⚖️ Rechtliche und technische Begründung

Warum wir berichten
Nur per E-Mail

Wir stellen Registrare mit vollständigen Beweismaterialien zur Verfügung – und übernehmen dabei kostenlos die Ermittlungsarbeit für sie. Unsere Berichte folgen den rechtlichen Vorschriften, da interne Plattformregeln internationale Vorschriften nicht außer Kraft setzen können.

24 Std.Vorgeschriebene Antwortfrist gemäß § 3.18 des ICANN-RAA
13,600+Commits in der „destroylist“
$0Unser Gewinn: 100 % gemeinnützig.

Warum das wichtig ist

Phishing ist nicht nur ein Ärgernis. Es ist eine weltweite kriminelle Industrie, die jeden Tag Leben und Unternehmen zerstört.

$16.6B
Gesamtverluste durch Cyberkriminalität im Jahr 2024
IC3-Bericht des FBI
$4.88M
Durchschnittliche Kosten pro Phishing-Angriff
IBM-Studie zu den Kosten von Datenschutzverletzungen 2024
$2.77B
BEC-Verluste im Jahr 2024 (nur USA)
IC3-Bericht des FBI
3,4 Mrd.
Täglich versendete Phishing-E-Mails
AAG IT-Forschung

Die ICANN ergreift Maßnahmen

Seit April 2024: 400 Ermittlungen, 4 formelle Mahnungen, Über 20.000 bösartige Domains gesperrt, sowie die Kündigung mehrerer Registrare, darunter Mixun Ltd, Zoo Hosting, Nerd Origins und andere.

ICANN-Durchsetzungsmitteilungen anzeigen →

Warum Webformulare scheitern

01

Fehlgeschlagene CAPTCHAs und technische Barrieren

Einige Registrare setzen unlösbare CAPTCHAs, Ratenbeschränkungen und technische Hindernisse ein, die das Absenden von Formularen unmöglich machen. Wenn Meldungen fehlschlagen, führen sie „technische Probleme“ oder „Meldungen sind nicht eingegangen“ als Grund an.

02

Kein Prüfpfad

Webformulare liefern keinen nachprüfbaren Nachweis für die Übermittlung. Eine E-Mail erstellt einen mit einem Zeitstempel versehenen, rechtsgültigen Nachweis, der der ICANN-Compliance-Abteilung vorgelegt werden kann, falls der Registrar nicht tätig wird.

03

Vorsätzliche Behinderung

Bestimmte Registrare gestalten ihre Formulare absichtlich kompliziert, um von der Meldung abzuschrecken. Dies stellt einen direkten Verstoß gegen die RAA-Vorgabe dar, wonach Kontaktmöglichkeiten für Missbrauchsfälle „leicht zugänglich“ sein müssen.

04

Die Absurdität der automatischen Antwort

Einige Registrare versenden automatische Antworten, in denen Phishing als „Plagiat“ oder „Urheberrechtsprobleme“ eingestuft wird – was eine vorsätzliche Missachtung der von ICANN festgelegten Definitionen für DNS-Missbrauch darstellt.

05

Anmeldevoraussetzungen

Die ICANN erklärt ausdrücklich: „Webformulare dürfen für die Übermittlung von Missbrauchsmeldungen keine Anmeldung erfordern.“ Die Verpflichtung zur Erstellung eines Kontos verstößt gegen vertragliche Verpflichtungen.

06

Beliebige Feldanforderungen

Pflichtfelder für irrelevante Angaben, Zeichenbeschränkungen bei der Beschreibung von Beweismitteln und die erzwungene Einordnung in falsche Meldungsarten tragen dazu bei, dass seriöse Hinweisgeber entmutigt werden.

Was wir tatsächlich versenden

Unsere Berichte sind umfassende Beweismaterialien, die darauf ausgelegt sind, die Arbeit des Teams zur Bekämpfung von Missbrauch so einfach wie möglich zu gestalten. Wir übernehmen die Ermittlungsarbeit – sie müssen nur noch handeln.

📄 BeispielberichtPDF-Beweismaterialpaket
Aktenzeichen und Priorität

Eindeutige Tracking-ID und Einstufung des Schweregrads der Bedrohung

Technische Beweise

Domain, IP-Adresse, Zeitstempel der Erkennung, forensische Links von URLScan

Herstellerübergreifende Bedrohungsinformationen

Erkennungen bei VirusTotal, Analyse durch die Bedrohungs-Engine, Status auf der Blacklist

Sichtprüfung

Automatisch erstellter Screenshot, der Phishing-Inhalte belegt

Verstöße gegen Richtlinien und gesetzliche Bestimmungen

Konkrete Verstöße gegen die AUP/Nutzungsbedingungen und geltende Gesetze

Maßnahmen zur Behebung

Klare Handlungsschritte für das Team zur Bekämpfung von Missbrauch

💯

100 % gemeinnützig

Wir erhalten keine Spenden, keine Zahlungen, Nullgewinn. Keine Verträge, keine Vorstände, keine kommerziellen Interessen. Unser Projekt ist vollständig Open Source und dient ausschließlich der Bekämpfung von Betrug.

🎯

Ein Ziel: Bedrohungen beseitigen

Wir schützen kein bestimmtes Opfer und kein bestimmtes Unternehmen. Wir beseitigen Bedrohungen aus dem Internet, bevor sie weiteren Schaden anrichten können. Das ist alles. Keine versteckten Absichten.

📋

Von Anfang an vollständig

In unserem ersten Bericht stellen wir alle verfügbaren Beweise gleich zu Beginn zusammen: Domain, IP, URLScan-Analyse, Screenshots (mehrere, als Dateien und im PDF-Format beigefügt), VirusTotal-Erkennungen und Bedrohungsinformationen. Mehr könnten wir einfach nicht hinzufügen.

📎

Warum wir möglicherweise nicht auf Nachfragen reagieren

Unsere erste E-Mail enthält bereits alles, was wir haben: Domain, IP, forensische Links von URLScan, Erkennungen bei VirusTotal, mehrere Screenshots (als Dateien angehängt UND in den PDF-Bericht eingebettet), Verstöße gegen Richtlinien sowie rechtliche Verweise. Die Forderung nach „zusätzlichen Screenshots“, wenn bereits drei oder mehr beigefügt sind, oder die Bitte um „weitere Beweise“, wenn ein vollständiges PDF enthalten ist, lässt darauf schließen, dass der Bericht nicht vollständig geprüft wurde.

Zudem haben wir erfahren, dass die Missbrauchsformulare einiger Registrare Meldungen an unbeteiligte Dritte weiterleiten – an ihre Partner, Wiederverkäufer oder an völlig andere Domains als die gemeldete. Um eine ordnungsgemäße Bearbeitung zu gewährleisten, halten wir uns an das von ICANN vorgeschriebene Verfahren: Wir leiten Meldungen an die offizielle E-Mail-Adresse für Missbrauchsfälle weiter, die in den WHOIS-Einträgen veröffentlicht ist.

🛡️

Ein „False Positive“? Das möchten wir wissen

Wir nehmen Fehlalarme ernst und arbeiten aktiv daran, diese zu vermeiden. Wenn Sie der Meinung sind, dass eine Domain fälschlicherweise gemeldet wurde, teilen Sie uns dies bitte über einen der folgenden Kanäle mit:

  • Einspruchsformular (empfohlen) — anonym, einfach, mit Ticket-Verfolgung zur Statusüberwachung
  • GitHub-Issue — öffentlich, transparent, für die Gemeinschaft sichtbar
  • appeal@phishdestroy.io — kann sich aufgrund von Spam-Mails von gemeldeten Betrügern verzögern

Das Beschwerdeformular wird bevorzugt, da betroffene Nutzer häufig unsere E-Mail-Adresse mit Spam-Mails überfluten, wodurch berechtigte Beschwerden leicht übersehen werden können. Das Formular generiert eine Ticketnummer zur Nachverfolgung und erfordert keine Angabe persönlicher Daten.

Was das Gesetz tatsächlich besagt

📋

Die Registrare müssen Ermittlungen einleiten

„Der Registrar hat angemessene und unverzügliche Maßnahmen zu ergreifen, um Meldungen über Missbrauch zu untersuchen und angemessen darauf zu reagieren.“ In der RAA heißt es nicht: „Untersuchen Sie nur, wenn die Meldung über unser bevorzugtes Formular eingereicht wurde“ oder „Reagieren Sie nur, wenn es Ihnen passt.“

⏱️

Fristgebundene Verpflichtungen

Gemäß den Änderungen zum DNS-Missbrauch von 2024 müssen Registrare „unverzüglich die geeigneten Abhilfemaßnahmen ergreifen, die vernünftigerweise erforderlich sind, um die Nutzung des registrierten Namens für DNS-Missbrauch zu unterbinden oder anderweitig zu verhindern“. Phishing-Domains erfordern sofortiges Handeln – keine bürokratischen Verzögerungen.

📧

E-Mail ist der rechtliche Standard

Die ICANN verpflichtet Registrare ausdrücklich dazu, eine E-Mail-Adresse für Missbrauchsmeldungen zu veröffentlichen und zu überwachen. Webformulare sind zwar als zusätzliche Option zulässig, dürfen jedoch nicht die einzige Methode sein und keine Hindernisse für die Meldung von Missbrauch darstellen. E-Mail bleibt die gesetzlich vorgeschriebene Grundvoraussetzung.

⚠️

Nichteinhaltung hat Konsequenzen

Registrare, die gegen RAA §3.18 verstoßen, müssen mit Verstoßmitteilungen seitens der ICANN-Abteilung für Vertragsüberwachung rechnen. Eine anhaltende Nichteinhaltung kann zur Aufhebung der Akkreditierung führen. Wir dokumentieren alles und leiten die Angelegenheit bei Bedarf an die zuständige Stelle weiter.

Empfehlungen für Registrare

Wenn Sie unseren Bericht erhalten, empfehlen wir Ihnen neben der bloßen Sperrung der einzelnen Domain Folgendes:

01
🔍

Den Kunden prüfen

Wenn eine Domain kompromittiert oder bösartig ist, Alle Domains dieses Kunden überprüfen. Es ist sehr wahrscheinlich, dass auch ihre anderen Domains schädliche Inhalte enthalten – entweder, weil das Konto gehackt wurde, oder weil der „Kunde“ in Wirklichkeit ein Betrüger ist, der Ihre Infrastruktur systematisch missbraucht.

02
⚖️

Blockieren ≠ Gerechtigkeit

Die bloße Sperrung einer Domain hält den Täter nicht auf. Wenn es sich bei dem Kunden um einen Betrüger handelt, wird er neue Domains registrieren und weitermachen. Überlegen Sie, ob dies eine vollständige Kontoschließung sowie eine mögliche Weiterleitung an die Strafverfolgungsbehörden in Ihrem Zuständigkeitsbereich.

03
📁

Beweismittel sichern

Je nach Ihrer Rechtsordnung sind Sie nach Erhalt unseres Berichts möglicherweise verpflichtet, Protokolle und Kundendaten aufbewahren für mögliche Anfragen von Strafverfolgungsbehörden. Sie wurden offiziell darüber informiert, dass diese Ressource wahrscheinlich schädlich ist – gehen Sie entsprechend vor, was die Datensicherung betrifft.

04
🏛️

Rechtliche Verpflichtungen berücksichtigen

In vielen Rechtsordnungen führt das wissentliche Betreiben krimineller Infrastruktur nach einer entsprechenden Benachrichtigung zu einer Haftung. Unser Bericht dient als formelle Benachrichtigung. Wenden Sie sich diesbezüglich an Ihre Rechtsabteilung, um Meldepflichten gegenüber Behörden sowie die Anforderungen an die Aufbewahrung von Beweismitteln.

⚠️

Kompromittierte vs. böswillige Registrierung

Wir berichten über unsere Erkenntnisse – wir beurteilen nicht die Absicht. Es ist Ihre Aufgabe, zu untersuchen, ob die Domain kompromittiert (legitimer Kunde, gehacktes Konto) oder in böswilliger Absicht registriert (Betrüger, der Ihren Dienst nutzt). In beiden Fällen muss die Bedrohung entschärft werden, doch Ihre weiteren Maßnahmen können unterschiedlich ausfallen.

Einhaltung oder Mitschuld.
Ihre Wahl.

Wir liefern umfassende Beweise für kriminelle Aktivitäten. Wir halten uns an die gesetzlichen Meldewege. Wir übernehmen die Arbeit Ihres Teams zur Bekämpfung von Missbrauch kostenlos. Danach liegt die Entscheidung bei Ihnen: Schützen Sie die Internetnutzer oder ermöglichen Sie Betrug.

Halten Sie sich an die Gesetze

  • Berichte umgehend prüfen
  • Bestätigte Phishing-Domains sperren
  • Einhaltung von § 3.18 des ICANN-RAA
  • Schützen Sie Ihren Ruf

Mach mit

  • Dokumentierte Missbrauchsfälle ignorieren
  • Endlose „Erläuterungen“ einfordern
  • Mitteilungen über Datenschutzverletzungen bei der ICANN
  • Beendigung der Risikoakkreditierung
🤝

Wir sind nicht eure Feinde. Wir erweisen Ihrer Abteilung für Missbrauchsfälle einen Dienst, indem wir Bedrohungen für Ihre Infrastruktur aufdecken, bevor diese zu behördlichen Maßnahmen, Reputationsschäden oder rechtlicher Haftung führen. Arbeiten Sie mit uns zusammen, statt gegen uns.

🔥 Unsere „Destroylist“ auf GitHub ansehen

Über Fehlalarme

🙏

Es tut uns leid, wenn das passiert

Ja, es kommt zu Fehlalarmen. Und das tut uns aufrichtig leid, wenn dies geschieht. Wir arbeiten kontinuierlich daran, unsere Erkennungslogik und unsere Verifizierungssysteme zu verbessern. Jeder Fehlalarm ist für uns peinlich, und wir tun alles in unserer Macht Stehende, um diese auf ein Minimum zu reduzieren.

📊

Unsere Erfolgsbilanz

Seit Juli 2025 liegt unsere Falsch-Positiv-Rate bei weniger als 1 pro 1.000 korrekt identifizierte Bedrohungen. Unser Repository ist vollständig offen – Sie können jeden Bericht, jede Entfernung und jede von uns vorgenommene Korrektur überprüfen.

Unser offenes Repository ansehen →
⚠️

Nutze unsere Fehler nicht als Rechtfertigung für deine eigenen

Unsere gelegentlichen Fehler rechtfertigen es nicht, berechtigte Meldungen zu ignorieren oder jede Meldung als Fehlalarm zu behandeln. Wir sind ehrenamtliche Betreiber ohne rechtlichen Schutz und ohne Verpflichtung, Betrüger zu verteidigen. Wir hoffen lediglich, dass Sie sich an die gesetzlichen Standards halten und eine kompetente Abteilung für Missbrauchsfälle unterhalten.

Volle Transparenz und offene Daten

📜MIT-LIZENZ

Alles, was wir versenden, ist offen. Alles, was wir tun, ist öffentlich. Keine Geheimnisse, keine versteckten Absichten.

📤

Unsere Berichte weiterleiten

Sie dürfen unsere Berichte an den Domaininhaber, den mutmaßlichen Betrüger, Dritte, Strafverfolgungsbehörden oder sonstige Personen weiterleiten. Wir gestatten dies ausdrücklich.

📧

Unsere E-Mail-Adresse anzeigen

Unsere E-Mail-Adresse abuse@phishdestroy.io ist öffentlich. Sie können es gerne an jeden weitergeben, auch an die gemeldete Person.

📋

Inhalt des Berichts teilen

Der vollständige Inhalt unserer Berichte, einschließlich aller Anhänge und PDF-Dateien, darf ohne Einschränkungen weitergegeben, kopiert oder veröffentlicht werden.

🏛️

Den Behörden vorlegen

Sie können unsere Berichte und alle damit verbundenen Daten an Strafverfolgungsbehörden, Aufsichtsbehörden oder im Rahmen von Gerichtsverfahren weitergeben. Wir begrüßen dies.

Keine vertraulichen Informationen

Unsere Berichte enthalten keine vertraulichen oder privaten Informationen. Alles, was wir bereitstellen – Domains, IP-Adressen, Screenshots, Analysen – ist entweder öffentlich zugänglich oder wird von uns unter der MIT-Lizenz erstellt. Wir verlangen weder Datenschutz noch Geheimhaltung noch einen intransparenten Umgang mit unserer Kommunikation.

PhishDestroy – Bedrohungsinformationenabuse@phishdestroy.io
💚

Danke

An alle Registrare, Hosting-Anbieter und Abuse-Teams, die sich an die Regeln halten, Meldungen fair untersuchen und Maßnahmen zum Schutz der Internetnutzer ergreifen –Danke. Du trägst dazu bei, das Internet für alle sicherer zu machen.

Wir stehen alle auf derselben Seite. Das soll auch so bleiben.