WHOIS-Abfragen & Registrarinformationen – Domain-Historie und Kontakte

von

Stefan
in , ,

Einleitung

Hinter jeder Domain steckt eine Geschichte: Wer hat sie registriert? Wann wurde sie erstellt? Welche technischen Kontakte sind hinterlegt?
Über WHOIS-Abfragen lassen sich viele dieser Informationen einsehen – und genau deshalb sind sie ein fester Bestandteil der Passive Reconnaissance.
Für Angreifer sind WHOIS-Daten ein nützlicher Startpunkt, für Verteidiger ein Hinweis auf potenzielle Angriffsflächen.

Was ist WHOIS?

WHOIS ist ein Protokoll und Datenbanksystem, das Informationen über registrierte Domains und IP-Adressen bereitstellt.
Abgefragt werden können z. B.:

  • Registrierungs- und Ablaufdatum der Domain.
  • Name und Organisation des Registranten (sofern nicht geschützt).
  • Technische und administrative Kontakte.
  • Nameserver, die für die Domain zuständig sind.

Typische Erkenntnisse aus WHOIS-Daten

1. Domain-Historie

  • Wann wurde die Domain registriert?
  • Wurde sie schon mehrfach übertragen oder erneuert?
  • Alte Registrierungen können auf Übernahmen oder frühere Projekte hinweisen.

2. Kontakte & Organisationen

  • Administrative oder technische Kontakte verraten oft E-Mail-Adressen oder Unternehmensdetails.
  • Gleiche Kontakte bei mehreren Domains → Hinweis auf „versteckte“ Projekte oder Submarken.

3. Nameserver & Hosting-Provider

  • Welche DNS-Provider und Hoster werden genutzt?
  • Wechsel von Providern kann auf Migrationen oder Sicherheitsprobleme hinweisen.

4. Expiration Dates

  • Domains mit bald ablaufender Registrierung sind potenziell verwundbar (z. B. Domain-Hijacking, wenn nicht rechtzeitig verlängert).

Schutzmechanismen & moderne Einschränkungen

  • Datenschutz: Seit Einführung der DSGVO sind viele personenbezogene WHOIS-Daten geschwärzt oder durch „Privacy Protection“-Dienste verborgen.
  • Registrar-Proxy-Dienste: Viele Registrare bieten Privacy-Services an, die echte Kontakte verschleiern.
  • Trotzdem: Technische Informationen (z. B. Nameserver, Registrar, Registrierungsdatum) bleiben meist sichtbar.

Risiken für Unternehmen

  • Informationslecks: Sichtbare E-Mail-Adressen können für Phishing oder Spam missbraucht werden.
  • Domain-Linking: Gleiche Registrierungsdaten können interne Projekte oder Testsysteme verraten.
  • Angriffsplanung: Angreifer erkennen, welche Provider und Technologien im Einsatz sind.

Schutzmaßnahmen

  1. Privacy Services nutzen: Registrar- oder Proxy-Dienste aktivieren, um personenbezogene Daten zu verbergen.
  2. Corporate Domains zentral verwalten: Alle Domains über einen einheitlichen Provider managen.
  3. Expiration Management: Verlängerungen überwachen, um Domain-Hijacking vorzubeugen.
  4. Regelmäßige Eigenprüfung: WHOIS-Daten der eigenen Domains prüfen, um keine unnötigen Infos preiszugeben.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert