Zugangsdaten: Blindes Vertrauen ist gefährlich

18.04.2016 von Nicole Y. Männl

Kleine wie große Unternehmen, brauchen früher oder später eine Website. Also schaut sich das kleine Unternehmen nach einer kleinen Webagentur in der Nähe um. “Full Service” liest man auf der Website der Agentur. “Schön”, denkt sich das kleine Unternehmen, “dann gebe ich meinen Webauftritt vertrauensvoll in die Hände der Agentur. Die kümmern sich um alles, von den Zugangsdaten des Servers bis zur Fertigstellung der Website, womit ich mich nicht auskenne.” Was dabei alles passiert, kann man sich nicht ausdenken. Eine wahre Geschichte über die Wichtigkeit des Schutzes von Zugangsdaten:

Digitale Sicherheitslücken: Mehrere Vorhängeschlösser vor Hintergrund mit Binärcode, geschlossen und geöffnet

Angebot, Auftrag, Website

Wenn es nur so einfach wäre! Aus Kundensicht klingt alles erstmal sehr unkompliziert. Doch es gibt so einige Fallstricke, wenn man ganz neu mit einer Internetpräsenz startet. Sowohl beim Startup als auch beim alten Offline-Hasen, der nach einigen Jahren Geschäftstätigkeit online gehen möchte.

1. Falle: Domain-Registrierung

Eine Domain ist mehr als eine Internetadresse, die man aufruft. Dahinter stecken viele Prozesse. Von der Findung des besten Domain-Namens samt Endung (TLD) bis zur Abklärung der Markenrechte, die man beachten muss. Worauf ich aber hinaus möchte, ist der Registrierungsprozess und das Besitzrecht.

Es gibt wirklich Agenturen, die registrieren die Domains ihrer Kunden unter dem eigenem Agenturnamen. Ich konnte es erst nicht glauben, als ich das per Zufall in einem Projekt feststellte. Ich war als Freiberuflerin für einen bestimmten Teil der Umsetzung zur Website-Erstellung in diesem Projekt engagiert worden. Mit den Abläufen zur Domainregistrierung habe ich in diesem Fall glücklicherweise nichts zu tun. Aber ich bin heute noch darüber entsetzt, dass so etwas vorkommt. Darum rate ich jedem Unternehmen, das die Domains nicht selbst registriert, auf Folgendes zu achten:

Domains müssen immer auf den Namen des Besitzers (Freiberufler) bzw. des Unternehmens (bei GmbH, AG und so weiter) registriert sein. Was heißt das genau?

Wenn ich einen Domain-Eintrag (in Deutschland) bei der DENIC aufrufe, dann sehe ich 6 Einteilungen/Überschriften:

  1. Domaindaten (die Internetadresse, plus Datum der letzten Aktualisierung)
  2. Domaininhaber (hier muss der Besitzer der Domain stehen!)
    -> Der Domaininhaber ist der Vertragspartner der DENIC und damit der an der Domain materiell Berechtigte.
  3. Administrativer Ansprechpartner (admin-c)
    -> Der admin-c ist die vom Domaininhaber benannte natürliche Person, die als sein Bevollmächtigter berechtigt und gegenüber DENIC auch verpflichtet ist, sämtliche die Domain betreffenden Angelegenheiten verbindlich zu entscheiden.
  4. Technischer Ansprechpartner (tech-c)
    -> Der tech-c betreut die Domain in technischer Hinsicht.
  5. Zonenverwalter (zone-c)
    -> Der zone-c betreut die Nameserver der Domain.
  6. Technische Daten (Nameserver)

Punkt 2. und 3. sind also die wichtigsten Eintragungen für Domainbesitzer der Unternehmen. Kontrollieren Sie unbedingt, wenn ein Dritter – wie beispielsweise eine Agentur oder ein Freiberufler – Ihre Domain für Sie registriert.

Wenn Sie nicht dort eingetragen sind, dann kümmern Sie sich schnellstmöglich um eine Änderung. Sie müssen in Punkt 2. eingetragen sein. Sonst ist die Domain nicht Ihre Domain!

Der admin-c in Punkt 3. ist übrigens jederzeit berechtigt, die Domain abzumelden oder auf Dritte zu übertragen!
Es darf jemand anders im admin-c stehen als der Domaininhaber. Aber dann sollten Sie vertraglich absichern, dass ungenehmigte Verfügungen nicht erlaubt sind, und Sie die alleinige Weisungsbefugnis haben. So oder so ähnlich. Fragen Sie Ihren Rechtsanwalt, was für Ihre Gesellschaftsform zweckdienlich ist.

Eintragungen 4. bis 6. sind Daten, die auf den Provider hinweisen. Hier ist hinsichtlich des Eigentums einer Domain keine Aufmerksamkeit nötig. Die Daten sollten jedoch stimmen.

Zurück zu unserer Agentur und dem kleinen Unternehmen.

2. Falle: Zugangsdaten für die Website und Hosting

Das kleine Unternehmen zeigt sich mittlerweile im Internet, die Agentur hat die Seite freigeschaltet. Eine letzte kleine Abschlagszahlung an die Agentur ist noch offen. Die Agentur wollte noch etwas ändern, was noch nicht so ganz nach den Vorstellungen des kleinen Unternehmens läuft. Es gibt Streit. Beide Seiten sind dickköpfig, keiner will nachgeben, es zeigt sich keine gütliche Einigung.

Da kommt der Agentur die Idee: Wenn der Kunde nicht zahlt, dann stellen wir die Website einfach ab. Dann wird das Unternehmen schon zahlen. Übrigens ist das auch eine übliche Praxis der Webhoster (Serveranbieter), wenn man seine Domaingebühren oder Hostinggebühren nicht zahlt. Davon habe ich schon das eine oder andere Mal von anderen Betroffenen gehört.

Man einigt sich nun doch, die Website bleibt online, der Restbetrag ist überwiesen. Ende gut, alles gut? Fast, denn eine ganze Kleinigkeit fehlt noch. Das kleine Unternehmen hat nämlich nicht daran gedacht, dass es die Zugangsdaten nicht erhalten hat. Man hat ja von so etwas wenig Ahnung, deshalb hatte man einen externen Dienstleister engagiert.

Viele Unternehmen haben keine Zugangsdaten

Vertrauen ist gut, das sollte man auf jeden Fall haben, aber die Kontrolle darf man nicht vollends abgeben. Jeder, der eine Website hat, sollte auf jeden Fall überprüfen, ob folgende Zugangsdaten sofort zur Hand sind:

  1. Serverzugang/Provider: Hierzu gehören alle Daten, die man benötigt, um auf den Server, auf dem die Website liegt, zu kommen. Bei Webhosting-Paketen ist das meistens eine Administrationsoberfläche.
    • Administration für die Domain, E-Mail, FTP-Einstellungen, phpMyAdmin und vieles mehr
    • Kundenzugang für Rechnungen und Supportanfragen zum Provider
  2. Website-Zugang: Ein oder mehrere normale Benutzeraccounts sind sicherlich für das tägliche Arbeiten freigeschaltet. Damit kann man Textänderungen und ähnliches machen.
    Wichtig, dass auch ein Admin-Account zur Verfügung steht, zu dem man die Daten bekommt. Diesen wird man so gut wie nie nutzen, wenn man sich nicht damit auskennt. Aber man sollte ihn zur Verfügung stehen haben. An manche Systeme kommt man nur schwierig heran (Aufwand/Kosten!), wenn kein Admin-Zugang vorhanden ist, den man nutzen kann.

Man stelle sich vor, nach ein paar Monaten oder Jahren kommt das kleine Unternehmen auf die Idee, die Agentur zu wechseln. Die Agentur stellt sich quer wegen der Zugänge und man hat einen enormen Aufwand, an alles heranzukommen. Oder die Agentur ist mittlerweile nicht mehr aktiv oder hat die Zugangsdaten selber nicht archiviert oder, oder, oder …

Das alles habe ich mir nicht ausgedacht. Ich habe öfter erlebt, wenn ich als Freiberuflerin die Neuerstellung oder Aktualisierung einer Website übernommen habe, dass der Kunde völlig hilflos war, was die Zugangsdaten anging. Und wenn einem dann die Domain noch nicht einmal gehört, man nicht weiß, wo (auf welchem Server) die Website liegt, dann kann das richtig Ärger machen.

Vermeiden Sie solche Situationen, indem Sie – als Unternehmen – zu Beginn eines Auftrages verhandeln und schriftlich festlegen, dass Ihnen die Zugangsdaten von der Agentur sofort zugehen und dass die Domain auf Ihren Namen registriert wird. Das sind nur zwei Kleinigkeiten, die aber sehr wichtig sind. Und nun überlegen Sie am besten, wie und wo Sie die Zugangsdaten speichern, damit Ihnen diese nicht verloren gehen. Oder wiederum in falsche Hände fallen, siehe auch Social Engineering.

Erwähnenswert ist natürlich auch, dass sich viele Agenturen und Freiberufler äußerst korrekt verhalten, was den Umgang mit Zugangsdaten und der Domainregistrierung angeht. Im Artikel sind die “schwarzen Schafe” der Internetbranche herausgestellt, damit Ihnen als Auftraggeber einer Website so etwas nicht passiert.

Die Tipps und Hinweise im Artikel beinhalten keine Rechtsberatung.

Nicole Y. Männl, Gastautorin

Gastautorin: Nicole Y. Männl

aus Würzburg ist seit 2006 als Freiberuflerin mit NYdigital tätig. Ihr Fokus liegt darauf, Unternehmen strategisch und empathisch bei der Digitalisierung zu unterstützen und somit eine professionellere Online-Kommunikation zu ermöglichen. Dabei legt sie besonderen Wert auf die Sicherheit - nicht nur für WordPress-Websites - sowie die korrekte technische Umsetzung der DSGVO. Neben Schulungen und Workshops teilt sie gern ihr Wissen als Gastautorin in Corporate Blogs.

Weitere Business Tipps & Insights Artikel

Über uns – was Hiscox ausmacht

  • Tradition und Innovation

    Wir blicken auf über 100 Jahre Erfahrung bei der Absicherung von Spezialrisiken zurück und sind von Anfang an Innovator mit vielfach ausgezeichneten Versicherungslösungen.

  • Top-Service im Schadenfall

    Unsere Kunden empfehlen unseren schnellen und professionellen Schadenservice mit 4,7 von 5 Sternen weiter (lt. Umfrage 2023) – das ist uns Lob und Ansporn gleichermaßen.

    Mehr über Hiscox erfahren

  • Mehr als nur Versicherung

    Unsere Prävention und Leistung bereits ab Tag 1 – profitieren Sie von unserem exklusiven Support, z.B. mit E-Learning, Checklisten, Vorlagen in unserer exklusiven Wissensplattform.