Cyberkriminelle nutzen heute raffinierte Techniken wie Typosquatting, Fast-Flux und saisonale Angriffsmuster, am Anfang vieler ihrer Aktivitäten stehen aber oft Internet-Domains die für illegale oder schädliche Aktivitäten missbraucht werden. Domain-Takedowns sind deshalb unverzichtbar im Kampf gegen Cybercrime, aber Prozess ist komplex.
IT-Sicherheitsexperten liefern durch forensische Analysen präzise technische Beweise und stärken durch gezielte Zusammenarbeit mit Domain-Providern und Strafverfolgungsbehörden die Wirksamkeit von Domain-Takedowns gegen Cyberkriminelle.
(Bild: Dall-E / KI-generiert)
„Takedowns“ sorgen immer wieder für Schlagzeilen in der IT-Sicherheitsbranche, so auch Domain-Takedowns, bei denen eine Internet-Domain deaktiviert wird, die für illegale oder schädliche Aktivitäten missbraucht wurde. Bei diesen handelt es sich um Phishing-Angriffe, die Verbreitung von Malware, Urheberrechtsverletzungen oder andere Formen der Cyberkriminalität. Häufig wird die Wirksamkeit von Takedowns in Frage gestellt. In vielen Fällen sind sie allerdings alternativlos, weil sich nur so z.B. Schaden von einer Marke abwenden lässt oder eine auch nur mittelfristige Behinderung einer Cyberkriminellengruppe immer noch besser ist, als diese gewähren zu lassen. Tatsächlich sind Takedowns ein wichtiges Tool im Werkzeugkasten IT-Sicherheitsverantwortlicher. Darum gilt es für sie, zu wissen, wie Cyberkriminelle sich illegal Domains sichern und wie Takedowns durchzuführen sind.
Die Taktiken der Cyberkriminellen bei der Registrierung und Nutzung von Domains entwickeln sich ständig weiter. Von einfachen Typosquatting-Methoden über komplexe dynamische DNS-Strukturen bis hin zu Fast-Flux-Techniken, bei denen die IP-Adresse einer Domain ständig geändert wird, um eine Rückverfolgung zu erschweren, zeigen die Angreifer ein hohes Maß an Anpassungsfähigkeit. Das Ausnutzen von Schwachstellen in den Registrierungsprozessen verschiedener Domain-Provider in Verbindung mit der Möglichkeit kostengünstiger Massenregistrierungen erlaubt es ihnen, auch nach erfolgreichen Takedowns schnell wieder aktiv zu werden. Häufig werden Domains präventiv registriert und erst später für Angriffe aktiviert, was die Überwachung und Früherkennung zusätzlich erschwert.
Ein weiteres wichtiges Merkmal der Bedrohungslandschaft sind saisonale Angriffsmuster. So beobachten Sicherheitsexperten zu bestimmten Zeiten wie Feiertagen oder Semesterbeginn eine Häufung von Angriffen, die sich beispielsweise gegen den Online-Handel oder Universitäten richten. Diese zeitlich koordinierten Kampagnen nutzen das erhöhte Online-Aufkommen und die damit verbundene Ablenkung der Nutzer aus. Die Angreifer setzen dabei auf Social Engineering und täuschend echt aussehende Phishing-Seiten, um an sensible Daten wie Login-Informationen oder Kreditkartendetails zu gelangen.
Umsetzung des Takedowns
Der Prozess eines Domain-Takedowns ist komplex und erfordert die Zusammenarbeit verschiedener Akteure. Eine gründliche forensische Untersuchung und die Sammlung stichhaltiger Beweise sind entscheidend für den Erfolg eines Takedown-Antrags. Die Anforderungen an die Beweisführung sind je nach Domain-Registrar und Gerichtsbarkeit sehr unterschiedlich. Während einige Provider schnell und unkompliziert auf Takedown-Anfragen reagieren, stellen andere hohe Anforderungen an die Dokumentation der missbräuchlichen Aktivitäten.
Der Takedown-Prozess unterscheidet sich wesentlich zwischen Markenrechtsverletzungen und aktiv schädigenden Domains. Bei Markenrechtsverletzungen, wie der Registrierung einer Domain mit geringfügigen Abweichungen von einem bekannten Firmennamen, sind oft rechtliche Schritte notwendig. Im Gegensatz dazu können bei nachweislich schädlichen Aktivitäten wie Phishing oder der Verbreitung von Malware direktere Maßnahmen ergriffen werden. In beiden Fällen müssen die Beweise stichhaltig sein und können Screenshots der Phishing-Seite, E-Mail-Header, Malware-Proben und andere forensische Artefakte umfassen. Die Dokumentation technischer Details wie IP-Adressen, Nameserver und Hosting-Provider ist ebenfalls wichtig, um die Verbindung zwischen der Domain und den schädlichen Aktivitäten nachzuweisen.
Spezialisten einbeziehen
Der Aufbau und die Pflege von Beziehungen zu Domain-Registraren und anderen Diensteanbietern sind für eine effektive Takedown-Strategie unerlässlich. Diese Beziehungen ermöglichen eine schnellere Bearbeitung von Takedown-Anfragen und verkürzen die Reaktionszeiten. Es ist wichtig, die spezifischen Anforderungen und Prozesse der verschiedenen Anbieter zu kennen und die Kommunikation entsprechend anzupassen. Die Bereitstellung vollständiger und präziser Informationen, die den Anforderungen des jeweiligen Providers entsprechen, erhöht die Wahrscheinlichkeit eines erfolgreichen Takedowns.
Für Unternehmen, die ihre Domains schützen wollen, ist eine mehrdimensionale Sicherheitsstrategie unerlässlich, die sowohl präventive als auch reaktive Elemente enthält. Ein kontinuierliches Domain-Monitoring, die defensive Registrierung ähnlicher Domains und die Schulung der Mitarbeitenden im Umgang mit Phishing-E-Mails sind wichtige Bestandteile einer solchen Strategie. Kleine und mittlere Unternehmen sind besonders anfällig für Cyber-Angriffe, weil sie oft über weniger Ressourcen für Cyber-Sicherheit verfügen. Ein einziger erfolgreicher Phishing-Angriff kann für sie verheerende Folgen haben und zu erheblichen finanziellen Verlusten oder dem Verlust von Kundendaten führen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wichtig und wertvoll
Die zunehmende Verbreitung von Cyberkriminalität und die ständige Weiterentwicklung der Angriffsmethoden machen Domain-Takedowns zu einem immer wichtigeren Instrument im Kampf gegen Cyberbedrohungen. Die Fähigkeit, schnell und effektiv auf neue Bedrohungen zu reagieren und gleichzeitig proaktive Schutzmaßnahmen zu implementieren, wird zu einem entscheidenden Erfolgsfaktor für Unternehmen. Die kontinuierliche Weiterentwicklung von Abwehrstrategien und -prozessen, insbesondere vor dem Hintergrund sich verändernder Bedrohungslagen wie KI-gestützter Angriffe, bleibt eine zentrale Herausforderung für die gesamte Cybersicherheitsgemeinschaft. Die Zusammenarbeit zwischen Sicherheitsforschern, Strafverfolgungsbehörden und Domainregistrierungsstellen ist entscheidend, um die Wirksamkeit von Takedowns zu erhöhen und die Sicherheit im Internet zu verbessern.
Über den Autor: Daniel Blackford ist Threat Director bei Proofpoint.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/79/fe/79fe75dae59bb698825be262783993e4/0122790202v4.jpeg "Die zwei größten Cybercrime-Foren „nulled.to“ und „cracked.io“, auf denen über zehn Millionen Nutzer aktiv waren, wurden offline genommen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/45/fa453919b79bad30fd52fd9a4deee37e/0118829457v3.jpeg "Das FBI hat den Betreiber eines Botnetzwerks verhaftet das seit über zehn Jahren aktiv war. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/63/f363b9767b643fe982c2b74f69a23525/0116738222.jpeg "Die Hackergruppe APT-28 hat im In- und Ausland eine Vielzahl an Routern übernommen und diese internationale Infrastruktur in den vergangenen zwei Jahren auch für Spionageangriffe auf deutsche Ziele verwendet. (Bild: beebright - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/ba/46ba5fbee6f3cb28ac7bc4e640ff0c17/0122153723v2.jpeg "Gemeinsam mit 15 anderen Ländern ist dem BKA ein großer Schlag gegen kriminelle DDoS-Plattformen gelungen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/58/8258f77602765b44d67c3a2130f4aefd/0127117122v1.jpeg "DNS-Datenanalysen belegen, dass Vane Viper in etwa 50 Prozent der Kundennetzwerke von Infoblox sichtbar ist. (Bild: © Gold - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/bb/fcbb735b3e294352a45edfb698a02b52/0124445162v2.jpeg "LummaStealer zeigt: Cyberkriminalität hat dank Malware-as-a-Service (MaaS) das Potenzial, zum Geschäft für jedermann zu werden. (Bild: peterschreiber.media - stock.adobe.com)")