Feldexperiment

Die DSGVO reduziert Spam aufgrund von WHOIS-Daten

Die Anonymisierung der WHOIS-Daten von Domain-Inhabern durch die Datenschutzgrundverordnung (DSGVO) hat sich erheblich auf Spam-Mails ausgewirkt. Zu einem differenzierten Ergebnis kommt ein Feldexperiment, dessen Ergebnisse der Policy-Experte Tobias Sattler nach einjähriger Recherche veröffentlicht hat.

Am 25. Mai 2025 werden es sieben Jahre, seit die DSGVO Anwendung findet. Nach dem Wunsch der EU sollte sie EU-Bürgern mehr Kontrolle über ihre eigenen personenbezogenen Daten verschaffen und ihre Sicherheit sowohl online als auch offline verbessern. Auf das Domain Name System hatte die DSGVO einschneidende Einwirkungen; das bisherige WHOIS-System, das jedermann binnen weniger Sekunden verriet, wer Inhaber einer Domain ist und unter welchen Kontaktdaten er erreicht werden kann, war unter dem Eindruck hoher Bußgelder praktisch über Nacht obsolet. Doch hat die DSGVO ihren Zweck auch erreicht? Lange wurde vermutet, dass die Offenlegung der Registrierungsdaten im WHOIS zu eMail-Spam führt; eine systematische akademische Studie über diesen Effekt gab es aber nicht. Diese Lücke hat nun Tobias Sattler, Executive Advisor und in verschiedenen Funktionen für die Internet-Verwaltung ICANN tätig, in einem Feldexperiment geschlossen; die Ergebnisse hat er in einer Forschungsarbeit mit dem Titel WHOIS Data Redaction and its Impact on Unsolicited Emails: A Field Experiment veröffentlicht. Im Mittelpunkt steht die Frage, ob der seit 2018 stark eingeschränkte Zugriff auf WHOIS-Daten verbreitete Missbrauchspraktiken wie Spam, Phishing-Versuche und andere unerwünschte Informationsflüsse eindämmt – oder ob Spammer ihre Taktiken lediglich anpassen mussten.

Sattler registrierte im Juli und August 2022 insgesamt 66 Domains unter generischer Top Level Domain, die nach dem Zufallsprinzip mit einem Skript generiert wurden, das unterschiedliche, nicht identifizierbare Zeichenfolgen erzeugte, um erkennbare Muster oder Schlüsselwörter zu vermeiden, die die Aufmerksamkeit von Adressensammlern auf sich ziehen könnten. Um Vielfalt zu gewährleisten, wurden diese Domains auf drei generische Top Level Domains (.com, .xyz und .shop) verteilt und über elf verschiedene Registrare registriert. Bei der Hälfte der Domains waren die Registrierungsdaten öffentlich, bei der anderen Hälfte wurden die Daten entweder von der Registry oder vom Registrar in Übereinstimmung mit der DSGVO unkenntlich gemacht. Um eine einheitliche Datenerfassung zu gewährleisten, hat Sattler für jede Domain eindeutige eMail-Adressen eingerichtet und sie systematisch über ein Jahr hinweg, von Juli 2022 bis Juni 2023, überwacht. Als unerwünscht klassifiziert das Experiment schließlich alle kommerziellen, werblichen oder potenziell bösartigen eMails, die der Domain-Inhaber nicht ausdrücklich angefordert hatte. Letztlich gingen 788 eMails ein, davon 425 in der Kategorie 3, in dem Experiment mit „Spam“ bezeichnet. Die Ergebnisse bestätigen das Vorurteil, verlangen jedoch nach Differenzierung:

Our results revealed that, on average, domains with publicly disclosed contact information received 19,7 total emails per domain, compared to a mean of 4,2 for domains with undisclosed details. When focusing specifically on spam emails, domains with publicly disclosed contact information received 12,76 per domain, compared to only 0.12 for domains with undisclosed details.

Dabei wurde offensichtlich, dass .com-Domains deutlich mehr Spam-eMails anziehen als andere Domain-Endungen.

Sattler zeigt in seiner Forschungsarbeit insgesamt erhebliche Unterschiede in Abhängigkeit von den veröffentlichten Domain-Registrierungsdaten, der ausgewählten Top Level Domain und dem zuständigen Domain-Registrar auf. Diese Ergebnisse unterstreichen die Notwendigkeit einer sorgfältigen Überlegung bei der Registrierung von Domains. Zugleich versteht Sattler sie als Einladung zum Dialog über die Forschung zu der sich entwickelnden Dynamik der Internet-Governance und des Domain Name Managements:

By understanding how data redaction influences communication channels, we can better evaluate current policies and anticipate future trends.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht, oder weitergegeben.
Bitte füllen Sie die gekennzeichneten Felder aus.*

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Mit Bestellung des Domain-Recht Newsletter willigen Sie darin ein, dass wir Ihre Daten (Name und E-Mail-Adresse) zum Zweck des Newsletterversandes in unseren Account bei der Optimizly GmbH (vormals Episerver GmbH), Wallstraße 16, 10179 Berlin übertragen. Rechtsgrundlage dieser Übermittlung ist Artikel 6 Absatz 1 Buchstabe a) der Europäischen Datenschutzgrundverordnung (DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie am Ende jedes Domain-Recht Newsletters auf den entsprechenden Link unter "Newsletter abbestellen? Bitte einfach hier klicken:" klicken.

Top