DNS Abuse umfasst gezielte Angriffe wie Malware, Botnets, Phishing, Pharming und Spam, wenn dieser zur Verbreitung der anderen Bedrohungen dient. Die Internet-Verwaltung ICANN warnt vor einem verzerrten Bild des Ausmaßes von Missbrauch im Domain Name System (DNS), das durch die ausschließliche Nutzung einzelner Blocklisten entsteht. In dieser Analyse erfährst du, warum ein Multi-Source-Ansatz entscheidend ist, um DNS Abuse realistisch und umfassend zu bewerten.

Was ICANN unter DNS Abuse versteht – und was nicht

Die Definition von DNS Abuse bei ICANN ist bewusst eng gefasst. Sie umfasst ausschließlich folgende fünf Missbrauchsformen:

• Malware
• Botnets
• Phishing
• Pharming
• Spam, aber nur wenn dieser zur Verbreitung der anderen genannten Bedrohungen dient

Andere Formen von digitalem Missbrauch, wie betrügerische Inhalte, Markenrechtsverletzungen oder Desinformation, fallen nicht darunter. Diese klare Abgrenzung sorgt für eine präzise Bewertung, schränkt aber auch die Sicht auf das Gesamtproblem ein.

Blocklisten im DNS-Umfeld: Offene vs. kommerzielle Ansätze

Zur Erkennung von DNS Abuse werden sogenannte Reputations-Blocklisten (RBLs) genutzt, die Domains oder IP-Adressen mit Missbrauch in Verbindung bringen. ICANN unterscheidet dabei zwei Haupttypen:

Offene RBLs

• Meist von Non-Profit-Projekten oder Communitys betrieben
• Transparent, basieren auf Nutzer-Meldungen
• Reichweite begrenzt, oft mit blinden Flecken

Kommerzielle RBLs

• Von spezialisierten Sicherheitsanbietern
• Nutzt proprietäre Datenquellen und automatisierte Analysen
• Schnelle Erkennung neuer Bedrohungen, aber Methodik meist nicht öffentlich
• Risiko, dass bestimmte Bedrohungen außerhalb eigener Kundenbasis nicht erfasst werden

Analyseergebnisse: Große Unterschiede zwischen Datenquellen

Ein konkreter Vergleich zwischen offenen und kommerziellen RBLs zeigt: Die Einschätzung, wie stark eine bestimmte Top-Level-Domain (TLD) von Missbrauch betroffen ist, kann erheblich voneinander abweichen. Ohne konkrete TLDs zu nennen, dokumentiert ICANN folgende Platzierungen in einer tabellarischen Gegenüberstellung:

Diese Diskrepanzen verdeutlichen: Eine Bewertung, die nur auf einer einzelnen Blockliste basiert, kann das tatsächliche Ausmaß von DNS Abuse deutlich unter- oder überschätzen. Besonders technisch ausgefeilte Phishing-Angriffe sind oft nur in kommerziellen Listen zu finden, während opportunistische Angriffe in offenen RBLs überrepräsentiert sein können.

Konsequenzen für die Missbrauchsanalyse im DNS

Die Wahl der Blockliste beeinflusst maßgeblich:

• Die Effektivität von Gegenmaßnahmen gegen DNS Abuse
• Die Priorisierung von Ressourcen bei Registraren und Sicherheitsbehörden
• Das Ansehen einzelner Domain-Endungen und Registrare

Eine einseitige Sicht kann dazu führen, dass Maßnahmen nicht zielgerichtet sind oder falsche Verdächtigungen entstehen.

ICANNs Empfehlung: Multi-Source-Ansatz gegen blinde Flecken

ICANN rät deshalb dazu, mehrere methodisch unterschiedliche Blocklisten zu kombinieren. So lässt sich ein vollständigeres, realistischeres Bild des DNS Abuse zeichnen. Carlos Hernandez Ganan vom ICANN CTO Office bringt es auf den Punkt:

„Nur wenn wir diese blinden Flecken anerkennen und angehen, können wir ein genaueres und handlungsrelevanteres Bild des DNS-Missbrauchs erhalten – und sicherstellen, dass unsere Messwerte und Reaktionen tatsächlich der Realität entsprechen.“

Beispiele relevanter Blocklisten und Dienste

Offene / frei zugängliche Blocklisten

• Abuse.ch – spezialisiert auf Malware-Domains (z. B. URLhaus, Feodo Tracker)
• Spamhaus DROP / EDROP / Zen – enthält IPs und Domains mit schlechter Reputation
• SURBL – listet Domains, die in Spam-Nachrichten auftauchen
• Phishtank – Community-basierte Sammlung verifizierter Phishing-Websites
• URLhaus – fokussiert auf Malware-URLs

Kommerzielle Blocklisten / Threat Intelligence Services

• Google Safe Browsing – genutzt von Chrome, Firefox etc.
• Spamhaus Intelligence Services – erweiterte kommerzielle APIs
• ThreatStop – DNS-basierte Bedrohungsabwehr
• Cisco Talos Intelligence – umfassende IP-, Domain- und URL-Analysen
• Open Threat Exchange (OTX) – Mischung aus Open-Community und professionellen Feeds
• IBM X-Force Exchange – kommerzielle Bedrohungsdaten mit API-Zugang

Fazit: Nur mit Multi-Source-Analysen gelingt realistische DNS Abuse Bewertung

Blocklisten sind unverzichtbare Werkzeuge zur Erkennung von Missbrauch im DNS, ihre Aussagekraft hängt jedoch stark von der Methodik ab. Wer sich auf eine einzige Datenquelle verlässt, riskiert, relevante Bedrohungen zu übersehen oder Fehlalarme zu erzeugen. Ein strukturierter, datenquellenübergreifender Ansatz, wie ihn ICANN empfiehlt, bildet die beste Grundlage für effektive Abwehrstrategien gegen DNS Abuse.