44 Tage kriminelle Aktivitäten. Dynadot ist ein von der ICANN akkreditierter Registrar.
domain.me
- wazbee[.]me — 388 Stunden, VT:16
- stake2win[.]me — 402h, VT:14
Beide Domains wurden von 14 bis 16 Antivirenprogrammen erkannt. Beide waren nach der zweiten Meldung weiterhin aktiv.
Gesamtzahl der Stunden, in denen der Registrator untätig war
Gesamtzahl der aktiven Stunden aller gemeldeten Domains pro Registrar in unserem Datensatz vom März 2026. Dies stellt nicht den gesamten Missbrauch durch Registrare dar – sondern lediglich das, was wir in einer Stichprobe festgestellt haben.
Was wir senden vs. Was sie tun
Jede Missbrauchsmeldung bei PhishDestroy enthält:
Unser Bericht enthält
- Domain-URL und Registrierungsdaten
- VirusTotal-Bewertung mit Anbieternamen
- Ganzseitiger Screenshot der Phishing-Seite
- Kategorisierung (Phishing, Drainer, Betrugs-Casino)
- Blacklist-Status aus mehreren Feeds
- URLscan.io oder ähnliche Scan-Ergebnisse
- Bisherige Berichterstattung und Zeitachse
Antwort der Registrierstelle
- Überhaupt keine Reaktion (am häufigsten)
- Standardbestätigung, keine weitere Aktion erforderlich
- „Wir werden das prüfen“ – Wochen vergehen, die Domain bleibt bestehen
- „Wir können diese Behauptung nicht überprüfen“ – trotz 16 VT-Erfassungen
- Ticket ohne Lösung geschlossen
- Antrag auf Vorlage bereits vorgelegter Beweismittel
Da die Registrierungsstelle nicht reagiert, eskalieren wir den Fall an Einhaltung der ICANN-Vorgaben ([email protected]). In jedem der oben genannten Fälle wurde die ICANN im zweiten oder einem der folgenden Berichte in Kopie gesetzt. Das Ergebnis? Ebenso wenig zu sehen.
Der ICANN-Standard, den es nicht gibt
ICANNs Vereinbarung über die Registrierung von Registrierstellen (RAA), Abschnitt 3.18 verpflichtet Registrare dazu, eine Kontaktstelle für Missbrauchsfälle einzurichten und „angemessene und unverzügliche Maßnahmen zu ergreifen, um Meldungen über Missbrauch zu untersuchen und angemessen darauf zu reagieren“.
In der Praxis bedeutet „angemessen und unverzüglich“ das, was der Registerführer darunter versteht. Es gibt:
- Keine maximale Antwortzeit — Ein Registrar kann wochenlang warten und behaupten, dies sei „angemessen“ gewesen
- Keine Schwelle für eine obligatorische Sperre — 16 VT-Erkennungen lösen nicht automatisch irgendetwas aus
- Keine Verpflichtung zur öffentlichen Berichterstattung — Registrare sind nicht verpflichtet, offenzulegen, wie viele Meldungen sie erhalten oder wie sie darauf reagieren
- Keine nennenswerte Strafe — Die ICANN hat bisher nur selten eine Akkreditierung wegen Untätigkeit bei Missbrauchsfällen entzogen
Das Ergebnis: Registrare betrachten die Bearbeitung von Missbrauchsfällen als Kostenfaktor, den es zu minimieren gilt, und nicht als Sicherheitsverpflichtung, die es zu erfüllen gilt.
Sie gehen gegen Typosquatting vor – aber nicht gegen Phishing
Und das macht die Sache noch absurder. Einige derselben Registrare, die Phishing-Meldungen monatelang ignorieren, sind bei einer ganz bestimmten Art von Missbrauch äußerst effizient: Typosquatting — Domains, die verwechselbar ähnlich zu etablierten Markennamen sind.
Warum? Weil Typosquatting darauf abzielt, Unternehmen mit Rechtsbudgets. Wenn Google, Apple oder Microsoft eine UDRP-Beschwerde wegen einer markenähnlichen Domain einreichen, reagieren die Registrare innerhalb weniger Tage. Die Gefahr von Rechtsstreitigkeiten und ICANN-Sanktionen wegen Markenmissbrauchs ist real und unmittelbar.
Aber was ist, wenn eine Phishing-Domain einzelnen Opfern Geld stiehlt? Wenn ein Krypto-Drainer jemandem die gesamten Ersparnisse raubt? Wenn ein gefälschtes Casino Kreditkartendaten von Spielern stiehlt? Keine Rechtsabteilung. Keine UDRP-Klage. Keine Dringlichkeit. Die Abteilung für Missbrauchsfälle der Registrierungsstelle wendet einen anderen Maßstab an – einen, bei dem der finanzielle Schaden des Opfers nicht dieselbe Reaktion auslöst wie die Bedenken einer Marke hinsichtlich ihrer Markenrechte.
Bericht über Typosquatting
- Markeninhaber reicht UDRP-Klage ein
- Die Registrierungsstelle antwortet innerhalb weniger Tage
- Domain schnell gesperrt/gesperrt
- Rechtliche Folgen bei Untätigkeit
Meldung zu Phishing/Betrug
- Opfer/Forscher erstatten Anzeige wegen Missbrauchs
- Die Registrierstelle ignoriert dies wochen- oder monatelang
- Die Domain bleibt bis zum Ablaufdatum aktiv
- Keine Konsequenzen für Untätigkeit
Die Botschaft ist klar: Domain-Registrare schützen Marken, nicht Menschen. Sie reagieren auf rechtliche Befugnisse, nicht auf Nachweise für einen Schaden. Unsere Berichte enthalten mehr objektive Beweise als jede UDRP-Klage – VirusTotal-Scans, Antiviren-Erkennungen, Bestätigungen von Blacklists, Screenshots – und dennoch bleiben sie unbeantwortet.
Wir machen ihre Arbeit – kostenlos
PhishDestroy ist ein ein von Freiwilligen getragenes, nichtkommerzielles Projekt. Wir scannen Domains. Wir klassifizieren Bedrohungen. Wir erstellen VirusTotal-Berichte. Wir machen Screenshots. Wir verfassen detaillierte Missbrauchsberichte und senden diese an Registrare, Registries und die ICANN. Wir übernehmen die Sicherheitsaufgaben, die eigentlich von den Registrierstellen selbst erledigt werden sollten.
Und hier ist die unangenehme Wahrheit: Manche Registrare übernehmen diese Aufgabe tatsächlich. Einige Registrare betreiben ihre eigene Infrastruktur zur Domain-Überwachung, nutzen private Feeds mit Bedrohungsinformationen und sperren bösartige Domains proaktiv, noch bevor sie überhaupt gemeldet werden. Es gibt sie. Sie beweisen, dass es möglich ist.
Registrare, die handeln
- Interne Scan-Tools ausführen (privat, nicht öffentlich)
- Offensichtliche Betrugsdomains proaktiv sperren
- Reagieren Sie innerhalb weniger Stunden auf Missbrauchsmeldungen
- Zusammenarbeit mit Forschern und Strafverfolgungsbehörden
- Daten von VirusTotal und der Blacklist als Beweismittel akzeptieren
Diese Registrare beweisen, dass eine schnelle Reaktion auf Missbrauch technisch und wirtschaftlich machbar ist.
Registrare, die Betrüger schützen
- Überhaupt keine Scan-Infrastruktur
- Warte auf die Berichte und ignoriere sie dann
- Standardantworten, Ticket geschlossen, Domain aktiv
- Deny-Meldungen ablehnen (NameSilo-Muster)
- 16 Antiviren-Engines ohne jegliche Beweise außer Kraft setzen
Diese Registrare haben den Profit über die Sicherheit gestellt. Ihre Untätigkeit wird dadurch subventioniert, dass die Sicherheitsgemeinschaft ihre Arbeit kostenlos erledigt.
Die Frage ist nicht, ob eine schnelle Reaktion auf Missbrauch möglich ist. Das ist es. Die Frage ist, warum manche Registrare sich dagegen entscheiden. Und die Antwort führt jedes Mal wieder auf denselben strukturellen Anreiz zurück: Aktive Domains generieren Einnahmen. Gesperrte Domains tun dies nicht.
Maßgebliche Standards, die gelten sollten
Der Rahmen für die Rechenschaftspflicht von Registrierstellen ist bereits vorhanden – er wird nur nicht durchgesetzt:
ICANN RAA § 3.18
Die Vereinbarung über die Akkreditierung von Registrierstellen verpflichtet Registrare dazu, Ansprechpartner für Missbrauchsfälle zu benennen und Meldungen unverzüglich zu untersuchen. Eine Durchsetzung findet jedoch praktisch nicht statt.
Arbeitsgruppe gegen Phishing
Die Arbeitsgruppe gegen Phishing veröffentlicht vierteljährliche Berichte zu Phishing-Trends, die das Ausmaß des Problems verdeutlichen. Registrare sind Mitglieder der APWG – und ignorieren die Berichte dennoch.
FTC-Maßnahmen
Die Abmahnschreiben der FTC an NameSilo (Dez. 2024) hat ausdrücklich darauf hingewiesen, dass Betrugsfälle nicht bekämpft wurden. Die ICANN selbst Compliance-Abteilung nimmt unsere Eskalationen entgegen und antwortet nicht.
DNSAI
Die DNS-Missbrauchs-Institut (von PIR) entwickelt Tools wie DAAR und fördert bewährte Verfahren. Doch in PIRs eigenem Register sind dotabuff[.]org (674 Stunden aktiv, VT:2) und casesbattle[.]org (652 Stunden) registriert.
50.000 Domains und es werden immer mehr
Die obigen Beispiele sind ein Auszug aus einer einzelnen Woche. Das tatsächliche Ausmaß ist atemberaubend.
Unser ständig aktualisierter Bedrohungs-Feed unter content_active.txt enthält über 50.000 Domains, die als bösartig gemeldet wurden. Jede einzelne davon erhielt mindestens eine Missbrauchsanzeige. Viele erhielten mehrere. Die Registrare erhielten die Beweise – die VirusTotal-Scans, die Screenshots, die Bestätigungen der Blacklist-Einträge – und stellten die Interessen ihrer Kunden über die Sicherheit der Öffentlichkeit.
Denn genau das ist es: eine Wahl. Der Kunde des Registrars ist die Person, die die Domain registriert hat – der Betrüger. Der Kunde des Registrars ist nicht die Großmutter, die ihre Ersparnisse auf einer gefälschten Bankseite verloren hat, oder der Krypto-Nutzer, dessen Wallet leergeräumt wurde, oder der Gamer, dessen Steam-Konto gestohlen wurde. Der Registrar hat sich für den Betrüger entschieden. Jedes Mal.
Von der Meldung bis zur Hilfe für die Opfer: Jede Stunde zählt
Sobald wir eine Missbrauchsmeldung absenden, beginnt eine Frist zu laufen. Ab diesem Zeitpunkt ist der Registrar offiziell bekannt dass eine von ihnen verwaltete Domain für betrügerische Zwecke genutzt wird. Jede Stunde Untätigkeit nach dieser Benachrichtigung ist eine Stunde wissentliches Mitwirken.
Viele Domains in unserem Datensatz überstehen nicht nur einige wenige Meldungen – sie bestehen so lange, bis ihre Die Anmeldefrist läuft ab. Sie durchlaufen den gesamten Zyklus: Registrierung, Betrug, Anzeige, erneute Anzeige, Eskalation an die ICANN, Fortsetzung des Betrugs, natürliches Ablaufen der Registrierung. Der Registrar hat die Registrierungsgebühr eingestrichen. Der Betrüger hat das gestohlene Geld eingestrichen. Die Opfer haben nichts abbekommen.
Eine rechtzeitige Domain-Sperrung ist nicht nur eine administrative Maßnahme. Sie ist nicht nur „eine Unannehmlichkeit für den Registranten“. Es ist eine Rettungsaktion. Jede rechtzeitig gesperrte Domain bedeutet eine nicht leergeräumte Geldbörse, keine gestohlenen Zugangsdaten und kein leergeräumtes Sparkonto. Registrare, die solche Sperrungen als „Zensur“ oder „Geschäftsbeeinträchtigung“ darstellen, zeigen damit deutlich, wessen Interessen sie vertreten.
Sollten Registrare die Opfer entschädigen?
Hier ist die Frage, der sich die gesamte Domain-Registrierungsbranche nicht stellen will:
Denken Sie mal darüber nach. Sobald die Registrierstelle den Bericht erhält, ist sie nicht mehr unwissend. Ihnen wurde unter Vorlage von Beweisen mitgeteilt, dass eine unter ihrer Kontrolle stehende Domain dazu genutzt wird, Geld, Zugangsdaten und Identitäten zu stehlen. Von diesem Moment an ist anhaltende Untätigkeit keine Fahrlässigkeit mehr – sie ist eine bewusste Entscheidung um Schaden zuzulassen.
- Ist der Registrierstelle bereit, die Haftung zu übernehmen? für jeden Dollar, der über eine Domain gestohlen wurde, vor der sie gewarnt worden waren?
- Ist die Registrierungsstelle bereit, den Opfern eine Entschädigung zu zahlen? Wer hat Geld verloren, nachdem der Missbrauchsbericht eingereicht und ignoriert wurde?
- Ist die Rechtsabteilung des Registrars Verstehen Sie, dass die Aussage „Wir haben das geprüft und keine Probleme festgestellt“ – wenn 16 Antiviren-Engines zu einem anderen Ergebnis kommen – keine vertretbare Position ist?
Wenn die Antwort auf alle drei Fragen „Nein“ lautet, gibt es keinen triftigen Grund, die Domain weiter zu führen. Erst suspendieren, dann untersuchen. So arbeiten verantwortungsbewusste Infrastrukturanbieter. So arbeitet Cloudflare. So arbeiten Hosting-Anbieter wie Hetzner und OVH zunehmend. Nur Domain-Registrare halten an einem Modell fest, bei dem die Bequemlichkeit des Betrügers Vorrang vor der Sicherheit des Opfers hat.
Wer zahlt den Preis?
Jede Stunde, die eine Phishing-Domain online bleibt, bedeutet direkt neue Opfer:
- Domains für den Abzug von Kryptowährungen (farewex, perowex, xerowex, naebex) – Geldbörsen, die innerhalb von Sekunden leergeräumt wurden. Die insgesamt 4.658 Stunden, die die Domains von apiname.com in Betrieb waren, stehen für Tausende potenzieller Geldbörsenplünderungen.
- Gefälschte Casinos / CS:GO-Betrugsmaschen (Casebattle-Varianten, CSGomy, GGDDrop, Tastdrop) – Kreditkartenbetrug, Identitätsdiebstahl und manipulierte Spielergebnisse, die sich gegen Gamer richten.
- Vortäuschung einer falschen Identität (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) – Identitätsbetrug unter Vortäuschung einer Markenidentität, der zum Diebstahl von Zugangsdaten und finanziellen Verlusten führt.
- Kardierinfrastruktur (patricksstash, stashhpatrick) – Verkauf gestohlener Zahlungsdaten an andere Kriminelle.
Was sich ändern muss
Das derzeitige Modell ist von Grund auf fehlerhaft. Registrare profitieren davon, dass Domains aktiv bleiben. Die ICANN verfügt über keine wirksamen Durchsetzungsmöglichkeiten. Die Betroffenen haben keine Handhabe. Folgendes würde Abhilfe schaffen:
- Verbindliche SLA für die Reaktion auf Missbrauch: Bestätigung innerhalb von 24 Stunden, erste Maßnahmen innerhalb von 72 Stunden, Eskalationspfad innerhalb von 7 Tagen. Messbar. Überprüfbar.
- Schwellenwert für die automatische Sperrung: Jede Domain mit ≥10 Erkennungen bei VirusTotal und mindestens zwei unabhängigen Meldungen muss bis zur Überprüfung gesperrt werden – nicht umgekehrt.
- Öffentliche Berichte zur Transparenz bei Missbrauchsfällen: Jeder von der ICANN akkreditierte Registrar muss vierteljährlich folgende Angaben veröffentlichen: eingegangene Meldungen, durchschnittliche Bearbeitungszeit, ergriffene Maßnahmen, gesperrte Domains.
- Geldstrafen bei Nichteinhaltung: Gestaffelte Bußgelder für Registrare, die systematisch ihren Pflichten nicht nachkommen. Entzug der Zulassung bei Wiederholungstätern.
- Unabhängiger Ombudsmann für Missbrauchsfälle: Eine unabhängige Stelle, die Entscheidungen von Registrierstellen überprüfen, Untätigkeit außer Kraft setzen und bei kritischen Bedrohungen Sperrungen im Eilverfahren veranlassen kann.
- Liste der gesperrten Registrare: Sobald ein Registrant als Serientäter bestätigt wurde, sollten alle akkreditierten Registrare benachrichtigt werden. Kein „Domain-Shopping“ mehr.
Was PhishDestroy dagegen unternommen hat
Wir verfassen keine Berichte und warten nicht darauf, dass sich die Branche von selbst reformiert. Wir entwickeln Systeme, die Transparenz erzwingen und Konsequenzen für Untätigkeit nach sich ziehen.
Öffentliche Datenbank für Bedrohungen
Wir haben die Löschliste — eine öffentliche, ständig aktualisierte Datenbank mit über 50.000 bösartigen Domains. Jede Missbrauchsmeldung, die wir jetzt versenden, wird an den Registrar weitergeleitet: Diese Domain wird in einer öffentlichen Datenbank aufgeführt. Potenzielle Opfer der Domains ihrer Kunden können sehen, wann die Meldung eingegangen ist und wie lange der Registrar sie ignoriert hat. Das ist für Registrare unangenehm – und genau darum geht es.
Seiten zu Domain-Bedrohungen
Jede Domain, die wir markieren, hat nun eine eigene Seite unter phishdestroy.io/domain — mit umfassender Analyse, einer KI-generierten Bedrohungsbeschreibung und einer Pipeline zur Reaktion auf Sicherheitsbedrohungen mit Angabe der genauen Bearbeitungsschritte: Erkennung, Versand des Berichts, Eskalation, Benachrichtigung der ICANN. Die Status werden in Echtzeit aktualisiert. Wir fügen nun genaue Zeitstempel für jeden Folgebericht hinzu, um vollständige Transparenz zu gewährleisten. Jeder kann genau sehen, wann der Registrar benachrichtigt wurde und wie lange er nichts unternommen hat.
Eskalationssystem – Keine Meldung über Überschwemmungen
Wir tun nicht die Registrare mit doppelten Meldungen zu überfluten. In 98 % der Fälle versenden wir nur eine einzige Erstmeldung und wiederholen diese nicht – sowohl aufgrund der täglichen E-Mail-Limits als auch weil wir der Ansicht sind, dass eine massive Duplizierung der falsche Ansatz ist. Wir versenden nur dann eine Folgemeldung, wenn eine Domain erneut als aktiv erkannt bei einem neuen Scan. Würden wir täglich jede aktive Domain mit E-Mails überschütten, wären das 50.000 E-Mails pro Tag. Das tun wir nicht. Unser Eskalationssystem erstellt Folgeberichte (Nr. 2, Nr. 3 usw.) mit KI-analysierten Bedrohungszusammenfassungen, aktualisierten VirusTotal-Bewertungen und einer Angabe der Stunden, die der Registrar die Bedrohung bereits ignoriert hat.
Tool zur erneuten Meldung durch die Community
In unserem Telegram-Bot @PhishDestroy_bot, können Nutzer nun erneute Berichte für Domains, die nach unserer ersten Meldung noch immer aktiv sind. Da zu viele Registrare Betrügern freie Hand lassen und die verheerenden Schäden ignorieren, geben wir der Community eine Stimme. Wenn ein Registrar nicht auf uns hört, hört er vielleicht auf die Vielzahl unabhängiger Meldungen von echten Nutzern.
PhishDestroy – wir schützen keine Marken. Wir setzen uns nicht für Opfer ein. Wir zerstören Phishing- und Betrugsinfrastrukturen.
Fazit
Wenn 16 Antiviren-Engines eine Domain als bösartig einstufen und ein Registrar „keine Maßnahmen“ ergreift, handelt der Registrar nicht nach eigenem Ermessen – er schützt lediglich seine Einnahmen. Wenn 13 separate Missbrauchsmeldungen unbeantwortet bleiben und eine Domain 1.352 Stunden lang aktiv bleibt, arbeitet der Registrar keinen Rückstand ab – er ermöglicht Kriminalität.
Die Daten in diesem Artikel sind nicht theoretischer Natur. Es handelt sich um unser Echtzeit-Protokoll der Eskalationen von Missbrauchsfällen aus einer einzigen Woche im März 2026 – und dahinter stehen Über 50.000 gemeldete Domains in unserem ständig aktualisierten Bedrohungs-Feed. Dies ist kein Einzelfall, der nur einen Registrar betrifft. Es handelt sich um ein branchenweites Versagen dass das Ökosystem der Domainregistrierung kein Interesse daran hat, dies zu beheben, da das derzeitige Modell profitabel ist.
Es gibt keinen Antiviren-Anbieter, dessen Befunde die Registrare berücksichtigen müssen. Es gibt keine Erkennungsschwelle, die zwingende Maßnahmen auslöst. Es gibt kein SLA, keine Rechenschaftspflicht, keine Konsequenzen. Der Registrar kassiert die Gebühr, ignoriert die Berichte, und die Opfer zahlen den Preis.
Registrare sind keine neutralen Infrastrukturanbieter. Sie sind die Torwächter, die sich – jeden Tag, mit jeder ignorierten Meldung – dafür entscheiden, kriminelle Infrastrukturen online zu lassen. Sie wissen um den Schaden. Sie haben die Macht, ihn zu stoppen. Sie entscheiden sich dagegen. Und solange niemand ihnen die einzige Frage stellt, die zählt – „Sind Sie bereit, die Opfer der Domains zu entschädigen, deren Sperrung Sie abgelehnt haben?“ — Es wird sich nichts ändern.
Das Schweigen der Branche zu dieser Frage ist die deutlichste Antwort von allen.