Die Internet-Verwaltung ICANN warnt vor einem verzerrten Blick auf das Ausmaß von Missbrauch im Domain Name System (DNS). Grund dafür ist die starke Abhängigkeit von sogenannten Blocklisten – deren Qualität und Aussagekraft jedoch erheblich variieren können. In einer aktuellen Analyse zeigt ICANN auf, wie sich unterschiedliche Bewertungsmethoden auf die Wahrnehmung von DNS Abuse auswirken – und welche strukturellen Schwächen damit verbunden sind.

DNS Abuse: Ein klar definierter, aber eng gefasster Begriff

ICANN versteht unter DNS Abuse ausschließlich fünf konkrete Missbrauchsformen: Malware, Botnets, Phishing, Pharming sowie Spam – allerdings nur, wenn Spam zur Verbreitung der anderen vier genannten Bedrohungen dient. Diese Definition ist bewusst eng gehalten und unterscheidet sich von allgemeineren Vorstellungen digitalen Missbrauchs, etwa in Form betrügerischer Inhalte, Markenrechtsverletzungen oder Desinformation.

Blocklisten als Bewertungsinstrument – mit methodischen Schwächen

In der Praxis werden Bedrohungen im DNS-Umfeld häufig über sogenannte Reputations-Blocklisten (RBLs) identifiziert. Diese Listen führen Domain-Namen oder IP-Adressen auf, die mit konkreten Missbrauchsfällen in Verbindung stehen. Dabei unterscheidet ICANN im Wesentlichen zwischen zwei Arten von Blocklisten:

• Offene RBLs, meist von gemeinnützigen Projekten oder Communitys gepflegt, basieren auf Meldungen von Nutzer:innen und sind transparent dokumentiert. Ihre Reichweite ist jedoch oft begrenzt, und sie können relevante Missbrauchsfälle übersehen.
• Kommerzielle RBLs werden von spezialisierten Sicherheitsanbietern betrieben. Sie greifen auf proprietäre Datenquellen, automatisierte Analysesysteme und Netzwerkinfrastrukturen zurück, wodurch sie schneller auf neue Bedrohungen reagieren können. Allerdings ist ihre Methodik nicht öffentlich einsehbar, und auch hier besteht die Gefahr von blinden Flecken – beispielsweise, wenn Bedrohungen außerhalb der eigenen Kundenbasis nicht erfasst werden.

ICANN: Vergleich zeigt große Unterschiede in der Bewertung

Ein konkreter Vergleich zwischen offenen und kommerziellen RBLs zeigt: Die Einschätzung, wie stark eine bestimmte Top-Level-Domain (TLD) von Missbrauch betroffen ist, kann erheblich voneinander abweichen. Ohne konkrete TLDs zu nennen, dokumentiert ICANN folgende Platzierungen in einer tabellarischen Gegenüberstellung:

Diese Differenzen zeigen: Wird eine TLD ausschließlich anhand einer einzelnen Blockliste bewertet, kann das tatsächliche Missbrauchsaufkommen deutlich unter- oder überschätzt werden. Das gilt insbesondere für Phishing-Kampagnen, die gezielt und technisch ausgefeilt sind und daher in offenen Listen seltener erfasst werden – aber auch für massenhaft registrierte Domains, die opportunistischen Angriffen ausgesetzt sind und auf offenen RBLs überrepräsentiert erscheinen können.

Konsequenzen für die Missbrauchsanalyse

Die Wahl der Datenquelle beeinflusst direkt die Schlussfolgerungen, die Regulierungsbehörden, Registrare, Sicherheitsexperten und andere Akteure aus Missbrauchsstatistiken ziehen. Eine eingeschränkte Sicht auf DNS Abuse kann:

• die Effektivität von Gegenmaßnahmen reduzieren,
• das Risiko falsch priorisierter Ressourcenverteilung erhöhen,
• das Ansehen einzelner Domain-Endungen oder Registrare ungerechtfertigt beeinträchtigen.

ICANN empfiehlt einen mehrdimensionalen Ansatz

Um dieser Verzerrung entgegenzuwirken, spricht sich ICANN für einen sogenannten Multi-Source-Ansatz aus: Die Kombination mehrerer, methodisch unterschiedlicher Blocklisten soll ein vollständigeres Bild liefern und damit die Entscheidungsgrundlage verbessern. Nur so lassen sich die strukturellen Schwächen einzelner Quellen ausgleichen und blinde Flecken vermeiden.

Carlos Hernandez Ganan aus dem Büro des ICANN Chief Technology Officers formuliert es so:

„Only by acknowledging and addressing these blind spots can we build a more accurate, actionable view of the DNS Abuse landscape – and ensure that our metrics and responses truly reflect reality.“

„Nur wenn wir diese blinden Flecken anerkennen und angehen, können wir ein genaueres und handlungsrelevanteres Bild des DNS-Missbrauchs erhalten – und sicherstellen, dass unsere Messwerte und Reaktionen tatsächlich der Realität entsprechen.“

Fazit

Die aktuelle Analyse von ICANN unterstreicht, wie wichtig eine differenzierte Betrachtung beim Thema DNS Abuse ist. Blocklisten sind ein unverzichtbares Instrument zur Erkennung von Missbrauch, doch ihre Aussagekraft ist stets vom methodischen Rahmen abhängig. Wer sich allein auf eine Datenquelle verlässt, riskiert, relevante Bedrohungen zu übersehen – oder Fehlalarme auszulösen. Ein strukturierter, datenquellenübergreifender Ansatz bietet hier die deutlich belastbarere Grundlage für eine wirksame Abwehrstrategie.

Wer sich tiefer mit den Quellen zur Erkennung von DNS Abuse befassen möchte, findet hier eine Auswahl relevanter Blocklisten und Reputationsdienste – teils offen verfügbar, teils kommerziell lizenziert:

Offene / frei zugängliche Blocklisten

Diese werden meist von Non-Profit-Organisationen, Forschungseinrichtungen oder freiwilligen Communities betrieben:

Abuse.ch

• Website: https://abuse.ch
• Spezialisiert auf Malware-Domains (z. B. URLhaus, Feodo Tracker, ThreatFox)
• APIs verfügbar

Spamhaus DROP / EDROP / Zen

• Website: https://www.spamhaus.org/drop/
• Enthält IPs und Domains mit „bad reputation“
• Teilweise frei nutzbar, teilweise nur mit Registrierung

SURBL (Spam URI Realtime Blocklists)

• Website: https://www.surbl.org
• Listet Domains, die in Spam-Nachrichten auftauchen
• Nutzung über DNS-Abfrage möglich

Phishtank (OpenDNS/Cisco)

• Website: https://phishtank.org
• Community-basierte Sammlung verifizierter Phishing-Websites
• Freier Zugriff via Web-Interface oder API

URLhaus (Teil von Abuse.ch)

• Website: https://urlhaus.abuse.ch
• Konzentriert sich auf Malware-URLs
• Frei verfügbar, auch als CSV und JSON

Kommerzielle Blocklisten / Threat Intelligence Services

Diese bieten oft tiefere Analysen, maschinelles Lernen, Echtzeitdaten und Infrastrukturintegration. In der Regel ist ein Vertrag, API-Zugang oder eine Lizenz erforderlich.

Google Safe Browsing

• Website: https://transparencyreport.google.com/safe-browsing
• Genutzt von Chrome, Firefox etc.
• API-Zugang kostenpflichtig bei hoher Nutzung (über GCP)

Spamhaus Intelligence Services

• Website: https://www.spamhaus.org/datafeed/
• Erweiterte kommerzielle Listen & API-Zugänge verfügbar

ThreatStop

• Website: https://www.threatstop.com
• Bietet DNS-basierte Bedrohungsabwehr mit eigenen RBLs

Cisco Talos Intelligence

• Website: https://talosintelligence.com
• Umfassende IP-, Domain- und URL-Analysen
• Kommerziell und in Cisco-Produkten integriert

Open Threat Exchange (OTX) von AlienVault / AT&T

• Website: https://otx.alienvault.com
• Mischung aus Open-Community und professionellen Feeds
• Kostenloser Zugang mit API-Schlüssel möglich

IBM X-Force Exchange

• Website: https://exchange.xforce.ibmcloud.com
• Bietet kommerzielle Bedrohungsdaten und Reputationslisten
• API-Zugang teilweise frei, erweiterte Funktionen kostenpflichtig