Cyber-Betrüger nutzen häufig den Ruf etablierter Händler aus, indem sie täuschend echte Domains verwenden und können damit Verbraucher:innen in die Irre führen. Fake-Shops sind oft nur für kurze Zeit erreichbar. So zeigt der FBI Internet Crime Report von 2022, dass Online-Betrug durch Fake-Shops zu einem der meistverübten Cyber-Verbrechen gehört. Die Verbraucherzentrale Hamburg etwa sammelt Beispiele in einer Fake-Shop-Liste.
Viele Kombinationen
So wurde beispielsweise der Onlineshop für Trachtenmode „Ludwig & Therese” aus München fast eins zu eins kopiert. Ein weiteres Beispiel ist der Online-Handelsriese „Otto“. Die Hauptdomain dieses bekannten Einzelhändlers lautet otto.de. Jedoch gibt es, wie bei vielen großen Marken, zahlreiche Domainnamen, die versuchen, von der Popularität und Vertrauenswürdigkeit der Plattform zu profitieren. So könnten Domains wie otto-shop.de (in diesem Fall eine gesicherte Domain), otto-angebote.de oder ott0.de (mit einer Null statt einem „o“) existieren.
Folgendes Szenario ist denkbar: Ein Kunde oder eine Kundin möchte ein neues Sofa kaufen und landet auf otto-angebote.de, in der Annahme, es handle sich um die Website von Otto. Auf dieser falschen Seite könnten gefälschte oder minderwertige Produkte zu überhöhten Preisen angeboten werden. Oder die Daten der Kundschaft könnten für illegale Zwecke missbraucht werden. Ein solcher Vorfall führt nicht nur zu finanziellen Verlusten für Verbraucher:innen, sondern beschädigt auch das Vertrauen in den eigentlichen Onlineshop von Otto.
Häufig stoßen die traditionellen Schutzmechanismen für Domains in der komplexen digitalen Landschaft an ihre Grenzen. Bei der hohen Zahl möglicher Domain-Endungen ist es fast unmöglich, jede mögliche Kombination, in Form einer defensiven Strategie, zu registrieren. Zudem sind viele Fake-Shops so überzeugend gestaltet, dass sie selbst für den aufmerksamen Betrachter schwer von legitimen Seiten zu unterscheiden sind.
Erfassen und beobachten
Zunächst sollten Händler eine gründliche Domain-Inventur durchführen, um einen klaren Überblick über alle registrierten Domains zu gewinnen, einschließlich ihrer Inhaber, Registrare und anderer wichtiger Details. Dabei liegt besonderes Augenmerk auf Domains, die möglicherweise im Auftrag des Händlers von externen Partnern registriert wurden. Ein weiterer Schritt ist das systematische Domain-Monitoring. Hierbei werden Schlüsselbegriffe, wie Shop-Name, Produktbezeichnungen, Markennamen oder spezielle Angebote überwacht. Sobald eine neue Domain registriert wird, die einen dieser Begriffe nutzt, erhält das Unternehmen eine Benachrichtigung.
Ein Schritt voraus
Schlägt das Monitoring Alarm und die Verantwortlichen stellen fest, dass eine Domain betrügerisch erscheint, ist schnelles Handeln gefragt: Es sollte sofort Kontakt zum Registrar aufgenommen und über rechtliche Maßnahmen nachgedacht werden. Von entscheidender Bedeutung ist es, Kund:innen proaktiv über Fake-Shops oder weitere Betrugsfälle aufzuklären. Nach der Domainregistrierung können Betrüger Fake-Shops sehr schnell in Nutzung bringen. Das verstärkt die Dringlichkeit, verdächtige Domainregistrierungen rechtzeitig zu identifizieren.
Tatsächlich aber erfahren Händler oft erst verzögert und zufällig von neuen Domains mit Fake-Shops – beispielsweise durch Meldungen von Kund:innen. Dies führt dazu, dass die notwendigen Gegenmaßnahmen verspätet eingeleitet werden. Sobald eine möglicherweise problematische Domain entdeckt wird, sollte Kontakt mit dem Registrar, der die Domain hostet, aufgenommen werden, um die Erreichbarkeit der Domain zu unterbinden.
Im Falle einer Markenrechtsverletzung ist gegebenenfalls ein sogenannter „Alternative Dispute Resolution Process” notwendig. Das Ziel dieser Verfahren ist es, die Domain in den Besitz des rechtmäßigen Eigentümers zu übertragen (UDRP-Verfahren), beziehungsweise die (unrechtmäßige) Nutzung zu verhindern. Für einen effektiven Schutz gegen Domain-Missbräuche empfiehlt sich eine enge innerbetriebliche Zusammenarbeit von Marketing, Legal, IT und anderen Abteilungen.
Gastautor Maximilian Burianek ist seit 2020 CEO der United Domains AG und hat 15 Jahre Erfahrung als Strategieberater und Manager in Technologieunternehmen.