DomainTools informiert in drei Blog-Artikeln unter dem Titel »Post-GDPR Security Investigations« über die Möglichkeiten, nach Anwendung der Datenschutzgrundverordnung (DSGVO) Domain-Missbrauch im Internet aufzuspüren. Nach Lektüre der drei Artikel, die letztlich auf ein umfangreicheres Whitepaper verweisen, wird deutlich, dass es auf die Inhaberdaten aus dem WHOIS gar nicht so sehr ankommt.
DomainTools ist ein führender Anbieter von WHOIS- und anderen DNS-Profildaten zur Anreicherung von Informationen über Onlinebedrohungen durch Missbrauchsakteure. In eigenem Interesse informiert DomainTools, das gerade wegen des Sammelns von WHOIS-Profilen bei Neuseelands .nz-Registry mit dieser im Streit liegt, über die Erfahrungen im Aufdecken von Domain-Missbrauch ein dreiviertel Jahr nach Anwendung der DSGVO. In der besagten Artikelserie geht Emily Hacker von DomainTools in den ersten beiden Blogbeiträgen auf einfache grundsätzliche Methoden ein, Domain-Missbräuchen auf die Spur zu kommen. Freilich nutzt sie dabei DomainTools-eigene Software und Datenbanken. Jedoch ist zur Recherche von Missbrauchskandidaten diese nicht zwingend notwendig, wenn auch sicher komfortabler als andere Methoden.
Als ersten Anhaltspunkt greift Hacker auf den mit DomainTools eigener Software generierten »Domain Risk Score« zurück, der zur weiteren Beobachtung führt. Die Software identifiziert problematische Domains. Die IP-Adresse einer Domain mit hohem »Domain Risk Score«, die selbst aber noch nicht zu Missbräuchen genutzt wurde, gibt, so Hacker, genügend Anhaltspunkte, wenn man sie mit anderen Domains, die unter der IP-Adresse zu finden und teilweise schon als Missbrauchskandidaten bekannt sind, verknüpft. Ein weiterer Betrachtungswinkel ist die Verknüpfung von Domains über ein SSL-Zertifikat. Ein zusätzliches Kriterium wäre das Registrierungsdatum, über das Verknüpfungen hergestellt werden können, gerade auch wenn die Domains bei vielen unterschiedlichen Registraren registriert wurden, um Spuren zu verwischen. Die nächste Stufe ist dann, über etwaige Inhalte unter den Domains weitere Verbindungen zu weiteren Domains herzustellen oder gar zum Inhaber selbst. Hacker stellt aber auch fest, dass nach wie vor das WHOIS im Hinblick auf Inhaberdaten Informationen bereitstellt, da Registries außerhalb der Europäischen Union sich nicht gezwungen sehen, die Forderungen der DSGVO umzusetzen. Ein Blick in WHOIS-Daten lohnt sich demnach immer noch. Hacker resümiert, dass die aufgrund der DSGVO reduzierten WHOIS-Daten die Informations- und Analyseprozesse nicht wirklich behindern.
Im dritten Teil der Artikelreihe gibt Ryan Weaver von DomainTools schließlich die finalen Tipps: Es gibt weitere öffentliche Quellen wie die OSINT (Open Source Intelligence) und Social Media-Plattformen, Foren, Fortbildungen und andere Veranstaltungen, wo und an denen man Kontakte knüpfen und sich austauschen kann. Insbesondere auf Twitter finde zwischen Sicherheitsexperten ein lebhafter Austausch statt. Weaver nennt abschließend einige solcher Quellen und verweist auf das vollständige Whitepaper »Post-GDPR Security Investigations«, das man nach Angabe zahlreicher (personenbezogener) Informationen herunterladen kann. Darüber hinaus gibt es freilich weitere Quellen, über die man Informationen über Domain, IP-Adressen, Host-Names und vieles mehr ziehen kann: robtex.com sei als eine Quelle dafür genannt.