WHOIS / RDAP
Abfrageprotokolle zur Ermittlung von Registrierungsdaten einer Domain — Inhaber, Registrar, Registrierungsdatum, Ablaufdatum und Nameserver.
WHOIS ist eines der ältesten Protokolle des Internets und dient dazu, öffentlich zugängliche Registrierungsinformationen über Domainnamen, IP-Adressen und autonome Systeme abzurufen. Das Protokoll wurde in den frühen 1980er Jahren spezifiziert (RFC 812, später RFC 3912) und hat sich seitdem zum Standardwerkzeug für Domain-Recherchen entwickelt. Der Name leitet sich von der englischen Frage „Who is?" ab — wer ist der Inhaber einer bestimmten Ressource?
Welche Informationen liefert WHOIS?
Eine WHOIS-Abfrage liefert je nach Domain und Registrar unterschiedlich detaillierte Informationen. Zu den typischen Datenpunkten gehören der Name des Registrars, über den die Domain registriert wurde, das Registrierungsdatum und das Ablaufdatum der Domain, die konfigurierten Nameserver sowie der Status der Domain (etwa „clientTransferProhibited" als Schutz vor unautorisierter Übertragung). Vor Inkrafttreten der DSGVO enthielten WHOIS-Einträge regelmäßig auch den vollständigen Namen, die Adresse, Telefonnummer und E-Mail-Adresse des Domaininhabers.
RDAP als Nachfolger
RDAP (Registration Data Access Protocol) wurde von der IETF als technischer Nachfolger von WHOIS entwickelt und in den RFCs 7480 bis 7484 spezifiziert. Im Gegensatz zum textbasierten WHOIS-Protokoll liefert RDAP strukturierte Antworten im JSON-Format, unterstützt HTTPS für die Übertragung und bietet standardisierte Authentifizierungs- und Zugriffskontrollmechanismen. ICANN hat RDAP für gTLD-Registrare verpflichtend gemacht. Für Nutzer ändert sich wenig — die abgefragten Informationen sind inhaltlich vergleichbar, die technische Grundlage ist aber robuster und zukunftssicher.
WHOIS und Datenschutz
Die DSGVO hat die WHOIS-Landschaft seit Mai 2018 grundlegend verändert. Personenbezogene Daten des Domaininhabers — Name, Anschrift, Telefonnummer — dürfen von Registraren nicht mehr ohne Rechtsgrundlage öffentlich angezeigt werden. Europäische Registrare blenden diese Informationen standardmäßig aus oder ersetzen sie durch einen Privacy-Proxy. DENIC, die Registrierungsstelle für .de-Domains, zeigt seit der DSGVO-Einführung im öffentlichen WHOIS nur noch die technischen Daten an: Nameserver, Domain-Status und Aktualisierungsdaten.
Für Sicherheitsfachleute bedeutet das: Die Identifikation des Domaininhabers über WHOIS ist nicht mehr ohne Weiteres möglich. Strafverfolgungsbehörden und berechtigte Dritte können über standardisierte Verfahren (bei DENIC etwa das Dispute-Verfahren oder eine gerichtliche Anordnung) Zugang zu den nicht öffentlichen Daten erhalten. Für die alltägliche Sicherheitsanalyse sind die weiterhin verfügbaren technischen Daten — insbesondere Registrierungsdatum, Ablaufdatum und Nameserver — dennoch äußerst aussagekräftig.
WHOIS in der Sicherheitsanalyse
In der IT-Sicherheit gehört die WHOIS-Abfrage zu den grundlegenden Reconnaissance-Techniken. Für die Untersuchung von IP-Adressen und die Zuordnung zu Netzwerkbetreibern bietet der ASN-Lookup die passende Ergänzung — er nutzt dasselbe RDAP-Protokoll, fragt aber Autonome Systeme statt Domains ab. Sicherheitsanalysten nutzen beide Werkzeuge, um verdächtige Domains und IP-Adressen zu untersuchen und Bedrohungen einzuordnen. Eine Domain, die erst vor wenigen Tagen registriert wurde und bereits in Phishing-E-Mails auftaucht, ist mit hoher Wahrscheinlichkeit bösartig. Auch Typosquatting — die Registrierung von Domains, die etablierten Marken zum Verwechseln ähnlich sehen — lässt sich über WHOIS-Daten aufdecken.
Im Rahmen einer IT-Schwachstellenprüfung dient WHOIS dazu, die externe Angriffsoberfläche eines Unternehmens zu kartieren. Welche Domains sind registriert? Wann laufen sie ab? Sind die Nameserver konsistent konfiguriert? Gibt es vergessene Domains, die nicht mehr aktiv genutzt, aber noch registriert sind? Solche „verwaisten" Domains stellen ein erhebliches Risiko dar, wenn sie ablaufen und von Angreifern übernommen werden.
Typische Anwendungsfälle
Die folgende Übersicht zeigt, in welchen Situationen eine WHOIS-Abfrage besonders nützlich ist:
| Anwendungsfall | Relevante WHOIS-Daten | Nutzen |
|---|---|---|
| Phishing-Analyse | Registrierungsdatum, Registrar | Neu registrierte Domains als Warnsignal erkennen |
| Lieferanten-Prüfung | Registrierungsdatum, Domain-Status | Seriosität eines Geschäftspartners einschätzen |
| Domain-Monitoring | Ablaufdatum, Transfer-Status | Rechtzeitige Verlängerung sicherstellen |
| Markenüberwachung | Domainname, Registrar | Typosquatting und Markenmissbrauch aufdecken |
| Incident Response | Nameserver, Registrar, Erstelldatum | Angriffsinfrastruktur identifizieren und melden |
Gerade im Bereich Incident Response ist WHOIS unverzichtbar: Wenn ein Sicherheitsvorfall auf eine externe Domain zurückgeführt wird, liefern die WHOIS-Daten erste Anhaltspunkte für die Zuordnung und ermöglichen es, Abuse-Meldungen an den zuständigen Registrar zu richten.
Praxistipp
Mit der kostenlosen WHOIS-Abfrage können Sie die Registrierungsdaten beliebiger Domains in Sekundenschnelle prüfen — inklusive Registrar, Ablaufdatum und Nameserver. Das Tool nutzt das moderne RDAP-Protokoll und ist besonders nützlich, um verdächtige Domains aus E-Mails oder Links schnell einzuordnen. Kombinieren Sie die WHOIS-Abfrage mit dem DNS-Lookup, um neben den Registrierungsdaten auch die technische DNS-Konfiguration zu analysieren, und mit dem E-Mail Security Check, um die E-Mail-Authentifizierung der Domain zu prüfen.
Domain-Hygiene für Unternehmen
Unternehmen sollten ihre eigenen Domains regelmäßig per WHOIS-Abfrage überprüfen. Abgelaufene Domains können von Dritten registriert und für Spoofing oder Betrug missbraucht werden. Besonders kritisch ist dies für Domains, die in E-Mail-Signaturen, Marketingmaterialien oder Backlinks weiterhin referenziert werden.
Eine regelmäßige Prüfung des Ablaufdatums und die Aktivierung der automatischen Verlängerung sind einfache, aber wirkungsvolle Maßnahmen. Darüber hinaus sollte der Transfer-Lock (Status „clientTransferProhibited") aktiviert sein, um eine unautorisierte Übertragung der Domain an einen anderen Registrar zu verhindern. Unternehmen mit mehreren Domains profitieren davon, alle Registrierungen zentral bei einem Registrar zu bündeln und das Ablaufdatum in ein IT-Asset-Management-System zu übernehmen.