Marke schützen mit Domain-Monitoring
Automatische Alarme erhalten, wenn jemand eine Domain ähnlich Ihrer Marke registriert. RDAP-Überwachung verständlich erklärt.
Wenn jemand acme-shop.com registriert, während Sie acme.com besitzen, können Sie innerhalb weniger Stunden darüber informiert werden. Das Problem ist konkret: Ein Wettbewerber oder ein Angreifer kann eine ähnliche Domain in Minuten registrieren. Ohne Benachrichtigungssystem entdecken Sie das oft erst Wochen später, wenn Ihre Kunden bereits auf einer gefälschten Website mit Ihrem Markennamen getäuscht werden. Dieser Artikel erklärt, welche Domains überwacht werden sollten, wie Alarme technisch funktionieren und was zu tun ist, wenn einer ausgelöst wird.
Warum manuelle Überprüfungen nicht ausreichen
Eine Marke muss realistischerweise Dutzende von Kombinationen im Blick behalten: mehrere TLDs, häufige Tippfehler, Versionen mit Bindestrich, Präfixe wie "get" oder "try" sowie Homoglyph-Varianten. Jeden Morgen manuell WHOIS-Abfragen für jede dieser Varianten durchzuführen ist bei keiner Unternehmensgröße praktikabel.
Das eigentliche Problem liegt tiefer: Klassisches WHOIS ist als Datenquelle zunehmend unbrauchbar geworden.
Die Grenzen des klassischen WHOIS
Seit der DSGVO maskieren nahezu alle Domain-Registrare die Registrierungsdaten hinter Datenschutzproxy-Diensten. Eine WHOIS-Abfrage für eine frisch registrierte .com-Domain liefert heute:
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: Whois Privacy Service
Registrant Email: contact@privacyprotect.org
Das Registrierungsdatum ist zwar vorhanden, aber ob der Registrant eine Bedrohung darstellt oder ein Zufall ist, lässt sich daraus kaum ableiten. Massenabfragen über WHOIS werden durch Rate-Limiting und IP-Sperren effektiv verhindert.
Was RDAP besser macht
RDAP (Registration Data Access Protocol, definiert in RFC 7480 und 7483) ist der standardisierte Nachfolger von WHOIS. Es liefert strukturiertes JSON, das maschinell lesbar ist, ohne dass für jeden Registrar ein eigener Parser benötigt wird. Es enthält Zeitstempel für Ereignisse (Registrierung, Ablauf, letzte Änderung) und gibt den Namen des Registrars in einem einheitlichen Format zurück. Eine typische RDAP-Antwort sieht so aus:
{
"objectClassName": "domain",
"ldhName": "acme-shop.com",
"events": [
{
"eventAction": "registration",
"eventDate": "2026-07-15T08:23:11Z"
},
{
"eventAction": "expiration",
"eventDate": "2027-07-15T08:23:11Z"
}
],
"entities": [
{
"roles": ["registrar"],
"vcardArray": ["vcard", [["fn", {}, "text", "IONOS SE"]]]
}
]
}
Diese Struktur lässt sich programmatisch abfragen, registrarübergreifend parsen und problemlos mit Alarmsystemen verbinden.
Welche Domains für den Markenschutz überwacht werden sollten
Vier Kategorien decken den Großteil der relevanten Risiken ab:
Typosquatting-Varianten sind Domains, die durch häufige Tippfehler entstehen: ein eingefügter, gelöschter, ersetzte oder vertauschter Buchstabe. Für die Marke "Acme" wären das: acmme.com, acne.com, acmee.com, amce.com.
Alternative TLDs sind dieselbe Second-Level-Domain unter einer anderen Endung: acme.net, acme.co, acme.io, acme.app. Die Endung .co verdient besondere Aufmerksamkeit, da sie optisch sehr nah an .com liegt und bereits in bekannten Phishing-Kampagnen eingesetzt wurde.
Präfix- und Suffix-Muster sind in der Praxis oft die gefährlichsten, weil sie selbst aufmerksame Nutzer täuschen können: getacme.com, acme-app.com, tryacme.com, acme-login.com, acme-offiziell.com.
Homoglyphen verwenden Unicode-Zeichen, die optisch identisch mit Standard-ASCII-Buchstaben sind. Das kyrillische "а" (U+0430) ist in den meisten Schriftarten vom lateinischen "a" (U+0061) nicht zu unterscheiden.
TLDs nach Risikoniveau priorisieren
| TLD | Risikoniveau | Grund |
|---|---|---|
| .com | Kritisch | Globaler Standard; 70 %+ der direkten Eingaben gehen zu .com |
| .co | Hoch | Optisch nah an .com; in Phishing-Kampagnen eingesetzt |
| .de | Hoch | Primärmarkt Deutschland; Nutzer vertrauen .de automatisch |
| .net | Mittel | Breit bekannt; häufige Verwechslung möglich |
| .io | Mittel | Technologiebranche-Standard; Verwechslung mit .com wächst |
| .xyz, .top, .tk | Niedrig | Häufig bei Phishing, aber geringeres Täuschungspotenzial |
ccTLDs Ihrer Zielmärkte (.at, .ch, .eu) sollten ebenfalls auf der Liste stehen, wenn Sie dort aktiv sind.
Wie Benachrichtigungen bei Neuregistrierungen funktionieren
Die Alert-Pipeline von Domain Sentinel arbeitet in vier Schritten: Eine neue Domain, die einem überwachten Muster entspricht, erscheint in einem RDAP-Registry-Endpunkt. Domain Sentinel fragt diesen Endpunkt in regelmäßigen Abständen ab. Die neue Registrierung wird mit den Mustern Ihrer Watchlist verglichen. Eine Benachrichtigung wird über den konfigurierten Kanal (E-Mail oder Webhook) gesendet.
RDAP-Endpunkte sind für alle großen Registries öffentlich zugänglich. Der RDAP-Lookup-Dienst der ICANN unter rdap.org aggregiert die wichtigsten gTLDs und delegiert für ccTLDs an die jeweiligen Registries.
Was eine nützliche Benachrichtigung enthalten sollte
Eine qualitativ hochwertige Benachrichtigung enthält: den erkannten Domainnamen, das Registrierungsdatum, den Registrar, einen Ähnlichkeitswert, der angibt, wie nah die neue Domain dem überwachten Markennamen ist, sowie einen direkten Link zum vollständigen RDAP-Datensatz. Eine Benachrichtigung, die nur "acmme.com wurde registriert" meldet, zwingt Sie, die Details manuell nachzuschlagen. Ähnlichkeitswert und Registrar-Daten ermöglichen die Triage in wenigen Sekunden.
Domain-Monitoring mit Domain Sentinel einrichten
Die Einrichtung läuft in vier Schritten ab:
- Fügen Sie Ihren Markennamen oder Ihre Hauptdomain einer Watchlist in Domain Sentinel hinzu.
- Konfigurieren Sie die zu überwachenden Muster: Tippvarianten, alternative TLDs, Homoglyphen, strukturelle Muster (Präfixe/Suffixe).
- Wählen Sie den Benachrichtigungskanal: E-Mail reicht für die meisten Teams; Webhook-Integrationen sind sinnvoll, wenn Alarme in Slack oder Ihrem Bereitschafts-Tool ankommen sollen.
- Überprüfen Sie die ersten Ergebnisse. Manche Treffer sind irrelevant (ein legitimes Unternehmen mit ähnlichem Namen in einer anderen Branche). Markieren Sie diese als "harmlos", um das zukünftige Alarm-Rauschen zu reduzieren.
Das Dashboard speichert die vollständige Erkennungshistorie, sodass Sie nachverfolgen können, ob eine verdächtige Domain über die Zeit aktiver wird.
Was zu tun ist, wenn ein Alarm ausgelöst wird
Nicht jede erkannte Domain ist eine Bedrohung. Ordnen Sie in drei Kategorien ein:
Harmlose Registrierung: Ein Unternehmen in einer anderen Branche mit ähnlichem Namen oder eine private Website. Archivieren Sie den Alarm und gehen Sie weiter.
Wahrscheinliches Cybersquatting: Die Domain ist inaktiv oder leitet zu einem Wettbewerber weiter, und der Registrant scheint weitere markenverwandte Domains zu besitzen. Dokumentieren Sie jetzt alles: RDAP-Daten, Registrierungsdatum, Ihre Markennachweise. Erwägen Sie, den Registrar zu kontaktieren und bei einem klaren Muster ein UDRP-Verfahren einzuleiten.
Aktives Phishing: Die Domain hostet eine Seite, die Ihre Marke imitiert, um Zugangsdaten oder Zahlungen abzugreifen. Melden Sie dies sofort dem Abuse-Kontakt des Registrars (über RDAP-Daten auffindbar), übermitteln Sie die URL an Google Safe Browsing und Microsoft SmartScreen, und informieren Sie Ihre Nutzer, wenn begründeter Verdacht besteht, dass sie bereits betroffen sind.
Eine Watchlist in Domain Sentinel einzurichten dauert unter fünf Minuten. Reaktives Monitoring ersetzt nicht die defensive Registrierung Ihrer kritischsten Varianten, aber niemand kann im Voraus alle möglichen Varianten registrieren. Der Unterschied zwischen einer Benachrichtigung in drei Stunden und einer in drei Monaten entscheidet darüber, ob ein Vorfall beherrschbar bleibt oder zum Reputationsschaden eskaliert.
Fangen Sie mit einer Domain an, die Ihnen wichtig ist
Kostenlos nachschlagen. Für Benachrichtigungen bei Statusänderungen oder Ablauf einfach ein Konto erstellen. Dauert 30 Sekunden.