Sie möchten einen Domainnamen kündigen, den Sie nicht mehr brauchen.
Grundsätzlich kein Problem. Wir hätten das gerne aus Haftungsgründen schriftlich (Briefpapier/Unterschrift), aber davon abgesehen geht das recht einfach. Wenn SIe eine Domain kündigen, schalten wir diese in der Regel schnellstmöglich ab. (Wenn Sie sie bis zum Ende der berechneten Laufzeit aktiv halten wollen, sagen Sie das bitte dazu).
Domains mit der Endung ".de" gehen danach in eine sog. Redemption Grace Period, die dauert 30 Tage, in denen die Domain nicht mehr genutzt werden kann, in denen sie aber auch noch nicht neu vergeben werden kann. Diese Redemption Period ist dafür gedacht, dass Sie die Domain unkompliziert gegen eine kleine Gebühr wiederbeleben können, falls Ihnen auffällt, dass Sie sie doch noch brauchen. Bei anderen Domain-Endungen gibt es ebenfalls sehr oft Redemption Period-Regelungen, fragen SIe bei Interesse gerne im Detail nach.
Soviel zur Theorie. Nun zur Praxis: Machen Sie es nicht. Wirklich nicht. Behalten Sie die Domain.
Denn: Nach Ablauf der Redemption Period ist die Domain für jeden, der will, neu registrierbar. Warum sollte das jemand tun?
Problem 1: Suchmaschinen-Reputation und Schadcode
Wenn Ihre Domain früher für Web-Anwendungen genutzt wurde, dann ist sie möglicherweise in Suchmaschinen noch gelistet. Vielleicht gibt es auch andere Webseiten, die auf Ihre Domain verlinken. KundInnen, die noch alte Dokumente oder Flyer haben und die Domain abtippen. Oder sie in ihren Browser-Lesezeichen gespeichert haben.
Und der neue Inhaber der Domain profitiert nun von diesen fehlgeleiteten Aufrufen. Und freut sich darüber, dass auf seiner Webseite - im besten Fall Werbung für Online-Casinos, im schlimmsten Fall Schadcode, der versucht, den Browser des Gegenübers anzugreifen - jetzt Irrläufer ankommen. Das schadet dem Image Ihrer Organisation mehr als die wenigen Euro pro Jahr, die es gekostet hätte, die Domain zu behalten.
Problem 2: Identitätsbetrug
Eine Stufe weiter gehen Täter, die nicht nur einfach die Domain ausnutzen, um völlig anderen Inhalt (z.B. Casino-Werbung) auszuspielen. Sondern die die Identität stehlen, um damit einzukaufen.
Vor einigen Monaten haben wir eine interessant klingende Anfrage eines Betreibers für Containerterminals in Häfen bekommen. Für einen Telefonanschluss mit hohem Anteil Auslandsgesprächen. Eine plausibel klingende Anfrage, die Firma EUROGATE gibt es wirklich, der Internet-Auftritt passt zur Anfrage, der uns schreibende Holger Bomm ist laut Handelsregister der Geschäftsführer ... nur leider ist es eine billige Kopie (links), die echte Firma EUROGATE (rechts im Bild) weiß von dieser Anfrage nichts.
Identitätsdiebstahl, um Verträge abzuschließen (und sie nach Lieferung nicht zu bezahlen) ist leider nichts neues. Aber es wird um so gefährlicher, wenn es Tätern gelingt, mit einer früher mal gültigen Domain die Identität aufzubessern. Denn ein Blick in das Archiv des Internets, die Wayback-Machine (*), entlarvt die linke Webseite als viel zu neu für eine Firma, die mehrere Jahrzehnte existiert. Hätte der Täter aber eine verwaiste Domain von EUROGATE nutzen können, würde das seine Reputation (und damit die Erfolgsaussichten) deutlich stärken.
(* Sie kennen die Wayback-Machine nicht? Sie erlaubt eine Zeitreise in frühere Webseiten, z.B. 20 Jahre zurück: https://web.archive.org/web/20040406115302/http://www.dt-internet.de/#)
Problem 3: E-Mails, DNS und andere Altlasten
Selbst wenn es gar keine Webseite gab oder gibt: Vielleicht gab es mal E-Mail-Adressen? Vielleicht ist in irgend einem Portal, einem Online-Shop o.ä. ein Account hinterlegt mit einer Mail-Adresse@diese-Domain?
Als neuer Eigentümer einer Domain kann der Täter auch alle Mail-Adressen@diese-Domain einsammeln und gelangt so an Passwort-zurücksetzen-Links. In größeren Organisationsstrukturen könnten auch DNS-Abfragen zum Problem werden (solche, die der Angreifer dann völlig problemlos manipulieren kann) und zum Angriff in Ihre Organisation genutzt werden.
Klingt übertrieben?
Dieses Problem wurde auch beispielsweise im Bezug auf Behörden-Domains auch medial bereits aufgearbeitet, z.B. in diesem Mitschnitt vom "Hacker-Kongress" in Hamburg. Der dort vortragende Sicherheitsexperte hat eine solche verwaiste Behördendomain erst recherchiert und dann auch registriert (das Video länger schauen lohnt sich):
Unsere Empfehlung
Ganz klar: Behalten Sie die alte Domain. Bitte. Nicht, damit wir 2,80 Euro an Ihnen verdienen. Sondern weil der Ärger und Reputations- und Sicherheitsverlust Ihrerseits die paar Euro nicht wert sind.