|
07.05.2026
12:05 Uhr
|
Inhaber von .de-Domains erhalten eine E-Mail von der DENIC mit der Aufforderung zur Verifizierung. Das ist kein Betrugsversuch, sondern Folge von NIS-2.
Die DENIC eG, zuständig für .de-Domains, beginnt mit der Verifizierung von Domainkontaktdaten und verschickt E-Mails mit Handlungsaufforderungen an Domaininhaber. Der Zeitpunkt für die bereits länger geplante Maßnahme ist ungünstig, weil die Verifizierung ausgerechnet unmittelbar nach einem folgenschweren Konfigurationsfehler in DNSSEC-Einträgen beginnt. Mails mit DENIC-Bezug und einer Handlungsaufforderung, jetzt dringlich etwas zu verifizieren, können wie eine geschickte Phishing-Kampage wirken, die ein aktuelles Ereignis als Trittbrettfahrer nutzt.
Im Gespräch mit heise online bekräftigt Tom Keller aus dem DENIC-Vorstand, dass die Domainverwaltung diese Mails derzeit verschickt und die Maßnahme auch nicht verschieben will. Auslöser ist die Umsetzung der europäischen NIS-2-Richtlinie, für die in Deutschland mehrere Gesetze und Verordnungen geändert wurden, allen voran das BSI-Gesetz.
Für die DENIC ergibt sich aus der NIS-2-Regulierung die Anforderung, Domainkontaktdaten im Zweifel zu verifizieren. Die DENIC verfolgt dafür einen risikobasierten Ansatz und fordert nicht direkt alle Domaininhaber zur Verifizierung auf. Stattdessen habe die DENIC die Datenbank auf fehlerhafte Adressen durchsucht. Aufgefallen sei ein einstelliger Prozentsatz an Daten, die verifiziert werden müssen. Um das Gesetz zu erfüllen, müssen Name (und Rechtsform bei juristischen Personen), Postanschrift, Telefonnummer und E-Mail-Adresse hinterlegt und verifiziert sein.
Die DENIC hat die Fristen, zu denen Mails verschickt und Domains gesperrt und gelöscht werden, aktualisiert und auch ein neues Schaubild veröffentlicht. Wir haben den folgenden Absatz aktualisiert.
Die Domaininhaber werden per E-Mail aufgefordert, ihren Datensatz zu überprüfen. Die ersten Mails kommen zunächst vom jeweiligen Registrar, der die Domain für den Kunden verwaltet. Nach 23 Tagen folgt eine Aufforderung durch die DENIC. Wer insgesamt 30 Tage nicht reagiert, erhält eine Mahnung von der DENIC. Gleichzeitig wird die Domain vorübergehend aus der Zone .de entfernt, sie ist dann nicht mehr zu erreichen. Lässt man insgesamt 113 Tage, wird die Domain gelöscht und der Domainvertrag gekündigt.
Dennoch gilt, bei Nachrichten dieser Art zuerst Ruhe zu bewahren, um nicht auf eventuelle Trittbrettfahrer reinzufallen. Die DENIC weist darauf hin, dass all ihre Mails von der Domain denic.de stammen. Darin werden keine Login-Daten abgefragt. Klicken Sie am besten nicht auf Links in solchen Mails, sondern öffnen das Portal Ihres Providers auf gewohntem Weg. Im ersten Schritt müssen Sie beim Provider Ihre Kontaktdaten überprüfen. Dann können Sie eine Verifizierung starten. Dazu stehen verschiedene Verfahren zur Auswahl, die Auswahl kann sich von Provider zu Provider unterscheiden. Unter anderem PostIdent, Photo-Ident, Video-Ident sowie der Upload von offiziellen Dokumenten oder eine Prüfung mittels Verifikationscode per Post.
Aus der NIS-2-Regulierung ergibt sich eine weitere Anforderung, auf die Domaininhaber reagieren sollten, auch wenn sie keine Aufforderung erhalten haben: Nicht-personenbezogene Daten zu Domains müssen öffentlich zugänglich sein, personenbezogene Informationen dagegen nicht. Domaininhaber können also steuern, welche Informationen über Whois-Abfragen öffentlich sind: Unter ORG eingetragene Informationen zu Firmen, Vereinen und anderen Organisationen werden veröffentlicht, unter PERSON eingetragene Informationen nicht. Wer eine Domain besitzt, sollte bei seinem Registrar überprüfen, welche Angaben unter den Schlüsseln PERSON und ORG hinterlegt sind und die Angaben an die richtige Stelle verschieben.
(jam)