TL;DR — Dein echter Name, deine Adresse und Telefonnummer werden in WHOIS veröffentlicht, jedes Mal wenn du eine Domain registrierst—außer du lehnst das ab. Stalker, Betrüger und Konkurrenten scrapen diese Daten täglich, und die Kosten der Exposition sind asymmetrisch: sie gewinnen alles, du verlierst die Kontrolle.
Eine Marketing-Direktorin registriert eine Domain für eine neue Startup-Idee als Nebenprojekt. Zwei Wochen später rufen Konkurrenten sie auf ihrer privaten Handynummer an. Eine Journalistin registriert eine Domain für investigative Recherche. Tage später hat das Ziel ihrer Recherche ihre Heimatadresse. Eine OnlyFans-Creator nutzt ihren echten Namen auf einer Domain. Stalker tauchen in ihrer Wohnung auf.
WHOIS ist eine öffentliche Datenbank. Jede Domain-Registrierung enthält Kontaktdaten des Registranten—Name, E-Mail, Telefon, physische Adresse. Es sei denn, du lehnst das explizit ab, sind diese Informationen für jeden mit Internetverbindung durchsuchbar. Keine Durchsuchung nötig. Keine Begründung. Nur eine Befehlszeilen-Abfrage oder ein Web-Formular.
Das Threat Model sind nicht Kriminelle—es sind alle anderen
Die meisten Registrare verkaufen WHOIS-Datenschutz als Versicherung gegen „Cyberkriminelle". Falscher Ansatz. Das echte Threat Model ist breiter und alltäglicher:
Competitive-Intelligence-Firmen scrapen WHOIS, um Unternehmens-Infrastruktur zu kartografieren, Nebenprojekte zu identifizieren und Übernahmen vor der Ankündigung zu tracken. Dein stealth-mode Startup ist nicht mehr stealth, sobald du eine Domain registrierst.
Spear-Phishing-Operationen sammeln Registrant-E-Mails, um gezielte Angriffe zu versenden. Eine E-Mail von „deinem Registrar" über EPP-Code-Verifizierung ist glaubwürdiger, wenn der Angreifer weiß, dass du eine Domain letzten Dienstag registriert hast.
Doxxer und Harassment-Kampagnen nutzen WHOIS als Schritt eins. Gaming-Communities, politische Aktivisten und Sex-Worker werden überproportional angegriffen. Eine durchgesickerte Domain verbindet deine Online-Identität mit deinem echten Namen und deinem physischen Standort.
Sales-Prospecting-Bots generieren automatisch Cold Outreach, sobald eine neue Domain in WHOIS-Feeds auftaucht. Du registrierst cool-startup.com und erhältst innerhalb von 24 Stunden fünfzig E-Mails mit Angeboten für Logo-Design, SEO-Services und Webhosting.
Rechtliche Drohungen und DMCA-Trolle nutzen WHOIS, um Ziele zu identifizieren. Auch wenn ein Anspruch unbegründet ist, bedeutet deine veröffentlichte Kontaktinformation, dass du dich mit beglaubigten Briefen und Vergleichsforderungen herumschlagen musst.
Der gemeinsame Nenner: keiner dieser Akteure muss etwas hacken. Die Daten liegen einfach da, normalisiert, maschinenlesbar, täglich aktualisiert.
„Ich habe nichts zu verbergen" ist die falsche Frage
Datenschutz geht nicht um das Verstecken von Fehlverhalten. Es geht um die Kontrolle von Informationsasymmetrie.
Wenn du deine Kontaktdaten veröffentlichst, hast du eine einseitige Offenlegung gemacht. Die andere Partei—wer auch immer—erfährt deinen echten Namen, Standort, E-Mail-Muster, Telefonnummer und organisatorische Zugehörigkeiten. Du erfährst nichts über sie. Sie können entscheiden, wann und wie sie dich kontaktieren. Du kannst dich nicht nachträglich abmelden.
Betrachte die Einsätze:
| Du gewinnst | Sie gewinnen |
|---|---|
| Nichts (Daten gehörten dir ohnehin) | Komplettes Kontakt-Dossier für Outreach, Recherche oder Targeting |
| Marginale „Transparenz"-Glaubwürdigkeit (selten geschätzt) | Fähigkeit, Domain-Besitz über mehrere Projekte hinweg zu korrelieren |
| Einhaltung veralteter Normen | Persistente Kennung, die Spam E-Mail-Änderungen und Pseudonyme überlebt |
Das Risiko ist asymmetrisch. Exposition kostet dich Privatsphäre, Sicherheit und Verhandlungsmacht. Der Nutzen ist theoretisch und kommt meist Dritten zugute.
Auch wenn du ein legitimes Geschäft mit einer öffentlichen Website betreibst, gibt es keinen Grund, Spammer und Stalker mit einem strukturierten Datensatz mit deiner persönlichen Telefonnummer zu versorgen. Liste eine Kontakt-E-Mail auf deiner Website auf, wenn du eingehende Kommunikation willst. Veröffentliche deine Heimatadresse nicht in einer global replizierten Datenbank.
Wie WHOIS-Datenschutz funktioniert
WHOIS-Datenschutz—auch Domain-Datenschutz oder Proxy-Registrierung genannt—ersetzt deine persönlichen Daten mit den Kontaktdaten des Registrars (oder eines Proxy-Services) im öffentlichen WHOIS-Datensatz. Die Registry hat deine echten Daten immer noch aus Compliance-Gründen, aber sie werden nicht ins Internet broadcast.
Bei bunkerdomains ist WHOIS-Datenschutz kostenlos und standardmäßig aktiviert. Kein Upsell. Keine Opt-in-Checkbox, die in den Kontoeinstellungen versteckt ist. Du gibst eine E-Mail für die Kontowiederherstellung und EPP-Codes ein. Diese E-Mail erscheint nicht in WHOIS. Wenn jemand deine Domain abfragt, sieht er:
Registrant Organization: REDACTED FOR PRIVACY
Registrant Email: privacy@bunkerdomains.com
Registrant Phone: +000.0000000
Registrant Address: REDACTED FOR PRIVACY
Wenn ICANN-vorgeschriebener Kontakt erforderlich ist (selten), kümmern wir uns darum. Du wirst nicht geoutet, weil jemand einen fragwürdigen UDRP eingereicht hat.
Was Datenschutz nicht schützt
WHOIS-Datenschutz versteckt deine Daten vor öffentlichen Abfragen. Er:
- Stoppt nicht die Strafverfolgung mit gültigem Subpoena (Registrare behalten echte Daten für Compliance)
- Verhindert nicht Lecks, wenn dein Registrar gehackt wird oder Kundenlisten verkauft
- Versteckt nicht die Tatsache, dass eine Domain existiert oder ihre Nameserver/IP-Adressen
- Verdunkelt nicht Informationen, die du anderswo veröffentlichst (SSL-Zerts, DNS TXT Records, Website Footer)
Wenn dein Threat Model Akteure auf Staatsebene oder Gesetzesverletzungen in deiner Jurisdiktion beinhaltet, ist WHOIS-Datenschutz notwendig aber nicht ausreichend. Du brauchst auch anonyme Zahlung (Crypto), anonyme E-Mail (nicht Gmail) und einen Registrar, der nicht mit außergerichtlichen Anfragen kooperiert.
Wir antworten nicht auf DMCA-Notices. Wir übergeben Daten nicht ohne Gerichtsbeschluss in unserer Jurisdiktion. Wir verlangen keine echten Namen oder ID-Verifikation.
Die meisten Registrare berechnen extra—oder leaken deine Daten trotzdem
Große Registrare behandeln WHOIS-Datenschutz als Profitcenter. Sie berechnen $10–20/Jahr pro Domain für einen Service, der sie ungefähr Null kostet. Einige „включают" ihn im ersten Jahr, erneuern dann aber zu höherer Rate automatisch. Andere schließen ihn für bestimmte TLDs aus (.us, .ca, .eu), wo die Registry Proxy-Kontaktdaten verbietet.
Noch heimtückischer: Selbst Registrare mit „kostenlosem" WHOIS-Datenschutz haben Kundendaten geleckt via:
- E-Mail-Weiterleitungsservices, die
Received:-Header mit deiner echten Adresse bewahren - WHOIS-History-Datenbanken, die Records archivieren, bevor Datenschutz aktiviert wurde
- Affiliate-Partnerschaften, wo deine Registrierung Daten-Sharing-Vereinbarungen für „Partner-Angebote" auslöst
- GDPR-Lücken, wo „legitimate interest" benutzt wird, um Kontaktdaten für Trademark-Beschwerden freizulegen
Jedes Mal wenn ein Registrar nach deinem echten Namen, Telefon und Adresse während des Checkouts fragt, frag: warum? Die Registry interessiert es nicht. ICANNs Anforderungen werden durch die Beibehaltung von Records erfüllt, nicht durch deren Veröffentlichung. Der Registrar will die Daten für CRM, Upselling und Resale.
Bei bunkerdomains:
- Echter Name nicht erforderlich (Alias ist okay)
- Keine Telefon-Verifikation (außer du wählst SMS 2FA)
- Keine Adresssammlung (auch nicht für Abrechnung—nur Crypto)
- Keine Weiterleitungen, die Metadaten leaken
- Kostenloser WHOIS-Datenschutz auf jedem TLD, das wir unterstützen
Praktische Threat-Szenarien
Szenario 1: Journalistin registriert Recherche-Domain
Eine Reporterin, die an einem Corporate-Skandal arbeitet, registriert mega-corp-investigation.com um Quellendokumente zu organisieren und einen sicheren Drop zu einzurichten. Sie nutzt ihren echten Namen bei einem Mainstream-Registrar. WHOIS ist öffentlich.
Innerhalb einer Woche sendet die Anwaltskanzlei des Unternehmens eine Pre-Publication-Rechtsdrohung an ihre persönliche E-Mail, CCt ihren Editor. Der Domain-Name selbst tipp sie ab. Ihre physische Adresse—in WHOIS aufgelistet—erscheint Monate später in Discovery-Anfragen, wenn das Unternehmen klagt.
Fix: Anonym registrieren. Nutze einen Registrar, der nicht beim ersten Kontakt einknickt. Nutze keinen Domain-Namen, der deine Recherche vorzeitig signalisiert (oder nutze ihn als Kanary).
Szenario 2: Crypto-Gründer pivotiert zu neuem Projekt
Ein Entwickler verlässt ein DeFi-Protokoll und startet einen Konkurrenten. Er registriert new-protocol.io unter seinem echten Namen. Investoren und das alte Team scrapen WHOIS, identifizieren ihn und machen präventiv Pitch oder juristische Drohungen über Non-Competes.
Das Projekt ist nicht geheim—es ist auf GitHub. Aber die Besitzidentifikation vor einem öffentlichen Launch zu offenbaren gibt Konkurrenten strategische Intel und ändert Verhandlungsdynamiken.
Fix: Anonyme Registrierung. Nutze einen Organisationsnamen oder Alias. Kontrolliere den Timing deiner öffentlichen Disclosure.
Szenario 3: Adult-Content-Creator nutzt echte Identität
Ein unabhängiger Adult-Performer registriert eine Domain für bezahlte Inhalte. Sein echten legalen Namen und Heimatadresse erscheinen in WHOIS. Ein Subscriber reverse-sucht die Domain, findet seine Infos und taucht zu Hause auf.
Das ist nicht hypothetisch. Es passiert. WHOIS-basiertes Stalking ist häufig in Industrien, wo Performer beruflich Pseudonyme nutzen, aber Domains unter echten Namen registrieren, weil „das ist was die Form gefragt hat".
Fix: Nutze deine echte Identität nie für Domains, die mit Arbeit verknüpft sind, wo du pseudonym bist. Anonymer Registrar. Crypto-Zahlung. Alias überall.
Der EPP-Code ist das einzige Geheimnis, das zählt
WHOIS-Datenschutz versteckt deine Kontaktdaten. Aber Domain-Besitz wird durch den EPP-Code (Authorization Code, Transfer Key) kontrolliert. Das ist das Passwort, mit dem du eine Domain zwischen Registraren verschieben kannst.
Die meisten Registrare mailen den EPP-Code an die Registrant-Adresse auf der Akte. Wenn WHOIS öffentlich ist und jemand deinen Registrar social engineers, kann er einen Transfer anfordern und den Code abfangen. Selbst wenn WHOIS privat ist, macht ein Registrar, der deine echte E-Mail für „Verifikation" verlangt, einen Single Point of Compromise.
Bei bunkerdomains gehen EPP-Codes an deine Account-E-Mail. Nicht veröffentlicht. Nicht geteilt. Du kannst Codes vom Dashboard regenerieren. Kein Support-Ticket, keine ID-Verifikation, kein Anruf, um „deine Identität zu bestätigen".
Wenn du den Zugang zu deiner Account-E-Mail verlierst und hast keine 2FA-Wiederherstellungscodes, ist deine Domain weg. Wir können nicht helfen. Das ist der Trade-off, keine echten Identitätsdaten zu sammeln. Opsec ist deine Verantwortung.
Wenn anonyme Registrierung erforderlich ist, nicht optional
Du brauchst anonyme Domain-Registrierung wenn:
- Dein Threat Model beinhaltet Harassment oder Doxxing. Aktivisten, Journalisten, Whistleblower, Sex Worker, kontroverse Künstler, Streamer die die falsche Community verärgert haben.
- Du stealth-mode Infrastruktur baust. Startups, Forschungsprojekte, Crypto-Protokolle, Dark Markets (legale Jurisdiktionen variieren—wir sind nicht dein Anwalt).
- Du bist in einer Jurisdiktion mit instabiler Rechtsstaatlichkeit. Deinen echten Namen und deine Adresse in einer global zugänglichen Datenbank zu veröffentlichen ist eine Einladung für staatliche oder nichtstaatliche Akteure Druck auszuüben.
- Du operierst in Grey-Market-Spaces. Adult-Inhalte, CBD, Nootropika, Prediction Markets, Privacy-Tools—Industrien wo Payment Processor und Plattformen willkürlich deplatformen.
- Du bist einfach es leid, Spam zu bekommen. Ernsthaft. Eine Domain zu registrieren sollte nicht bedeuten, dass deine Telefonnummer auf fünfzig Lead-Gen-Listen landet.
Du musst deine Privacy gegenüber uns nicht rechtfertigen. Wir fragen nicht. Wir urteilen nicht. Wir antworten nicht auf wütende E-Mails von Leuten, die denken, deine Domain sollte nicht existieren.
WHOIS-Datenbanken wurden in einer Ära entworfen, als das Internet ein paar hundert akademische Institutionen waren. Die Veröffentlichung von Kontaktdaten machte Sinn für eine kleine, hochvertrauenswürdige Gemeinschaft. Diese Welt ist weg. Heute ist WHOIS ein Doxxing-Tool mit einem Standards Body. Die Frage ist nicht „warum anonym registrieren"—es ist „warum würdest du jemals deine Heimatadresse in einer Datenbank veröffentlichen, die für Bulk-Scraping entworfen ist?" Wir kennen schon die Antwort: weil dein Registrar dir keine Wahl gegeben hat, extra berechnet hat oder es kompliziert gemacht hat. Überspringe die Bank, zahle mit Crypto und höre auf, deine Kontaktinfos Fremden auszuhändigen.