Thought Leadership
Wer eine .de-Domain besitzt, könnte demnächst eine E-Mail mit der Aufforderung zur Datenverifizierung im Postfach finden. Der Zeitpunkt ist jedoch etwas unglücklich gewählt.
Die DENIC eG, zentrale Registrierungsstelle für .de-Domains, hat damit begonnen, Inhaberdaten flächendeckend zu überprüfen, wie es in einer Mitteilung heißt. Domaininhaber werden dabei aufgefordert, die bei ihrem Provider hinterlegten Stammdaten zu kontrollieren und gegebenenfalls verifizieren zu lassen. Pflicht sind vollständiger Name (bei juristischen Personen inklusive Rechtsform), aktuelle Postanschrift, eine gültige Telefonnummer sowie eine erreichbare E-Mail-Adresse. Platzhalter oder Dummy-Nummern, die in der Vergangenheit häufig akzeptiert wurden, sollen damit der Vergangenheit angehören.
Risikobasierte Prüfung statt Gießkanne
Anders als zunächst befürchtet schreibt die DENIC nicht pauschal alle rund 17 Millionen .de-Domaininhaber an. Stattdessen verfolgt sie einen risikobasierten Ansatz: Die Datenbank wird auf fehlerhafte oder unplausible Adressen durchsucht, betroffen ist nach Angaben der DENIC gegenüber heise online ein einstelliger Prozentsatz der Datensätze. Zusätzlich werden Domains bei Neuregistrierungen, Inhaberwechseln und Provider-Transfers automatisiert geprüft.
Wird ein Datensatz als auffällig markiert, geht zunächst eine Aufforderung an den verwaltenden Registrar, also den Provider, bei dem die Domain liegt. Dieser informiert den Inhaber per E-Mail. Reagiert der Provider oder Inhaber nicht, folgt eine Mahnung von DENIC selbst. Die Frist beträgt nach Aufforderung durch den Provider 30 Tage.
Quarantäne und Löschung als Eskalationsstufe
Bleibt die Verifizierung aus, wird die Domain zunächst in Quarantäne versetzt. Sie ist dann nicht mehr im DNS auflösbar, Webseite und E-Mail funktionieren nicht mehr. Nach 90 Tagen ohne erfolgreiche Verifizierung wird die Domain endgültig gelöscht, und zwar ohne RGP-Phase, also ohne die sonst übliche Möglichkeit zur Wiederherstellung.
Für die eigentliche Identitätsprüfung stehen mehrere Verfahren zur Verfügung: PostIdent, Photo-Ident, Video-Ident, Verfahren nach eIDAS-Verordnung, der Upload offizieller Dokumente oder ein Verifikationscode per Post. Welche Methoden konkret angeboten werden, hängt vom jeweiligen Provider ab. Anbieter wie InterNetX setzen etwa auf IDnow.
Phishing-Risiko durch ungünstiges Timing
Rechtliche Grundlage ist Artikel 28 der NIS2-Richtlinie, der Registrierungsstellen wie DENIC zur Verifizierung von Inhaberdaten verpflichtet. In Deutschland wurde die Richtlinie über das NIS2-Umsetzungsgesetz und das BSI-Gesetz in nationales Recht überführt. Bereits seit Dezember 2025 gibt DENIC im WHOIS bei Domains juristischer Personen Name, Anschrift, Telefonnummer und E-Mail-Adresse öffentlich aus. Bei natürlichen Personen bleiben die Daten geschützt.
Problematisch ist der Zeitpunkt der Kampagne: Sie startet kurz nach dem folgenschweren DNSSEC-Konfigurationsfehler, was den Boden für Trittbrettfahrer-Phishing bereitet. DENIC weist deshalb mehrfach darauf hin, dass echte Mails ausschließlich von der Domain denic.de stammen, niemals Passwörter oder Zahlungsdaten abfragen und sämtliche Verifizierungsschritte über den Provider laufen. Bei Zweifeln empfiehlt sich ein Anruf bei DENIC Direct Services unter +49 69 27235-275 oder die Weiterleitung verdächtiger Mails an [email protected].
Wer auf Nummer sicher gehen will, klickt nicht auf Links in der E-Mail, sondern loggt sich direkt im Provider-Account ein und prüft dort die hinterlegten Inhaberdaten.
