Take-Down einer Fake Webseite

Fake- und Phishing Webseiten wurden in den letzten Jahren zu einem immer grösseren Problem. Allein im Jahre 2021 wurden rund 214'345 Phishing-Webseiten weltweit gemeldet. In diesem Beitrag erfährst Du, welche Schritte einzuleiten sind, um erfolgreich einen Take-Down einer Webseite zu erwirken.

Was sind Fake- und Phishing Webseiten?

Als Fake- und Phishing Webseiten werden Webseiten auf dem Internet bezeichnet, die so gestaltet sind, dass Besucher dazu verleitet werden, vertrauliche Informationen preiszugeben, eine Form von Malware herunterzuladen oder Produkte zu kaufen, die nie ankommen werden.

Welche Stellen sind involviert?

Um die späteren Ausführungen zum Take-Down einer Webseite zu verstehen, muss zuerst klargestellt werden, welche Parteien im Verfahren involviert sind. In der nachfolgenden Übersicht werden die Parteien und ihre Rolle erklärt:

  • Domain Owner: Der Domain Owner ist der Inhaber der registrierten Webseite mit dem dazugehörenden Webseitenamen, die sogenannte Domain.

  • Hosting Provider: Als Hosting Provider versteht man die Partei, die Internet Hosting-Dienste betreibt und dafür den Domain Owner die notwendige Infrastruktur zur Verfügung stellt.

  • Registrar: Beim Registrar handelt es sich um eine akkreditierte Organisation, die eine Domain im Auftrag des Domain Owners bei der Registrierungsstelle registriert.

  • ICANN: Die ICANN stellt die Organisation dar, bei welcher die meisten Registrare akkreditiert sind und durch welche diese kontrolliert werden.

Welche Schritte musst Du einleiten?

Damit eine solche Webseite vom Netz verschwinden soll, müssen verschiedene Schritte unternommen werden. Im Folgenden wird Dir erklärt, was diese Schritte konkret beinhalten:

  1. Domain Owner und Registrar finden
    In einem ersten Schritt musst Du versuchen, den Namen des Domain Owners und den zuständigen Registrar ausfindig zu machen. Dies erfährst Du, indem Du den Webseitenamen HIER suchst.

  2. Missbrauchsmeldung beim Registrar
    In den meisten Fällen sind die Informationen über den Domain Owner nicht öffentlich zugänglich. In solchen Fällen muss direkt gegen den Registrar vorgegangen werden. Gemäss dem REGISTRAR ACCREDITATION AGREEMENT ist jeder Registrar verpflichtet, ein Missbrauchs-Formular auf seiner Webseite zur Verfügung zu stellen sowie angemessene und schnelle Schritte zu unternehmen, diese Missbrauchsmeldungen zu untersuchen und geeignet zu reagieren.

    Es empfiehlt sich folglich, dieses Missbrauchsformular auszufüllen und auf die Antwort des Registrars zu warten. Nur so ist eine spätere Meldung bei ICANN möglich.

  3. Missbrauchsmeldung beim Hosting Provider
    In den meisten Fällen ist der Registrar auch der Hosting-Provider. Handelt es sich beim Registrar nicht um den Hosting Provider, muss auch bei diesem eine Missbrauchsmeldung eingereicht werden. Wer der Hosting Provider ist, findest Du HIER, indem Du wiederum den Webseite Namen im Suchfeld eingibst.

  4. Missbrauchsmeldung bei ICANN
    Wenn der Registrar der Domain nicht in angemessener Frist – ca. in 7 Tagen – auf Deine Missbrauchsmeldung reagiert oder keine Möglichkeit für eine solche Meldung vorsieht, solltest Du bei ICANN eine Meldung einreichen.

    Die meisten Registrare sind Teil des REGISTRAR ACCREDITATION AGREEMENT und bei der ICANN akkreditiert, weswegen ICANN bei Missbräuchen durch den Registrar eingreifen kann und dadurch eine wichtige Rolle im Prozess zur Löschung einer Fake- und Phishing Webseite spielt.

    Den Link für eine entsprechende Meldung findest Du HIER.

  5. De-Indexing der Webseite
    Weiter kann bei den verschiedenen Suchmaschinen (Google, Firefox etc.) verlangt werden, dass die Webseite nicht mehr in den Suchresultaten auftauchen soll. Eine solche Meldung muss wiederum bei jeder Suchmaschine Einzel gemeldet werden.

  6. Meldung an die APWG und CERT
    Eine weitere Möglichkeit besteht darin, die Webseite bei den Organisationen APWG und CERT zu melden. Eine solche Meldung unterstützt den Take-Down der Domain, da die betreffende Webseite in eine Datenbank von Phishing Webseiten aufgenommen wird. Die Missbrauchsmeldung muss an folgende zwei E-Mail Adressen gesendet werden:

  • PHISHING-REPORT@US-CERT.GOV

  • REPORTPHISHING@APWG.ORG

  1. Kostenpflichtige Take-Down Dienste
    Wenn die eigenen Bemühungen zu keinem Erfolg geführt haben, kann einer der kostenpflichtigen Take-Down Dienste, wie z.B. netcraft, in Anspruch genommen werden. Aufgrund ihrer langjährigen Erfahrung sowie den guten Verbindungen zu der Hosting Provider- und Registrarenbranche stehen die Chancen gut, dadurch einen Take-Down der besagten Fake- und Phishing Webseite zu erwirken.Gegen den Take-Down Service sprechen aber die relativ hohen Kosten. Um die Dienste von netcraft in Anspruch zu nehmen, muss mit Kosten von mindestens CHF 2’500.00 gerechnet werden. Die dadurch gekaufte Dienstleistung umfasst insgesamt 10 Take-Downs und ist für ein Kalenderjahr gültig. Somit ist fraglich, ob es sich für einen einzelnen Take-Down auf finanzieller Ebene lohnt, die Dienstleistung von netcraft zu beanspruchen.

    Den Link zur Kontaktaufnahme mit netcraft findest du HIER.

  2. Meldung bei der Cyberabteilung der Kantonspolizei
    Je nach Art der Fake- und Phishing Webseite kann als letzte Möglichkeit eine Anzeige bei der zuständigen Cyberabteilung der Kantonpolizei erstatten werden. Gerade bei Fake- und Phishing Webseiten, bei welchen ein Betrug im Sinne von ART. 146 STGB im Vordergrund steht, ist eine solche Anzeige zu empfehlen, da diese Straftat von den Strafbehörden von Amtes wegen verfolgt werden muss.

Fazit

Zusammengefasst ist das Verfahren rund um den Take-Down einer Fake- und Phishing Webseite relativ aufwendig und zeitintensiv. Um einen erfolgreichen Take-Down zu bewirken, sind aber nicht in jedem Fall alle beschriebenen Schritte notwendig. Werden aber alle Schritte entsprechend den Ausführungen durchgeführt, ist in den allermeisten Fällen mit dem Take-Down der Webseite zu rechnen.

Mehr Informationen zum Thema Datenschutz.

Datenschutz

KI-Dienste: Haftung, Verträge, Datenschutz und Co.

Datenschutz

1 Jahr neues Datenschutzgesetz

Datenschutz

Google Consent – Kommt die Pflicht zum Cookie-Banner?

Arbeitsrecht

Homeoffice IV

Baurecht

Virtuelle ZEV und lokale Elektrizitätsgemeinschaften (LEG)

Fachbeiträge

Die Anti-Dilution-Klausel

optional
optional
optional