Wir stellen Registrare mit vollständigen Beweismaterialien zur Verfügung – und übernehmen dabei kostenlos die Ermittlungsarbeit für sie. Unsere Berichte folgen den rechtlichen Vorschriften, da interne Plattformregeln internationale Vorschriften nicht außer Kraft setzen können.
Phishing ist nicht nur ein Ärgernis. Es ist eine weltweite kriminelle Industrie, die jeden Tag Leben und Unternehmen zerstört.
„Der Registrar muss eine Missbrauchsmeldestelle einrichten, um Meldungen über Missbrauch entgegenzunehmen … Der Registrar muss auf der Startseite seiner Website eine E-Mail-Adresse veröffentlichen, an die solche Meldungen gesendet werden können.“
Quelle: RAA 2013, Abschnitt 3.18.1
„Der Registrar muss eine spezielle Kontaktstelle für Missbrauchsfälle einrichten und betreiben, einschließlich einer speziellen E-Mail-Adresse und einer Telefonnummer, die rund um die Uhr, sieben Tage die Woche, besetzt ist.“
Quelle: ICANN-RAA § 3.18.2
„Anbieter von Hosting-Diensten müssen Mechanismen einrichten, die es jeder natürlichen oder juristischen Person ermöglichen, sie über das Vorhandensein bestimmter Informationen in ihrem Dienst zu informieren, die diese natürliche oder juristische Person als rechtswidrige Inhalte ansieht.“
Quelle: EU-DSA, Artikel 16
„Um die Einreichung von Meldungen durch jede Partei zu erleichtern, die Missbrauch und/oder illegale Aktivitäten geltend macht, muss die Registrierungsstelle eine E-Mail-Adresse oder ein Webformular veröffentlichen, das leicht zugänglich ist … Für die Einreichung von Missbrauchsmeldungen darf bei Webformularen keine Anmeldung erforderlich sein.“
Quelle: ICANN-Mitteilung, Februar 2024
Einige Registrare setzen unlösbare CAPTCHAs, Ratenbeschränkungen und technische Hindernisse ein, die das Absenden von Formularen unmöglich machen. Wenn Meldungen fehlschlagen, führen sie „technische Probleme“ oder „Meldungen sind nicht eingegangen“ als Grund an.
Webformulare liefern keinen nachprüfbaren Nachweis für die Übermittlung. Eine E-Mail erstellt einen mit einem Zeitstempel versehenen, rechtsgültigen Nachweis, der der ICANN-Compliance-Abteilung vorgelegt werden kann, falls der Registrar nicht tätig wird.
Bestimmte Registrare gestalten ihre Formulare absichtlich kompliziert, um von der Meldung abzuschrecken. Dies stellt einen direkten Verstoß gegen die RAA-Vorgabe dar, wonach Kontaktmöglichkeiten für Missbrauchsfälle „leicht zugänglich“ sein müssen.
Einige Registrare versenden automatische Antworten, in denen Phishing als „Plagiat“ oder „Urheberrechtsprobleme“ eingestuft wird – was eine vorsätzliche Missachtung der von ICANN festgelegten Definitionen für DNS-Missbrauch darstellt.
Die ICANN erklärt ausdrücklich: „Webformulare dürfen für die Übermittlung von Missbrauchsmeldungen keine Anmeldung erfordern.“ Die Verpflichtung zur Erstellung eines Kontos verstößt gegen vertragliche Verpflichtungen.
Pflichtfelder für irrelevante Angaben, Zeichenbeschränkungen bei der Beschreibung von Beweismitteln und die erzwungene Einordnung in falsche Meldungsarten tragen dazu bei, dass seriöse Hinweisgeber entmutigt werden.
Unsere Berichte sind umfassende Beweismaterialien, die darauf ausgelegt sind, die Arbeit des Teams zur Bekämpfung von Missbrauch so einfach wie möglich zu gestalten. Wir übernehmen die Ermittlungsarbeit – sie müssen nur noch handeln.
Eindeutige Tracking-ID und Einstufung des Schweregrads der Bedrohung
Domain, IP-Adresse, Zeitstempel der Erkennung, forensische Links von URLScan
Erkennungen bei VirusTotal, Analyse durch die Bedrohungs-Engine, Status auf der Blacklist
Automatisch erstellter Screenshot, der Phishing-Inhalte belegt
Konkrete Verstöße gegen die AUP/Nutzungsbedingungen und geltende Gesetze
Klare Handlungsschritte für das Team zur Bekämpfung von Missbrauch
Wir erhalten keine Spenden, keine Zahlungen, Nullgewinn. Keine Verträge, keine Vorstände, keine kommerziellen Interessen. Unser Projekt ist vollständig Open Source und dient ausschließlich der Bekämpfung von Betrug.
Wir schützen kein bestimmtes Opfer und kein bestimmtes Unternehmen. Wir beseitigen Bedrohungen aus dem Internet, bevor sie weiteren Schaden anrichten können. Das ist alles. Keine versteckten Absichten.
In unserem ersten Bericht stellen wir alle verfügbaren Beweise gleich zu Beginn zusammen: Domain, IP, URLScan-Analyse, Screenshots (mehrere, als Dateien und im PDF-Format beigefügt), VirusTotal-Erkennungen und Bedrohungsinformationen. Mehr könnten wir einfach nicht hinzufügen.
Unsere erste E-Mail enthält bereits alles, was wir haben: Domain, IP, forensische Links von URLScan, Erkennungen bei VirusTotal, mehrere Screenshots (als Dateien angehängt UND in den PDF-Bericht eingebettet), Verstöße gegen Richtlinien sowie rechtliche Verweise. Die Forderung nach „zusätzlichen Screenshots“, wenn bereits drei oder mehr beigefügt sind, oder die Bitte um „weitere Beweise“, wenn ein vollständiges PDF enthalten ist, lässt darauf schließen, dass der Bericht nicht vollständig geprüft wurde.
Zudem haben wir erfahren, dass die Missbrauchsformulare einiger Registrare Meldungen an unbeteiligte Dritte weiterleiten – an ihre Partner, Wiederverkäufer oder an völlig andere Domains als die gemeldete. Um eine ordnungsgemäße Bearbeitung zu gewährleisten, halten wir uns an das von ICANN vorgeschriebene Verfahren: Wir leiten Meldungen an die offizielle E-Mail-Adresse für Missbrauchsfälle weiter, die in den WHOIS-Einträgen veröffentlicht ist.
Wir nehmen Fehlalarme ernst und arbeiten aktiv daran, diese zu vermeiden. Wenn Sie der Meinung sind, dass eine Domain fälschlicherweise gemeldet wurde, teilen Sie uns dies bitte über einen der folgenden Kanäle mit:
Das Beschwerdeformular wird bevorzugt, da betroffene Nutzer häufig unsere E-Mail-Adresse mit Spam-Mails überfluten, wodurch berechtigte Beschwerden leicht übersehen werden können. Das Formular generiert eine Ticketnummer zur Nachverfolgung und erfordert keine Angabe persönlicher Daten.
Jeder Bericht enthält eine umfassende Dokumentation: WHOIS-Daten der Domain, Screenshots, URLScan-Ergebnisse, eine Quellcode-Analyse sowie PDF-Anhänge. Wir stellen alles bereit, was das Missbrauchsteam des Registrars benötigt, um ohne weitere Nachforschungen eine fundierte Entscheidung treffen zu können.
Wir verwenden die in WHOIS-Einträgen und auf den Websites der Registrare veröffentlichten E-Mail-Adressen für Missbrauchsfälle, genau wie es in §3.18.1 der ICANN-RAA vorgeschrieben ist. Dadurch entsteht ein rechtlich verbindlicher Nachweis, und es wird sichergestellt, dass unsere Meldungen die dafür zuständigen Ansprechpartner für Missbrauchsfälle erreichen.
In unseren Berichten wird die Art des DNS-Missbrauchs (Phishing, Malware, Botnets, Pharming) unter Verwendung der offiziellen Definitionen der ICANN aus SAC115 ausdrücklich benannt. Wir verwenden keine vagen Begriffe, die es Registraren ermöglichen, sich der Verantwortung zu entziehen.
Wenn Registrare nicht angemessen reagieren, leiten wir den Fall an die ICANN-Abteilung für Vertragsnachhaltigkeit weiter und legen dabei unsere Berichte sowie die vollständigen Unterlagen vor, aus denen hervorgeht, dass der Registrar gegen § 3.18 des RAA verstoßen hat.
Interne Plattformrichtlinien, firmeneigene Formulare und maßgeschneiderte Verfahren haben keinen Vorrang vor den vertraglichen Verpflichtungen gegenüber der ICANN oder den EU-Vorschriften. Ein Registrar darf keine Hindernisse schaffen, um sich seiner gesetzlichen Pflicht zu entziehen, begründete Missbrauchsmeldungen zu untersuchen und darauf zu reagieren.
„Der Registrar hat angemessene und unverzügliche Maßnahmen zu ergreifen, um Meldungen über Missbrauch zu untersuchen und angemessen darauf zu reagieren.“ In der RAA heißt es nicht: „Untersuchen Sie nur, wenn die Meldung über unser bevorzugtes Formular eingereicht wurde“ oder „Reagieren Sie nur, wenn es Ihnen passt.“
Gemäß den Änderungen zum DNS-Missbrauch von 2024 müssen Registrare „unverzüglich die geeigneten Abhilfemaßnahmen ergreifen, die vernünftigerweise erforderlich sind, um die Nutzung des registrierten Namens für DNS-Missbrauch zu unterbinden oder anderweitig zu verhindern“. Phishing-Domains erfordern sofortiges Handeln – keine bürokratischen Verzögerungen.
Die ICANN verpflichtet Registrare ausdrücklich dazu, eine E-Mail-Adresse für Missbrauchsmeldungen zu veröffentlichen und zu überwachen. Webformulare sind zwar als zusätzliche Option zulässig, dürfen jedoch nicht die einzige Methode sein und keine Hindernisse für die Meldung von Missbrauch darstellen. E-Mail bleibt die gesetzlich vorgeschriebene Grundvoraussetzung.
Registrare, die gegen RAA §3.18 verstoßen, müssen mit Verstoßmitteilungen seitens der ICANN-Abteilung für Vertragsüberwachung rechnen. Eine anhaltende Nichteinhaltung kann zur Aufhebung der Akkreditierung führen. Wir dokumentieren alles und leiten die Angelegenheit bei Bedarf an die zuständige Stelle weiter.
Wenn Sie unseren Bericht erhalten, empfehlen wir Ihnen neben der bloßen Sperrung der einzelnen Domain Folgendes:
Wenn eine Domain kompromittiert oder bösartig ist, Alle Domains dieses Kunden überprüfen. Es ist sehr wahrscheinlich, dass auch ihre anderen Domains schädliche Inhalte enthalten – entweder, weil das Konto gehackt wurde, oder weil der „Kunde“ in Wirklichkeit ein Betrüger ist, der Ihre Infrastruktur systematisch missbraucht.
Die bloße Sperrung einer Domain hält den Täter nicht auf. Wenn es sich bei dem Kunden um einen Betrüger handelt, wird er neue Domains registrieren und weitermachen. Überlegen Sie, ob dies eine vollständige Kontoschließung sowie eine mögliche Weiterleitung an die Strafverfolgungsbehörden in Ihrem Zuständigkeitsbereich.
Je nach Ihrer Rechtsordnung sind Sie nach Erhalt unseres Berichts möglicherweise verpflichtet, Protokolle und Kundendaten aufbewahren für mögliche Anfragen von Strafverfolgungsbehörden. Sie wurden offiziell darüber informiert, dass diese Ressource wahrscheinlich schädlich ist – gehen Sie entsprechend vor, was die Datensicherung betrifft.
In vielen Rechtsordnungen führt das wissentliche Betreiben krimineller Infrastruktur nach einer entsprechenden Benachrichtigung zu einer Haftung. Unser Bericht dient als formelle Benachrichtigung. Wenden Sie sich diesbezüglich an Ihre Rechtsabteilung, um Meldepflichten gegenüber Behörden sowie die Anforderungen an die Aufbewahrung von Beweismitteln.
Wir berichten über unsere Erkenntnisse – wir beurteilen nicht die Absicht. Es ist Ihre Aufgabe, zu untersuchen, ob die Domain kompromittiert (legitimer Kunde, gehacktes Konto) oder in böswilliger Absicht registriert (Betrüger, der Ihren Dienst nutzt). In beiden Fällen muss die Bedrohung entschärft werden, doch Ihre weiteren Maßnahmen können unterschiedlich ausfallen.
Wir liefern umfassende Beweise für kriminelle Aktivitäten. Wir halten uns an die gesetzlichen Meldewege. Wir übernehmen die Arbeit Ihres Teams zur Bekämpfung von Missbrauch kostenlos. Danach liegt die Entscheidung bei Ihnen: Schützen Sie die Internetnutzer oder ermöglichen Sie Betrug.
Wir sind nicht eure Feinde. Wir erweisen Ihrer Abteilung für Missbrauchsfälle einen Dienst, indem wir Bedrohungen für Ihre Infrastruktur aufdecken, bevor diese zu behördlichen Maßnahmen, Reputationsschäden oder rechtlicher Haftung führen. Arbeiten Sie mit uns zusammen, statt gegen uns.
Ja, es kommt zu Fehlalarmen. Und das tut uns aufrichtig leid, wenn dies geschieht. Wir arbeiten kontinuierlich daran, unsere Erkennungslogik und unsere Verifizierungssysteme zu verbessern. Jeder Fehlalarm ist für uns peinlich, und wir tun alles in unserer Macht Stehende, um diese auf ein Minimum zu reduzieren.
Seit Juli 2025 liegt unsere Falsch-Positiv-Rate bei weniger als 1 pro 1.000 korrekt identifizierte Bedrohungen. Unser Repository ist vollständig offen – Sie können jeden Bericht, jede Entfernung und jede von uns vorgenommene Korrektur überprüfen.
Unser offenes Repository ansehen →Unsere gelegentlichen Fehler rechtfertigen es nicht, berechtigte Meldungen zu ignorieren oder jede Meldung als Fehlalarm zu behandeln. Wir sind ehrenamtliche Betreiber ohne rechtlichen Schutz und ohne Verpflichtung, Betrüger zu verteidigen. Wir hoffen lediglich, dass Sie sich an die gesetzlichen Standards halten und eine kompetente Abteilung für Missbrauchsfälle unterhalten.
Alles, was wir versenden, ist offen. Alles, was wir tun, ist öffentlich. Keine Geheimnisse, keine versteckten Absichten.
Sie dürfen unsere Berichte an den Domaininhaber, den mutmaßlichen Betrüger, Dritte, Strafverfolgungsbehörden oder sonstige Personen weiterleiten. Wir gestatten dies ausdrücklich.
Unsere E-Mail-Adresse abuse@phishdestroy.io ist öffentlich. Sie können es gerne an jeden weitergeben, auch an die gemeldete Person.
Der vollständige Inhalt unserer Berichte, einschließlich aller Anhänge und PDF-Dateien, darf ohne Einschränkungen weitergegeben, kopiert oder veröffentlicht werden.
Sie können unsere Berichte und alle damit verbundenen Daten an Strafverfolgungsbehörden, Aufsichtsbehörden oder im Rahmen von Gerichtsverfahren weitergeben. Wir begrüßen dies.
Unsere Berichte enthalten keine vertraulichen oder privaten Informationen. Alles, was wir bereitstellen – Domains, IP-Adressen, Screenshots, Analysen – ist entweder öffentlich zugänglich oder wird von uns unter der MIT-Lizenz erstellt. Wir verlangen weder Datenschutz noch Geheimhaltung noch einen intransparenten Umgang mit unserer Kommunikation.

An alle Registrare, Hosting-Anbieter und Abuse-Teams, die sich an die Regeln halten, Meldungen fair untersuchen und Maßnahmen zum Schutz der Internetnutzer ergreifen –Danke. Du trägst dazu bei, das Internet für alle sicherer zu machen.
Wir stehen alle auf derselben Seite. Das soll auch so bleiben.