NIS2-Umsetzung: DENIC gibt bestimmte Inhaberdaten von .de-Domains frei
Seit dem 6. Dezember 2025 gelten in Deutschland neue Transparenzpflichten für .de-Domain-Registrierungen. Wie DENIC in seinem Blog mitteilt, wirken sich die Regelungen auch unmittelbar auf die WHOIS-Abfrage für .de-Domains aus. Hintergrund ist die nationale Umsetzung der europäischen NIS2-Richtlinie zur Cybersicherheit.
Weiterlesen nach der Anzeige
Die Domainabfrage stellt nunmehr zusätzliche Informationen bereit. Bei allen .de-Domains wird grundsätzlich das jeweils verwaltende DENIC-Mitglied veröffentlicht – also der Provider, über den die Domain registriert und administrativ betreut wird. Damit gibt es zu jeder .de-Domain eine klar benannte und kontaktierbare Stelle, selbst wenn die Inhaberdaten aus Datenschutzgründen nicht angezeigt werden dürfen.
Bei Domains juristischer Personen wie Unternehmen, Vereinen oder Organisationen werden Name und Anschrift des Domaininhabers, E-Mail-Adresse und Telefonnummer sowie das Datum der Domainregistrierung öffentlich sichtbar. Hinzu kommen Name und Kontaktdaten des verwaltenden DENIC-Mitglieds. Bei Domains natürlicher Personen bleiben personenbezogene Inhaberdaten hingegen weiterhin geschützt – hier sind lediglich das Registrierungsdatum sowie Name und Kontaktdaten des DENIC-Mitglieds einsehbar. Diese waren früher einmal auch frei einsehbar.
Die Änderungen sind Teil der umfassenden NIS2-Umsetzung in Deutschland. Das NIS2-Umsetzungsgesetz verschärft die Cybersicherheitsanforderungen erheblich und zwingt Unternehmen sowie staatliche Stellen, Informationssicherheit als strategische Daueraufgabe zu begreifen. Deutschland nutzt den Spielraum der Richtlinie konsequent aus und geht teilweise über die europäischen Mindestvorgaben hinaus.
Zugriff auf nicht-öffentliche Daten
Domaininhaber können weiterhin ihre eigenen, bei DENIC gespeicherten Daten einsehen. Dazu ist eine entsprechende Legitimation im Rahmen der Domainabfrage erforderlich, etwa durch Eingabe der Postleitzahl oder Bestätigung per E-Mail-Link. Darüber hinaus können Dritte wie Rechteinhaber, Behörden, Insolvenzverwalter oder Anspruchsteller mit vollstreckbarem Titel bei Vorliegen eines berechtigten Interesses und nach Einzelfallprüfung Einsicht in nicht öffentlich sichtbare Daten erhalten. DENIC stellt dafür spezialisierte Formulare bereit.
Die WHOIS-Abfrage liefert die erweiterten Informationen in strukturierter Form als Text oder JSON. Die Regelungen sollen insbesondere Missbrauch durch falsche oder unvollständige Registrierungsdaten reduzieren und die Kontaktaufnahme bei rechtlichen Problemen erleichtern.
Weiterlesen nach der Anzeige
Risk Assessment ab April 2026
In Phase II, die am 14. April 2026 startet, werden Contact- und Domainaufträge einem automatisierten Risk Assessment unterzogen. Das System arbeitet mit einem Ampel-Prinzip und klassifiziert Domains nach Risikograd (Low/Suspicious/High Risk). Auffälligkeiten in den Registrierungsdaten – etwa verdächtige IP-Adressen, Namen oder Muster – lösen eine Verifizierungsanfrage beim zuständigen DENIC-Mitglied aus.
Reagiert der Provider nicht oder kann die Daten nicht verifizieren, drohen Konsequenzen: Die betroffene Domain wird in Quarantäne versetzt, was ihre DNS-Auflösung deaktiviert, und kann bei weiterem Ausbleiben einer Reaktion gelöscht werden. Domaininhaber werden innerhalb der ersten drei Wochen zusätzlich per E-Mail über die Verifizierungsanfrage informiert. DENIC-Mitglieder müssen künftig sicherstellen, dass alle Registrierungsdaten korrekt und verifizierbar sind, einschließlich valider Telefonnummern und E-Mail-Adressen.
Die NIS2-Richtlinie erfasst DNS- und TLD-Anbieter wie DENIC als kritische Infrastruktur. Die Anforderungen von NIS2 gelten auch für Klein- und Kleinstunternehmen, die für ihre Kunden Domains verwalten. In Deutschland sind schätzungsweise 29.500 Unternehmen von den neuen Cybersicherheitspflichten betroffen.
Unternehmen sollten ihre .de-Domains umgehend überprüfen und sicherstellen, dass alle Registrierungsdaten vollständig, korrekt und aktuell sind. Besonders wichtig ist die Validierung von E-Mail-Adressen und Telefonnummern, da diese in Phase II systematisch geprüft werden. Die EU-Kommission arbeitet bereits an weiteren Anpassungen der NIS2-Richtlinie.
Admins müssen D-Trust-Zertifikate tauschen – bis Ostermontag
Die zur Bundesdruckerei gehörende Registrierungsstelle D-Trust ruft kurzfristig alle seit dem 15.03.2025 bis zum Vormittag des 02.04.2026 herausgegebenen TLS-Zerfitikate zurück. Das teilt die Registration Authority des bundeseigenen Unternehmens auf ihrer Website mit. Bereits um 17 Uhr am Ostermontag, dem 06.04.2026, werden die Zertifikate offiziell von der Bundesregistry für ungültig erklärt.
Weiterlesen nach der Anzeige
Darauf wies am Karsamstagnachmittag das Bundesamt für Sicherheit in der Informationstechnik hin. Während des Austauschs der Zertifikate seien Ausfälle zahlreicher Websites möglich, auch Institutionen der Bundesverwaltung könnten davon betroffen sein, heißt es vom BSI. Es bestehe dabei kein Zusammenhang mit einem Cyberangriff, versucht das BSI vorab bereits Entwarnung zu geben. D-Trust versorgt unter anderem auch Teile der Gesundheits-Telematik-Infrastruktur mit Zertifikaten.
Angeblich kein Sicherheitsproblem
„Die Sicherheit Ihrer Zertifikate war und ist zu jeder Zeit gewährleistet“, heißt es seitens D-Trust. Hintergrund der kurzfristigen Rückrufaktion ist offenbar ein Problem mit dem sogenannten Linting, also den automatischen Prüfprozessen.
Hier hatte sich im Nachgang zur Diskussion zu einer unzulässigen Präzertifikatsdauer herausgestellt, dass D-Trust die Branchenregeln für die Erstellung von Zertifikaten hier anders interpretiert hatte als das allgemeiner technischer Konsens innerhalb der Community ist.
Auf eine kurzfristige Anfrage am Karsamstagnachmittag, warum trotz angeblich fehlender Auswirkungen auf die Sicherheit das ostermontagliche Zurückrufen nötig sei und wie viele Zertifikate davon betroffen sind reagierte die Pressestelle der Bundesdruckerei bislang nicht.
Ingo, Sebastian und Chris im Podcast-Studio. – CC-BY-NC 4.0 netzpolitik.org
Raus aus der Nische, rein in die Talkshows: Seit Jahren berichten Chris und Sebastian zu unterschiedlichen Formen digitaler Gewalt, jetzt ist das Thema überall. Auslöser ist eine Geschichte im Spiegel, in der Schauspielerin und Moderatorin Collien Fernandes ihrem Ex-Mann Christian Ulmen schwere Vorwürfe macht. Dessen Kanzlei leitet wiederum rechtliche Schritte gegen die Berichterstattung ein.
In der neuen Folge Off The Record analysieren wir die davon entfachte Debatte über digitale Gewalt und sprechen darüber, warum der Fokus allein auf sexualisierte Deepfakes und Verschärfungen des Strafrechts dem Problem nicht gerecht wird.
In dieser Folge: Chris Köver, Ingo Dachwitz und Sebastian Meineck. Produktion: Serafin Dinges. Titelmusik: Trummerschlunk.
Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.
Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.
Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.
Die Woche, als wir übers Reparieren nachgedacht haben
Liebe Leser:innen,
der Text meiner Kollegin Laura über das Recht auf Reparatur in dieser Woche hat mich noch lange beschäftigt. Weil mir beim Lesen deutlich geworden ist, dass Reparieren mehr ist, als „nur“ Schrott zu vermeiden und Ressourcen zu schonen. Der Tüftler, den Laura für den Text besucht hat, repariert nicht nur engagiert die kaputten Toaster und CD-Player seiner Kund:innen. Er bringt auch viele Leute zusammen. Und er träumt von einem Ort, „wo sich Menschen gegenseitig helfen, etwas unternehmen, zusammen basteln und tüfteln“.
Wegwerfen ist meist ein recht einsamer Akt. Löchrige Socke, Mülleimer auf, Socke rein, Deckel zu. Das ganze dauert nur wenige Sekunden. Reparieren kann im Gegensatz dazu Gemeinschaft stiften. Schnell braucht man mal den Rat der Oma, die am besten weiß, welches Stopfgarn man für die lebensverlängernde Strumpfbehandlung braucht. Oder die Tipps von den Spezialexperten im Rad-Forum, die genau wissen, wie das Ersatzteil an der längst nicht mehr hergestellten Gangschaltung heißt, und wo man das noch bekommt.
Dann muss mal hier jemand die Wasserwaage halten oder da jemand moralische Unterstützung leisten und einen Kaffee kochen, wenn es nicht gleich funktioniert und man kurz davor ist, den Schraubenzieher aus dem Fenster zu pfeffern. Das verbindet. Und im besten Fall endet es auch in dem Gefühl, selbst oder gemeinsam etwas geschafft zu haben.
Diese eine Schraube
Zugegeben: Ein loses Stuhlbein lässt sich in der Regel deutlich leichter reparieren als das zersplitterte Handydisplay oder andere Elektronik. Und bei meinem letzten eigenen Displaytausch habe ich zwischendurch ehrlich gesagt deutlich mehr Wut und Verzweiflung als wohlige Selbstwirksamkeit gefühlt. Aber allen Fällen ist gemeinsam: Reparieren statt wegwerfen ist nicht nur wegen Nachhaltigkeit ein gutes Prinzip. Es macht Spaß, schweißt Menschen und Werkstücke zusammen und hinterlässt ein gutes Gefühl, wenn man es geschafft hat. Und aus meiner eigenen Erfahrung schafft man vieles, was einem am Anfang überhaupt nicht möglich erschienen wäre.
Vielleicht ist das lange Osterwochenende ein guter Anlass, dass mal auszuprobieren. Es muss nicht gleich die Digitalkamera mit dem abgebrochenen Schalter sein. Vielleicht reicht es für den Anfang ja auch, diese eine Schraube nachzuziehen, die seit Wochen dazu führt, dass der Griff an der Schublade wackelt.
Viel Spaß dabei!
anna
Wir sind communityfinanziert
Unterstütze auch Du unsere Arbeit mit einer Spende.
Ungarn wird von vertrackten Spionageskandalen geplagt. Kurz vor der anstehenden Parlamentswahl wirft das Orbán-Regime mal investigativen Journalisten, mal IT-Spezialisten vor, für ausländische Mächte zu spionieren. Von Samthandschuhen ist schon lange nichts mehr zu sehen.
Lesen Sie diesen Artikel: Mit allen Wassern verdreckt weiterlesen
Nordrhein-Westfalen arbeitet an einem neuen Gesetz, das auch den Datenaustausch zu psychisch erkrankten Menschen regeln soll. Dass Informationen über zwangseingewiesene Menschen in manchen Fällen an die Polizei fließen sollen, kritisieren Psychiatrie-Erfahrene ebenso wie sozialpsychiatrische Dienste.
Lesen Sie diesen Artikel: „Schädlich bis gefährlich“ weiterlesen
