DENIC fordert zur Verifizierung von Domaininhaberdaten auf
Inhaber von .de-Domains erhalten eine E-Mail von der DENIC mit der Aufforderung zur Verifizierung. Das ist kein Betrugsversuch, sondern Folge von NIS-2.
(Bild: LongQuattro/Shutterstock.com)
Die DENIC eG, zuständig für .de-Domains, beginnt mit der Verifizierung von Domainkontaktdaten und verschickt E-Mails mit Handlungsaufforderungen an Domaininhaber. Der Zeitpunkt für die bereits länger geplante Maßnahme ist ungünstig, weil die Verifizierung ausgerechnet unmittelbar nach einem folgenschweren Konfigurationsfehler in DNSSEC-Einträgen beginnt. Mails mit DENIC-Bezug und einer Handlungsaufforderung, jetzt dringlich etwas zu verifizieren, können wie eine geschickte Phishing-Kampage wirken, die ein aktuelles Ereignis als Trittbrettfahrer nutzt.
Im Gespräch mit heise online bekräftigt Tom Keller aus dem DENIC-Vorstand, dass die Domainverwaltung diese Mails derzeit verschickt und die Maßnahme auch nicht verschieben will. Auslöser ist die Umsetzung der europäischen NIS-2-Richtlinie, für die in Deutschland mehrere Gesetze und Verordnungen geändert wurden, allen voran das BSI-Gesetz.
Fehlerhafte Adressen
FĂĽr die DENIC ergibt sich aus der NIS-2-Regulierung die Anforderung, Domainkontaktdaten im Zweifel zu verifizieren. Die DENIC verfolgt dafĂĽr einen risikobasierten Ansatz und fordert nicht direkt alle Domaininhaber zur Verifizierung auf. Stattdessen habe die DENIC die Datenbank auf fehlerhafte Adressen durchsucht. Aufgefallen sei ein einstelliger Prozentsatz an Daten, die verifiziert werden mĂĽssen. Um das Gesetz zu erfĂĽllen, mĂĽssen Name (und Rechtsform bei juristischen Personen), Postanschrift, Telefonnummer und E-Mail-Adresse hinterlegt und verifiziert sein.
Die Domaininhaber werden per E-Mail aufgefordert, ihren Datensatz zu überprüfen. Die ersten Mails kommen zunächst vom jeweiligen Registrar, der die Domain für den Kunden verwaltet. Später kommt eine Mahnung von der DENIC selbst. Je nach Absender gelten unterschiedliche Fristen, innerhalb derer man aktiv werden muss: Meldet sich der Provider, hat man 30 Tage Zeit, um zu reagieren. Ernst wird es, wenn die Nachricht von der DENIC selbst kommt. Dann läuft eine Frist von 7 Tagen. Überschreitet man diese Frist, wird die Domain vorübergehend aus der Zone .de entfernt, sie ist dann nicht mehr zu erreichen. Wartet man 90 Tage, wird sie gelöscht und der Domainvertrag wird gekündigt.
Dennoch gilt, bei Nachrichten dieser Art zuerst Ruhe zu bewahren, um nicht auf eventuelle Trittbrettfahrer reinzufallen. Die DENIC weist darauf hin, dass all ihre Mails von der Domain denic.de stammen. Darin werden keine Login-Daten abgefragt. Klicken Sie am besten nicht auf Links in solchen Mails, sondern öffnen das Portal Ihres Providers auf gewohntem Weg. Im ersten Schritt müssen Sie beim Provider Ihre Kontaktdaten überprüfen. Dann können Sie eine Verifizierung starten. Dazu stehen verschiedene Verfahren zur Auswahl. Unter anderem PostIdent, Photo-Ident, Video-Ident sowie der Upload von offiziellen Dokumenten oder eine Prüfung mittels Verifikationscode per Post.
Öffentliche und nicht öffentliche Daten
Aus der NIS-2-Regulierung ergibt sich eine weitere Anforderung, auf die Domaininhaber reagieren sollten, auch wenn sie keine Aufforderung erhalten haben: Nicht-personenbezogene Daten zu Domains müssen öffentlich zugänglich sein, personenbezogene Informationen dagegen nicht. Domaininhaber können also steuern, welche Informationen über Whois-Abfragen öffentlich sind: Unter ORG eingetragene Informationen zu Firmen, Vereinen und anderen Organisationen werden veröffentlicht, unter PERSON eingetragene Informationen nicht. Wer eine Domain besitzt, sollte bei seinem Registrar überprüfen, welche Angaben unter den Schlüsseln PERSON und ORG hinterlegt sind und die Angaben an die richtige Stelle verschieben.
(jam)
