DNS-Abuse bekämpfen: Einblicke von Rowena Schoo (NetBeacon Institute)
DNS Abuse ist die verborgene Arbeit des Internets – leise, skalierbar und äußerst effektiv – und verwandelt Domain-Namen in Werkzeuge für Phishing und Malware. Lassen Sie uns aufschlüsseln, was das ist, wer handeln kann und wo die Verantwortung wirklich liegt – lesen Sie weiter und steigen Sie tiefer in das Thema ein.
Published by
Simone Catania
Date
DNS ist die stille Infrastruktur, die alles am Laufen hält – vom Web-Browsing und E‑Mail bis hin zu Cloud-Services. Da DNS im Kern des Internets verankert ist, stellt es zugleich einen attraktiven Ansatzpunkt für Missbrauch dar und wird häufig genutzt, um missbräuchliche Aktivitäten zu steuern, zu skalieren und aufrechtzuerhalten. Missbräuchliche Akteure betreiben schädliche Aktivitäten, bei denen Domain-Namen eingesetzt werden, um Phishing, die Verbreitung von Malware, Botnetze, Betrug und weitere Gefahren zu ermöglichen, die Vertrauen und Sicherheit im Internet untergraben.
Um tiefer einzutauchen, begrüßen wir Rowena Schoo, Director für Programme und Richtlinien am NetBeacon Institute – einer Organisation, die daran arbeitet, DNS Abuse zu reduzieren, indem sie kostenlose, praxisnahe Tools und gemeinsame Infrastruktur bereitstellt, die der Domain-Branche und ihren Partnern helfen, Missbrauch in großem Maßstab zu melden, zu messen und zu bekämpfen. Rowena bringt eine seltene Kombination aus praktischer Industrie- und öffentlicher Erfahrung mit, nachdem sie zuvor bei Ofcom (dem britischen Kommunikationsregulierer), Nominet UK und dem britischen Ministerium für Digitales, Kultur, Medien und Sport tätig war. Mit über einem Jahrzehnt Erfahrung in und um Richtlinienfragen bietet sie eine klare Perspektive darauf, wie Zusammenarbeit aussehen kann – und was nötig ist, um Nutzer:innen zu schützen.
Lesen Sie weiter für unser vollständiges Gespräch mit Rowena über DNS Abuse.

1Wie entscheiden Sie, welche Ebene des Internet-Stacks bei Schäden eingreifen sollte, und wie sollte „richtiger Akteur, richtige Ebene“ in der Praxis aussehen?
Das Domain Name System (DNS) ist ein kritisches, aber oft übersehenes System, das die Fähigkeit des Internets zur Vernetzung von Nutzer:innen und Geräten grundlegend ermöglicht. Wie jeder Dienst sind auch Domain-Namen nicht vor Missbrauch geschützt: Missbräuchliche Akteure nutzen sie für unterschiedlichste schädliche Aktivitäten – von denen einige auf DNS-Ebene angemessen adressiert werden können, während andere besser durch andere Akteure mitigiert werden sollten.
Über Jahre hinweg wurde DNS Abuse als Sammelbegriff für Schäden verwendet, die Registrys und Registrare auf DNS-Ebene nachweisen und bekämpfen können – typischerweise durch die Suspendierung von Domains. Dieses Instrument ist jedoch grob: Es unterbricht eine Domain global (Web, E‑Mail, Subdomains), entfernt jedoch keine gehosteten Inhalte, die unter einer neuen Domain erneut erscheinen können. Da das Risiko von Kollateralschäden hoch ist – etwa wenn versehentlich eine Bank oder ein kritischer Dienst offline genommen wird – müssen Maßnahmen auf DNS-Ebene mit großer Sorgfalt angewendet werden. Eine Suspendierung bedeutet Störung, nicht die Löschung von Inhalten.
Deshalb hat sich die Branche auf eine Definition von a „technischem DNS Abuse“ geeinigt: Phishing, Pharming, Malware, Botnetze und Spam, wenn diese die zuvor genannten Schäden ermöglichen. Dies spiegelt sich in den gTLD-Verträgen von ICANN wider und liefert eine praktikable globale Basis für die Politikgestaltung im Rahmen des Multistakeholder-Modells.
Diese Basis ist der Mindeststandard, nicht die Obergrenze. Betreiber:innen können je nach lokalen Gesetzen, Normen und Risikobereitschaft darüber hinausgehen, insbesondere bei extremen Inhaltsverletzungen – meist dann, wenn eine Website eindeutig dem Missbrauch gewidmet ist oder wenn Akteure, die näher am Inhalt agieren, nicht handeln können oder wollen. In diesen Fällen verlassen sich einige auf vertrauenswürdige Meldestellen und Strafverfolgungsbehörden, anstatt den Inhalt selbst zu bewerten – insbesondere bei Material sexuellen Missbrauchs von Kindern (CSAM), das spezialisiertes Handling erfordert und bei dem die direkte Überprüfung illegal sein kann. Bei anderen Schäden, wie z. B. Verletzungen von geistigem Eigentum (z. B. Markenrechte), verfügen Registrys und Registrare nicht über die Expertise, um diese komplexen, häufig länderübergreifenden Rechtsstreitigkeiten zu beurteilen. Die richtige Vorgehensweise besteht oft darin, an passendere rechtliche oder politische Verfahren zu verweisen, wie etwa die Uniform Domain Name Dispute Resolution Policy (UDRP), das Uniform Rapid Suspension System (URS) oder den lokalen ccTLD-Streitbeilegungsdienst.
2Wenn DNS Abuse bestätigt wird, wer sollte zuerst handeln und wie schnell?
Die allgemeine Regel lautet: Wenden Sie sich zunächst an die Stelle, die dem Inhalt am nächsten ist. Wenn dies nicht erfolgreich ist, kann man versuchen, die Kette nach oben zu bearbeiten. Die nachfolgende Darstellung, entwickelt vom Internet and Jurisdiction Policy Network, veranschaulicht diesen Eskalationsweg und zeigt jeden Schritt in der Kette – von der Inhalts-/Hosting-Ebene über DNS-Anbieter, Registrare bis hin zu Registrys –, sodass klar wird, wen man zuerst kontaktieren sollte und wie man nach oben vorgeht, falls keine Maßnahmen ergriffen werden.

3Was ist die Mission des NetBeacon Institute und wie setzen NetBeacon Reporter und das MAP diese Mission in praktische, skalierbare Maßnahmen gegen DNS Abuse um?
Unsere Mission ist es, eine erstklassige, umfassende und kostenlose Werkzeug-Suite bereitzustellen, um das Internet für alle sicherer zu machen, indem wir die Domain-Branche befähigen und mit Stakeholdern zusammenarbeiten, um Herausforderungen anzugehen, die am besten durch einen systemweiten Ansatz gelöst werden können.
Im Jahr 2022 haben wir NetBeacon Reporter gestartet, um einen zentralen Meldekanal mit doppeltem Zweck zu schaffen:
- Er soll die Qualität der Berichte verbessern, die die Domain-Branche erhält, indem diese standardisiert, vereinfacht und mit zusätzlichen Nachweisen angereichert werden.
- Er macht das Melden von Abuse einfacher, unkomplizierter, automatisiert und skalierbar.
Wir haben gezielt versucht, alle Nutzer:innen dort abzuholen, wo sie sind – Berichte werden per E‑Mail (menschenlesbar oder XARF) oder API akzeptiert, durch NetBeacon Reporter übersetzt und angereichert als zentrale Weiterleitungsschicht verarbeitet und automatisch an Registrare, Registrys und Web-Hosts weitergeleitet; der Fokus liegt nun auf der Skalierung der Anreicherungen und optionalen Ausweitung auf weitere Schadensarten. Die Plattform wurde durch gespendete Entwicklungsarbeit von CleanDNS ermöglicht.
Mit der NetBeacon Measurement and Analytics Platform (MAP) messen wir die Nutzung des DNS für Phishing und Malware: das Volumen, wo es konzentriert ist, wie es sich über die Zeit verändert, ob Gegenmaßnahmen ergriffen werden und wie schnell sowie von wem. Handelt es sich um missbräuchlich registrierte Domains oder um den Fall einer kompromittierten Website? Dieses Projekt erforderte akademische Strenge und Unabhängigkeit, weshalb wir eine Partnerschaft mit KOR Labs eingegangen sind, das an der Universität Grenoble in Frankreich angesiedelt ist. Sie haben eine transparente Methodik entwickelt. Wir bieten sowohl öffentliche Berichte als auch individualisierte Dashboards für Registrys und Registrare an.
4Wie erkennt man, ob eine schädliche Domain für Missbrauch erstellt wurde oder ob eine legitime Domain gehackt wurde? Und welche Maßnahmen sind in jedem Fall richtig, um legitime Nutzer:innen nicht zu schädigen?
Das ist ein sehr wichtiger Unterschied. Es hängt stark vom Einzelfall ab, aber häufig prüfen Betreiber:innen unter anderem, wann die Domain registriert wurde und Hinweise wie die Beziehung zwischen dem Domain-Namen und dem Inhalt der Website.
Beispiel: Wenn der Großteil einer Website eindeutig zu einer legitimen Organisation gehört – etwa einem lokalen Geschäft oder einem Museum, mit Informationen, die Sie über unabhängige Quellen wie Handelsregister, Google Maps oder Street View verifizieren können – Sie dann aber eine nicht dazugehörige Seite finden, die Nutzer:innen auffordert, sich bei einer Bank oder PayPal einzuloggen, ist das ein starkes Indiz dafür, dass die Website kompromittiert wurde. Typischerweise geschieht dies auf der CMS-Ebene der Website. Das CMS erlaubt es Nutzer:innen, Änderungen auf ihrer Website vorzunehmen, enthält jedoch oft Sicherheitslücken. Updates werden zwar bereitgestellt, können aber in der Regel nicht automatisch angewendet werden und erfordern, dass die Website-Betreiber:innen oder Registrant:innen die Änderung selbst vornehmen. Solange dies nicht geschieht, ist es, als wäre ein Fenster offen gelassen worden, durch das Angreifer:innen in großem Maßstab auf das Internet zugreifen können. Das „Schließen des Fensters“ erfordert in der Regel die Zusammenarbeit mit dem Hosting-Provider und/oder dem Registranten bzw. Website-Betreiber.
Es besteht ein echtes Risiko, legitime Nutzer:innen einer Website zu schädigen, wenn die Domain suspendiert wird – diese Nutzer:innen sind in Wahrheit die Opfer, nicht die missbräuchlichen Akteure. Deshalb ist der Umgang mit bestimmten Arten von Abuse so komplex. Es erfordert Zeit und Sorgfalt, um zusätzlichen Schaden zu vermeiden.
Im September 2025 stellten wir fest, dass 84 % der Phishing-Domains missbräuchlich registriert wurden, während 16 % auf kompromittierte Domains zurückzuführen waren. Diese Unterscheidung im großen Maßstab mit wissenschaftlicher Genauigkeit zu messen, ist sehr komplex. Eines der ersten Projekte dazu war COMAR, das von Afnic und SIDN gefördert und an der Université Grenoble Alpes von dem Team durchgeführt wurde, das heute bei KOR Labs arbeitet. KOR Labs entwickelte anschließend einen weiteren Klassifikator namens MalCom, der heute für NetBeacon MAP verwendet wird. Von Beginn an enthielt MalCom eine Komponente für maschinelles Lernen, die kontinuierlich verfeinert wird – zum Beispiel durch dynamische Kategorisierung und Aktualisierung auf Grundlage nachfolgender Gegenmaßnahmen.

5Die ICANN-Regeln von 2024 schreiben vor, dass Registrys und Registrare bei Abuse umgehend handeln müssen. Wo haben Betreiber:innen weiterhin Schwierigkeiten, und was bedeutet „umgehend“ in der Praxis (Stunden vs. Tage)?
Geschwindigkeit ist ein heikles Thema. Einerseits wollen wir das Schadensfenster möglichst klein halten und so schnell wie möglich handeln, sobald missbräuchliche Aktivitäten bestätigt sind. Andererseits könnten die Folgen eines Fehlalarms katastrophal sein und unter Umständen noch größeren Schaden verursachen. Es hängt stark vom Einzelfall ab, jede:r Betreiber:in muss diese Risikobewertung und den Balanceakt selbst vornehmen. Die ICANN-Verträge schreiben „umgehendes“ Handeln vor, doch was „umgehend“ bedeutet, hängt vom jeweiligen Fall ab. Wenn eine Subdomain betroffen ist oder es sich um eine kompromittierte Website handelt, dauert es länger und es müssen mehr Akteure einbezogen werden. Manchmal ist die beste Vorgehensweise, auf DNS-Ebene keine Gegenmaßnahme zu ergreifen – sondern die Angelegenheit nur an andere Parteien weiterzuleiten.
Wenn es sich um eine missbräuchlich registrierte Domain handelt, die erst wenige Tage alt ist und die Beweislage eindeutig ist, geht es deutlich schneller und das Risiko von Kollateralschäden ist gering. Wir berichten über Gegenmaßnahmen im Rahmen von NetBeacon MAP, betrachten aber einen ganzheitlichen Ansatz, um zu beurteilen, ob der Schaden tatsächlich gestoppt wurde. Der Erfolg lässt sich derzeit nicht einzelnen Akteur:innen zuordnen. So könnte die Verantwortung bei der Registry, dem Registrar oder dem Hosting-Provider liegen, und die Weiterleitung zwischen den Akteuren ist ein normaler und hilfreicher Bestandteil der Schadensbekämpfung. Im September 2025 stellten wir hohe Mitigationsraten fest: 82 % bei Phishing und 90 % bei Malware. Außerdem zeigte sich, dass die meisten einzigartigen Domains (85 %) mit einem Registrar-Zugang verknüpft waren, der eine mittlere Mitigationszeit von 72 Stunden oder weniger aufwies.
6Für die new gTLD-Runde 2026: Welche Anti-Abuse-Basics müssen am ersten Tag bereitstehen? Wird die nächste Runde denselben Anforderungen unterliegen?
Es ist sehr wichtig, dass alle, die eine ICANN-Akkreditierung übernehmen – sei es als TLD oder Registrar – frühzeitig darüber nachdenken. Auf einer grundlegenden Ebene sollten Sie eine Richtlinie haben, damit Sie eine Grundlage haben, um bei Abuse handeln zu können. Wir stellen eine generische Richtlinie bereit, die jeder übernehmen und anpassen kann.
Sobald eine Richtlinie vorhanden ist, müssen Sie Berichte von externen Parteien entgegennehmen können, entweder über eine Abuse-Reporting-E-Mail oder ein Formular. E-Mail-Postfächer können schnell mit qualitativ minderwertigen oder unvollständigen Meldungen überfüllt werden, daher sind strukturierte Einreichungsformulare oft vorzuziehen. Am einfachsten ist es, unsere Formulare einzubetten oder bestehende Formulare über unsere NetBeacon Reporter API anzubinden. So kann der Betreiber unsere Dienste nutzen, ohne ein eigenes System aufbauen zu müssen. Anschließend können Sie unser NetBeacon MAP Dashboard verwenden, um zu zeigen, wie sauber Ihre Zone ist, den Fortschritt über die Zeit zu verfolgen und Ihre Leistung im Vergleich zu anderen zu benchmarken.
Wir stellen auch Bildungsmaterialien zur Verfügung, die beim Aufbau eines Anti-Abuse-Programms helfen, und stehen jederzeit für Gespräche und Beratung zur Verfügung.
7Welche Kennzahlen sind am wichtigsten, um Abuse und Fortschritte zu verfolgen, und welchen Datenquellen vertrauen Sie?
Es gibt einige Kennzahlen, auf die Betreiber:innen achten können. Ein geringes Volumen an Abuse ist ein guter Indikator für eine saubere Zone. Häufig betrachten wir dies als Rate pro 100.000 Domains Under Management (DUM), um eine vergleichbare Abuse-Rate zu erhalten. In unseren Monthly Analysis Reports listen wir niedrige und hohe Raten von Abuse pro 100.000 DUM auf. Dies ist ein guter Indikator für den „Bestand“ Ihrer Domain-Namen.
Für viele Betreiber:innen, insbesondere für wachsende, ist die Rate schädlicher Domains pro neuen Registrierungen möglicherweise relevanter. Wir veröffentlichen einige Daten dazu auch für Registrare. Diese Kennzahl zeigt, ob man wächst und gleichzeitig qualitativ hochwertige Registrierungen erhält – also solche, die hoffentlich verlängert werden und wertvolle Kund:innen werden – oder ob man missbräuchliche Akteure aufnimmt, die nicht verlängern und Kosten in Form von Abuse-Untersuchungen und Gegenmaßnahmen verursachen. In unseren individualisierten Dashboards können Betreiber:innen diese Kennzahlen mit einer Peer-Gruppe vergleichen, um ihre Leistung über die Zeit zu verfolgen.
8Welche neuen Abuse-Taktiken beobachten Sie?
Wir sehen viele koordinierte Kampagnen mit einer großen Anzahl von Registrierungen, die ähnlichen Mustern folgen. Diese scheinen sich auf eine Handvoll Registrare und TLDs zu konzentrieren. Sobald sie dort gestoppt werden, wechseln die missbräuchlichen Akteure zum nächsten Anbieter. Das ist schwierig, da Betreiber:innen sehr vorsichtig sein müssen, welche Registrierungen sie akzeptieren. Selbst wenn schnelle Gegenmaßnahmen erfolgen, ist es schwer, in großem Maßstab schnell genug zu reagieren. Besonders wichtig ist dabei, zu überlegen, ob automatisierte Registrierungstools überhaupt erlaubt sind oder nur vertrauenswürdigen Kund:innen zur Verfügung gestellt werden (z. B. solche, deren Kreditkarte bereits ohne Rückbuchungen geprüft wurde und die den AGP bestanden haben, oder die zuvor eine Domain verlängert haben).
Eine der beobachteten Taktiken ist Subdomain Cloaking. Dabei agiert der Domain-Registrant missbräuchlich, verschleiert seine Aktivitäten jedoch zusätzlich, indem er Subdomains nutzt, sodass die Second-Level-Domain harmlos, kompromittiert oder mehrdeutig erscheint, anstatt Teil einer schädlichen Kampagne zu sein. Dieser Trend ist besorgniserregend, weil ein Registry oder Registrar, der nur einen isolierten Subdomain-Bericht erhält, sehr wahrscheinlich nicht erkennen wird, dass die gesamte Second-Level-Domain missbräuchlich registriert ist. Ein Beispiel für diesen Angriff: gov.uk-[keyword][zufällige Buchstaben].[TLD]
9Verändert KI die Abuse-Landschaft? Welche KI-basierten Abwehrmaßnahmen reduzieren tatsächlich die Reaktionszeit, ohne Privatsphäre oder Genauigkeit zu beeinträchtigen?
Wir befinden uns noch in den frühen Phasen des Verständnisses, wie KI die Abuse-Landschaft verändern wird. Einerseits erleichtert sie es, Websites schnell zu erstellen, die glaubwürdig und einzigartig wirken – viel mehr als der frühere Ansatz, offensichtliche Vorlagen wiederzuverwenden – was Abuse schwerer erkennbar machen kann. Andererseits kann KI Abuse-Teams dabei helfen, Meldungen effizient zu priorisieren und zu analysieren, was die Erkennung verbessern und die Reaktionszeiten verkürzen kann. Wir untersuchen diese Möglichkeiten aktiv.
KI wird bereits auch im Zahlungsumfeld eingesetzt, was insbesondere für Retail-Registrare relevant ist. Viele Premium-Anti-Fraud-Tools von Zahlungsanbietern nutzen KI-gesteuerte Signale, um Risiken einzuschätzen und Transaktionen – beispielsweise Zahlungen für Domain-Registrierungen – zu kennzeichnen, die mit höherer Wahrscheinlichkeit missbräuchlich sind.