Warum erfolgt die Umsetzung erst im Dezember 2025?

Die Frist orientiert sich an der nationalen Umsetzung der NIS2-Richtlinie (NIS2UmsuCG), um die Register an die neuen EU-Transparenzvorgaben anzupassen.

Kann ich einen Proxy-Dienst nutzen, um Firmendaten zu verbergen?

Die bewusste Verschleierung der Identität einer juristischen Person kann als NIS2-Verstoß gewertet werden und zur Sperrung der Domain führen.

Wie verträgt sich die Veröffentlichung mit der DSGVO?

Artikel 28 der NIS2 liefert die spezifische Rechtsgrundlage. Unternehmen sollten jedoch funktionale E-Mail-Adressen nutzen, um den Personenbezug zu minimieren.

NIS2 DENIC Domaindaten Transparenz: Folgen für Ihre IT-Strategie

Q: Sind Privatpersonen mit .de-Domains von der Änderung betroffen?

Nein. Die DENIC unterscheidet strikt zwischen natürlichen und juristischen Personen. Die Daten von Privatpersonen bleiben im Regelfall geschützt.

Q: Werden andere Domain-Endungen nachziehen?

Alle EU-Länderendungen unterliegen der NIS2 und setzen ähnliche Maßnahmen um. Bei generischen Endungen wie .com wird derzeit noch über die Anpassung an EU-Recht verhandelt.

Über ein Jahrzehnt lang war die „Whois“-Datenbank – das öffentliche Verzeichnis von Domain-Inhabern – weitgehend geschwärzt. Doch die neue **NIS2 DENIC Domaindaten Transparenz** markiert einen Wendepunkt für die Cyber-Resilienz in Deutschland. Seit Dezember 2025 gibt die DENIC Inhaberdaten von Unternehmens-Domains wieder öffentlich preis. Für Sie als technischer Entscheider bedeutet dies, dass Sie Ihre Strategie zur digitalen Souveränität anpassen müssen, um trotz erhöhter Sichtbarkeit eine lückenlose Sicherheit Ihrer IT-Infrastruktur zu gewährleisten.

Das Ende der digitalen Anonymität für Unternehmen

Dieser Schritt ist weit mehr als eine technische Anpassung; er markiert einen Paradigmenwechsel in der europäischen Digitalpolitik. Für technische Entscheider und Geschäftsführer bedeutet dies, dass das Prinzip „Security through Obscurity“ auf Domain-Ebene endgültig ausgedient hat. Wer eine .de-Domain geschäftlich nutzt, steht nun mit Namen, Anschrift und Kontaktdaten im öffentlichen Register.

Hintergrund ist Artikel 28 der NIS2-Richtlinie, der die Mitgliedstaaten verpflichtet, für präzise und vollständige Domain-Registrierungsdaten zu sorgen. Das Ziel: Höhere Rechenschaftspflicht und bessere Ermittlungsmöglichkeiten für Strafverfolgungsbehörden und IT-Sicherheitsforscher.

Welche Daten sind nun öffentlich einsehbar?

Die neuen Transparenzpflichten gelten laut DENIC-Mitteilung spezifisch für juristische Personen (Unternehmen, Organisationen, Vereine). Während Privatpersonen weiterhin geschützt bleiben, sind im B2B-Bereich folgende Daten über die DENIC-Abfrage sichtbar:

Vollständiger Firmenname: Der offizielle Name der juristischen Person.
Anschrift: Der registrierte Firmensitz.
Kontaktdaten: E-Mail-Adressen und Telefonnummern für administrative oder technische Ansprechpartner.

NIS2 Artikel 28: Der rechtliche Motor

Die Entscheidung der DENIC ist eine direkte Folge der EU-weiten NIS2-Richtlinie. Während in der Öffentlichkeit oft über Bußgelder für „wesentliche“ oder „wichtige“ Einrichtungen diskutiert wird, regelt Artikel 28 gezielt die „Datenbank mit Domainnamen-Registrierungsdaten“. Die EU argumentiert, dass die Verfügbarkeit dieser Daten essenziell für die Sicherheit des Domain Name Systems (DNS) ist.

In der Vergangenheit konnten Angreifer hinter anonymen .de-Registrierungen Phishing-Kampagnen starten. Durch die erzwungene Transparenz will die EU die Hürden für Cyberkriminelle erhöhen. Für seriöse Unternehmen entstehen dadurch jedoch neue Herausforderungen im Risikomanagement.

Strategische Implikationen: Das CISO-Dilemma

Die Offenlegung der Inhaberdaten schaffte ein Paradoxon für Sicherheitsverantwortliche. Einerseits erleichtert die Transparenz die Identifizierung bösartiger Akteure. Andererseits liefert sie Angreifern wertvolle Informationen für die Aufklärung (Reconnaissance).

1. Erhöhtes Risiko für Reconnaissance und Social Engineering

Open Source Intelligence (OSINT) ist oft der erste Schritt eines Angriffs. Durch die öffentliche Verfügbarkeit der Daten wird es für Angreifer einfacher, das Domain-Portfolio eines Konzerns zu kartieren. Technische Ansprechpartner können gezielt für Spear-Phishing identifiziert werden. Diese Transparenz erfordert eine zusätzliche Sensibilisierung der Mitarbeiter, die in den Registern aufgeführt sind.

2. Spannungsfeld zwischen DSGVO und NIS2

Es besteht ein inhärentes Spannungsverhältnis zwischen dem Datenschutz (DSGVO) und der Sicherheit (NIS2). Während die DSGVO Datensparsamkeit fordert, verlangt NIS2 Datenverfügbarkeit. Unternehmen in der DACH-Region müssen hier eine Gratwanderung vollziehen. Es empfiehlt sich, funktionale E-Mail-Adressen (z.B. security@firma.de) statt personalisierter Adressen zu verwenden, um die Compliance zu wahren und gleichzeitig die Privatsphäre der Mitarbeiter zu schützen.

Digitale Souveränität als Antwort

Wenn die Domain-Identität öffentlich wird, rückt die dahinterliegende Infrastruktur in den Fokus. Wer weiß, wem eine Domain gehört, wird gezielt nach Schwachstellen im Hosting oder in der Cloud-Infrastruktur suchen. Hier wird das Thema Digitale Souveränität kritisch.

Unternehmen, die auf souveräne, idealerweise in der EU gehostete oder selbst gehostete Lösungen setzen, behalten die volle Kontrolle über ihre Datenströme. Eine souveräne Infrastruktur bietet:

Volle Auditierbarkeit: Transparenz darüber, wer wann auf welche Daten zugreift.
Resilienz gegen Vendor Lock-in: Die Unabhängigkeit von außereuropäischen Anbietern, deren Rechtslage oft im Konflikt mit EU-Vorgaben steht.
Compliance by Design: Infrastrukturen, die von Grund auf nach BSI- und NIS2-Standards konzipiert sind.

Handlungsempfehlungen für Geschäftsführer

Da die Änderungen bereits in Kraft getreten sind, sollten Unternehmen umgehend handeln:

Schritt 1: Domain-Portfolio bereinigen

Prüfen Sie alle auf Ihr Unternehmen registrierten .de-Domains. Oft existieren alte Marketing-Domains, die noch immer auf die Firma laufen. Konsolidieren Sie diese und stellen Sie sicher, dass keine privaten Mitarbeiterdaten in den öffentlichen Registern landen.

Schritt 2: OSINT-Abwehr stärken

Gehen Sie davon aus, dass Ihre Domaindaten bereits in den Datenbanken von Bedrohungsakteuren gelandet sind. Implementieren Sie konsequent Multi-Faktor-Authentifizierung (MFA) für alle Domain-Verwaltungszugänge und schulen Sie Ihr Personal in Bezug auf Social Engineering.

Schritt 3: Provider-Check

Evaluieren Sie die NIS2-Compliance Ihrer IT-Dienstleister. Bieten diese den nötigen Schutz und die geforderte Transparenz? Erwägen Sie für kritische Systeme den Wechsel zu souveränen Infrastruktur-Modellen, die Datenresidenz und lokalen Rechtsschutz garantieren.

Fazit: Transparenz als Chance für echte Resilienz

Die Neuregelung der DENIC ist ein deutliches Zeichen für die Reifung des digitalen Binnenmarktes. Transparenz wird zur Eintrittskarte für den geschäftlichen Erfolg in der EU. Auch wenn dies kurzfristig Risiken birgt, bietet es langfristig die Chance, die eigene Sicherheitsarchitektur zu härten. Wer öffentliche Rechenschaftspflicht mit souveräner Infrastruktur kombiniert, schafft ein Fundament, das nicht nur NIS2-konform ist, sondern echter Cyber-Resilienz entspricht.

Häufig gestellte Fragen (FAQ)

1. Sind Privatpersonen mit .de-Domains von der Änderung betroffen?

Nein. Die DENIC unterscheidet strikt zwischen „natürlichen Personen“ und „juristischen Personen“. Die Daten von Privatpersonen bleiben im Regelfall geschützt, sofern kein berechtigtes Interesse Dritter zur Auskunft vorliegt.

2. Warum erfolgt die Umsetzung erst jetzt im Dezember 2025?

Die Frist orientiert sich an der Umsetzung der NIS2-Richtlinie in nationales Recht (in Deutschland das NIS2UmsuCG). Die DENIC hat ihre Systeme und Prozesse nun final an diese gesetzlichen Vorgaben angepasst.

3. Kann ich einen „Proxy-Dienst“ nutzen, um meine Firmendaten zu verbergen?

NIS2 verlangt ausdrücklich die Richtigkeit der Registrierungsdaten. Die Nutzung von Diensten zur Verschleierung der Identität einer juristischen Person kann als Verstoß gegen die Richtlinie gewertet werden und zu Sanktionen bis hin zur Domain-Löschung führen.

4. Wie verträgt sich das mit der DSGVO?

NIS2 gilt in diesem Zusammenhang als spezielleres Gesetz (lex specialis). Artikel 28 NIS2 liefert die Rechtsgrundlage für die Datenverarbeitung. Dennoch sollten Firmen darauf achten, nur notwendige funktionale Daten (z.B. Funktionspostfächer) anzugeben.

5. Werden andere Domain-Endungen wie .com oder .at nachziehen?

Andere EU-Länder-Endungen (ccTLDs) unterliegen ebenfalls der NIS2 und setzen ähnliche Maßnahmen um. Bei generischen Endungen wie .com (verwaltet durch ICANN) laufen derzeit internationale Abstimmungen zur Anpassung an EU-Recht.