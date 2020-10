Die Zahlen der für Phishing und Malware ausgenutzten generischen Top Level Domains (gTLD) waren im vergangenen Jahr nach Angaben der Internet Corporation for Assigned Names and Numbers (ICANN) rückläufig. Lediglich Spam legte laut David Conrad, CTO der privaten Netzverwaltung, kräftig zu. Markenrechtsinhaber und die Security Consulting Firma Interisle stellten Conrads Befund beim ICANN-Treffen allerdings hartnäckig in Frage. Angesichts des Streits darum, wer die besseren Zahlen hat, wird nun der Ruf nach einem Daten Summit zum Thema "Abuse" laut.

Conrad berichtete beim rein virtuellen ICANN-Treffen von einem Rückgang von der an Phishing-Attacken beteiligten gTLDs innerhalb eines Jahres um 11244 (-13,4 Prozent) und der für Botnets verantwortlichen Domains um 5885 (-14,13 Prozent). Im Fall von Phishing bilanzierte er sogar einen Rückgang um 25,41 Prozent. Nur die übliche Zunahme vom Spam um 20 Prozent, wiederum gemessen an der Zahl der beteiligten gTLDs, verhagelt die aus Sicht der Netzverwalter positive Bilanz. Insgesamt ergebe sich dadurch ein um 0,02 Prozent gewachsener Anteil betrügerischer Domains gegenüber dem Vorjahr.

Covid19-Domainnamen

Die von Conrad präsentierten Verlaufskurven aus dem Domain Abuse Activity Project (DAAR) für 2020 lassen mit einem kurzzeitigen klaren Abfall der Abuse-Zahlen fast vermuten, dass auch Phisher und Spammer von der Pandemie entweder beeindruckt oder doch betroffen waren. Auch bei Pandemie-bezogenen Attacken zeichnete Conrad ein weniger Schlagzeilen verdächtiges Bild als es in den vergangenen Monaten kolportiert wurde.

Etwa 1,7 Prozent der allerdings reichlich registrierten Covid19-bezogenen Domainnamen (134.332 zwischen Mai und September 2020) stufte das Techniker Team der ICANN als gesichert böswillig ein. Von 170 Mißbrauchsdomains, wegen der die ICANN zwischen Juni und September Domainregistries und -Registrare um Mithilfe bat, seien am 6. November gerade noch 7 aktiv gewesen.

Falsch definiert oder gerechnet?

Conrads Darstellung stieß bei der mittlerweile vierten Vollversammlung der ICANN zum Thema DNS-Missbrauch auf viel Widerspruch. Lori Schulman, Anwältin bei der International Trade Mark Association, kommentierte die Zahlen mit dem Hinweis, die Mitglieder ihrer Organisation berichteten klar von einer Zunahme missbräuchlicher Nutzungen.

Chris Lewis-Evans von der britischen National Crime Agency führte zum einen Statistiken des us-amerikanischen FBI an, die im vergangenen Jahr täglich rund 1300 Beschwerden zu "Internet Straftaten" erhalten hatten und den entstandenen Schaden auf 3,5 Milliarden Dollar schätzten. Zum anderen sind Statistiken der britischen Strafverfolger zufolge 85 Prozent aller Betrugsfälle irgendwie digital, sagte Lewis-Evans, musste allerdings einräumen, das darunter mehr als DNS-bezogene Betrugsszenarien fallen.

Als Kronzeuge für den starken Zuwachs von Phishing Domains traten schließlich beim ICANN-Treffen Vertreter der Security Consulting Firma Interisle auf. In einer Studie, deren Auftraggeber Interisle partout nicht nennen wollte, führen sie 298.012 Phishing Berichte und 122.092 Phishing Attacken zwischen Mai und Juli 2020 auf. Insgesamt seien dabei 99.412 Domains beteiligt gewesen, rund zwei Drittel waren laut Interisles Zahlen direkt von Phishern registriert, also nicht gekapert. Daraus leite sich ein Handlungsbedarf für die ICANN ab.

Äpfel und Birnen

Die unterschiedlichen Bewertungen der Situation und die teils widersprüchlichen Zahlen der Protagonisten rühren daher, dass Unterschiedliches unterschiedlich gemessen wird, erklärt Theo Geurts, Compliance Experte des niederländischen Domain Backend Providers Realtime Register.

Das DAAR Projekt der ICANN werte langfristig 11 Blocklists aus, und zwar seit 2018, Interisle dagegen nur zwei für den kurzen Zeitraum von drei Monaten. "Ich denke, Vorhersagen auf der Basis einer Dreimonatsstudie sind schwierig", sagt er. Zudem konzentriere sich die ICANN auf die gTLDs, da diese vertragsmäßig an die Namensverwaltung gebunden sind. Interisle dagegen berücksichtige auch Länderdomains, auf die ICANN keinen Einfluss habe und die teils regelrechte Sammelbecken für betrügerische Aktivitäten seien, etwa die .tk-Zone.

Realtime Registers eigene Domain-Abuse-Statistiken, für die Geurts auf 30 Blocklists und Pulsedive zur Auswertung zurückgreift, bestätigten die ICANN-Beobachtungen. "Wir sehen einen Rückgang beim Missbrauch von Domains in den letzten Jahren", so der Niederländer. Das bedeute gar nicht, dass weniger Betrug stattfinde, aber, die Betrüger setzten dabei weniger auf Domains. Beispielsweise hätten P2P Botnets und IoT Botnets die Domain bezogenen Botnets abgelöst. Auch Botnets außerhalb der ICANN Rootzone wachsen.

Fehlende Eingrenzung

Überfällig sei, so Geurts, eine einheitliche Definition von DNS-Missbrauch. Einen Aufschlag dafür haben die ICANN Registrare selbst mit einer Rahmenrichtlinie zum DNS-Missbrauch gemacht, in dem sie sich auch zu freiwilligen Maßnahmen verpflichten. Freiwilligkeit reicht Markenschützern und Strafverfolgern jedoch nicht aus. Sie hätten gerne stärkere vertragliche Verpflichtungen und Vertragsstrafen gegen Registries und Registrare. Demnächst wird das Security and Stability Advisory Committee der ICANN Handlungsempfehlungen und eine Definition vorlegen.

Geurts räumt ein, dass es noch Registrare gibt, die mehr tun können. Denn, und da besteht fast Einigkeit, ein Großteil der Probleme entfallen auf eine Handvoll von Registraren. Politisch motivierte Zahlenspiele aber bringen die Debatte nicht voran, meint auch eco Anwalt Thomas Rickert, der die Debatte bei der ICANN zu moderieren hatte. Ein Datengipfel zum Thema Abuse könne hilfreich sein, um sich über die konkreten Untersuchungsgegenstände zu verständigen.

(kbe)