“Die Domain brauchen wir nicht mehr” - ein Satz den man oft hört und den man mit Vorsicht aussprechen sollte.

An einer Internet-Domain – das Sinnbild einer Präsenz im Internet – hängen oft sehr viele Informationen, an die man erstmal gar nicht denkt.

Wenn eine Domain frei wird, kann diese wieder registriert oder gekauft werden und der neue Besitzer kann frei darüber verfügen. 

Was man dann oft vorher vergessen hat ist, dass nun auch E-Mails mit der Domain, die es vorher gab, an den neuen Besitzer geleitet werden, ohne dass etwas dagegen getan werden kann.

Dies birgt natürlich auch Sicherheitsprobleme. Was wenn ein anderer, externer Dienst wie Facebook, Google oder LinkedIn mit solch einer E-Mail verknüpft ist? Hier kann nun die Passwort vergessen- Funktion einfach ausgenutzt werden und schon hat der neue Besitzer Zugriff auf die alten Konten.

Leider nein. 

Es häufen sich Berichte, in welchen gezielt alte Domains registriert werden, um genau diese Angriffsvektoren auszunutzen. Dabei werden insbesondere ‘frisch’ abgelaufene Domains herausgefischt, da hier die Chancen größer sind, dass es Dienste von Drittanbietern gibt, welche noch nicht gelöscht wurden.

Dabei gab es jüngst Fälle, in welchen auch illegale Geschäfte mit so erbeuteten, verifizierten und echten Konten getätigt wurden, die dann polizeilich verfolgt wurden. Das hatte dann oft auch Auswirkungen auf die ehemaligen Besitzer dieser Domains, da oft deren Namen noch mit den Konten verknüpft waren.

Zuallererst einmal sollte man immer sicher stellen, dass man Zugriff auf seine Domain hat, dass klar ist, wer diese verwaltet und wo diese gehostet wird. Diese Informationen und Zugangsdaten sollten nicht bei einer Person liegen ‘die das halt mal gemacht hat’, sondern gehört zu den allgemeinen Betriebsunterlagen eines Unternehmens. Das sollte so griffbereit sein wie die Unterlagen zum Onlinebanking oder der Buchhaltung.

Dann müssen Konten bei Drittanbietern immer mit Multifaktor Authentifizierung angelegt werden, und der 2. Faktor darf nicht eine weitere E-Mail Adresse sein! Es sollte ein anderes Gerät (Mobilgerät z.B.) oder ein Security Key (ein Yubikey als Beispiel) sein. 

Es bietet sich auch an, dass man Konten bei Drittanbietern oder Dienstleistern, insbesondere bei SAAS Anbietern, nicht mit einem persönlichen E-Mail-Konto erstellt, sondern sich hierfür spezielle Konten anlegt und diese verwendet. Das hat den Vorteil, dass bei wechselnden Mitarbeitern oder Verantwortungen die Kommunikation und Zugänge direkt weitergegeben werden können und dadurch auch sichtbar bleiben. Als angenehmen Nebeneffekt sieht man sehr schön, welcher Anbieter E-Mail-Adressen weiterverkauft hat…

Wenn Mitarbeiter ausscheiden, sollten auch entsprechende Social Media oder andere personalisierte Konten entweder weitergegeben oder direkt geschlossen werden. 

Und am Ende, wenn man eine Domain nicht mehr benötigt, sollte man sich trotzdem fragen, ob man diese nicht einfach behält, schon alleine aus SEO Gründen und aufgrund von alten Links oder Bookmarks. Man sollte lieber eine Domain noch ein paar Jahre behalten und schauen was für Traffic – E-Mail und Web – hier noch stattfindet.