Typosquatting

Vorsicht: .cm dient vielfach als Vertipper-Endung für .com-Domains

Wer gedacht hat, dass Typosquatting tot ist, dürfte durch eine neue Untersuchung des US-Computerjournalisten Brian Krebs eines Besseren belehrt werden: Tippfehler-Domains unter der Länderendung .cm (Kamerun) haben im ersten Quartal 2018 zu millionenfachen Abrufen geführt.

Bereits seit über einem Jahrzehnt kämpft .cm aufgrund ihrer Nähe zur weltbekannten Endung .com mit dem Problem des Typosquattings. Die Endung lädt wegen der Vertippernähe zu .com zur Registrierung missbräuchlicher Domains praktisch ein. Doch trotz einschlägiger Historie war dem in Atlanta ansässigen IT-Sicherheitsunternehmen SecureWorks aufgefallen, dass .cm nach wie vor bei Cyberkriminellen enorm beliebt ist; die Liste der recherchierten Domains umfasst über 1.000 Adressen und liest sich wie das »Who is who« der berühmtesten Marken: aol.cm, bmw.cm, vh1.cm, ford.cm, lego.cm, nike.cm, macy.cm, sony.cm, hyatt.cm, adidas.cm, itunes.cm, virgin.cm, pampers.cm, spotify.cm, tmobile.cm, walmart.cm, facebook.cm oder lufthansa.cm finden sich darunter. Doch Vorsicht: wer eine dieser Domains aufruft, läuft Gefahr, dass sich der gesamte Bildschirm mit Anzeigen und PopUps füllt. Wiederholen lässt sich dieser Effekt nicht: beim erneuten Aufruf führen zahlreiche Links zu einem 404-Fehler. SecureWorks geht davon aus, dass die Betreiber so verhindern wollen, dass man ihrer Tätigkeit auf die Schliche kommt.

Und diese Tätigkeit scheint sich zu lohnen: Krebs ist es gelungen, die Log-Files für die 1.000 Domain-Namen einzusehen – der Hostprovider hatte sie versehentlich veröffentlicht. Danach waren in den ersten drei Monaten des Jahres 2018 folgende Abrufe zu verzeichnen:

Januar:3.732.488
Februar:3.799.109
März:4.275.998

Zusammen kommen sie damit auf bisher rund 11,8 Millionen Abrufe, und das Jahr 2018 ist noch nicht zu Ende. Auf das gesamte Jahr hochgerechnet schätzt Krebs die Gesamtzahl der Abrufe auf über 50 Millionen. Nach weiteren Recherchen geht Krebs davon aus, dass das im US-Bundesstaat Colorado ansässige Unternehmen Media Breakaway LLC hinter den Registrierungen steckt; treibende Kraft soll dort Scott Richter sein, der seit vielen Jahren als Spammer einschlägig bekannt ist. Auf Nachfragen verweigerten sowohl Media Breakaway als auch Richter eine Stellungnahme zu den Recherchen von Krebs.

Vor allem Markeninhaber sollten daher eine präventive .cm-Registrierung in Betracht ziehen, denn die Risiken und Nachteile, es nicht zu tun, sind nicht zu unterschätzen. Wer das »o« in .com vergisst, findet sich leicht auf einer .cm-Domain wieder. Wenn diese lediglich geparkt ist, haben Markeninhaber und Nutzer noch Glück gehabt. Schlimmer aber ist es, wenn die Inhalte unter der .cm-Domain denen der .com entsprechen und Nutzer getäuscht werden; damit lassen sich Daten sammeln oder Phishing ausführen. Und auf keinen Fall zu unterschätzen ist der mögliche Schaden, der am eigenen Branding entstehen kann. Günstiger als ein Rechtsstreit ist die präventive Registrierung allemal.

Den vollständigen Artikel von Brian Krebs finden Sie hier:.

ccTLDs

Auch bei .be ändert sich das WHOIS im Zuge der DSGVO

Die .be-Registry DNS Belgium hat ihre Pläne zum Umgang mit der Datenschutzgrundverordnung (DSGVO) vorgestellt.

Demnach werden im WHOIS bei natürlichen Personen künftig keinerlei personenbezogene Daten mehr veröffentlicht. Keine Änderungen gibt es dagegen bei Unternehmen und Organisationen, es sei denn, sie haben eine natürliche Person als Kontakt angegeben; dann werden auch deren Daten nicht mehr veröffentlicht. Erhebliche Auswirkungen für die Praxis erwartet DNS Belgium nicht. Von 44.845 WHOIS-Abfragen im Monat betrafen drei Viertel Unternehmen und Organisationen, also nur 25 Prozent Privatpersonen. Zudem werde die überwiegende Anzahl der WHOIS-Abfragen aus reiner Neugier gestellt, unter anderem zur Prüfung der Frage, ob der Abfragende als Inhaber »seiner« Domain eingetragen ist. Eine Kontaktaufnahme mit dem Domain-Inhaber soll dabei auch in Zukunft möglich sein; hierfür will DNS Belgium ein Kontaktformular einrichten. Eine Antwortpflicht des Domain-Inhabers besteht aber nicht. Die Änderungen treten am 25. Mai 2018 in Kraft.

UDRP

Die Porsche AG im Streit um porsche.website

Die Porsche AG musste sich mit einem gesprächigen Niederländer im Streit um die Domain porsche.website auseinandersetzen. Zahlreicher Argumente zum Trotz, warum Porsche die Domain nur zum Preis von knapp EUR 10 Mio. von ihm bekommen könne, reichte ein UDRP-Verfahren, die Sache günstiger zu klären.

Die Dr. Ing. h.c. F. Porsche AG sieht ihre Rechte durch die am 02. Januar 2016 vom Gegner registrierte Domain porsche.website verletzt. Sie startete ein UDRP-Verfahren vor der WIPO und trägt vor, der Gegner sei kein Geschäftspartner und unter dem Namen porsche.website nicht bekannt. Von Anfang an habe er die Domain zum Verkauf angeboten. Zeitweise nutzte er sie auch, indem er auf autoa.nl weiterleitete, wo er per »click-through« Gewinne machte. Zuletzt leitete die Domain auf seine eBay-Seite, wo er porsche.website für EUR 9.999.999,– anbot. In einem Kommentar auf der Porsche-Facebookseite machte er auf sein eBay-Angebot aufmerksam. Der Gegner hielt unter anderem entgegen, es liege keine Markenrechtsverletzung vor, da die Domain kein Auto sei. »Porsche« sei ein generischer Name. Er habe seiner Tochter den Namen „Porsche“ gegeben und die Domain sei für sie registriert. Porsche sei ein Autohersteller und kein Internetunternehmen. Zudem habe die Porsche AG keinen Goodwill mehr und durch die Beteiligung am Diesel-Skandal ihre Reputation verloren. Porsche führe eine Schmutzkampagne gegen ihn, indem man dieses UDRP-Verfahren eingeleitet habe. Die Domain sei sein Eigentum, und Porsche müsse für dieses ordentlich zahlen. Es liege ein Fall von Reverse Domain Name Hijacking vor.

Der britische Jurist und Finanzrechtler Adam Samuel wurde als Entscheider herangezogen. Er bestätigte die Beschwerde der Porsche AG und entschied auf eine Übertragung der Domain porsche.website auf die Beschwerdeführerin (WIPO-Case No. D2018-0381). Die Identität von Domain und Marke stellte Samuel sogleich fest. Bei der Frage nach einem Recht oder berechtigten Interesse an der Domain porsche.website von Seiten des Gegners vermisste Samuel einen Nachweis dafür, dass dessen Tochter »Porsche« heiße. Es wäre ein leichtes gewesen, eine Geburtsurkunde vorzulegen. Aber schon der Gedanke, der Gegner habe seine Tochter »Porsche« genannt, sei abwegig angesichts der antideutschen und gegen Porsche gerichteten Bemerkungen des Gegners. Selbst wenn er eine Tochter namens Porsche hätte, reichte das nicht ohne weiteres aus, um die gutgläubige Nutzung der Domain im Sinne der UDRP zu belegen. Alles, wozu der Gegner die Domain porsche.website nutzte, deutete auf den Verkauf oder die Vermarktung derselben hin. Eine legale Nutzung auf Seiten des Gegners sei nicht zu erkennen.

Auch im Hinblick auf die Bösgläubigkeit sah es nicht besser aus: Der Gegner habe die streitige Domain, sobald er sie registriert hatte, in unterschiedlichsten Formen zum Verkauf für knapp EUR 10 Mio. angeboten. Seine Beschwerden über die Beschwerdeführerin und ihr Gebaren seien im Hinblick auf das UDRP-Verfahren nicht von Bedeutung. Der Gegner registrierte die Domain in Kenntnis der Marke »Porsche« und bot sie gleich zum Verkauf zu einem sehr hohen Preis an. Aus diesem Grunde ging Samuel von der Bösgläubigkeit auf Seiten des Gegners aus. Alle Vorwürfe des Gegners wies er als irrelevant für dieses Verfahren zurück. Hinsichtlich der Frage nach einem Reverse Domain Name Hijacking fasste sich Samuel kurz: Da sich die Beschwerde der Beschwerdeführerin bestätigte, sei kein Raum für ein Reverse Domain Name Hijacking. Damit bestätigte er die Beschwerde von Porsche und gab der Übertragung der Domain porsche.website statt.

Interessant an diesem Fall sind einerseits Argumente wie die Domain porsche.website sei kein Auto, Porsche sei ein Automobilhersteller und kein Internetunternehmen, und andererseits der Verweis auf den Namen »Porsche« der eigenen Tochter. Die semantischen Argumente verknüpfen die Sache (Autohersteller, Domain, Auto) mit dem Verweis oder Zeichen (Domain-Name) unzulässig miteinander und sind somit nicht haltbar: Der Domain-Name steht als Zeichen für etwas, was er bezeichnet oder auf was er verweist, eben auf die Marke »Porsche« (die ihrerseits Zeichenqualität besitzt) oder den Autokonzern oder eben ein Produkt des Autokonzerns; der Domain-Name kann aber keine dieser Sachen sein, sie bleibt lediglich der Verweis darauf. Das Argument des Namens der Tochter hingegen, so Samuel, hätte auch dann keine Chance, wenn der Gegner einen Beleg für die Richtigkeit desselben erbracht hätte. Er schließt es aus, weil er die Domain von Anfang an zum Verkauf anbot. Aber selbst wenn letzteres nicht der Fall gewesen wäre, so bliebe die aus deutscher Rechtsprechung bekannte Argumentation, dass der Internetnutzer, wenn er porsche.website eingibt, aufgrund der überragenden Bekanntheit der Marke und des Unternehmens auch eine Seite der Porsche AG zu finden erwartet. Dass dieses Argument schon einmal in einem UDRP-Verfahren herangezogen wurde, ist uns allerdings nicht bekannt.

Auf das Domain-Recht spezialisierte Anwälte findet man auf Domain-Anwalt.de, einem Projekt der united-domains AG.

ccTLDs

Arbeitsabläufe bei .ai werden modernisiert

Die als Abkürzung für „artificial intelligence“ vermarktete Endung .ai wird noch ein Stück klüger: die technische Abwicklung der Registry erfolgt künftig über die Plattform des Council of Country Code Administrators (CoCCA).

Die Auswirkung für die Domain-Praxis sind erheblich. So können viele Arbeitsschritte ab sofort automatisiert abgewickelt werden; hierzu zählen zum Beispiel Domain-Transfers und Nameserver-Updates. Bislang mussten diese Schritte per Hand umgesetzt werden, wobei nach unbestätigten Meldungen ein einzelner Registry-Mitarbeiter auf der Insel mit ihren rund 14.000 Einwohnern dafür zuständig war. Vor allem im Handel dürften .ai-Domains also noch attraktiver werden, obwohl die Gebühren recht happig sind: die Einkaufspreise für die Registrare liegen bei US$ 100,–, wobei jede .ai-Domain für mindestens zwei Jahre registriert werden muss. Die Registrierung von .ai-Domains ist über zahlreiche Domain-Registrare möglich; die Direktregistrierung bei der Registry ist mit dem Wechsel zu CoCCA dagegen künftig ausgeschlossen. Bei Rechtsverletzungen zeigt sich Anguilla schon lange fortschrittlich: die für generische Top Level Domains entwickelte UDRP (Uniform Domain Name Dispute Resolution Policy) gilt auch für die Landesendung .ai.

DSGVO

ICANN erhält Schreiben der Art. 29 Datenschutzgruppe und die WHOIS-Verzweiflung wächst

Post aus Brüssel: im Licht der bevorstehenden Änderungen durch die Datenschutz-Grundverordnung (DSGVO) hat die Artikel-29-Datenschutzgruppe der EU-Kommission zum Vorschlag der Internet-Verwaltung ICANN für ein neues WHOIS-Modell Stellung genommen. Statt für mehr Klarheit sorgt das Schreiben bei ICANN aber für wachsende Verzweiflung.

Angesichts der drohenden Rechtsunsicherheit durch die Neuerungen der DSGVO und ihre Auswirkungen auf das WHOIS-System hatte sich ICANN im Januar 2018 an die Artikel-29-Datenschutzgruppe, ein Beratungsgremium der EU-Kommission gewandt und um Hilfe gebeten, wie das WHOIS-Modell künftig ausgestaltet sein soll. Parallel hatte ICANN diverse Vorschläge (»Interim Model«) unterbreitet und im Rahmen eines Moratoriums um zeitlichen Aufschub gebeten, bis eine endgültige Lösung gefunden wurde. Diese Bemühungen erkennt die Artikel-29-Datenschutzgruppe in einem Antwortschreiben vom 11. April 2018, das ICANN diese Woche veröffentlicht hat, durchaus an. So lobt das Gremium ICANN für die beabsichtigte Einführung von »layered access« zum WHOIS ebenso wie die Etablierung eines »accreditation program« für einen Zugang zum nicht-öffentlichen Teil des WHOIS. Auch die Idee, eine anonyme eMail-Adresse oder ein Kontaktfeld zu schaffen, um auch ohne dessen eMail-Adresse Kontakt zum Domain-Inhaber aufnehmen zu können, begrüsst die Gruppe.

Doch das war es auch schon an Gemeinsamkeiten. Gleich in mehreren Feldern sieht die Artikel-29-Datenschutzgruppe dringenden Handlungsbedarf. So stelle das Interim Model nicht ausreichend klar, zu welchem Zweck Daten erhoben werden; das Zurverfügungstellen von »accurate, reliable and uniform registration data« reiche nicht. Hinsichtlich des Zugangs zum nicht-öffentlichen Teil der WHOIS-Daten unterstützt die Gruppe weitgehende Rechte der Strafverfolgungsbehörden; Hoffnungen der Markenrechtsinhaber, ähnliche Rechte zu erhalten, erteilte man aber eine Absage. Wörtlich heißt es:

„Purposes pursued by other interested third parties should not determine the purposes pursued by ICANN.

Mit anderen Worten: ICANN soll sich auf seine technische Rolle beschränken und eigene Zwecke nicht mit denen Dritter gleichstellen. ICANN solle genau festlegen, wer unter welchen Bedingungen Zugang zum WHOIS hat. Damit ist auch der Vorschlag hinfällig, eine »whitelist of IP adresses« einzurichten, die den Kreis der Zugangsberechtigten pauschal beschränkt; erforderlich ist vielmehr eine Einzelfallregelgung. Spätestens jetzt steht fest: wer bisher gedacht hatte, dass im Zuge der DSGVO kosmetische Änderungen am WHOIS-System genügen, irrt gewaltig. Matt Serlin vom Domain-Registrar Brandsight formulierte es pointiert:

The WHOIS system, as it has been known for two decades, will cease to exist.

ICANN zeigte sich in einer ersten Stellungnahme enttäuscht. In einem Blogeintrag vom 12. April 2018 bedankte sich CEO Göran Marby zwar für die Empfehlungen, sparte aber nicht mit Kritik:

However, we are disappointed that the letter does not mention our request for a moratorium on enforcement of the law until we implement a model.

Ohne den von ICANN gewünschten Aufschub werde das WHOIS zersplittert und man müsse daran arbeiten, diese Folgen abzumildern. Dies schließt nach Angaben von Marby explizit die Möglichkeit ein, die Rechtsposition von ICANN gegenüber der EU gerichtlich überprüfen zu lassen. Vorerst hat man die Einladung der Artikel-29-Datenschutzgruppe zu einem gemeinsamen Treffen in Brüssel angenommen, das am 23. April 2018 in Brüssel stattfinden soll. Damit wird die Zeit noch knapper: am 25. Mai 2018 ist die DSGVO innerhalb der EU anzuwenden.

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Seite 1 von 467
Top