Von DiscordApp.com zu Discord.com: Wie das Weglassen von „App" eine Tür schloss, die Phisher liebten
Wie Discord im Jahr 2015 auf DiscordApp.com startete, weil Discord.com vergeben war, die Domain still und leise kaufte und 2020 discord.com zur primären Adresse machte – teils für eine sauberere Markenidentität, teils weil die Aufspaltung zwischen „discordapp.com" und „discord.com" ein Geschenk für Phisher und Malware-Gruppen war.
- domains
- branding
- startups
- domain-upgrades
Bevor Discord ein Verb für „spring auf den Server" wurde, lebte es unter einer etwas längeren Adresse: DiscordApp.com.
Das „App" war keine Branding-Entscheidung. Es war ein Workaround. Als Jason Citron und Stanislav Vishnevskiy ihr Sprach-und-Chat-Tool im Mai 2015 auf den Markt brachten, gehörte die exakt passende Domain – Discord.com – bereits jemandem anderen, der sie um die Jahrtausendwende registriert hatte. Also wurde das Produkt mit einem Zusatz ins Netz geschickt. Laut Wikipedia wurde Discord im Mai 2015 öffentlich unter dem Domainnamen discordapp.com veröffentlicht. Ein Rückblick auf die frühen Tage bringt es auf den Punkt: Discordapp.com war Discords offizielle URL im ersten Startjahr.
Diese Lücke zwischen dem Namen, den ein Unternehmen möchte, und dem Namen, den es bekommen kann, ist eines der häufigsten Probleme beim Startup-Branding. Das Produkt hieß bereits Discord. Die Welt konnte es nur noch nicht unter Discord.com erreichen.
Was Fall 13 von der üblichen „Kauf deine exakte Übereinstimmung"-Geschichte unterscheidet, ist die Naht, die der Workaround hinterließ. Fünf Jahre lang lief Discord unter zwei Adressen gleichzeitig – der Marke, die es nutzte (discordapp.com), und der Marke, die es wollte (discord.com) – und diese Zwei-Domain-Aufspaltung erwies sich als genau jene Art von Ambiguität, von der Phisher, Betrüger und Malware-Gruppen leben. Dies ist die Geschichte eines Domain-Upgrades, das teils der Markenbereinigung und teils dem Schließen einer Sicherheitslücke diente, mit der das Unternehmen seit dem Start gelebt hatte.
2015: Das Tool, das einen Namen brauchte, den es nicht haben konnte
Discord begann nicht als Massenphänomen. Es begann als Lösung für ein spezifisches Ärgernis.
Citron kam mit Geld und Narbengewebe dazu. Er hatte das Social-Gaming-Netzwerk OpenFeint gegründet und – wie Wikipedia berichtet – es später 2011 für 104 Millionen US-Dollar an GREE verkauft, womit er 2012 Hammer & Chisel, ein Spieleentwicklungsstudio, gründete. Das Spiel des Studios schlug nicht durch, aber das Chat-Tool, das das Team gebaut hatte, um Raids zu koordinieren, schon. Das Hilfsmittel wurde zum Produkt.
Der Name wurde früh festgelegt, und das aus ganz gewöhnlichen Gründen. Laut Wikipedia wurde der Name „Discord" gewählt, weil er „cool klingt und mit Reden zu tun hat", leicht zu sagen, zu buchstabieren und zu merken war und für Marken und Website verfügbar war. Man beachte den letzten Punkt – für Marken und Website verfügbar. „Verfügbar" leistet dort viel stille Arbeit. Die Marke war frei. Die blanke .com war es nicht.
Also tat das Team, was unzählige Startups tun: Es fügte einen Zusatz hinzu und brachte das Produkt auf den Markt. Die Marke „Discord" startete als Adresse „DiscordApp". Und es funktionierte. Die Nutzerbasis schnellte fast sofort in die Höhe. Laut Wikipedia hatte Discord nach dem Bericht von Hammer & Chisel im Januar 2016 von 3 Millionen Menschen genutzt worden, mit einem Wachstum von 1 Million pro Monat, im Juli desselben Jahres 11 Millionen und bis Jahresende 25 Millionen Nutzer.
Diese Kurve ist der Haken. Jede dieser Millionen lernte die Marke als „discordapp.com". Jeder Einladungslink, jeder geteilte Screenshot, jedes Lesezeichen zementierte den Workaround ein Stück tiefer. Je länger ein Zusatz mitreist, desto teurer wird es, ihn zu entfernen – nicht in Dollar, sondern im Muskelgedächtnis eines Publikums, das das falsche Wort hundert Mal getippt hat.
Der Wechsel zu Discord.com
Discord musste nichts umbenennen. Das Produkt hieß immer Discord. Es musste nur seine Adresse ändern – von DiscordApp.com zu Discord.com – und dafür musste es zunächst Discord.com besitzen.
Das tat es, still und heimlich, Jahre bevor es die Domain nutzte. Die Domain war im Jahr 2000 registriert worden, lange bevor das Unternehmen existierte. Laut Berichten aus der Domain-Branche erwarb das Unternehmen die Domain Discord.com bereits 2017 – wechselte aber nicht dazu. Eine Weile war die .com eine Weiterleitung zur discordapp.com-Domain, die sie seit Beginn verwendeten. Das Unternehmen besaß den sauberen Namen, ließ ihn aber weiterhin auf den Workaround zeigen.
Der eigentliche Wechsel kam 2020. Wie eine Domain-Analyse feststellt: Auch wenn einige Quellen den Kauf auf 2017 datieren, ist die einzige faktische Aussage, dass der Wechsel zur neuen Domain am 4. Mai 2020 stattfand. Discord machte discord.com zur Hauptadresse und entschied sinnvollerweise, die alte Domain aktiv zu halten als Weiterleitung, damit bestehende Links nicht brechen würden. Die Social-Media-Handles folgten der Adresse: Das Unternehmen änderte seine Social-Media-Handles von @discordapp auf @discord.
Der Wechsel war auch nicht nur kosmetisch – er reichte bis in die technische Infrastruktur hinein. Bot- und Bibliotheksentwickler mussten ihren Code neu ausrichten, da die API selbst umzog. Die Maintainer der beliebten discord.py-Bibliothek eröffneten ein Tracking-Issue mit dem Hinweis, dass Discord von discordapp.com zu discord.com wechselt, mit einer harten Frist: Wenn die Domain, die zur Verbindung mit den Discord-Servern verwendet wird, nicht bis zum 7. November 2020 geändert wird, können Clients, die die Bibliothek verwenden, keine Verbindung herstellen. Ein Domain-„Upgrade", das die meisten Nutzer nie bemerkten, war für das Entwickler-Ökosystem eine Deadline.
Der Hintergrund: Warum eine Zwei-Domain-Aufspaltung ein Phishing-Geschenk ist
Hier ist der Teil, der Fall 13 zu mehr als einer ordentlichen Branding-Geschichte macht.
Wenn ein Unternehmen über Jahre unter zwei nahezu identischen Domains operiert, trainiert es seine eigenen Nutzer darin, beide als legitim zu akzeptieren. „Ist discordapp.com das echte Discord, oder ist es discord.com?" Die meisten Menschen könnten das nicht mit Sicherheit sagen – und genau diese Unsicherheit ist der Nährboden, auf dem Phishing gedeiht. Wenn Nutzer zwei offiziellen Domains vertrauen, vertrauen sie auch einer dritten, die fast genauso aussieht. Leichte Variationen des Namens – ein Buchstabe mehr hier, ein vertauschtes Wort dort – werden zu einfachen Verkleidungen, weil das echte Original bereits in mehr als einer Variante existiert.
Dieses Risiko war für Discord nicht hypothetisch, und es hat einen langen Nachhall. Discords Content-Delivery-Netzwerk lebt nach wie vor unter dem alten Namen, bei cdn.discordapp.com – und diese Domain wurde zu einem der beliebtesten Orte im Internet, um Malware zu platzieren, genau weil sie vertrauenswürdig aussieht. Das Sicherheitsunternehmen Zscaler dokumentierte, wie ein Angreifer eine bösartige Datei in einem Discord-Kanal hochladen und deren öffentlichen Link mit anderen teilen kann – selbst Nicht-Discord-Nutzer können sie herunterladen. Schlimmer noch: Eine über Discord gesendete Datei bleibt für immer dort, sodass ihr Link auch dann zum Herunterladen der bösartigen Datei verwendet werden kann, wenn ein Angreifer sie innerhalb von Discord löscht.
Das Threat-Intelligence-Unternehmen Intel 471 erläuterte, warum die Domain selbst die Waffe ist. Sobald eine Datei hochgeladen wird, wird ein direkter Link von der Plattform generiert, und Angreifer können diese Links dann über Phishing-E-Mails, soziale Medien oder andere Kanäle verbreiten. Der Link folgt dem Format https://cdn.discordapp.com/attachments/{channel ID}/{file ID}/{file name} – eine echte Discord-Domain mit einem echten TLS-Zertifikat, die Filter passiert, weil wenn die Discord-Domain nicht durch Sicherheitskontrollen gesperrt ist, eine effektive Methode zur Verbreitung schädlicher Inhalte darstellt. Das Forschungsteam von Malwarebytes hat dasselbe Muster verfolgt und warnte vor einer neuen Phishing-Kampagne, die Discord zur Payload-Zustellung nutzt, und stellte fest, dass Kriminelle Discord zum Hosten von Malware missbrauchen, wegen seiner robusten CDN-Infrastruktur.
Die sichtbare Marke auf eine einzige, kanonische Eingangstür – discord.com – zu konzentrieren, löst den CDN-Missbrauch nicht. Aber es tut das eine, was Branding für die Sicherheit leisten kann: Es macht „Wie sieht das echte Discord aus?" zu einer einwortigen Antwort. Je weniger offizielle Schreibweisen eine Marke hat, desto weniger Verkleidungen stehen einem Angreifer zur Verfügung.
Das Geld sah damals anders aus
Es ist verlockend, Discords Kauf von Discord.com als selbstverständlich zu betrachten – natürlich besitzt das Unternehmen irgendwann seinen eigenen Namen. Aber die Entscheidungen wurden im Nebel getroffen, nicht im Rückblick.
Man beachte den Zeitplan. Das Team erwarb Discord.com 2017, als Discord eine schnell wachsende, aber unerprobte Gaming-Chat-App war, Jahre entfernt von seiner pandemischen Allgegenwart und seiner Bewertung im Mehrfach-Milliardenbereich. Dann ließ es die saubere Domain als Weiterleitung liegen, etwa drei Jahre lang, bevor es 2020 den Schalter umlegte. Diese Geduld ist der interessante Teil. Discord besaß die bessere Adresse und wählte wiederholt, ein funktionierendes Produkt nicht zu stören, um sie zu nutzen.
Das ist das eigentliche Kostenmodell eines Domain-Upgrades, und es ist selten der Kaufpreis. Der schwierige Teil ist die Migration: Apps, APIs, OAuth-Scopes, gespeicherte Passwörter, Browser-Berechtigungen, Deep Links und ein weitverzweigtes Drittanbieter-Bot-Ökosystem neu ausrichten – ohne das lebende Produkt zu beschädigen, das täglich von Millionen Menschen genutzt wird. Discord konnte es sich leisten, Discord.com zu kaufen, lange bevor es sich leisten konnte, dorthin zu wechseln. Der Kauf von 2017 sicherte die Option; der Wechsel von 2020 übte sie aus, sobald das Produkt stabil genug war, um die Hürden zu absorbieren, und die Entwickler-Deadline im November 2020 durchgesetzt werden konnte.
Warum das Weglassen von „App" wichtig war
Die Distanz zwischen DiscordApp.com und Discord.com beträgt drei Buchstaben. Strategisch gesehen ist es die Distanz zwischen der App und dem Ort.
DiscordApp.com benennt ein Stück Software – ein Ding, das man herunterlädt, eine Anwendung unter Anwendungen. Discord.com benennt ein Ziel – einen Ort, den man aufsucht, einer Gemeinschaft, zu der man gehört, ein Verb, das die Menschen verwenden, ohne darüber nachzudenken. Das eine zeigt auf ein Produkt. Das andere ist einfach die Marke. Und als Discord über das Gaming hinauswuchs und zu etwas wurde, das Menschen für Clubs, Kurse und Freundesgruppen nutzen, begann „App" wie ein Relikt aus der Zeit zu wirken, als das Unternehmen sich selbst zum ersten Mal beschrieb.
| Vorher | Nachher |
|---|---|
| DiscordApp.com | Discord.com |
| Benennt „die App" – ein herunterladbares Produkt | Benennt die Marke – einen Ort und ein Verb |
| Trägt einen Workaround-Zusatz | Trägt nichts außer dem Wort |
| Zwei offizielle Schreibweisen, denen Nutzer vertrauen müssen | Eine einzige kanonische Eingangstür |
| Hinterlässt eine Naht, die Phisher imitieren können | Schließt die Lücke „Welche ist echt?" |
Dies ist das wiederkehrende Muster bei Domain-Upgrades: Frühe Namen beschreiben oder qualifizieren; große Namen besitzen. Ein Zusatz wie „App", „HQ", „Cab" oder „The" ist eine vernünftige Auffahrt, wenn der saubere Name vergeben ist. Er wird zur Bremse – und im Fall von Discord zu einer kleinen Sicherheitslast –, sobald das Unternehmen groß genug ist, dass das blanke Wort das Ziel sein sollte.
Die Abfolge: Erst besitzen, dann sicher wechseln
Die Reihenfolge der Schritte hier ist es wert, verlangsamt zu werden, denn sie kehrt den üblichen Startup-Rat um: „Wechsel zu deiner exakten Übereinstimmung, sobald du sie bekommst."
Discord tat das nicht. Die Abfolge war:
- Der Name wurde zuerst gewählt – „Discord", festgelegt, weil er einprägsam und die Marke verfügbar war, auch wenn die blanke .com es nicht war.
- Das Produkt startete mit einem Zusatz – discordapp.com, weil Discord.com seit einer Registrierung aus dem Jahr 2000 belegt war.
- Die exakte Übereinstimmung wurde erworben, aber in Reserve gehalten – Discord kaufte Discord.com in 2017 und betrieb sie als Weiterleitung, nicht als Ersatz.
- Der Wechsel fand statt, als das Produkt ihn absorbieren konnte – der Wechsel zur neuen Domain fand am 4. Mai 2020 statt, mit einer Entwickler-Umschaltfrist am 7. November 2020.
Die Lektion lautet nicht „Verzögere dein Upgrade". Sie lautet, dass der Besitz der sauberen Domain und das Migrieren dorthin zwei separate Projekte mit zwei unterschiedlichen Risikoprofilen sind. Discord sicherte das Asset früh und günstig, dann wählte es den Moment für den Wechsel sorgfältig – und ließ die alte Adresse als Weiterleitung aktiv, damit nichts kaputt ging.
Die Domain wurde Teil des Betriebssystems
Premium-Domains sind aus einem unglamourösen Grund wichtig: Wiederholung.
Eine Kerndomain taucht überall auf, wo ein Unternehmen keine vollständige Kontrolle hat – in Einladungslinks, OAuth-Zustimmungsbildschirmen, E-Mail-Adressen, Presseberichten, Browser-Leisten, Suchergebnissen und jedem gesprochenen „Join my server". Jede Wiederholung fügt entweder Reibung hinzu oder beseitigt sie. DiscordApp.com bat jeden, drei zusätzliche Buchstaben für immer mitzutragen, und lehrte Nutzer still und heimlich, dass Discord in zwei offiziellen Schreibweisen vorkommt. Discord.com bat um nichts und beantwortete die Vertrauensfrage in einem einzigen Wort.
Die Markenentwicklung verstärkte die Adresse. Als Discord sich Mitte 2020 – im selben Jahr, in dem es die Domains wechselte – offiziell vom Gaming-Bereich neu ausrichtete, teilte es seiner Community in seinem eigenen Blog-Beitrag mit, dass wir eine neue Website mit einem neuen Slogan starten: Your place to talk. Es räumte ein, dass die Art, wie wir über uns selbst gesprochen haben, der Welt das falsche Signal gesendet hat. Ein Name, der sich selbst „App" nannte, sendete ein engeres Signal als ein Unternehmen, das einladender, inklusiver und vertrauenswürdiger sein wollte. „Vertrauenswürdig" ist das entscheidende Wort – und eine einzige kanonische Domain ist ein Teil davon, wie eine Marke es verdient.
Was Gründer aus Fall 13 lernen sollten
Die einfache Schlussfolgerung – „Besitz deine exakte .com, bevor du startest" – ist die falsche, weil Discord das nicht konnte. Die nützlicheren Lektionen betreffen Zusätze, Timing und Sicherheit:
- Ein Zusatz ist eine gute Auffahrt. „App" ließ Discord unter seinem echten Namen starten, während das blanke Wort von einem Registrant aus dem Jahr 2000 gehalten wurde. Auf DiscordApp.com zu starten war kein Scheitern; es war eine vernünftige Art zu liefern.
- Die saubere Domain zu kaufen und dorthin zu wechseln sind unterschiedliche Entscheidungen. Discord erwarb Discord.com 2017 und wechselte erst 2020. Das Asset zu sichern kaufte eine Option; sie auszuüben konnte auf einen sicheren Moment warten.
- Zähle die Nähte, nicht nur die Buchstaben. Die Kosten des Betriebs von zwei Domains sind nicht nur drei zusätzliche Zeichen – es ist die Ambiguität. Zwei offizielle Schreibweisen lehren Nutzer, Ähnlichkeiten zu vertrauen, und Ähnlichkeiten sind das, was Phisher verschicken.
- Eine einzige kanonische Eingangstür ist ein Sicherheitsmerkmal. Die Konsolidierung auf discord.com stoppte nicht den CDN-Missbrauch auf cdn.discordapp.com, aber es machte „Wie sieht das echte Discord aus?" zu einer einwortigen Antwort – und diese Klarheit ist etwas, das Angreifer nicht leicht fälschen können.
Das Domain-Upgrade hat Discord nicht zum Gewinner gemacht. Produkt, Timing, die Pandemie und eine explosive Community haben weitaus mehr geleistet. Aber discord.com machte die Marke einfacher zu tippen, leichter zu vertrauen und schwerer zu fälschen – was für eine Plattform, die auf Links aufgebaut ist, auf die Fremde klicken, keine Kleinigkeit ist.
Die Namefi-Perspektive
Discords Geschichte ist, unter dem Branding, ein Kontroll-und-Kontinuität-Problem.
Die strategische Entscheidung stand nie in Zweifel – natürlich sollte eine Plattform namens Discord unter Discord.com leben. Die Arbeit war alles rund um das Asset: Eine Premium-Domain erwerben, die zwei Jahrzehnte zuvor registriert wurde, dann den Besitz nachweisen, sie sicher als Weiterleitung halten und schließlich ein Live-Produkt – Apps, APIs, OAuth, gespeicherte Anmeldedaten und ein Drittanbieter-Bot-Ökosystem – darauf migrieren, ohne etwas zu zerbrechen oder, entscheidend, ein Fenster für Imitatoren während der Umschaltung zu öffnen. Dieser letzte Punkt ist der Sicherheitsfaden, der sich durch den gesamten Fall zieht: Ambiguität darüber, welche Domain wirklich deine ist, ist genau das, was Angreifer ausnutzen.
Namefi ist um die Idee herum gebaut, dass Domains sich wie internet-native Assets verhalten sollten. Tokenisiertes Eigentum kann die Domain-Kontrolle einfacher verifizierbar, übertragbar und in moderne Workflows integrierbar machen, während es mit DNS kompatibel bleibt – und damit die langsamen, vertrauensintensiven Teile eines solchen Deals (bestätigen, wer was besitzt, das Asset übertragen und Kontinuität durch eine Migration gewährleisten) in etwas näher an einer sauberen, prüfbaren Transaktion verwandelt. Wenn der Besitz eines Namens nachweisbar und portabel ist, wird „Ist das das echte Discord?" einfacher zu beantworten – für das Unternehmen und für jeden, der auf seine Links klickt.
Discord.com sieht heute unvermeidlich aus, weil Discord enorm geworden ist. Aber die Lektion landet früher: Wenn ein Name das Geschäft tragen soll – und besonders wenn eine Workaround-Domain eine Naht hinterlässt, durch die Betrüger kriechen können – ist die Domain keine Dekoration. Es ist die Eingangstür, und du willst nur eine.
Quellen und weiterführende Lektüre
- Wikipedia — Discord (Software)
- The Domains — Discord now using Discord.com, the domain is no longer just a redirect
- Domainer — How the Discord.com Domain Sale Reshaped the App
- GitHub (discord.py) — Change of Discord domain from discordapp.com to discord.com (Issue #4063)
- Discord Blog — Your Place to Talk
- Zscaler — Discord CDN: A Popular Choice for Hosting Malicious Payloads
- Intel 471 — How Discord is abused for cybercrime
- ThreatDown by Malwarebytes — New phishing campaign uses Discord for payload delivery
- Remote Tools — When was Discord made?
- Discord Support — Discordapp.com is now Discord.com
Über die Autor*innen
Verwandte Leitfäden
- Von Box.net zu Box.com: Das ~1-Mio.-$-Upgrade, das das „.net" fallen ließ und die exakte Domain kaufteWie Box 2005 auf Box.net startete, weil Box.com vergeben war, vom Konsumenten-Speicher zum Unternehmensgeschäft pivotete und 2011 Digimedia knapp 1 Million US-Dollar für die exakt passende Box.com zahlte – ein .net-zu-.com-Upgrade, das genau dann erfolgte, als das Unternehmen schlicht „Box" wurde.
- Von BufferApp.com zu Buffer.com: Der 624-tägige Domain-Deal mit offenen KontoauszügenWie Buffer 2010 mit BufferApp.com startete, weil Buffer.com bereits vergeben war, dann 624 Tage damit verbrachte, die exakt passende Domain zu erwerben – dabei dem Verkäufer sogar den eigenen Kontostand zeigte – und warum ein Unternehmen, das für radikale Transparenz bekannt ist, ausgerechnet bei der einen Zahl schwieg, die alle wissen wollten: dem Kaufpreis.
- Von Ctrip.com zu Trip.com: Wie Chinas Reisegigant eine Domain von 1996 kaufte, um global zu werdenWie Ctrip, Chinas größte Online-Reiseagentur, 2017 die Premium-Domain Trip.com von einem Startup namens Gogobot erwarb, seine globale Marke darauf aufbaute und 2019 das gesamte Mutterunternehmen in Trip.com Group umbenannte, um international zu expandieren.
- Von del.icio.us zu Delicious.com: Der cleverste Domain-Hack im Web — und warum Yahoo ihn aufgelöst hatWie die wegweisende Social-Bookmarking-Website 2003 als berühmter Domain-Hack "del.icio.us" startete, warum diese Punkte zu einer dauerhaften Bürde für jede Erwähnung wurden und wie Yahoo sie 2008 zur saubereren Adresse Delicious.com verlegte.