Spiegelfänger.
Wie wir Fake-Shops finden, bevor sie Schaden anrichten.

„Frau Müller war gerade auf unserer Website und hat einen Mantel bestellt. Bei uns ist aber keine Bestellung eingegangen, ihre Karte wurde abgebucht. Sie hat uns angerufen, weil sie uns vertraut. Aber sie war nicht auf unserer Website. Sie war auf einer perfekten Kopie."

Das war der Auftakt. Die Marke hatte ein Vertrauensproblem, das nicht durch besseres Marketing zu beheben war. Es brauchte ein technisches System, das Klone aufspürt, bevor genug Kundinnen wie Frau Müller den Schaden erleben.

Der Schaden ist diffus, aber teuer: ein Kunde, der einmal auf einer Spiegelseite gelandet ist und nichts oder schlechte Ware erhalten hat, kommt selten zurück. Er erzählt es weiter. Er schreibt eine 1-Stern-Rezension unter dem echten Shop. Und er meldet seine Bank — die das Risiko der Marke zuschlägt.

Der Markt für Brand-Protection-Services ist groß und teuer. Die meisten Anbieter machen drei Dinge, die in unserem Fall nicht ausreichten:

• Sie suchen nach Markennamen. Das findet die plumpen Klone, die marken-name.shop registrieren. Es findet nicht die Klone, die mit zufälligen Wortmarken auftreten und nur intern die Marke kopieren.
• Sie eskalieren über Standardformulare. Funktioniert bei Cloudflare und großen Hostern. Funktioniert nicht, wenn der Klon in einer Jurisdiktion sitzt, die DMCA-Schreiben ignoriert.
• Sie liefern monatliche Reports. Ein Report sagt Ihnen, dass es Klone gibt. Er nimmt sie nicht vom Netz.

Für einen Premium-Shop mit drei- bis vierstelligen Bestellwerten ist das nicht akzeptabel. Jeder Tag, an dem ein Klon online ist, kostet — nicht nur den entgangenen Umsatz, sondern den Vertrauensverlust, der Wochen später als Chargeback wiederkommt.

Wir brauchten eine Pipeline, die so eng am Original ansetzt, dass die Kopisten sich selbst verraten — und eine Eskalation, die nicht beim Standardformular endet.

Spiegelfänger ist kein einzelner Algorithmus. Es ist eine Pipeline aus fünf Detektionsschichten, die unabhängig voneinander Signale erzeugen, plus einer sechsten Schicht für Triage und Takedown. Jede Schicht greift einen anderen Vektor ab — was eine Schicht verpasst, fängt eine andere.

Schicht 1     Domain-Frühwarnung      → CT-Logs, Typosquatting-Scans
Schicht 2     Visuelles Fingerprinting → Perceptual Hash, DOM-Hash
Schicht 3     Honey-Tokens            → Canary-Strings im Content
Schicht 4     Ads-/Marktplatz-Scan    → Meta Ad Library, Shopping-APIs
Schicht 5     Customer-Reports        → Service-Tickets als Ground Truth
────────────  ──────────────────────────────────────────────
Triage        Risk-Scoring + manuelle Prüfung → Takedown-Queue
Takedown      Registrar / Hoster / Payment / Marketplace / Legal

Die Schichten sind absichtlich redundant. Ein Klon, der die Domain perfekt tarnt, scheitert an der Bild-Pipeline. Ein Klon, der die Bilder selbst nachfotografiert, scheitert am Honey-Token im Beschreibungstext. Wer alle Schichten umgeht, hat soviel Aufwand getrieben, dass er an Ads scheitert oder durch Kundenmeldungen auffliegt.

Die billigste und schnellste Schicht. Jedes neue SSL-Zertifikat wird seit 2018 in öffentlichen Certificate-Transparency-Logs protokolliert. Diese Logs sind in Echtzeit über APIs wie crt.sh oder Censys abfragbar. Sobald jemand für eine Domain ein Zertifikat ausstellen lässt — und das tut praktisch jeder seriös wirkende Klon, weil ohne HTTPS niemand bezahlt — landet er in unserem Posteingang.

Wir kombinieren das mit Typosquatting-Permutationen: aus dem Markennamen erzeugt ein Generator wie dnstwist rund 800 plausible Variationen — Buchstabendreher, Homoglyphen (kyrillisches „а" statt „a"), eingeschobene Bindestriche, TLD-Tausch (.shop, .store, .online, .deal). Jeden Tag prüfen wir, welche dieser Varianten registriert wurden, eine IP-Auflösung haben und einen Webserver laufen lassen.

Original       marke-xy.de              [trusted]
  
Risk: hoch     marke-xy.shop            [neu, 2 Tage alt]
Risk: hoch     marke-x-y.de             [neu, 6 Tage alt]
Risk: hoch     mаrke-xy.de              [Homoglyph 'а']
Risk: mittel   marke-xy-outlet.com      [neu, 14 Tage]
Risk: mittel   markexy-deal.shop        [neu, 21 Tage]
Risk: niedrig  markexy-blog.de          [12 Monate alt]

Ein Kandidat aus dieser Schicht ist noch kein Klon — er ist ein Verdacht. Die nächsten Schichten klären, ob hinter der Domain wirklich eine Spiegelseite läuft.

Die meisten Klone übernehmen Bilder 1:1 vom Original — weil Produktfotografie teuer ist und weil ihre Conversion-Rate von professionellen Bildern lebt. Genau das machen wir uns zunutze.

Für jedes Produktfoto des Originals berechnen wir einen perceptual hash(pHash). Ein pHash ist kein kryptografischer Hash, sondern eine kurze Signatur, die ähnlich bleibt, wenn man das Bild leicht beschneidet, die Helligkeit anpasst oder neu komprimiert. Zwei Bilder mit Hamming-Distanz < 10 sind mit hoher Wahrscheinlichkeit dasselbe Motiv.

Diese Signaturen-Datenbank lassen wir gegen jeden Verdachts-Shop aus Schicht 1 laufen. Wir crawlen die Verdachts-Domain, ziehen alle Bilder, berechnen deren pHash und vergleichen.

original-shop.de     [hash a3f2…]  Mantel schwarz, Frontansicht
verdacht-shop.shop   [hash a3f2…]  ✓ MATCH (Hamming 0)
verdacht-shop.shop   [hash 9c1d…]  ✓ MATCH (Hamming 2 — leicht komprimiert)
verdacht-shop.shop   [hash 8e44…]  ✗ kein Treffer (eigene Aufnahme)

Parallel berechnen wir einen DOM-Fingerprint: die Struktur der HTML-Klassen, CSS-Selektoren und JavaScript-Bundle-Hashes. Klone, die mit Tools wie HTTrackoder Browser-Erweiterungen „Save Page" gezogen wurden, behalten das Klassen-Schema des Originals fast vollständig bei. Auch hier reicht uns eine Ähnlichkeit > 70 %, um Alarm auszulösen.

Die eleganteste und stillste Schicht. Wir verteilen im Content des Originals — vor allem in Produktbeschreibungen, Alt-Texten, Meta-Tags und versteckten HTML-Attributen — eindeutige, unverdächtige Signaturen. Sie sehen aus wie normaler Marketing-Text, aber sie sind im gesamten Internet exklusiv unsere.

Auf diese Signaturen setzen wir Monitoring: jeden Tag scannen wir Google, Bing und gezielt Shopping-Index-Crawler nach den Strings. Sobald ein Klon den Beschreibungstext übernommen hat — und das tun fast alle, weil sie sonst auch noch hunderte Produkttexte neu schreiben müssten — taucht unser Token in einer fremden Domain auf. Treffer in Schicht 3 sind nahezu falsch-positiv-frei.

Klone, die Geld verdienen wollen, müssen Traffic kaufen. Praktisch immer über Google Shopping, Meta-Ads (Facebook / Instagram) oder zunehmend TikTok Shop. Alle drei Plattformen betreiben — gesetzlich vorgeschrieben oder freiwillig — öffentliche Ad-Archive:

• Meta Ad Library: jede aktive Anzeige im EU-Raum ist dort indiziert. Wir suchen täglich nach dem Markennamen und allen registrierten Variationen.
• Google Shopping: über offizielle APIs oder SERP-Scraper sehen wir, welche Domains die Produkte des Kunden zu welchen Preisen anbieten. Ein Listing mit dem eigenen Produktnamen, das nicht von einer autorisierten Domain stammt, ist Verdachtsstufe rot.
• TikTok Creative Center: das jüngste der drei Archive, und das, in dem aktuell die meisten neuen Klone auftauchen — weil dort die Werbekosten niedrig sind und die Moderation noch nicht so streng.

Ergänzend lassen wir einen leichten Scan über die größeren Marketplaces laufen (Amazon, eBay, idealo), wenn die Marke dort grundsätzlich verkauft. Auch dort tauchen Klon-Listings auf, oft mit einem Verkäufer, der erst seit Tagen Konto hat.

Die Schichten 1–4 erzeugen Signale. Schicht 5 trennt Treffer von Rauschen und führt jeden bestätigten Klon möglichst schnell vom Netz.

Triage: jeder Kandidat bekommt einen Risk-Score aus mehreren Faktoren — Domain-Alter, Treffer in wie vielen Schichten, Höhe des Preisabschlags zum Original, Anzeichen für Payment-Akzeptanz (Stripe / PayPal / Klarna Logos). Alles über Score 7 von 10 geht in die manuelle Verifikation: ein Mensch schaut sich die Verdachtsseite an, bestätigt den Treffer und dokumentiert die Beweislage. Das dauert pro Klon weniger als zehn Minuten und entscheidet, wie aggressiv die nächste Stufe eskaliert.

Für den Kunden, mit dem wir Spiegelfänger entwickelt haben, sehen die acht Monate Pilotphase so aus:

Gesamt detektiert       47 bestätigte Klone
  
Schicht 1 (Domain)       28 Treffer  ── 60 %  ── meist Tag 0–7 nach Domain-Reg
Schicht 2 (Visuell)      11 Treffer  ── 23 %  ── meist Tag 7–30
Schicht 3 (Honey-Token)    6 Treffer  ── 13 %  ── meist Tag 30–60
Schicht 4 (Ads)          16 Treffer  ── 34 %  ── überlappend mit 1+2
Schicht 5 (Kunden)         3 Treffer  ──  6 %  ── die schmerzhaftesten
  
Takedown < 72 h          31 Klone   ── 66 %
Takedown < 14 Tage       38 Klone   ── 81 %
Legal eskaliert             6 Klone   ── 13 %  ── davon 4 erfolgreich
Bis heute online (off)     3 Klone   ──  6 %  ── alle ohne Payment + Ads

Wichtiger als die absolute Zahl ist die mittlere Lebensdauer eines Klons. Vor Spiegelfänger lag sie bei ungefähr 90 Tagen — bis ein Klon zufällig im Service-Postfach auffiel und manuell abgebaut wurde. Nach dem Roll-out sank die Median-Lebensdauer auf 4 Tage. Bei Klonen, die in Schicht 1 erkannt werden, oft auf Stunden — sie sind tot, bevor der Kopist auch nur die Anzeigen geschaltet hat.

Spiegelfänger ist kein Allheilmittel. Drei Grenzen, über die wir mit jedem Kunden zu Beginn sprechen:

Was Spiegelfänger leistet, ist die asymmetrische Verteuerung des Klonens. Wir können die Kosten eines Massen-Kopisten so weit hochtreiben, dass er sich ein anderes Ziel sucht. Wir können den Schaden begrenzen, bevor er sich bei Ihren Kunden niederschlägt. Wir können nicht das Internet reparieren.

CT-Log

Certificate Transparency Log. Öffentliches, manipulationssicheres Verzeichnis aller jemals ausgestellten SSL-Zertifikate. Seit 2018 Pflicht für Browser-Trust.

Typosquatting

Registrierung einer Domain, die einer bekannten Marke optisch oder phonetisch ähnelt (Buchstabendreher, andere TLD, Bindestrich). Werkzeug der Wahl: dnstwist.

Homoglyph

Zeichen, das einem anderen optisch gleicht, aber technisch ein anderes ist — z. B. kyrillisches „а" (U+0430) statt lateinisches „a" (U+0061). Browser zeigen beides identisch an.

pHash

Perceptual Hash. Kurze Signatur eines Bildes, die auch bei leichten Veränderungen (Komprimierung, Skalierung, kleines Crop) ähnlich bleibt. Erlaubt Bildvergleich ohne Bildvergleich.

Hamming-Distanz

Anzahl der Bits, in denen sich zwei gleich lange Hashes unterscheiden. Bei pHash gilt: < 10 ≈ vermutlich dasselbe Bild, > 20 ≈ vermutlich verschiedene Bilder.

Honey-Token

Bewusst platzierte, eindeutige Information im eigenen Content. Taucht sie woanders auf, weiß man, dass der Inhalt kopiert wurde. Lautlose, hochpräzise Detektion.

DOM-Fingerprint

Hash über die Struktur einer HTML-Seite (Klassen, Selektoren, Bundle-Namen). Identifiziert Seiten, die mit Site-Klon-Tools 1:1 gespiegelt wurden.

Brand Rights Protection

Programm bei Meta, das es eingetragenen Markeninhabern erlaubt, Anzeigen mit ihrer Marke schnell sperren zu lassen. Vergleichbar bei Google Ads, TikTok, Amazon.