Der Thurgauer Treuhänder Jürg Zingg staunt, als er die Web-Adresse eines verstorbenen Grafikers eintippt, dessen Unternehmen er zurzeit liquidiert. Die Website des Grafikers ist eigentlich seit Monaten offline, aber jetzt, im Dezember 2019, ist sie plötzlich wieder da, eine Zombie-Site. Allerdings fehlen manche Originalbilder, und auf der Homepage sind jede Menge Links zu finden, die zu Fake-Turnschuh-Angeboten führen. «Unglaublich, da hat sich einfach jemand die Seite gekrallt», sagt Treuhänder Zingg in den Hörer.

Es stimmt: Weil die Domain des Grafikers nicht mehr bezahlt wurde, war sie wieder auf dem Markt. Laut offiziellem Eintrag hat eine Person, die vorgibt, aus der chinesischen Stadt Putian zu stammen, die Adresse erworben – und dann die Website des verstorbenen Grafikers mithilfe eines Web-Archivs krude nachgebaut, um darüber Sneakers anzupreisen. Wer auf Google «günstige Turnschuhe» eintippt und auf einen der ersten Treffer klickt, findet sich im Dickicht der Fake-Website wieder.

Solche Betrügereien sind das Metier von Michael Hausding. Der IT-Spezialist ist bei der Stiftung Switch in Zürich verantwortlich für den Kampf gegen «Domain Abuse», also von Webadressen-Missbrauch. Switch verwaltet unter anderem alle Domain-Namen mit der Endung «.ch».

450 Shops auf einen Schlag

Fälle wie jener des verstorbenen Thurgauer Grafikers häufen sich gerade. Switch und die Zürcher Kantonspolizei haben in den letzten Tagen rund 450 falsche Webshops mit Schweizer Adressen blockiert, wie die Polizei am Mittwoch mitteilte. Die Websites boten Kleider, Elektronik oder Sneakers zu extrem attraktiven Preisen als Weihnachts-Sonderangebote an. Die Shops waren oft unter inhaltlich unpassenden Adressen wie zum Beispiel www.segelferien-karibik.ch auffindbar. «Es ist kein Zufall, dass diese Websites gerade jetzt auftauchen» sagt Hausding. «Vor Weihnachten kaufen die Konsumenten nun mal besonders viel ein. Davon wollen auch die Kriminellen profitieren.»

Michael Hausding ist bei der Stiftung Switch verantwortlich für Webadressen-Missbrauch. Foto: Samuel Schalch

Das Phänomen der falschen Webshops kam in der Schweiz 2016 auf. Damals wurde die globale Verfügbarkeit von «.ch»-Adressen vereinfacht. Heute lässt sich laut Hausding über Wiederverkäufer von jedem beliebigen Punkt der Erde für sechs bis sieben Dollar eine solche Adresse kaufen – oder auch tausend, bei entsprechendem Budget. Ein Fake-Shop lässt sich von einem Fachmann in wenigen Tagen programmieren und beliebig oft duplizieren. Die 450 Weihnachtsshops tauchten in rund zehn ähnlichen Varianten auf. Das sagt ein Fachexperte der Kantonspolizei, der seinen Namen aus ermittlungstaktischen Gründen nicht in der Zeitung lesen will. Total hat die Kapo seit 2016 rund 7000 Adressen geblockt.

Das bevorzugte Werkzeug der Ermittler ist heute eine zweistufige Sperre. Konkret lassen sie die Fake-Website für 30 Tage sperren, während Switch den Domain-Inhaber auffordert, eine gültige Schweizer Korrespondenzadresse anzugeben. Gesetzlich vorausgesetzt ist dafür der Verdacht, dass jemand Nutzerdaten absaugt («Phishing») oder versucht, den Nutzern ein Schadprogramm unterzujubeln («Malware»). «Die Nachfragen bei den Domain-Inhabern bleiben so gut wie immer ergebnislos», sagt Michael Hausding. Worauf die Adresse definitiv widerrufen wird. Und der Zugang zum Fake-Shop abgeschnitten.

Zürich übernimmt bei den Fake-Shops eine Vorreiterrolle für das ganze Land. Der Bund und die kantonalen Polizeikorps kämpfen mit den neuen Phänomenen der Internetkriminalität; inzwischen haben sie angefangen, die Cybercrime-Abwehr aufeinander abzustimmen, um Ressourcen zu sparen.

Lieber blocken statt jagen

Die Entscheidung, bei den Fake-Shops in erster Linie Websites zu sperren, statt Täter zu jagen, sei eine pragmatische gewesen, sagt der Fachexperte der Kapo. Man könne enorme Ressourcen in die Verfolgung einzelner Krimineller stecken, habe aber nur geringe Chancen, sie auch zu erwischen. Die Blockier-Methode sei viel schneller – und auch erfolgreicher: Inzwischen sei die Zahl der Fake-Shops mit «Schweizer» Adresse merklich zurückgegangen. «Aber klar: Es gibt weiter Unmengen von Fake-Portalen, etwa mit «.com»- oder «.org»-Endung.»

Wie hoch der Schaden ist, den die Betrüger mit ihren falschen Shops verursachen, lässt sich kaum abschätzen. Die einzelnen Zahlungen umfassen meist nur geringe Beträge. «Wir gehen aber von einer sehr hohen Dunkelziffer aus», sagt der Ermittler der Kapo.

Zürich übernimmt bei den Fake-Shops eine Vorreiterrolle für das ganze Land.

Wie genau Switch und die Kapo all die falschen Schweizer Shops identifizieren, wollen die Ermittler aus taktischen Gründen nicht sagen. Klar ist aber, dass Switch alle neu registrierten «.ch»-Adressen durchkämmt und bei Auffälligkeiten genauer hinschaut, zum Beispiel wenn eine Person aus dem fernen Ausland gleichzeitig Dutzende Adressen registrieren lässt. Auf der anderen Seite erhält die Polizei auch immer wieder Hinweise von Konsumenten, deren Sneaker-Bestellung nie ankam, auf deren Kreditkartenabrechnungen sich aber plötzlich merkwürdige Zahlungen wiederfinden.

Und was passiert nun mit der Website des verstorbenen Thurgauer Grafikers? Man werde sich die Sache anschauen, heisst es seitens der Polizei.

Und gegebenenfalls blocken.