DENIC verlangt Verifizierung von Domaindaten: Was du als .de-Domaininhaber jetzt wissen musst

Warum die DENIC jetzt Domainkontaktdaten überprüft

Die NIS-2-Richtlinie der Europäischen Union stellt erhöhte Anforderungen an die Cybersicherheit kritischer Infrastrukturen. In Deutschland wurde sie unter anderem durch Änderungen am BSI-Gesetz umgesetzt. Für die DENIC eG als Registrierungsstelle aller .de-Domains ergibt sich daraus die gesetzliche Pflicht, die Korrektheit der Inhaberdaten sicherzustellen. Konkret müssen Name, bei juristischen Personen die Rechtsform, Postanschrift, Telefonnummer und E-Mail-Adresse hinterlegt und verifiziert sein.

Die DENIC geht dabei nicht flächendeckend vor, sondern verfolgt einen risikobasierten Ansatz. Eine Analyse der gesamten Datenbank hat ergeben, dass ein einstelliger Prozentsatz der hinterlegten Datensätze fehlerhaft oder unvollständig ist. Nur diese Domaininhaber werden aktiv zur Verifizierung aufgefordert. Das bedeutet im Umkehrschluss: Wenn du keine Aufforderung erhältst, sind deine Daten aus Sicht der DENIC plausibel. Dennoch solltest du die Gelegenheit nutzen, deine hinterlegten Angaben beim Registrar einmal selbst zu prüfen.

So läuft die Verifizierung ab

Der Verifizierungsprozess ist zweistufig aufgebaut. Im ersten Schritt kontaktiert dich dein Registrar, also der Provider, über den du deine Domain registriert hast. Du erhältst eine E-Mail mit der Aufforderung, deine Kontaktdaten zu überprüfen und gegebenenfalls zu korrigieren. Ab Zugang dieser Nachricht hast du 30 Tage Zeit, um aktiv zu werden.

Reagierst du innerhalb dieser Frist nicht, eskaliert der Vorgang an die DENIC selbst. Deren Erinnerungsmail setzt eine deutlich kürzere Frist von nur 7 Tagen. Verstreicht auch diese Frist ohne Reaktion, wird die betroffene Domain aus der DNS-Zone für .de entfernt. Das bedeutet: Websites, E-Mail-Dienste und alle anderen Services, die auf dieser Domain laufen, sind nicht mehr erreichbar. Nach insgesamt 90 Tagen ohne Verifizierung wird die Domain endgültig gelöscht und der Domainvertrag gekündigt.

Für die eigentliche Verifizierung stehen mehrere Verfahren zur Verfügung. Dazu gehören PostIdent, Photo-Ident und Video-Ident sowie der Upload offizieller Dokumente. Alternativ kann ein Verifikationscode per Post zugestellt werden. Welche Verfahren konkret angeboten werden, hängt vom jeweiligen Registrar ab.

Phishing oder echt: Woran du seriöse DENIC-Mails erkennst

Der Zeitpunkt der Verifizierungsaktion ist ungünstig. Kurz zuvor hatte ein folgenschwerer DNSSEC-Konfigurationsfehler bei der DENIC für Aufmerksamkeit gesorgt. E-Mails, die im Zusammenhang mit der DENIC zu dringendem Handeln auffordern, können daher leicht als Phishing-Versuch interpretiert werden. Gleichzeitig ist davon auszugehen, dass Kriminelle die Situation als Trittbrettfahrer ausnutzen werden.

Folgende Merkmale helfen dir bei der Einordnung: Echte DENIC-Mails stammen ausschließlich von der Domain denic.de. Sie enthalten keine direkten Links zu Login-Seiten und fordern dich niemals auf, Zugangsdaten per E-Mail zu übermitteln. Wenn du eine solche Nachricht erhältst, klicke nicht auf enthaltene Links. Öffne stattdessen das Kundenportal deines Providers auf dem gewohnten Weg, beispielsweise über ein gespeichertes Lesezeichen oder durch manuelle Eingabe der URL. Dort kannst du deine Kontaktdaten prüfen und den Verifizierungsprozess starten.

Öffentliche und nicht öffentliche Domaindaten korrekt konfigurieren

Neben der Verifizierung bringt die NIS-2-Umsetzung eine weitere Änderung mit sich, die alle .de-Domaininhaber betrifft, unabhängig davon, ob sie eine Aufforderung erhalten oder nicht. Die Regulierung schreibt vor, dass nicht-personenbezogene Daten zu Domains öffentlich zugänglich sein müssen, während personenbezogene Informationen geschützt bleiben.

In der Praxis bedeutet das: Informationen, die unter dem Schlüssel ORG im Whois-Eintrag hinterlegt sind, also Firmenname, Vereinsname oder andere Organisationsbezeichnungen, werden öffentlich angezeigt. Angaben unter dem Schlüssel PERSON dagegen bleiben verborgen. Wenn du beispielsweise eine Domain für ein Unternehmen registriert hast, solltest du sicherstellen, dass der Firmenname unter ORG eingetragen ist und nicht unter PERSON. Umgekehrt sollten persönliche Daten wie dein vollständiger Name bei einer privat genutzten Domain ausschließlich unter PERSON stehen, damit sie nicht über Whois-Abfragen öffentlich einsehbar sind.

Überprüfe diese Zuordnung zeitnah im Verwaltungsbereich deines Registrars. Eine fehlerhafte Zuordnung kann dazu führen, dass private Daten ungewollt veröffentlicht werden oder dass geschäftlich relevante Informationen nicht auffindbar sind.

Was du jetzt konkret tun solltest

Auch wenn du noch keine Aufforderung erhalten hast, ist jetzt der richtige Zeitpunkt, deine Domaindaten auf den aktuellen Stand zu bringen. Logge dich bei deinem Registrar ein und prüfe, ob Name, Anschrift, Telefonnummer und E-Mail-Adresse korrekt hinterlegt sind. Kontrolliere zusätzlich, ob die Zuordnung zwischen ORG und PERSON deinen Anforderungen entspricht. So vermeidest du sowohl eine überraschende Verifizierungsaufforderung als auch eine unbeabsichtigte Veröffentlichung sensibler Daten.

Wenn du deine Domains über dogado verwaltest, findest du alle relevanten Einstellungen im Kundenportal. Dort kannst du Inhaberdaten einsehen, korrigieren und die Whois-Einträge konfigurieren. Das Domain-Portfolio von dogado umfasst zahlreiche Endungen und bietet dir eine zentrale Verwaltung für alle deine Domains, sodass du Änderungen effizient und an einem Ort vornehmen kannst.