Wie Sie Ihre Domain vor Diebstahl schützen

Warum der Schutz Ihrer Domain wichtig ist

Ihre Domain ist die digitale Adresse Ihres Unternehmens. Wenn jemand Ihre Domain stiehlt, verlieren Sie den Zugang zur Website, zur E-Mail-Kommunikation und zu Ihrer gesamten Online-Präsenz. Domain-Diebstahl (Domain-Hijacking) ist eine reale Bedrohung – Angreifer nutzen Social Engineering, Phishing oder kompromittierte Konten, um die Kontrolle über eine Domain zu übernehmen. Die Wiederherstellung kann Wochen oder Monate dauern und ist in manchen Fällen sogar unmöglich.

Stellen Sie sich Ihre Domain wie eine Immobilie in der digitalen Welt vor. So wie Sie ein Haus abschließen, eine Alarmanlage installieren und das Eigentum versichern würden, müssen Sie auch Ihre Domain mit mehreren Sicherheitsebenen schützen.

Domain Lock (Registrar Lock)

Der Domain Lock ist die erste und wichtigste Verteidigungslinie. Wenn eine Domain gesperrt ist, kann ohne ausdrückliche Entsperrung kein Transfer zu einem anderen Registrar eingeleitet werden.

Wie es funktioniert

Der Domain Lock setzt Statuscodes auf Ihrer Domain, die Änderungen verhindern. Die wichtigsten sind:

• clientTransferProhibited: Verhindert den Transfer der Domain zu einem anderen Registrar. Dies ist der Standard-Lock, den jede Domain haben sollte.
• clientDeleteProhibited: Verhindert die Löschung der Domain. Nützlich für kritische Domains.
• clientUpdateProhibited: Verhindert Änderungen an DNS-Einträgen und Nameservern. Der strengste Schutz.
• serverTransferProhibited: Die Registry, die die jeweilige Top-Level-Domain verwaltet, setzt diesen Schutz auf Serverseite.

Wie Sie ihn aktivieren

Melden Sie sich im Panel Ihres Registrars an (cPanel, Kundenportal), suchen Sie die Option „Domain Lock" oder „Transfer Lock" und aktivieren Sie sie. Bei BeoHosting ist der Domain Lock auf allen Domains automatisch aktiv. Deaktivieren Sie ihn nur dann, wenn Sie die Domain tatsächlich transferieren möchten.

WHOIS-Privatsphäre

WHOIS ist eine öffentliche Datenbank, die für jede Domain die Eigentümerinformationen anzeigt – Name, Adresse, E-Mail und Telefon des Inhabers. Diese Daten sind für jeden zugänglich und können missbraucht werden.

Risiken eines öffentlichen WHOIS

• Social Engineering: Ein Angreifer kann Ihre Daten nutzen, um sich gegenüber dem Registrar als Sie auszugeben.
• Phishing-Angriffe: Ihre E-Mail-Adresse aus dem WHOIS kann zum Ziel von gezieltem Phishing werden.
• Spam: Öffentliche Kontaktdaten ziehen Spam-E-Mails und Telefonanrufe an.
• Identitätsdiebstahl: Die Kombination aus Name, Adresse und E-Mail kann für einen Identitätsdiebstahl ausreichen.

WHOIS Privacy Protection

Die WHOIS-Privatsphäre ersetzt Ihre persönlichen Daten in der WHOIS-Datenbank durch die Daten eines Proxy-Dienstes. Statt Ihres Namens und Ihrer Adresse werden die Daten des Datenschutzdienstes angezeigt. An die Proxy-Adresse gesendete E-Mails werden an Sie weitergeleitet, Ihre echte E-Mail-Adresse bleibt jedoch verborgen.

Hinweis: Manche länderspezifischen Top-Level-Domains (etwa .DE, .AT oder .CH) haben über ihre jeweilige Registry eigene Regeln zu den WHOIS-Daten. Kontaktieren Sie Ihren Registrar für Details zur Privatsphäre der von Ihnen genutzten Domain-Endung.

Zwei-Faktor-Authentifizierung (2FA)

Selbst das stärkste Passwort kann kompromittiert werden. Die Zwei-Faktor-Authentifizierung fügt eine zweite Schutzebene hinzu, die etwas verlangt, das Sie besitzen (Telefon), zusätzlich zu etwas, das Sie wissen (Passwort).

2FA-Typen für das Registrar-Konto

• Authenticator-App: Google Authenticator, Authy oder Microsoft Authenticator erzeugen zeitlich begrenzte Codes (TOTP). Dies ist die am meisten empfohlene Methode.
• SMS-Codes: Der Code wird per SMS an Ihr Telefon gesendet. Weniger sicher als eine App, da SMS abgefangen werden können (SIM-Swap-Angriff).
• Hardware-Key: YubiKey oder ein ähnliches USB-Gerät. Die sicherste Option, erfordert jedoch ein physisches Gerät.

Warum 2FA für Domains entscheidend ist

Wenn ein Angreifer Ihr Passwort für das Registrar-Konto erlangt (Phishing, Datenleck, Keylogger), kann er ohne 2FA sofort die Kontrolle übernehmen. Mit 2FA benötigt er zusätzlich physischen Zugriff auf Ihr Telefon oder Ihren Hardware-Key, was das Risiko drastisch verringert.

Sicherheitspraktiken für die mit der Domain verknüpfte E-Mail

Die mit Ihrem Registrar-Konto verknüpfte E-Mail-Adresse ist ein zentraler Sicherheitspunkt. Wenn ein Angreifer diese E-Mail kompromittiert, kann er das Passwort zurücksetzen und die Kontrolle über die Domain übernehmen.

• Verwenden Sie eine separate E-Mail-Adresse: Nutzen Sie keine öffentliche E-Mail-Adresse für das Registrar-Konto. Idealerweise verwenden Sie eine E-Mail-Adresse auf einer anderen Domain, die Sie kontrollieren.
• Aktivieren Sie 2FA für das E-Mail-Konto: Der Schutz des E-Mail-Kontos ist ebenso wichtig wie der Schutz des Registrar-Kontos.
• Prüfen Sie regelmäßig: Sehen Sie die vom Registrar empfangenen E-Mails durch – insbesondere Benachrichtigungen über Domain-Änderungen oder Transferanforderungen.
• Klicken Sie nicht auf verdächtige Links: Registrare fragen niemals per E-Mail nach dem Passwort. Greifen Sie immer direkt über die offizielle Web-Adresse auf das Konto zu.

Registry Lock (für kritische Domains)

Der Registry Lock ist die höchste Schutzebene für eine Domain. Anders als der normale Domain Lock, der auf Ebene des Registrars aktiviert wird, wird der Registry Lock auf Ebene der Registry angewendet (der Organisation, die die TLD verwaltet).

Wie es funktioniert

Mit dem Registry Lock erfordert jede Änderung an der Domain (Transfer, Änderung der Nameserver, Löschung) eine manuelle Verifizierung durch die Registry. Diese umfasst in der Regel einen Telefonanruf und eine Identitätsprüfung. Der Prozess ist langsamer, schließt jedoch die Möglichkeit unbefugter Änderungen praktisch aus.

Wer Registry Lock nutzen sollte

Registry Lock ist ideal für Banken, E-Commerce-Plattformen, Medienhäuser und alle Organisationen, deren Domain einen hohen geschäftlichen Wert hat. Der Preis ist üblicherweise höher als bei einem Standard-Domain-Lock, doch das Schutzniveau ist unvergleichlich höher.

Regelmäßige Prüfungen und Monitoring

Der Schutz einer Domain ist keine einmalige Aufgabe – es ist ein fortlaufender Prozess, der regelmäßige Prüfungen erfordert.

• Prüfen Sie das Ablaufdatum: Eine abgelaufene Domain kann von jedem registriert werden. Aktivieren Sie Auto-Renew für alle Ihre Domains.
• Verfolgen Sie WHOIS-Änderungen: Dienste wie DomainTools oder WHOIS-Monitoring-Tools benachrichtigen Sie über jede Änderung an Ihrer Domain.
• Bewahren Sie den Auth-Code sicher auf: Der Authorization Code (EPP-Code) ist der Schlüssel für den Domain-Transfer. Bewahren Sie ihn wie ein Passwort auf – in einem Passwort-Manager.
• Prüfen Sie die DNS-Einträge: Eine unbefugte Änderung der DNS-Einträge kann Ihre Website ohne Domain-Transfer auf eine gefälschte Website umleiten.

Fazit

Der Schutz einer Domain erfordert mehrere Sicherheitsebenen. Aktivieren Sie den Domain Lock, nutzen Sie die WHOIS-Privatsphäre, aktivieren Sie unbedingt 2FA für das Registrar-Konto und verwenden Sie ein starkes, einzigartiges Passwort. Für geschäftliche Domains von hohem Wert sollten Sie den Registry Lock in Betracht ziehen. Prüfen Sie regelmäßig das Ablaufdatum, die DNS-Einträge und Sicherheitsbenachrichtigungen des Registrars. Bei BeoHosting ist der Domain Lock automatisch aktiv, und unser Support-Team steht Ihnen bei allen Aspekten des Schutzes Ihrer Domain zur Seite.