FAKE-SHOPS - RELEVANTES VERBRAUCHER-PROBLEM IN DEUTSCHLAND - Verbraucherzentrale Brandenburg
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
FAKE-SHOPS – RELEVANTES VERBRAUCHER- PROBLEM IN DEUTSCHLAND Eine Untersuchung der Verbraucherzentrale n – August 2018
2 Inhaltsverzeichnis INHALT ABBILDUNGEN................................................................................................................................................................................ 2 ZUSAMMENFASSUNG................................................................................................................................................................. 4 1 ANLASS.................................................................................................................................................................................... 6 2 METHODISCHES VORGEHEN ........................................................................................................................................ 8 3 DER SCHADEN IST GROSS ............................................................................................................................................. 9 4 DIE SPITZE DES EISBERGS ...........................................................................................................................................11 5 BETROFFENE HABEN ES SCHWER...........................................................................................................................12 6 DÄNEMARK MACHT ES VOR.........................................................................................................................................14
3 Abbildungen ABBILDUNGEN 1 Anteil nicht gelieferter Ware und gewählte Zahlart 9 2 Indizien von Fake-Shops 10 3 Domainregistrierung über einen Registrar bei einer Registry ohne Identitätsprüfung 14 4 Domainregistrierung bei einer Registry ohne Identitätsprüfung 16 5 Domainregistrierung über einen Registrar mit Identitätsprüfung 17
4 Zusammenfassung
ZUSAMMENFASSUNG
In das Frühwarnnetzwerk der Verbraucher- DIE SPITZE DES EISBERGS: ÜBER EINE
zentralen gehen regelmäßig Verbraucherbe- MILLION FAKE-SHOPS ÜBER ABGEMEL-
schwerden zu Fake-Shops ein. Diese bieten DETE DOMAINS ERREICHBAR
Verbrauchern im Internet Kleidung, Schuhe, Mit Hilfe einer automatisierten Suchanfrage
Brillen, Schmuck und Luxusprodukte an – bei Google konnte eine hohe Zahl von URLs
jedoch nur zum Schein. Die bestellte Ware mit Fake-Shops identifiziert werden. Da es
wird nicht geliefert. Da die Bezahlung gegen sich bei den für die Fake-Shops verwendeten
Vorkasse erfolgt, sehen sich Verbraucher URLs häufig um abgemeldete Domains von
sowohl um Ware als auch Geld geprellt. Privatpersonen, Parteien und Vereinen han-
Damit können Verbraucher zum einen Opfer delt – vorrangig registriert auf einer „.de“-
von Fake-Shops werden. Zum anderen kön- Domain – verschärft sich das Problem der
nen ehemalige Domaininhaber, egal ob Verei- mangelnden Erreichbarkeit der Fake-Shop-
ne oder Privatpersonen, unbemerkt als ver- Betreiber für Verbraucher, um etwaige Rechts-
meintliche Betreiber von Fake-Shops auftreten ansprüche durchzusetzen zu können.
– mit drohenden rechtlichen Konsequenzen. BETROFFENE HABEN ES SCHWER: GE-
DER SCHADEN IST GROSS: HOHE ZAHL KÜNDIGTE DOMAINS ALS FAKE-SHOPS
BETROFFENER INTERNETKÄUFER GENUTZT
Wie eine repräsentative Umfrage unter den Der Fall des Allgemeinen Deutschen Fahrrad-
Internet-Nutzern in Deutschland im Juni 2018 Club e.V. (ADFC) zeigt exemplarisch, wie
ergab, muss bei über 4 Millionen Deutschen schwer es für Betroffene in Deutschland der-
von einem Betrug durch Fake-Shops ausge- zeit ist, eine von ihnen abgemeldete Domain,
gangen werden. Verbraucher, die sowohl um auf der ein Fake-Shop betrieben wird, vom
Ware als auch Geld geprellt wurden, be- aktuellen Domaininhaber löschen zu lassen.
schrieben jeweils mindestens noch ein weite- So musste auch der ADFC feststellen, dass
res Indiz, welches auf einen Fake-Shop hin- unter seiner früheren bereits gekündigten
weist. Hierbei handelte es sich wahlweise Domain plötzlich Waren der Marken Adidas
darum, dass keine Möglichkeit der Kontakt- und Oakwood angeboten wurden und die
aufnahme bestand, der Online-Shop kurze neuen Domaininhaber nicht greifbar waren.
Zeit später nicht mehr im Internet war, eine Die Löschung wäre mittels Rechtsstreit zwar
Zahlung nur mit Vorkasse möglich war bzw. möglich, würde jedoch aufgrund der falschen
die Artikel zu einem deutlich reduzierten Preis Adressangaben des derzeitigen Domaininha-
angeboten wurden. bers bei der Zustellung der Klage scheitern.
Von ihrer eigenen Möglichkeit der Kündigung5 Zusammenfassung
macht die zuständige DENIC im vorliegenden Dänemark macht es durch eine rechtlich ver-
Fall keinen Gebrauch. Im Ergebnis sind die pflichtete Identitätsprüfung am schwersten, eine
Fake-Shops nach wie vor unter den Domains Domain für einen Fake-Shop zu registrieren.
aktiv. Lag im November 2017 der Anteil von betrüge-
rischen Web-Shops an allen dänischen Web-
VORGEHEN DER DENIC GEFÄHRDET
seiten noch bei 6,7 Prozent, so sank er nach
VERBRAUCHER
Einführung der verschärften Identitätsprüfun-
Das praxisrelevante Beispiel mit dem ADFC
gen auf 1 Prozent2. Die DENIC führt hinge-
zeigt ein deutliches Defizit bei der Domain-
gen keinerlei Identitätsprüfung durch.
verwaltung in Deutschland: Mangels Identi-
tätsprüfung und erschwerter Löschung sei-
tens der DENIC ist Betroffenen eine Rechts-
verfolgung sowie -durchsetzung nahezu un-
möglich. Dieses hat zur Folge, dass unter den
aktuellen Bedingungen der Registrierung und
Löschung von Domains in Deutschland jeder
Verbraucher sowohl als Käufer als auch als
ehemaliger privater Domainbetreiber geschä-
digt werden kann. Die Chancen, sich zur
Wehr zu setzen, sind dabei gering.
DÄNEMARK MACHT ES VOR: IDENTI-
TÄTSPRÜFUNG VERHINDERT MISS-
BRAUCH
Die Praxis in anderen europäischen Ländern
zeigt, dass durch bestimmte Prozesse der An-
teil betrügerischer Online-Shops deutlich ein-
geschränkt werden kann. Ein Vergleich sechs
ausgewählter Domain-Registrierungsprozesse
in Europa zeigt: Es gibt unterschiedliche Ansät-
ze zur Verhinderung von Missbrauch bei der
Registrierung von Domains. Die Registry1 in
2
Hostmaster DK (2018): Significantly fewer scam web shops in
the .dk zone, online im Internet: https://www.dk-
1
Ein Registry ist für die Vergabe und Verwaltung von Domain- hostmaster.dk/en/news/significantly-fewer-scam-web-shops-
Namen verantwortlich. dk-zone (Stand 21.06.2018).6 Anlass
Verbraucherbeschwerden zu Fake-Shops
1 ANLASS
ein. Seit Oktober 2015 liegen mit Stand Juli
Bei Fake-Shops, „Schein-Shops“ oder auch 2018 insgesamt 421 Beschwerden aus 15
gefälschten Online-Shops handelt es sich um Bundesländern vor. Dabei ist das monatliche
3
betrügerische Internet-Verkaufsplattformen . Beschwerdeaufkommen konstant: Pro Monat
Auf diesen kann nur Ware bestellt und be- erhält das Brandenburger Marktwächter-
zahlt werden, eine Lieferung der Ware erfolgt Team zwischen 10 und 20 neue Meldungen.
nicht. Warengruppen wie Kleidung, Schuhe, Zwei Drittel (67 Prozent) der Verbraucher-
Brillen, Schmuck und Luxusprodukte sind meldungen zu Fake-Shops betreffen eine
besonders häufig betroffen. Fake-Shops las- .de-Domain.
sen sich auf den ersten Blick oftmals nur
UNTERSUCHUNGSGEGENSTAND
schwer von seriösen Anbietern unterschei-
den. Unterschiedliche Indizien liefern jedoch Untersuchungsgegenstand sind Fake-Shops –
einen Hinweis darauf, ob es sich um einen auch diese werden für Kunden, wie alle Web-
Fake-Shop handelt: seiten, immer über eine IP-Adresse erreicht.
Diese besteht aus einer Ziffernfolge und ist
Die dort angebotenen Waren, häufig alle
daher schwer zu merken. Daher wurden Do-
Produkte, werden oftmals mit einem deut-
lichen Preisnachlass beworben. main-Namen als Alias eingeführt. Sie bilden
Eine Vielfalt an Bezahlmöglichkeiten ist gemeinsam mit der jeweiligen Endung (bei-
nur Schein: Die Bezahlung ist meist nur spielsweise. „.de“, „.at“) die Domain4. So ist
per Vorkasse möglich. beispielsweise die Webseite der Marktwächter
Die Shops bieten keine direkte Kontakt- entweder über die IP-Adresse oder die Do-
möglichkeit an; oftmals fehlt auch ein Im- main marktwaechter.de erreichbar. Die Do-
pressum.
main-Namen werden in Deutschland von der
Teilweise sind die Shops nur kurze Zeit im DENIC (Registry für „.de“-Top-Level-Domain)
Internet auffindbar.
für eine oder mehrere Domain-Endungen ver-
Die Domainbezeichnungen der Shops geben und verwaltet5.
haben keinen Bezug zu den dort angebo-
tenen Produkten.
Im Rahmen des Frühwarnnetzwerkes der 4
DENIC (2018a): Informationen für Domainanmelder, online
im Internet: https://www.denic.de/fragen-antworten/faqs-fuer-
Verbraucherzentralen gehen regelmäßig domainanmelder/#faq-48 (Stand 21.06.2018)¸ nic.at (2018): /
Domain-Einsteiger, online im Internet: https://www.nic.at/de/so-
funktioniert-at/domain-einsteiger (Stand 21.06.2018); SWITCH
(2018a): Domain-Namen mit .ch und .li: Die Rolle von
SWITCH, online im Internet:
3 https://www.switch.ch/de/services/id/ (Stand 21.06.2018)..
Polizeiliches Kriminalprävention der Länder und des Bundes
5
(2018): Fake-Shops, online im Internet: https://www.polizei- DENIC (2018b): Allgemeine Informationen, online im Internet:
beratung.de/themen-und-tipps/gefahren-im-internet/e- https://www.denic.de/fragen-antworten/allgemeine-faqs/#faq-
commerce/fake-shops/ (Stand 12.06.2018). 90 (Stand 29.06.2018).7 Anlass
FRAGESTELLUNGEN
Nachfolgende Fragestellungen werden im
Rahmen des vorliegenden Berichtes beant-
wortet:
Ausmaß von Fake-Shops
Wie groß ist die Betroffenheit der Inter-
net-Käufer von Fake-Shops in Deutsch-
land?
Welche Dimension nehmen Fake-Shops
aktuell im Internet ein? Welche Domains
sind besonders betroffen?
Ursachen und Lösungswege
Welchen Problemen sehen sich Betroffe-
ne gegenüber?
Wie erfolgt die Registrierung eines
Domain-Namens, wie die Überprüfung
von (künftigen) Domain-Inhabern und
wie die Aufhebung bestehender Do-
main-Registrierungen bei der deut-
schen Vergabestelle von „.de“-Do-
mains DENIC?
Was zeigt ein Vergleich in diesem Zu-
sammenhang zu Einrichtungen weiterer
ausgewählter europäischer Länder?
Welche Ansätze ergeben sich, um das
Problem von Fake-Shops in Deutschland
zu verringern?8 Methodisches Vorgehen
Google durchgeführt, bei denen Kombinationen
2 METHODISCHES
spezifischer Bestandteile des bekannten Sei-
VORGEHEN tenquelltextes genutzt wurden. Die verwende-
VERBRAUCHERBEFRAGUNG ZUR BE- ten Bestandteile des Seitenquelltextes beinhal-
TROFFENHEIT VON FAKE-SHOPS teten Textabschnitte des Shops wie „Neue Arti-
Im Auftrag des Marktwächters Digitale Welt der kel im Juni“ als Teil des h2-Headers, hinterlegte
Verbraucherzentrale Brandenburg wurde durch Währungskürzel aus dem Warenkorbsystem
die forsa.main Marktinformationssysteme („USD“, „DKK“ etc.) sowie Skripte, wie bei-
GmbH eine Befragung zur Betroffenheit deut- spielsweise das jscript jquery-1.8.3.min.js. Die-
scher Internet-Käufer ab 18 Jahren von Fake- se Suchbegriffe wurden mit den Namen von
Shops durchgeführt. Die Untersuchung fand im Markenanbietern (wie Ray Ban, Adidas, Nike)
Erhebungszeitraum vom 08. bis 14.06.2018 kombiniert, die ein besonders hohes Be-
statt. Die Fragenkomplexe richteten sich an schwerdeaufkommen im Frühwarnnetzwerk der
folgende Einzelaspekte: Betroffenheit nicht Verbraucherzentralen zeigen. Alle so erfassten
gelieferter Ware trotz Bezahlung; Zahlungsart; URLs wurden im Anschluss auf Duplikate ge-
Rückerstattung der Zahlung; Indizien für Fake- prüft und bereinigt. Der Untersuchungszeitraum
Shops, wie reduzierte Preise, fehlendes Im- war der 18. bis 22.06.2018.
pressum, fehlende Kontaktmöglichkeit. Demo- FALLBEISPIEL
grafische Daten wurden zu Geschlecht, Alter,
Mittels qualitativer Fallstudie wurde ein Ver-
Region, Bildung, Haushaltsgröße und Haus-
braucherfall eines betroffenen ehemaligen Do-
haltsnettoeinkommen erhoben. Die finale Ge-
maininhabers dargestellt. Diese erfolgte auf der
samtstichprobe umfasste 1.088 Personen mit
Basis der Auswertung von Unterlagen und In-
einer statistischen Fehlertoleranz von +/- drei
formationen aus dem direkten Austausch.
Prozentpunkten. Die Erhebung erfolgte anhand
SEKUNDÄRANALYSE DER BESTEHEN-
eines strukturierten Fragebogens mittels com-
DEN PRAXIS AUSGEWÄHLTER DOMAIN-
putergestützter Webinterviews (CAWI) im Onli-
REGISTRIES
ne-Panel forsa.Omninet.
Mittels qualitativer Sekundäranalyse wurde der
SCHÄTZUNG ZU VORKOMMEN UND
Registrierungs-, Prüfungs- und Abmeldepro-
NUTZUNG AKTIVER FAKE-SHOPS
zess ausgewählter europäischer Registries
Zur Schätzung der Verbreitung aktiver Fake-
untersucht. Dies erfolgte für Dänemark,
Shops wurde exemplarisch ein Suchalgorith-
Deutschland, Irland, Niederlande, Österreich
mus verwendet. Dieser basierte auf den Merk-
und der Schweiz. Es wurden an alle Registries
malen eines bereits bekannten Fake-Shops.
Informationsersuche gestellt sowie jeweils eine
Auf dieser Basis wurden automatisierte Such-
Webseitenrecherche durchgeführt.
anfragen beim Suchmaschinendienstleister9 Der Schaden ist groß
Insbesondere bei Zahlung mittels Vorkasse
3 DER SCHADEN IST
erhielt die Mehrheit der Betroffenen (53 Pro-
GROß zent) ihr Geld vom Online-Händler nicht zurück.
Die Auswertung der repräsentativen Bevölke- Aber auch die Zahlung über Bezahldienstleister
rungsumfrage zeigt: Jeder vierte (26 Prozent) schützt nicht vor dieser Erfahrung: Ein Drittel
deutsche Internet-Käufer hat mindestens ein- (37 Prozent) der Befragten beklagt auch hier,
mal bestellte Ware nicht erhalten – obwohl die- dass das Geld nicht erstattet wurde.
se bereits bezahlt war. Der Nichterhalt der Wa-
Die um Ware und Geld geprellten Verbraucher
re kann jedoch nicht zwingend auf einen Fake-
bestätigen dabei mehrheitlich (80 Prozent)
Shop zurückgeführt werden. Wesentliches Indiz
mindestens eines der nachfolgenden Indizien
für einen Fake-Shop ist die Zahlungsart, vor-
für Fake-Shops. Drei Viertel (74 Prozent) kön-
nehmlich findet diese über Vorkasse statt.
nen ihrer Erfahrung sogar bis zu drei Indizien
40 Prozent der Befragten, die keine Ware er-
zuordnen. Allen voran beschreiben die Be-
halten haben, gaben an, per Vorkasse (Über-
troffenen, dass es ihnen nach Ausbleiben der
weisung/Kreditkarte) gezahlt zu haben (vgl.
Lieferung nicht möglich war, mit dem betreffen-
Abbildung 1). Die Mehrheit (54 Prozent) zahlte
den Online-Händler persönlich oder telefonisch
mittels eines Bezahldienstleisters wie PayPal,
in Kontakt zu treten (64 Prozent).
SOFORT Überweisung oder giropay.
ANTEIL NICHT GELIEFERTER WARE UND GEWÄHLTE ZAHLART
Ware wurde nicht geliefert? … nach Bezahlung mit:
k. A.;
1%
über einen Bezahldienstleister 54%
Nein; Ja; per Vorkasse 40%
73% 26%
per Rechnung 4%
Sonstige / Weiß nicht 1%
Anm.: n = 1.090 Internet-Käufer bzw. n = 279 Befragte, deren bezahlte Bestellung ausblieb.10 Der Schaden ist groß
Jeder Dritte beschreibt, dass der Online-Shop FAZIT
nach einiger Zeit im Internet nicht mehr auffind-
Mehr als fünf Millionen6 deutsche Verbraucher
bar war (34 Prozent), eine Zahlung nur mit Vor-
haben bei einem Internetkauf weder die bezahlte
kasse möglich war (32 Prozent) oder die Artikel
Ware noch eine Rückerstattung des Kaufbetrages
zu einem deutlich reduzierten Preis angeboten
erhalten. Fake-Shops sind dabei ein gewichtiges
wurden (29 Prozent). Einige Betroffene (7 Pro-
Problem: Bei über vier Millionen Betroffenen
zent) können sich an ein fehlendes Impressum
muss von einem Betrug durch Fake-Shops aus-
erinnern (vgl. Abbildung 2).
gegangen werden.
INDIZIEN FAKE-SHOPS
Ich konnte mit dem Verkäufer nicht direkt
64% 26% 10%
(persönlich/ telefonisch) in Kontakt treten.
Der Online-Shop war nach einiger Zeit nicht
34% 53% 13%
mehr auffindbar.
Zwar unterschiedliche Zahlungsarten, aber
letztendlich nur per Vorkasse (Überweisung/ 32% 42% 24%
Kreditkarte)
Alle Waren waren deutlich reduziert 29% 44% 24%
Der Online-Shop hatte kein Impressum. 7% 43% 48%
Trifft zu Trifft nicht zu Weiß nicht / kann ich nicht beantworten Keine Angabe
Anm.: n = 121 Befragte, deren bezahlte Bestellung ausblieb und die kein Geld vom Online-Händler zurück erhielten.
6
Hochrechnung aus der o.g. Marktwächter-Befragung (statisti-
sche Fehlertoleranz +/- 3 Prozentpunkte) in Verbindung mit der
Bevölkerungsfortschreibung des Statistischen Bundesamts per
31.12.2016 und der Internetnutzungshäufigkeiten aus dem
forsa-Mehrthemenbus.11 Die Spitze des Eisbergs
Kanzleien, Politikern und Partei-Ortsver-
4 DIE SPITZE DES
bänden. Allein für die untersuchten URLs
EISBERGS fanden sich jeweils 50 Fake-Shops auf ehe-
Neben der Befragung zur Betroffenheit wurde maligen Domains von FDP, CDU und Die
geprüft, wie die aktuelle Verbreitung aktiver Linke; URLs der SPD waren über 100 Mal
Fake-Shops in Internet einzuschätzen ist. Dies betroffen.
kann nur exemplarisch erfolgen. Mit Hilfe der in
Eine zusätzliche Analyse für 500 der ermittelten
der Methodik beschriebenen Vorgehensweise
Fake-Shops mit Hilfe des Dienstes SimilarWeb
konnten zum Stand 20.06.2018 mehr als 1 Mil-
zeigt, dass Besucher zu 70 Prozent ein mobiles
lion URLs7 identifiziert werden, unter denen
Endgerät zum Aufrufen der Seiten nutzten. Auf
Verbraucher Fake-Shops erreichen konnten.
den mobilen Seiten liegt der Fokus auf dem
Aufgrund der gewählten Suchanfrage sind die Bildmaterial und die Sichtbarkeit der Domain ist
über 1 Million ermittelten URLs mit Fake-Shops häufig eingeschränkt: Ein Erkennen der „un-
in Aufbau und Funktionsweise identisch. Sie passenden“ URL durch die Besucher ist damit
unterscheiden sich nur in Abwandlungen wie deutlich erschwert.
den angebotenen Marken und den verwende-
FAZIT
ten Fotos. Weitere Abwandlungen und Kombi-
Eine stichprobenartige Suchabfrage ergab über
nationen wurden in der gewählten Suchanfrage
eine Million URLs auf denen Fake-Shops Angebo-
nicht berücksichtigt, so dass die Gesamtzahl
te präsentieren. Aufgrund des Suchalgorithmus
der hier ermittelten URLs nur einen Ausschnitt
kann davon ausgegangen werden, dass diese
des tatsächlichen Phänomens abbildet.
Anzahl nur die Spitze des Eisbergs darstellt. Die
Die Betrachtung der identifizierten 1.087 Mio.
verwendeten URLs sind im überwiegenden Maße
URLs zeigt, dass der oder die Betreiber vor-
abgemeldete Domains von Privatpersonen, Par-
wiegend abgemeldete Domains verwenden.
teien und Vereinen und auf einer „.de“ Domain
Ein Großteil davon registriert unter der „.de“
registriert.
Top-Level Domain bei der DENIC. Auffällig
ist hier, dass nicht nur ehemalige Domains
von Privatpersonen genutzt werden, sondern
vielfach auch von Ärzten, Anwälten bzw.
7
Im Vergleich dazu sind in Deutschland 2017 insgesamt ca. 15
Millionen .de- Domains in allen deutschen Bundesländern
registriert. Hinzu kommen noch 1.185.247.de-Domains aus-
ländischer Domaininhaber in 2017. Vgl. hierzu:
https://www.denic.de/wissen/statistiken/jahresauswertungen-
de/2017-jahresauswertung/.12 Betroffene haben es schwer
Auftrag gegeben werden kann“. Und: „Für In-
5 BETROFFENE HA-
halte und Services von Webseiten ist die DE-
BEN ES SCHWER NIC nicht zuständig, da dies außerhalb ihres
Im Jahr 2018 bemerkte der Landesverband Tätigkeitsbereiches liegt“. Es erfolgte ein Hin-
Nordrhein-Westfalen des Allgemeinen Deut- weis auf die Möglichkeit des Dispute-
schen Fahrrad-Clubs e. V. (ADFC), dass unter Verfahrens. Mit Hilfe eines Dispute-Antrags
der Domain „adfc-moers.de“ Kleidung der Mar- kann verhindert werden, dass der Domaininha-
ke Oakwood angeboten wird. Die Registrierung ber die Domain auf einen Dritten überträgt.
bei der DENIC war allerdings zuvor durch die Aufgrund dieses Antrags kann sich der Inhaber
nichtselbständige ADFC-Ortsgruppe Moers der Domain einer Auseinandersetzung um die
beim zuständigen Registrar8 gekündigt worden. Domain nicht mehr entziehen; allein eine Über-
Eine Überprüfung weiterer gekündigter ADFC- tragung der Domain auf den Antragsteller bleibt
Adressen ergab, dass auch unter der Domain dann möglich. Der Dispute-Eintrag gewährleis-
„adfc-wesel.de“ Kleidung und Schuhe der Mar- tet, dass der Antragsteller bei Löschung der
ke Adidas vertrieben werden. Registrierung automatisch neuer Domain-
In der Folge erstatteten ehrenamtliche ADFC- Inhaber wird. Von dieser Möglichkeit werden
Mitarbeiter Anzeige wegen Internetbetrugs bei die Betroffenen Gebrauch machen.
der Polizei. Laut Aussage dieser wurde die Im Mai 2018 teilte die Staatsanwaltschaft Duis-
Anzeige nur widerwillig aufgenommen – mit burg mit folgender Begründung mit, dass das
dem Hinweis des Beamten, dass „kein Scha- Ermittlungsverfahren eingestellt wurde: „Be-
den entstanden sei“. weismittel, die eine Ermittlung/Überführung der
Über eine Whois-Abfrage bei der DENIC ermit- Täter ermöglichen könnten, liegen nicht vor.
telten die Betroffenen, dass die angegebenen (…) Die Ermittlungen der Polizei haben erge-
Adressdaten des Inhabers der wieder registrier- ben, dass unter der angegebenen Anschrift des
ten Domain „adfc-moers.de“ nicht stimmten: Domain-Inhabers keine Person dieses Namens
Die Straßennamen waren in den entsprechen- gemeldet ist und der Server physikalisch in den
den Orten nicht vorhanden. Darüber unterrich- U.S.A. steht.“ Weiterhin wurde mitgeteilt: „Zum
teten die Betroffenen die DENIC und baten, die Zwecke der Gegenabwehr ist schon deshalb
Registrierung der beanstandeten Domains zu nichts zu veranlassen, da die Seite nach Mittei-
löschen. Die DENIC erwiderte daraufhin, dass lung der Polizei nicht mehr erreichbar ist.“ Die
eine „Löschung durch einen Dritten nicht in Mitteilung der Polizei ist insofern nicht korrekt,
als dass die Seite „adfc-wesel.de“ heute noch
online ist.
8
Ein Registrar bezeichnet die für eine Domain-Registrierung
verantwortliche Firma.13 Betroffene haben es schwer
FAZIT
Den Betroffenen des ADFC kann es nach jetzi-
gem Stand nur im Klagewege gelingen, dass der
Domaininhaber auf die derzeit für Fake-Shops
registrierten Domain-Namen „adfc-moers.de“ und
„adfc-wesel.de“ gegenüber der DENIC verzichtet
und damit selbst die Kündigung des Domainver-
trages erklärt. Die DENIC kann den Domainvertrag
gemäß § 7 Absatz 2 ihrer Domainbedingungen
jedoch auch aus wichtigem Grund kündigen.
Beispielsweise dann, wenn „die gegenüber DE-
NIC angegebenen Daten des Domaininhabers
oder eines nach § 3 Absatz 4 benannten Zustel-
lungsbevollmächtigten falsch sind“. Weiter kann
die DENIC nach § 7 Absatz 3 ihrer Domainbedin-
gungen „mit Absendung der Kündigung die Do-
main und ihre technischen Daten aus den Name-
servern für die Top Level Domain .de entfernen
(Dekonnektierung)“. Von dieser Möglichkeit
macht die DENIC im vorliegenden Fall jedoch
keinen Gebrauch. Somit bleiben die Fake-Shops
auf den Domains aktiv.14 Dänemark macht es vor
Um eine Domain anzumelden (1), muss der
6 DÄNEMARK MACHT
spätere Domaininhaber zuerst prüfen, ob die
ES VOR gewünschte Domain noch verfügbar ist (2).
Nachfolgend wird dargestellt wie der Prozess Dies ist über die Whois-Datenbank der Re-
der Vergabe einer Domain in sechs ausgewähl- gistry, die alle bereits bei der Registry registrier-
ten europäischen Ländern erfolgt. Dies hängt ten Domain-Namen enthält, möglich.
jeweils von der dort ansässigen Registry ab. Für
Die Whois-Datenbank steht auf der Webseite
die Registries der untersuchten Länder lassen
der Registry zur Verfügung. Im nächsten Schritt
sich drei unterschiedliche Kategorien identifizie-
muss der spätere Domaininhaber einen Re-
ren. Diese unterscheiden sich im Kern vor allem
gistrar finden, über den er die Domain regis-
in Bezug auf die Sicherstellung der Richtigkeit
triert. Eine Registrierung direkt bei der Registry
der Angaben eines Domain-Inhabers und kön-
ist nicht möglich (3). Der Registrar fragt die
nen damit einen wesentlichen Einfluss auf die
benötigten Daten des späteren Domaininha-
Verbreitung von Fake-Shops haben.
bers ab und registriert die Domain bei der Re-
VERGABE EINER DOMAIN ÜBER RE- gistry (4,5)9. In diesem Fall ist der Registrar für
GISTRAR – OHNE IDENTITÄTSPRÜFUNG die Richtigkeit der Daten des Domaininhabers
Beispiele für diese Kategorie sind die Registries verantwortlich10.
aus den Niederlanden (SIDN) und der Schweiz ------------------------------
9
SIDN (2018a): Registering a domain name, online im Inter-
(SWITCH).
net: https://www.sidn.nl/a/nl-domain-name/registering-a-
domain-name (Stand 21.06.2018); SWITCH (2018b): Fragen
Abbildung 3 zeigt, wie die Domainregistrierung und Antworten zu Domain-Namen, online im Internet :
https://www.nic.ch/de/faqs/general/#registerch (Stand
bei einer Vergabe über einen Registrar und 21.06.2018).
10
ohne Identitätsprüfung abläuft. SIDN (2011): General Terms and Conditions for Registrars,
online im Internet: https://www.sidn.nl/downloads/terms-and-
conditi-
ons/General%20Terms%20and%20Conditions%20for%20R
egistrars.pdf (Stand 21.06.2018); Auskunft der SWITCH vom
04.05.2018.
DOMAINREGISTRIERUNG ÜBER EINEN REGISTRAR BEI EINER REGISTRY OHNE IDENTITÄTSPRÜFUNG
1. will
Domain 3. Auftrag,
anmelden Domain
einzurichten
5. Domain-
Domaininteressent Registrar registrierung Registry
2. prüft, ob 4. Datenab-
Domain frage 6. vergibt
noch Domain
verfügbar ist15 Dänemark macht es vor
Sind die bei der Domainregistrierung angege- Sind die bei der Domain-Registrierung angege-
benen Daten falsch, können die Registries die benen Daten falsch, können die Registries die
Registrierung aufheben. Mit Informationen hier- Registrierung aufheben. Die Registries benöti-
zu kann man sich an die Registry wenden. gen dafür Nachweise über die fehlerhaften Da-
Teilweise verlangt die Registry Nachweise über ten. Die DENIC verlangt ein Einschreiben mit
die falschen Daten. So müssen bei der dem Vermerk „unbekannt“ und eine Negativ-
SWITCH ein Unzustellbarkeitsnachweis oder auskunft aus dem Melde- oder Handelsregister.
im Fall eines Identitätsdiebstahls eine Ausweis- Der nic.at genügt ein Einschreiben, das als
kopie eingereicht werden. Die Registry über- „unbekannt“ zurückkommt. Im Fall eines Identi-
prüft dann die Identität und hebt ggf. die Regist- tätsdiebstahls kann die betroffene Person die
rierung auf11. Domain bei der DENIC löschen lassen, da sie
Domaininhaber ist14.
VERGABE EINER DOMAIN ÜBER RE-
GISTRAR UND REGISTRY – OHNE IDEN- VERGABE EINER DOMAIN – MIT IDENTI-
TITÄTSPRÜFUNG TÄTSPRÜFUNG
Beispiele hierfür sind die Registries aus Beispiele für diese Kategorie sind die Registries
Deutschland (DENIC) und Österreich (nic.at). aus Dänemark (Hostmaster DK) und Irland
(IEDR).
Hier können Domains sowohl über einen Re-
gistrar (vgl. Abbildung 3 und zugehöriger Pro- Abbildung 5 zeigt den Ablauf einer Domain-
zess) als auch direkt bei der Registry angemel- Registrierung mit Identitätsprüfung. Die Regist-
det werden. Abbildung 4 stellt den Ablauf der rierung einer Domain wird in den meisten Fällen
direkten Registrierung bei der Registry dar: über einen Registrar15 vorgenommen und ver-
Auch hier muss der spätere Domaininhaber läuft daher bis zur Domainregistrierung analog
zuerst in der Whois-Datenbank prüfen, ob die zum ersten dargestellten Prozess (vgl. Abbil-
gewünschte Domain verfügbar ist (2). Der Do- dung 3). Anschließend überprüft die Registry
maininhaber registriert die Domain direkt bei die Identität des späteren Domaininhabers
der Registry und füllt ein Formular mit den be-
nötigten Daten aus (3,4)12. Die Registry prüft
die eingegebenen Daten dabei nicht13.
https://www.nic.at/de/so-funktioniert-at/domain-einsteiger
(Stand 21.06.2018).
13
Auskunft der DENIC von 28.05.2018; Auskunft der nic.at
vom 14.05.2018.
11
Auskunft der SWITCH vom 04.05.2018; Auskunft der SIDN 14
Auskunft der DENIC von 28.05.2018; Auskunft der nic.at
vom 22.05.2018. vom 14.05.2018.
12
DENIC (2018a): Informationen für Domainanmelder, online 15
Bei Hostmaster DK ist dies die einzige Möglichkeit bei der
im Internet: https://www.denic.de/fragen-antworten/faqs-fuer- Domainregistrierung, die IEDR bietet auch eine direkte Re-
domainanmelder/#faq-93 (Stand 21.06.2018); nic.at (2018): / gistrierung bei ihr an.
Domain-Einsteiger, online im Internet:16 Dänemark macht es vor
DOMAINREGISTRIERUNG BEI EINER REGISTRY OHNE IDENTITÄTSPRÜFUNG
1. will Domain
anmelden 3. Auftrag, Domain
einzurichten
Domaininteressent Registry
4. Datenabfrage
2. prüft, ob Domain 5. vergibt Domain
noch verfügbar ist
bevor die Domain freigegeben wird (6)16. eine Verbindung zur irischen Insel und seine
Hostmaster DK ist dazu gesetzlich verpflichtet Identität nachweisen19.
(Danish Domain Names Act). Für dänische Sind die bei der Domain-Registrierung angege-
Bürger und Firmen erfolgt dabei der Abgleich benen Daten falsch, können die Registries die
mit der Steuerpersonennummer bzw. dem Registrierung aufheben20. Dies sollte jedoch
Handelsregister17. Bei nicht in Dänemark ge- schon im Zuge der Identitätsprüfung bei der Re-
meldeten natürlichen und juristischen Personen gistrierung auffallen. Entsprechend finden sich
führt Hostmaster DK eine Risikoeinschätzung nur wenige Informationen zum Vorgehen in die-
durch. Je nach Ergebnis kann der spätere Do- sem Fall auf den Webseiten der Registries.
maininhaber nach Identitätsnachweisen gefragt
werden18. In Irland muss der Domaininhaber
16
Hostmaster DK (2017a): Terms and conditions for the right
of use to a .dk domain name, online im Internet:
https://www.dk-hostmaster.dk/en/terms_v9#Ansogning
(Stand 21.06.2018); IEDR (2018): Registration and Naming
in the .IE Namespace, online im Internet:
https://www.iedr.ie/uploads/IEDR-RegistrationNaming-.IE- %20id%20for%20ny%20reg%20med%20bopael%20udenfor
Namespace.pdf (Stand 21.06.2018). %20DK_EN.pdf (Stand 21.06.2018).
17
Hostmaster DK (2017b): Procedure for checking contact 19
IEDR (2018): Registration and Naming in the .IE
information and identity of a new registrant resident in Den- Namespace, online im Internet:
mark, online im Internet: https://www.dk- https://www.iedr.ie/uploads/IEDR-RegistrationNaming-.IE-
hostmaster.dk/sites/default/files/2018- Namespace.pdf (Stand 21.06.2018).
01/Procedure_for_kontrol_af_kontaktoplysninger_og_id_for_
20
ny_registrant_med_bopael_i_Danmark_EN.pdf (Stand Hostmaster DK (2017a): Terms and conditions for the right
21.06.2018). of use to a .dk domain name, online im Internet:
18 https://www.dk-hostmaster.dk/en/terms_v9#Ansogning
Hostmaster DK (2017c): Procedure for checking contact (Stand 21.06.2018); IEDR (2018): Registration and Naming
information and identity of a new registrant resident outside in the .IE Namespace, online im Internet:
Denmark, online im Internet: https://www.dk- https://www.iedr.ie/uploads/IEDR-RegistrationNaming-.IE-
hostmaster.dk/sites/default/files/2017- Namespace.pdf (Stand 21.06.2018).
12/Procedure%20for%20kontrol%20af%20kontaktopl%20og17 Dänemark macht es vor
DOMAINREGISTRIERUNG ÜBER EINEN REGISTRAR MIT IDENTITÄTSPRÜFUNG
6. prüft
1. will Identität des
Domain Domain-
anmelden 3. Auftrag, inhabers
Domain
einzurichten
5. Domain-
Domaininteressent Registrar registrierung Registry
2. prüft, ob 4. Datenab-
Domain noch frage 7. vergibt
verfügbar ist Domain
MISSBRAUCHSGEFAHR mittels eines speziellen Programms Fake-
IN DEUTSCHLAND HÖHER Shops frühzeitig zu identifizieren22.
Die drei beschriebenen Vorgehensweisen las- Auch die ausschließliche Registrierung über
sen einen deutlich unterschiedlichen Spielraum einen Registrar bietet Sicherheit vor Miss-
hinsichtlich der Betrugsmöglichkeit bei einer brauch: Hier ist der Registrar verantwortlich für
Domain-Registrierung zu. So macht es eine die Richtigkeit der Daten und sollte diese prü-
Identitätsprüfung der Registries am schwersten, fen. Dies entfällt bei der Registrierung direkt
eine Domain für einen Fake-Shop zu registrie- über eine Registry. Wie ein Test bei der DENIC
ren. Dies zeigt das Beispiel Dänemarks ein- und der nic.at zeigt, können hier fehlerhafte
drücklich: Im November 2017 betrug der Anteil Daten ohne eine Prüfung auf Plausibilität oder
von betrügerischen Web-Shops an allen däni- Richtigkeit angegeben werden.
schen Webseiten 6,7 Prozent. Nachdem der
FAZIT
Einführung der verschärften Identitätsprüfungen
Unter den aktuellen Bedingungen der Registrie-
sank der Anteil auf 1 Prozent21.
rung und Löschung betrügerischer Domains in
Die niederländische Registry geht das Problem
Deutschland stoßen selbst Polizei und Staatsan-
der Fake-Shops ebenfalls an. So plant die Re-
waltschaften an Grenzen. Nahezu unmöglich ist
gistry Identitätsüberprüfungen einzuführen und
eine Rechtsverfolgung sowie -durchsetzung für
betroffene Verbraucher. Andere europäische
Länder wie Dänemark handelten bereits und etab-
21
Hostmaster DK (2018): Sicnificantly fewer scam web shops 22
in the .dk zone, online im Internet: https://www.dk- SIDN (2018b): Fake webshops on .nl and .dk, online im
hostmaster.dk/en/news/significantly-fewer-scam-web-shops- Internet:
dk-zone (Stand 21.06.2018). https://www.sidnlabs.nl/downloads/presentations/jamboree201
8-fakewebshops.pdf (Stand 29.06.2018), S. 2618 Dänemark macht es vor lierten Prozesse, die den Anteil betrügerischer Online-Shops nachweislich senkten. Auch in Deutschland wäre ein solches Vorgehen möglich.
IMPRESSUM Herausgeber Verbraucherzentrale Brandenburg e. V. Geschäftsführer Dr. Christian A. Rumpke Babelsberger Str. 12 14473 Potsdam Tel. (0331) 298 71-0 Fax (0331) 298 71-77 E-Mail marktwaechter@vzb.de Autoren: Dr. Kirsti Dautzenberg, Constanze Gaßmann, Britta Groß, Franziska Müller, Dunja Neukamp, Lars Schmidtke, Ulrike Bodenstein Stand: August 2018 © Verbraucherzentrale Brandenburg e. V.
Sie können auch lesen
