[bunker]/domains
foundational

Threat Modeling für Domain-Besitzer: Wann du einen bulletproof Registrar brauchst

Rahmen: Wer kommt auf deine Domain aus. Ordne jeden Gegner den Registrar-Features zu, die ihn abwehren.

v0idmask avatar@v0idmask2026-06-177 min read

TL;DR Deine Domain ist ein Ziel, sobald du etwas veröffentlichst, das jemandem nicht passt. Benenne die Bedrohung—rechtlich, regulatorisch, Strafanschuldigung, staatlicher Akteur oder privater Druck—und wähle dann einen Registrar, der nicht einknickt, wenn die E-Mail kommt.

Deine Domain sitzt an der Schnittstelle von Meinungsfreiheit, Handel und Jurisdiktionsmacht. Irgendwann wird jemand sie weg haben wollen. Die Frage ist nicht ob Druck kommt—sondern wer ihn ausübt und ob dein Registrar zuckt.

Die meisten Registrare optimieren für Compliance-Theater. Sie antworten auf DMCA innerhalb von Stunden, frieren Domains auf Betrugsbeschuldigungen ohne Beweis ein und behandeln KYC wie ein moralisches Gebot. Das ist in Ordnung, wenn du einen Cupcake-Blog betreibst. Wenn du Leaks veröffentlichst, ein Privacy-Tool betreibst, Erwachseneninhalte hostest, Crypto-Infrastruktur betreibst oder Dinge sagst, die Regierungen nicht mögen, brauchst du eine andere Rechnung.

Threat Modeling bedeutet, den Gegner zu benennen, bevor du Abwehrmechanismen wählst. Wir werden fünf Kategorien abbilden—rechtliche Takedown-Versuche, regulatorischer Druck, Strafanschuldigungen, staatliche Interdaktion und private Belästigung—und dann zeigen, welche Registrar-Features wirklich zählen.

Rechtlicher Druck: DMCA und einstweilige Verfügungen

DMCA-Mitteilungen überschwemmen Registrare täglich. Die meisten sind automatisiert, die Hälfte betrügerisch, viele zielen auf Inhalte, die unter Fair Use fallen oder nicht mal auf deiner Domain gehostet sind. Unter US-Recht haften Registrare nicht für Nutzerinhalte—aber DMCA zu beantworten ist billige Versicherung gegen Querelen-Klagen, also halten sie reflexartig Compliance.

Die Bedrohungsfläche:

  • Urheberrechtsinhaber sendet DMCA an deinen Registrar
  • Registrar sperrt die Domain oder leitet die Mitteilung mit 24-Stunden-Ultimatum weiter
  • Du reicht eine Gegenbenachrichtigung ein; Registrar stellt den Zugang in 10–14 Tagen wieder her
  • Inzwischen ist deine Site dunkel und du hast Umsatz oder Leser verloren

Einstweilige Verfügungen präsentieren einen anderen Vektor. Ein Kläger nennt deine Domain in einer Klage, gewinnt ein Versäumnisurteil, weil du die Zustellung ignoriert hast, und präsentiert dem Registrar eine gerichtliche Anordnung zur Übertragung oder Sperrung. US-basierte Registrare befolgen das. Offshore-Registrare ignorieren US-Zivilbefehle, es sei denn, ihr örtliches Gericht ratifiziert sie—ein Prozess, der für Fälle der Meinungsfreiheit selten passiert.

Abwehrmaßnahmen, die zählen:

  • Jurisdiktions-Arbitrage: Registriere über ein Unternehmen, das außerhalb der Reichweite des Klägers gegründet ist. Ein Cook-Islands-Registrar antwortet nicht auf Californias Smallclaims-Gericht.
  • WHOIS-Datenschutz standardmäßig: Wenn der Kläger dich nicht identifizieren kann, kann er dir keine Urkunde zustellen. Bezahlter WHOIS-Datenschutz von Mainstream-Registraren leckt bei Vorladung; anonyme Registrierung verhindert das Leck ganz.
  • Keine-DMCA-Antwort-Policy: Einige Registrare (einschließlich unserer) leiten DMCA-Mitteilungen nicht weiter, wenn kein Gerichtsbeschluss beigefügt ist. Der Absender kann klagen—aber jetzt gibt er 15.000 Dollar für internationale Prozessierung aus statt 0 Dollar für eine automatisierte E-Mail.
BedrohungsvektorMainstream-Registrar-AntwortOffshore/Bulletproof-Antwort
DMCA-MitteilungSperrung innerhalb von 24–48 hIgnoriert, es sei denn Gerichtsbeschluss beigefügt
US-ZivilgerichtsbeschlussSofortige BefolgungErfordert Gerichtsratifizierung vor Ort
Vorladung für WHOISDatenweitergabeKeine Daten zum Übergeben

Regulatorischer Druck: KYC, Sanktionen und Zahlungsschienen

Finanzielle Überwachung ist jurisdiktionale Durchsetzung unter anderem Namen. KYC-Gesetze ermöglichen es Regierungen, Registrare zu zwingen, Identitätsdokumente zu sammeln, dann Domains einzufrieren, wenn der Eigentümer auf einer Sanktionsliste steht oder in einer verbotenen Jurisdiktion tätig ist.

Die Bedrohungsfläche:

  • Registrar fordert ID-Upload, um mit lokalem AML-Recht konform zu sein
  • Du reichst Dokumente ein; sie sind jetzt vorladbar
  • Sechs Monate später erklärt deine Regierung dein Projekt für illegal
  • Registrar erhält eine stille Anfrage, die Domain einzufrieren
  • Dein Einspruch geht ins Leere, weil die Sperrung rechtlich privilegierte Information ist

Crypto bricht diese Schleife auf. Zahle in Monero, reiche eine Wegwerf-E-Mail ein, und der Registrar erfährt nie deine Identität. Wenn deine Regierung den Registrar später unter Druck setzt, gibt es kein Konto zum Einfrieren, weil es keine Identität gibt, die an die Domain gebunden ist.

Abwehrmaßnahmen, die zählen:

  • No-KYC-Registrierung: Wenn der Registrar deinen Namen nie erfasst, kann er nicht gezwungen werden, dein Konto einzufrieren, basierend auf Identität.
  • Nur-Crypto-Zahlung: Kreditkarten erzeugen permanente Finanznachverfolgung. Monero nicht.
  • Offshore-Gründung: ICANN-akkreditierte Registrare außerhalb der Five-Eyes-Jurisdiktionen sind nicht automatisch in westliche Sanktionsdatenbanken eingebunden.

Ein konkretes Beispiel: Journalist registriert Domain, um geleakte Regierungsdokumente zu veröffentlichen. Registrar ist US-basiert, erfordert echte Namensregistrierung und Kreditkarte. Regierung erteilt National Security Letter mit Forderung nach Registrant-Infos. Registrar antwortet unter Schweigeverbot. Journalistens Tür wird eingetreten. Domain bleibt online, aber die Person dahinter ist verbrannt.

Derselbe Journalist, anonyme Registrierung, bezahlt in Monero. Regierung sendet denselben Brief. Registrar antwortet: Wir haben diese Daten nicht. Fall beendet.

Strafanschuldigungen: Betrugsbeschuldigungen und Phishing-Meldungen

Du brauchst keinen Betrug zu begehen, um eines beschuldigt zu werden. Anti-Phishing-Organisationen durchsuchen das Web, kennzeichnen Domains mit verhaltensgestützten Heuristiken und senden Missbrauchsberichte an Registrare. Registrare sperren zuerst, stellen Fragen später—weil wenn sie einen Phishing-Bericht ignorieren und jemand verliert Geld, taucht Haftungsrisiko auf.

Die Bedrohungsfläche:

  • Automatisiertes System kennzeichnet deine Domain als „Phishing" basierend auf Keyword-Matching
  • Registrar erhält Bericht von APWG, OpenPhish oder ähnlicher Organisation
  • Domain innerhalb von Stunden gesperrt, keine menschliche Überprüfung
  • Du beweist es ist ein falsches Positiv, Domain wird drei Tage später wiederhergestellt
  • Wiederhole monatlich, weil der automatisierte Scanner nie lernt

Schlimmer: Konkurrenten reichen falsche Betrugsbeschuldigungen ein. Wenn du einen umstrittenen Service betreibst (Privacy-Tools, Crypto-Börse, Erwachsenenplattform), reichen Konkurrenten oder feindselige Akteure bogus Missbrauchsbeschwerden ein, um Auto-Sperrung auszulösen. Mainstream-Registrare verarbeiten hunderte Berichte täglich; sie ermitteln nicht.

Abwehrmaßnahmen, die zählen:

  • Manuelle Missbrauchs-Überprüfung: Registrare, die die Beschwerde tatsächlich lesen, bevor sie handeln.
  • Keine Auto-Sperrung-Policy: Domain bleibt online, bis Beweis von einem Menschen überprüft wurde.
  • Ignoriere Drittanbieter-Berichte ohne rechtliche Grundlage: APWG ist kein Gericht. Ihre Berichte sind Hörensagen.

Wir sperren nicht automatisch auf Betrugsbeschuldigungen. Wenn jemand denkt, deine Domain ist Phishing, kann er Beweis liefern: Screenshots, Transaktionsdatensätze, Opferaussagen. Generische „das sieht verdächtig aus"-Berichte landen im Papierkorb.

Staatliche Interdaktion: Nationalstaatliche Takedowns und Registry-Übernahme

Regierungen fragen nicht höflich. Sie geben Verwaltungsbefehle an Registries, umgehen Registrare ganz. Wenn du eine .us-Domain registrierst und etwas veröffentlichst, das der US-Regierung nicht passt, werden sie Neustar anweisen, die Domain zu clientHold zu setzen. Spiel vorbei.

Die Bedrohungsfläche:

  • Registry operiert in einer Jurisdiktion, die feindselig zu deinem Inhalt ist
  • Regierung erteilt administrativen Takedown-Befehl
  • Registry setzt clientHold-Status; Domain hört auf zu resolven
  • Registrar kann Registry-Level-Sperren nicht überschreiben
  • Dein einziger Rückgriff ist ein Einspruch bei der Regierung, die dich gerade zensiert hat

TLD-Wahl ist Threat Modeling. .com ist US-basiert (Verisign, antwortet ICANN und dem Department of Commerce). .io ist technisch British Indian Ocean Territory, aber von einem UK-Unternehmen verwaltet. .ru antwortet Moskau. Wenn dein Threat Model einen bestimmten staatlichen Akteur enthält, registriere unter einer TLD, die dieser Staat nicht kontrolliert.

Sicherere Jurisdiktionen für umstrittene Inhalte:

  • ccTLDs von kleinen neutralen Ländern: .is (Island), .ch (Schweiz), .to (Tonga). Regierungen mit starken Redefreiheit-Schutzbestimmungen oder zu klein, um sich mit US-Auslieferung zu befassen.
  • Einige gTLDs mit Offshore-Registries: .bz (Belize), .ag (Antigua). Überprüfe das Betriebsland der Registry, nicht das nominale Territorium der TLD.
  • Vermeide US-verwaltete TLDs ganz: .com, .net, .org, .us, .tv, .io und ein Dutzend anderer antworten letztlich ICANN und dem DOJ.

Beispiel: WikiLeaks registrierte wikileaks.org. US-basierte Registry, US-basierte ICANN. Domain überlebte wegen öffentlichem Aufschrei, nicht wegen Rechtsschutz. Wenn sie unter .is (Island, starke Pressefreiheit-Gesetze) registriert hätten, hätte die US-Regierung einen isländischen Gerichtsbeschluss gebraucht—den bekamen sie nicht.

Private Belästigung: Unternehmens-Druck und Doxxing

Unternehmen und Personen können keine Gerichtsbeschlüsse erteilen, aber sie können Registraren das Leben unangenehm machen. Rechtliche Drohungen („Wir werden dich verklagen, weil du diese verleumderische Domain hostest"), Medienkampagnen („Dieser Registrar ermöglicht Hassreden"), Zahlungsprozessor-Druck („Akzeptiere unsere Blacklist oder wir werfen dich raus").

Die Bedrohungsfläche:

  • Wütendes Unternehmen sendet Drohung an Registrar
  • Registrars Anwalts-Team entscheidet, dass Kämpfen mehr kostet als deine Domain zu sperren
  • Domain unter vagem „Missbrauch"-Punkt in ToS gesperrt
  • Du legst Einspruch ein, zitierst Redefreiheit; sie zitieren „Geschäftsentscheidung"
  • Dein einziger Rückgriff ist, zu einem neuen Registrar zu wechseln—falls du einen findest, der nicht denselben Weg faltet

Doxxing-Kampagnen zielen auf registrant WHOIS-Daten. Wenn deine Domain eine mächtige Person kritisiert und WHOIS zeigt deinen echten Namen und Adresse, erwarte Belästigung. Bezahlter WHOIS-Datenschutz hilft, bis jemand ihn vorlädt. Anonyme Registrierung verhindert das Leck ganz.

Abwehrmaßnahmen, die zählen:

  • Registrar mit Rückgrat: Wird Unternehmens-Anwälte veräppeln, wenn sie nicht einen Gerichtsbeschluss bringen.
  • Kostenloser WHOIS-Datenschutz, immer an: Kein Opt-in-Häkchen, kein separater Service—Datenschutz ist Standard.
  • Kein Telefon-Support: Kann nicht social engineered werden von jemandem, der vorgibt du zu sein, wenn es keine Telefonleitung zum Anrufen gibt.

Wir haben keine Telefonleitung. Wir antworten nicht auf „Verleumdungs"-Ansprüche ohne Gerichtsbeschlüsse. Uns ist egal, wenn Vice einen Artikel schreibt, der uns „sketchy" nennt.

Der Feature-Stack, der wirklich zählt

Höre auf, Registrare auf Uptime und Support-Qualität zu evaluieren. Das sind die Basics. Evaluiere auf gegnerischer Widerstandsfähigkeit:

Anonyme Registrierung: Kein Name, keine Adresse, kein ID-Scan
Crypto-Zahlung: Monero, Bitcoin, ETH—keine Kreditkarten-Spur
Keine-DMCA-Antwort-Policy: Absender braucht einen Gerichtsbeschluss
Keine Auto-Sperrung: Missbrauchsbeschuldigungen überprüft von Menschen
Offshore-Jurisdiktion: Außerhalb Five Eyes, außerhalb US-Zivilgerichts-Reichweite
Kein Telefon-Support: Social Engineering wird unmöglich
Kostenloser WHOIS-Datenschutz: Immer an, nicht ein Upsell
Registry-Wahl: ccTLDs von neutralen oder redefreiheit-freundlichen Ländern

Vergleich das mit Mainstream-Registraren: KYC erforderlich, Kreditkarte obligatorisch, DMCA weitergeleitet innerhalb von Stunden, Auto-Sperrung auf Betrugsbeschuldigungen, US-gegründet, Telefon-Support als Social-Engineering-Vektor, WHOIS-Datenschutz kostet extra.

Du kaufst nicht DNS. Du kaufst Jurisdiktions-Distanz zwischen deiner Rede und den Menschen, die sie weg haben wollen.

Fazit

Jemand wird auf deine Domain kommen. Die einzige Frage ist, ob dein Registrar einknickt oder ihnen sagt, sie sollen einen Haftbefehl bringen. Benenne die Bedrohung, dann wähle die Features, die dem Gegner die Arbeit schwerer machen—weil Zensur teuer zu machen das ist die einzige Redefreiheit-Interessenvertretung, die skaliert.

v0idmask avatar

@v0idmask

Security researcher

Spent a decade at large red team firms. Now does threat modeling for journalists, activists, anyone who actually needs it.

TeilenMastodonXRedditHacker News

Weiterführende Lektüre

foundational

Why You Should Register Domains Anonymously (Even If You're Not Doing Anything Wrong)

Threat model first, registrar second. The case for anonymous-by-default registration even when your project is mundane.

@v0idmask · 2026-04-22 · 8min
foundational

DMCA Ignored Registrars Explained — What It Means and Why It Matters

Why a non-US registrar isn't bound by the DMCA — and the difference between 'ignoring' a notice and a notice not applying in the first place.

@v0idmask · 2026-05-06 · 7min
foundational

What is Bulletproof Domain Registration? A 2026 Guide

No DMCA replies. No KYC. No name. Here's what makes a registrar bulletproof in 2026 and why it matters.

@redacted · 2026-04-15 · 8min

Verwandte TLDs

.isIS

Iceland. Strongest free-speech protection in the West. We host you here for a reason.

Ab $79.99/JahrRegistrieren
.com

The classic. Anonymous and DMCA-free, the way it was meant to be.

Ab $12.99/JahrRegistrieren

Mehr zu diesem Thema

Seiten, die wir bereits geschrieben haben und zu diesem Artikel passen.

Alle Artikel