Welche Domain-Endungen werden am häufigsten zweckentfremdet? Katrin Ohlmer, Geschäftsführerin des Berliner Beratungsunternehmens DOTZON GmbH, hat für den Provider InterNetX untersucht, welche Top Level Domains aktuell am häufigsten Opfer von Domain Abuse sind.
Seit vielen Jahre veröffentlicht das gemeinnützige »Spamhaus Project« eine Liste der am meisten missbrauchten Top Level Domains. Dahinter steckt die Beobachtung, dass Cyberkriminelle bestimmte Domain-Endungen für ihre Taten bevorzugen, während sie andere eher meiden. So hat sich etwa die .org-Verwalterin Public Interest Registry (PIR) ganz besonders dem Ziel verschrieben, Missbrauch zu verhindern und dazu Anfang des Jahres 2021 das »DNS Abuse Institute« gegründet, das sich der Bekämpfung von Missbrauchspraktiken des Domain Name Systems (DNS) durch »malware, botnets, phishing, pharming, and spam« widmet. Katrin Ohlmer hat in ihrer Untersuchung nun einen anderen Ansatz gewählt. Viele Registries haben sich vertraglich verpflichtet, gegen missbräuchliche Aktivitäten vorzugehen; so hat etwa die .com-Registry VeriSign zugesagt, alles zu unternehmen, um Sicherheitsrisiken zu bekämpfen. Einige Registries haben hingegen lediglich freiwillige Absichtserklärungen abgegeben, während andere kaum oder gar nichts unternehmen. Ohlmer hat nun die Anzahl der Fälle von Domain Abuse in verschiedenen TLD-Kategorien analysiert. Dazu hat man mit dem 14. März 2023 einen Tag ausgewählt, an dem mit zwei Tools – Abusix und Phishtank – untersucht wurde, wie sich Missbrauch auf einzelne TLD-Kategorien verteilt. Während Abusix Mail Intelligence die Kategorien Spam, Malware und Phishing verfolgt, konzentriert sich Phishtank ausschließlich auf die Kategorie „Phishing“. Dabei hat sich in den Top Ten folgendes Bild ergeben:
| Top 10 Abusix | Top 10 Phishtank |
| .com | .com |
| .link | .app |
| .net | .co |
| .cn | .top |
| .top | .io |
| .tk | .net |
| .ru | .dev |
| .org | .ru |
| .club | .org |
| .xyz | .site |
Unter den Top 10 der Domains mit den meisten Fällen befinden sich damit jeweils drei gTLDs, drei ccTLDs sowie jeweils vier nTLDs. Blickt man lediglich auf gTLDs, führen sowohl bei Abusix als auch bei Phishtank .com, .net und .org das Feld an. Nach Einschätzung von Ohlmer verdeutlichen die Werte, dass gTLDs gleichermaßen für Domain Abuse genutzt werden. Weiter zeigt Ohlmer die einzelnen TLD-Kategorien in eigenen Listen mit jeweils sechs Positionen. Bei ccTLDs zeigt sich da kein einheitliches Bild, sieht man davon ab, dass die russische Länderendung .ru bei beiden Tools auf dem dritten Rang zu finden ist. Die Listen der nTLDs liefern interessante Ergebnisse. Obwohl sich die drei Endungen .top, .link und .xyz in den Top 6 beider nTLD-Listen (Abusix und Phishtank) wiederfinden, sind sie auf unterschiedlichen Positionen gelistet – daher im Ergebnis als konträr zu betrachten. Bei den .brands gab es keine Fälle von Domain Abuse zu verzeichnen. Die logische Erklärung: Nur Markeninhaber können Domains unter einer Marken-Endung registrieren – eine missbräuchliche Verwendung durch Dritte ist daher ausgeschlossen.
Im Ergebnis zeige sich, dass bestimmte TLDs häufiger Opfer von Domain Abuse werden. Als wichtigen Faktor hierfür identifiziert Ohlmer vor allem den Preis; Domains mit Gebühren im dreistelligen Bereich werden fast nie Opfer von Domain Abuse. Ist eine Top Level Domain nur für eine begrenzte Zielgruppe von Interesse, wie .bank, .gmbh oder geoTLDs, ist zudem Domain Abuse im Vergleich zu anderen TLD-Kategorien sehr gering. Sind Kriminelle ferner der Ansicht, es gebe kein Management für Domain Abuse, weiten sie ihre illegalen Aktivitäten unter einer Top Level Domain vermutlich aus; hier sind also die Registries gefragt. Die Betrachtung, die naturgemäß einen Ausschnitt aus einem sich stetig wandelnden Markt abbildet, kann gerade bei der Verwaltung von Domain-Portfolien wertvolle Hilfe leisten und Missbrauch verhindern helfen, bevor er entsteht.