Wem gehört eigentlich Ihre digitale DNA?

Dass die Domain (www. Adresse) das digitale Fundament eines Unternehmens ist, dürfte klar sein. Dass aber auch jeder DNS (Domain Name System)-Eintrag, der nicht selbst kontrolliert wird, eine Abhängigkeit – und im Ernstfall eine Schwachstelle – darstellt, wird oft vergessen oder übersehen. Dabei müsste das eigentlich Chefsache sein. Hier kommt deshalb eine klar strukturierte Übersicht, worauf es an kommt, um die digitale Identität eines Unternehmens abzusichern.

Als Experten in (Digital) Marketing, Design und Technologie staunen wir immer wieder über den Wildwuchs, der in Sachen digitaler Identität bei Unternehmen herrscht. In technologischen Audits bei neuen Kunden stellen wir jedenfalls regelmässig fest: Viele Unternehmen wissen ganz offensichtlich nicht, wer die Domain tatsächlich kontrolliert, wer Zugang zu den Nameservern hat und wann die nächste Domain abläuft. In diesem Blogartikel zeigen wir deshalb auf, welches die häufigsten Ursachen sind und worauf jedes Unternehmen achten sollte, um nicht irgendwann mal vor einem digitalen GAU zu stehen und Schaden zu erleiden.

Woraus besteht die digitale DNA?

Wissen Sie eigentlich, was Ihre Domain tatsächlich steuert? Klar – ein Domain Name ist primär mal die Adresse Ihrer Webseite oder Ihres Onlineshops. So weit, so klar. Was aber sonst noch alles dahintersteckt, ist eine sogenannte DNS-Zone – eine strukturierte Datenbank, die den gesamten eingehenden und ausgehenden Datenverkehr Ihrer Firma koordiniert. Diese DNS-Zone umfasst folgendes:

• A-Record: Welcher Webserver Anfragen an Ihre Website beantwortet.
• MX-Record: Wohin eingehende E-Mails zugestellt werden.
• CNAME-Records: Welche Subdomain auf welchen Dienst zeigt – z.B. shop.firma.ch auf Shopify oder crm.firma.ch auf HubSpot.
• TXT-Records: SPF- und DKIM-Konfiguration für E-Mail-Authentifizierung sowie Domain-Ownership-Nachweise für Google, Microsoft und andere Plattformen.
• NS-Records: Welche Nameserver für diese Domain zuständig sind und damit die gesamte Zone kontrollieren.

Wer diese Einträge kontrolliert, kontrolliert Ihre digitale Kommunikation. Das ist nicht automatisch derjenige, dem die Domain “gehört” – sondern derjenige, der Zugang zur DNS-Zone hat. Dieser Unterschied ist in der Praxis das zentrale Problem.

Die typische Ausgangslage

In technologischen Audits bei neuen Kunden begegnen uns fünf Muster, die regelmässig zum operativen Risiko werden. Es ist deshalb wichtig, sich darüber klar zu sein, um entsprechende Massnahmen zu ergreifen und die volle Kontrolle sicherzustellen:

1. Unklare Inhaberschaft: Die wichtigste Firmendomain ist nicht auf das Unternehmen registriert, sondern zum Beispiel:

• auf einen ehemaligen Mitarbeiter
• eine frühere Webagentur
• einen IT-Dienstleister.

Risiko: Der sogenannte Admin-C (juristisch eingetragener Inhaber beim Registrar) ist eine Privatperson oder eine externe Firma. Rechtlich bedeutet dies: Die Domain gehört nicht dem eigentlichen Unternehmen. Tritt die Privatperson aus dem Unternehmen aus oder fällt die Beziehung zur externen Firma auseinander, ist die Domain im schlimmsten Fall nicht mehr zugänglich.

2. Provider-Flickenteppich: Über die Jahre wurden diverse Domains für Kampagnen, Marken und Projekte bei verschiedenen Registraren gebucht: Zum Beispiel Hostpoint für die Hauptdomain, Infomaniak für eine Marketingkampagne, GoDaddy für den internationalen Auftritt.
Risiko: Jeder Registrar hat ein eigenes Login, eigene Abrechnungsdaten und einen eigenen Verlauf. Niemand hat mehr den vollständigen Überblick. Zugangsdaten sind verstreut, bei Mitarbeitern hinterlegt, die längst nicht mehr im Unternehmen sind, oder sind schlicht verloren gegangen.

3. Vergessene Domains mit Spezialendungen: Besonders problematisch sind Domains mit neueren oder generischen Endungen: .team, .io, .app, .shop, .swiss, .online und ähnliche. Diese werden oft anlassgebunden registriert – für ein Projekt, ein Rebranding, einen neuen Dienst. Direkt beim günstigsten Anbieter, ohne Einbindung in die bestehende Domain-Verwaltung, ohne Konfiguration im zentralen DNS. Jahre später weiss niemand mehr, bei welchem Registrar diese Domain liegt, wer die Zugangsdaten hat und ob die Verlängerung aktiv ist.
Risiko: Läuft eine solche Domain ab, kann ein Dritter sie registrieren. Auf Basis einer abgelaufenen Firmendomain lassen sich Phishing-Mails versenden, die optisch von Ihrer Domäne kommen – mit voll gültigen SPF-Records. Das ist erschreckenderweise kein theoretisches Szenario, sondern Alltag.

4. DNS-Zone beim IT-Provider: Bei der Einrichtung von Microsoft 365 oder einem ähnlichen Dienst bietet der IT-Provider an: “Wenn Sie möchten, übernehme ich das.” Um sich nicht mit lästigem IT-Kram aufzuhalten, lautet die Antwort darauf oft “Ja”  – und seitdem liegen die Nameserver-Einträge auf den Servern des IT-Providers.
Risiko: Jede Änderung an der Website, jede neue Subdomain für ein SaaS-Tool, jeder zusätzliche TXT-Record erfordert ein Support-Ticket. Endet die Zusammenarbeit, sind zwei Probleme gleichzeitig zu lösen: Die DNS-Zone muss migriert werden, und der Zugang zur bestehenden Zone hängt vom Goodwill des alten Dienstleisters ab.

5. Kein aktives Ablaufmanagement: Domains laufen in der Regel nach einem Jahr – oder je nach TLD (Top Level Domain) nach zwei oder mehr Jahren – ab. Automatische Verlängerungen hängen an Kreditkarten, die inzwischen gesperrt sind, oder an E-Mail-Adressen ehemaliger Mitarbeiter.
Risiko: Wer keinen zentralen Überblick hat, erfährt das Ablaufen einer Domain häufig so: Die Website ist offline, eingehende E-Mails kommen nicht mehr an, und die Domain ist bereits von einem Domain-Grabber registriert worden. Ein (unnötiges) Desaster, das unter Umständen viel Geld kosten kann.

Abb. 1: Ist- und Soll-Zustand der Domain- und DNS-Verwaltung

Wenn aus Nachlässigkeit ein Problem wird

Die fünf Muster oben sind keine akademischen Schwachstellen. Sie werden konkret, sobald eines der folgenden Ereignisse eintritt:

• Trennung vom IT-Provider: Die DNS-Zone liegt bei ihm. Bis zur vollständigen Migration haben Sie keinen direkten Zugriff auf Ihre eigene Infrastruktur. In dieser Phase ist jede Änderung an Website oder E-Mail von seiner Mitwirkung abhängig.
  
• Neuer Dienstleister wird eingesetzt: Er braucht DNS-Zugriff. Der Weg dorthin führt über drei verschiedene Registrar-Portale, zwei verlorene Passwörter und einen Support-Ticket-Prozess, der drei Tage dauert.
  
• Phishing-Angriff über abgelaufene Domain: Eine vergessene .team-Domain lief ab. Ein Angreifer hat sie registriert, einen MX-Record gesetzt und versendet jetzt E-Mails im Namen Ihres Unternehmens.
  
• Mitarbeiter verlässt das Unternehmen: Der Admin-C einer Ihrer wichtigen Domains war sein privates Konto. Sie verhandeln jetzt, um Ihre eigene Domain zurückzubekommen.
  
• Audit durch Investor oder Käufer: Im Rahmen der Due Diligence wird gefragt, wem die Domains rechtlich gehören. Die Antwort ist unklar. Das verzögert den Prozess oder gefährdet ihn.

In jedem dieser Fälle ist das Problem nicht technisch lösbar. Es ist das Ergebnis fehlender Strukturen, die sich über Jahre aufgebaut haben. Die Lösung ist nicht kompliziert – aber sie erfordert, dass jemand sie einmal sauber aufsetzt.

Der simple fünf Minuten Selbstcheck

Bevor Sie entscheiden, ob Sie handeln müssen, verschaffen Sie sich erst mal einen Überblick. Danach können Sie besser einschätzen, ob ein Handlungsbedarf besteht. Diese Daten sind übrigens öffentlich, Sie brauchen keine internen Zugänge oder Spezialwissen, um dies zu prüfen.

Für den Check verwenden wir zwei Tools. Geben Sie dort oben Ihre eigene Domain ein:

• DNSChecker für die DNS-Records: https://dnschecker.org/all-dns-records-of-domain.php
• Whois.com für Registrar und Inhaber: https://www.whois.com/whois/

Wie die Ergebnisse aussehen, zeigen wir zum Vergleich am Beispiel unserer eigenen Domain ova-partner.ch. Sie können die beiden Abfragen direkt selbst aufrufen und sehen dann, wie es auch bei Ihnen aussehen sollte:

• DNSChecker OVA-Partner:
  https://dnschecker.org/all-dns-records-of-domain.php?query=ova-partner.ch&rtype=ALL&dns=google 
  
• Whois OVA-Partner:
  https://www.whois.com/whois/ova-partner.ch

Was Sie aus dem Check herauslesen können ist folgendes:

1. Wo läuft Ihre Website?
Auf DNSChecker den A-Record ansehen (Hoster der Website).
Beispiel ova-partner.ch: 46.101.179.192, Owner DigitalOcean LLC

2. Wo laufen Ihre E-Mails?
Auf DNSChecker den MX-Record ansehen (Mail-Dienstleister).
Beispiel ova-partner.ch: ovapartner-ch0i.mail.protection.outlook.com, Owner Microsoft Corporation

Wichtig: Mailserver und Webhosting können zwei unabhängige Dienste sein!
In unserem Beispiel läuft die Website auf DigitalOcean, die E-Mails über Microsoft 365. Zwei verschiedene Anbieter, zwei verschiedene Zugänge.
Häufige Varianten sind Microsoft 365 oder Google Workspace für E-Mail, während die Website bei Hostpoint, Infomaniak oder einem Cloud-Anbieter liegt. Manchmal betreibt ein Unternehmen auch einen eigenen Mailserver. Für den Selbstcheck heisst das: A-Record und MX-Record separat prüfen.

3. Wer verwaltet Ihre DNS-Zone?
Auf DNSChecker den NS-Record ansehen (Anbieter, der die DNS-Einträge technisch verwaltet).
Beispiel ova-partner.ch: ns.hostpoint.ch, ns2.hostpoint.ch, ns3.hostpoint.ch, Owner Hostpoint AG.

4. Bei welchem Registrar ist die Domain gebucht?
Der Registrar steht nicht in den DNS-Records. Dafür wechseln wir zu Whois.com. Das funktioniert für .ch und alle anderen Endungen. Dort sehen Sie den Registrar, das Erstellungs- und das Ablaufdatum.
Beispiel ova-partner.ch: Hostpoint AG.

5. Wem gehört die Domain juristisch?
Gleicher Whois.com-Aufruf. Bei Schweizer Firmendomains ist der Inhaber als juristische Person in der Regel sichtbar. Bei Privatpersonen werden seit 1. Januar 2021 keine Personendaten mehr ausgewiesen. Wenn Ihre Firmendomain hier keinen Firmennamen zeigt, ist sie vermutlich auf eine Privatperson registriert. Das ist Muster 1 aus der Liste oben.

Die häufigste Verwechslung
Der Owner-Link neben der IP auf DNSChecker, zum Beispiel “DigitalOcean LLC” beim A-Record, ist nicht Ihr Registrar. Das ist der Betreiber des IP-Blocks. Er hat mit Ihrer Domain-Buchung nichts zu tun.

Das Setup, das wir empfehlen
1. Ein Registrar, eine DNS-Zone

Vorgang: Konsolidierung aller Domains – inklusive der Sonderfälle mit .team, .io oder .app – bei einem einzigen seriösen Registrar. Das heisst: Übertragung aller Domains an diesen einen Registrar, Übernahme oder Migration der DNS-Zonen, Kontrolle aller Ablaufdaten, Aktivierung automatischer Verlängerungen auf einer zentralen Zahlungsmethode.

Vorteil: Die DNS-Zone liegt beim Registrar oder auf einem selbst verwalteten Nameserver – nicht beim IT-Provider.

Für Schweizer Unternehmen empfehlen wir Hostpoint: Ein gestandenes Schweizer Unternehmen auf Schweizer Rechtsgrundlage, mit sauberen Rollenkonzepten und stabiler DNS-Verwaltung.

2. Geschäftsführung als Admin-C

Vorgang: Trennung von juristischer Inhaberschaft und operativer Ausführung. Eine Agentur darf DNS-Einträge verwalten. Inhaberin der Domain ist aber das Unternehmen. Das sind zwei verschiedene Dinge, die in zwei verschiedenen Feldern beim Registrar eingetragen werden.

Der Admin-C ist der juristisch verantwortliche Ansprechpartner für eine Domain. Er muss eine natürliche Person sein, die das Unternehmen rechtsgültig vertritt: in der Regel ein Mitglied der Geschäftsführung oder ein Prokurator Inhaber. Keine externe Agentur, kein IT-Dienstleister.

3. Rollenbasiertes Berechtigungsmanagement

Vorgang: Agenturen, IT-Partner und Software-Anbieter erhalten gezielte Zugriffsrechte für genau die Einträge, die sie brauchen. Ein Webentwickler benötigt Zugriff auf A-Records und CNAME-Einträge – nicht auf MX-Records. Ein E-Mail-Dienstleister benötigt Zugriff auf MX- und TXT-Records – nicht auf den A-Record der Hauptdomain.

Vorteil: Endet die Zusammenarbeit, wird der Zugriff entzogen. Keine Migration, keine Ausfallzeit, kein Verhandlungsdruck. Das setzt voraus, dass der Registrar Rollenkonzepte unterstützt – ein weiteres Auswahlkriterium.

4. Regelmässige Domain-Bestandsaufnahme

Vorgang: Einmal pro Jahr prüfen Sie:

• Welche Domains sind auf das Unternehmen registriert?
• Welche laufen in den nächsten sechs Monaten ab?
• Welche Nameserver sind konfiguriert?
• Welche Zugriffsrechte sind vergeben?

Dieser Prozess dauert bei sauberem Setup weniger als eine Stunde!

Ihr Nächster Schritt: DNS-Check

Im Rahmen unseres DNS-Checks analysieren wir Ihre Domain- und DNS-Infrastruktur, identifizieren konkrete Schwachstellen und erstellen eine Roadmap zur Konsolidierung. Das Ergebnis ist eine klare Massnahmenliste mit Prioritäten, Aufwandschätzung und Handlungsempfehlungen.