Am 14. April 2026 hat die DENIC ihr automatisiertes Risk Assessment für alle Contact- und Domainaufträge scharfgeschaltet. Was wie eine rein technische Umstellung klingt, hat handfeste Folgen: Unvollständige oder verdächtige Registrierungsdaten können dazu führen, dass deine .de-Domain erst deaktiviert, anschließend in 90-tägige Quarantäne versetzt und am Ende komplett gelöscht wird – ohne klassische RGP-Phase zur Wiederherstellung. In diesem Artikel erfährst du, wie das Ampelsystem der DENIC funktioniert, welche Phasen dich erwarten und welche Risiken du unbedingt auf dem Schirm haben solltest.
Was ist das DENIC Risk Assessment?
Das DENIC Risk Assessment ist ein automatisiertes Prüfverfahren, das seit dem 14. April 2026 jeden Contact- und Domainauftrag für .de-Domains unter die Lupe nimmt. Grundlage ist die nationale Umsetzung der europäischen NIS-2-Richtlinie, die DNS- und TLD-Anbieter als kritische Infrastruktur einstuft und sie verpflichtet, die Qualität ihrer Registrierungsdaten sicherzustellen.
Die DENIC prüft dabei Plausibilität und Auffälligkeiten der hinterlegten Daten – automatisiert, datengetrieben und nach einem risikobasierten Ansatz. Das System arbeitet mit einem Ampelprinzip und klassifiziert jede Domain in eine von drei Kategorien: Low Risk, Suspicious oder High Risk. Abhängig von der Einstufung passieren unterschiedliche Dinge: Low-Risk-Domains laufen unauffällig durch, Suspicious-Domains lösen Verifizierungsanfragen aus, High-Risk-Domains landen sofort in der Pipeline Richtung Quarantäne.
🚦 Das DENIC-Ampelsystem im Überblick
Die Phasen der NIS-2-Umsetzung bei der DENIC
Die DENIC rollt die NIS-2-Vorgaben in mehreren Phasen aus. Wichtig zu verstehen: Das Risk Assessment ist nur ein Baustein – es greift im Zusammenspiel mit der erweiterten WHOIS-Veröffentlichung und der E-Mail-Validierung.
Phase I: Erweiterte WHOIS-Veröffentlichung (seit 6. Dezember 2025)
Mit dem 6. Dezember 2025 hat die DENIC ihre Domainabfrage umgestellt. Bei jeder .de-Domain wird nun das verwaltende DENIC-Mitglied – also der Provider – öffentlich angezeigt. Für Domains juristischer Personen wie Unternehmen, Vereine oder Organisationen gehen außerdem Name, Anschrift, E-Mail-Adresse, Telefonnummer und das Registrierungsdatum in die öffentliche WHOIS. Domains natürlicher Personen bleiben datenschutzrechtlich weiterhin geschützt; hier sind nur Registrierungsdatum und DENIC-Mitglied sichtbar.
Phase II: Automatisiertes Risk Assessment (seit 14. April 2026)
Mit Phase II wird es ernst. Jeder neue Contact, jede Änderung und jede Domainregistrierung durchläuft das automatisierte Risk Assessment. Bei Auffälligkeiten – etwa verdächtigen IP-Adressen, unplausiblen Namen, fehlerhaften Adressdaten oder bekannten Mustern – stößt die DENIC eine Verifizierungsanfrage beim zuständigen DENIC-Mitglied an. Dieses muss dann beim Domaininhaber die Daten bestätigen lassen.
Phase III: Verifizierung, Quarantäne und Löschung
Bleibt eine Verifizierung innerhalb der vorgesehenen Fristen aus, tritt ein mehrstufiger Prozess in Kraft: Nach 7 Tagen ohne erfolgreiche E-Mail-Bestätigung wird die Domain technisch deaktiviert (Status „serverHold“), ist also nicht mehr erreichbar. Anschließend folgen 90 Tage Quarantäne, in denen die Verifizierung noch nachgeholt werden kann. Passiert auch dann nichts, wird die Domain nach insgesamt rund 97 Tagen ohne klassische RGP-Phase endgültig gelöscht. Bei neuen Registrierungen und Transfers gibt es zusätzlich eine 15-Tage-Frist für die initiale Verifizierung. Insgesamt bleiben betroffenen Inhabern bis zu 120 Tage Zeit, um zu reagieren – in den ersten drei Wochen informiert die DENIC zusätzlich per direkter E-Mail.
⏱️ Timeline: Vom Auffall bis zur Löschung
Was genau prüft das Risk Assessment?
Die DENIC hält sich mit Details zu ihren Prüfalgorithmen naturgemäß bedeckt – andernfalls wären sie leicht zu umgehen. Aus den öffentlich kommunizierten Anforderungen und den Schnittstellenbeschreibungen der Registrare lässt sich aber ein ziemlich klares Bild zeichnen, worauf das System anspringt: auf Adressdaten, die bei der Validierung schlechter als Qualitätsstufe C abschneiden, auf Telefonnummern, die offensichtlich Dummies sind, auf E-Mail-Adressen, die nicht zustellbar sind oder zu Wegwerf-Diensten gehören, auf IP-Adressen aus bekannten Missbrauchsnetzen, auf Namens- und Adressmuster, die aus früheren Betrugsfällen bekannt sind, sowie auf Inkonsistenzen zwischen den einzelnen Feldern – etwa wenn eine deutsche Adresse mit einer Telefonvorwahl aus einem ganz anderen Land kombiniert wird.
Adressvalidierung mit A-E-Bewertung
Ein zentraler Mechanismus ist die Adressvalidierung. Kontaktdaten werden beim Anlegen und Aktualisieren auf einer Skala von A (beste Qualität) bis E (nicht verwertbar) bewertet. Erreicht ein Kontakt nur noch D oder E, wird die Anlage auf API-Ebene mit dem Fehlercode EF01152 abgelehnt. Ein gesetzter Key „ignoreAddressQuality“ kann das zwar überschreiben, aber das verschiebt das Problem nur – beim Risk Assessment schlägt die schlechte Qualität dann ohnehin zu.
Die Risiken im Detail
Das Risk Assessment ist grundsätzlich sinnvoll – es reduziert Missbrauch und erhöht die Datenqualität im DNS. Gleichzeitig bringt es aber eine Reihe ganz praktischer Risiken mit sich, die jeder Domaininhaber kennen sollte.
Risiko 1: Domainverlust durch veraltete Kontaktdaten
Das größte Risiko ist gleichzeitig das trivialste: Eine nicht mehr funktionierende E-Mail-Adresse oder eine abgelaufene Telefonnummer im Domaindatensatz. Wer vor zehn Jahren seine Domain registriert hat und seither die info@-Adresse nicht mehr pflegt, bekommt die Verifizierungsmail schlicht nicht mit. Nach 7 Tagen ist die Domain offline, nach weiteren 90 Tagen weg – und damit auch alle darunter laufenden Dienste wie Webseite, E-Mail, Matomo, Subdomains und externe Integrationen.
Risiko 2: Business-Disruption durch serverHold
Der Status „serverHold“ deaktiviert die DNS-Auflösung. Das heißt: Die Domain existiert zwar technisch noch, aber niemand kommt mehr drauf. Für Online-Shops wie beispielsweise Shopify-Stores, für SaaS-Angebote, für Kundenportale oder einfach nur für die Firmenwebseite bedeutet das ab der ersten Minute Umsatzverlust und Reputationsschaden. Schlimmer noch: Auch E-Mails an die Domain werden nicht mehr zugestellt – was oft erst dann auffällt, wenn Kunden sich telefonisch beschweren.
Risiko 3: Keine RGP-Phase nach der Quarantäne
Das ist der wichtigste Unterschied zur bisherigen Quarantäne bei normalen Kündigungen: Nach der 90-tägigen Risk-Assessment-Quarantäne gibt es keine zusätzliche Redemption Grace Period. Die Domain wird direkt gelöscht und steht sofort für Dritte zur Neuregistrierung offen. Domainhändler und Drop-Catcher reagieren automatisiert im Sekundentakt – eine wertvolle Domain ist dann praktisch sofort weg und nur über teuren Rückkauf, wenn überhaupt, wiederzubekommen.
Risiko 4: Falsch-positive Einstufungen
Automatisierte Systeme produzieren Fehlalarme. Wer seine Domain über einen VPN oder Tor registriert – aus legitimen Datenschutzgründen –, wer eine Adresse in einem Gewerbegebiet mit vielen Firmensitzen hat, wer einen ungewöhnlichen Namen trägt oder wer Sonderzeichen wie Umlaute in den Daten verwendet, kann durchaus als „Suspicious“ eingestuft werden, obwohl alle Angaben korrekt sind. Die Beweislast liegt dann beim Inhaber.
Risiko 5: Öffentliche WHOIS als Spam- und Phishing-Vektor
Ein indirektes, aber real existierendes Risiko: Für juristische Personen werden E-Mail und Telefonnummer künftig öffentlich sichtbar. Das zieht erfahrungsgemäß eine Welle an Spam, SEO-Kaltakquise und Phishing-Anrufen nach sich. Wer dann jede zweite Verifizierungsmail aus Versehen löscht, weil sie zwischen dutzenden Phishing-Mails untergeht, hat ein echtes Problem.
Risiko 6: Domainportfolios mit vielen Kontakten
Wer ein größeres Portfolio betreibt – Agenturen, SEOs, Investoren mit 50, 100 oder mehr Domains – steht vor einer besonderen Herausforderung. Jeder fehlerhafte Kontakt, jede veraltete Telefonnummer, jede nicht mehr existente Weiterleitungs-E-Mail ist eine potenzielle Zeitbombe. Hier lohnt sich ein systematisches Audit, idealerweise mit zentraler, dauerhaft betreuter Verifizierungs-E-Mail-Adresse.
Risiko 7: Provider-Abhängigkeit
Das Risk Assessment adressiert primär das DENIC-Mitglied, nicht den Inhaber. Reagiert der Provider träge, unklar oder gar nicht, trägt am Ende der Inhaber die Konsequenzen. Gerade bei kleinen oder wenig digital organisierten Registraren kann das zum Problem werden – und spätestens jetzt ist ein guter Moment, die eigene Provider-Qualität zu hinterfragen.
⚠️ Checkliste: So minimierst du dein Risiko
- ✓ E-Mail-Adresse prüfen: Ist die OwnerC-E-Mail noch aktiv und wird sie regelmäßig gelesen?
- ✓ Telefonnummer validieren: Keine Dummy-Nummern, keine Platzhalter, internationales Format.
- ✓ Adresse aktuell halten: Straße, PLZ, Ort müssen stimmen – A/B-Qualität anstreben.
- ✓ Whitelist für Absender: DENIC- und Provider-Mails im Spamfilter freischalten.
- ✓ Zentrale Domain-Mail nutzen: Eine dauerhaft betreute Postfach-Adresse für alle Domains.
- ✓ Portfolio-Audit: Bei mehreren Domains systematisch alle Inhaberdaten durchgehen.
- ✓ Verifizierungsmail nicht ignorieren: Bei Zweifeln Echtheit prüfen, aber nicht löschen.
Was passiert bei Neuregistrierungen und Transfers?
Für neu registrierte oder transferierte .de-Domains gilt ein leicht abweichender Ablauf. Hier wird die E-Mail-Verifizierung automatisch angestoßen, analog zum Verfahren bei gTLDs wie .com oder .org. Der Inhaber hat 15 Tage Zeit, den Verifizierungslink zu bestätigen. Passiert das nicht, wird der Prozess als „fehlende Verifizierung“ erneut ausgelöst – und ab diesem Zeitpunkt läuft die 7-Tage-Frist bis zur Deaktivierung, gefolgt von 90 Tagen Quarantäne. Für Bestandsdomains ohne bestehende E-Mail-Verifizierung wird diese im Laufe der Zeit schrittweise nachgezogen; hier gilt eine 30-Tage-Frist zur initialen Bestätigung.
Unterschied zwischen Privatpersonen und juristischen Personen
Ein wichtiger Punkt, der immer wieder für Verwirrung sorgt: Die öffentliche WHOIS-Anzeige unterscheidet zwischen natürlichen und juristischen Personen. Für Firmen, Vereine und Organisationen sind Name, Anschrift, E-Mail und Telefon öffentlich einsehbar. Für Privatpersonen bleiben diese Daten geschützt – hier sieht man im öffentlichen WHOIS nur das Registrierungsdatum und das DENIC-Mitglied. Das Risk Assessment selbst greift aber in beiden Fällen gleich – die Prüfung der Datenqualität findet unabhängig vom Inhabertyp statt.
Fazit: Datenhygiene ist keine Kür mehr
Das DENIC Risk Assessment ist eine sinnvolle Maßnahme gegen Missbrauch, aber es verschiebt die Verantwortung für saubere Registrierungsdaten ein gutes Stück in Richtung Inhaber. Wer bis jetzt seine Domains „einmal registriert und dann vergessen“ betrieben hat, wird umdenken müssen. Die gute Nachricht: Wer seine Stammdaten aktuell hält, eine zuverlässige E-Mail-Adresse hinterlegt und einen reaktionsfähigen Provider nutzt, wird vom Risk Assessment praktisch nichts mitbekommen. Die schlechte: Ein einziger übersehener Mail-Eingang kann 97 Tage später die Domain kosten – und damit unter Umständen das Herzstück der eigenen Online-Präsenz.
Jetzt ist der richtige Zeitpunkt, alle .de-Domains im eigenen Portfolio einmal systematisch durchzugehen und zu prüfen, ob die hinterlegten Daten noch stimmen. Das dauert pro Domain wenige Minuten, erspart im Ernstfall aber wochenlangen Ärger.
Wann startete das DENIC Risk Assessment?
Das automatisierte Risk Assessment ist am 14. April 2026 in Kraft getreten. Seitdem wird jeder Contact- und Domainauftrag für .de-Domains auf Plausibilität und Auffälligkeiten geprüft. Die Rechtsgrundlage ist die nationale Umsetzung der europäischen NIS-2-Richtlinie.
Was bedeuten die Risikostufen Low, Suspicious und High?
Low Risk heißt, die Daten sind unauffällig und die Domain läuft ohne weitere Maßnahmen. Suspicious löst eine Verifizierungsanfrage beim DENIC-Mitglied aus, die der Inhaber bestätigen muss. High Risk führt direkt zur Pipeline Richtung Quarantäne, wenn die Verifizierung nicht innerhalb der Frist erfolgt.
Wie lange habe ich Zeit, auf eine Verifizierungsanfrage zu reagieren?
Ab der Verifizierungsanfrage hast du 7 Tage, bis die Domain technisch deaktiviert wird. Danach folgen 90 Tage Quarantäne, in denen die Verifizierung noch nachgeholt werden kann. Bei Neuregistrierungen gilt eine 15-Tage-Frist für die initiale E-Mail-Bestätigung. Insgesamt bleiben bis zu 120 Tage Zeit, bevor die Domain endgültig gelöscht wird.
Was passiert, wenn ich die Verifizierung verpasse?
Nach 7 Tagen wird die Domain auf den Status serverHold gesetzt und ist nicht mehr erreichbar. Nach weiteren 90 Tagen in Quarantäne wird sie endgültig gelöscht, und zwar ohne zusätzliche RGP-Phase. Danach ist die Domain sofort für Dritte zur Neuregistrierung offen.
Gilt das Risk Assessment auch für Privatpersonen?
Ja, das Risk Assessment greift unabhängig vom Inhabertyp. Der Unterschied liegt nur in der öffentlichen WHOIS-Anzeige: Daten von Privatpersonen bleiben geschützt, während juristische Personen mit Name, Adresse, E-Mail und Telefon öffentlich sichtbar sind. Die Datenqualitätsprüfung selbst findet bei beiden statt.
Welche Daten sollte ich dringend prüfen?
Die wichtigsten Punkte sind die OwnerC-E-Mail-Adresse, die Telefonnummer und die vollständige Adresse. Dummy-Telefonnummern und Platzhalter sind nicht mehr zulässig. Die Adressqualität wird auf einer Skala von A bis E bewertet, und Werte D oder E führen zu Problemen. Außerdem sollte die E-Mail regelmäßig gelesen werden, damit Verifizierungsanfragen nicht untergehen.
Kann ich meine Domain nach der Löschung zurückholen?
Innerhalb der 90-tägigen Quarantäne ja, durch Nachholen der Verifizierung. Nach endgültiger Löschung nicht mehr, da es keine klassische RGP-Phase gibt. Die Domain ist danach sofort für Dritte registrierbar, und spezialisierte Drop-Catcher reagieren oft im Sekundenbereich. Ein Rückkauf ist dann nur noch über teure Aftermarket-Prozesse möglich, wenn überhaupt.
Letzte Bearbeitung am Samstag, 18. April 2026 – 13:30 Uhr von Alex, Head of SEO Manager.
