WHOIS-Abfrage: So ermittelst du Domain- und IP-Informationen
Wer steckt hinter einer bestimmten Domain? Wann wurde sie registriert – und bei welchem Anbieter? Eine WHOIS-Abfrage liefert genau diese Informationen. Das Protokoll gehört seit den Anfängen des Internets zur grundlegenden Infrastruktur und ist bis heute ein unverzichtbares Werkzeug für Administratoren, Sicherheitsanalysten und jeden, der Transparenz im Netz schätzt.
In diesem Artikel erfährst du, wie das WHOIS-Protokoll funktioniert, welche Daten du damit abrufen kannst und welche Tools sich für die Abfrage eignen.
Was ist WHOIS und wie funktioniert das Protokoll?
WHOIS (gesprochen: „Who is”) ist ein Abfrageprotokoll, das bereits 1982 im RFC 812 spezifiziert wurde. Es ermöglicht die Abfrage öffentlich zugänglicher Registrierungsdaten von Domains, IP-Adressen und autonomen Systemen (AS-Nummern).
Das Grundprinzip ist einfach: Ein Client sendet eine Anfrage an einen WHOIS-Server, der die gespeicherten Registrierungsinformationen zurückgibt. Die Daten werden von sogenannten Registries (z. B. DENIC für .de-Domains) und Registraren (z. B. IONOS, Namecheap, GoDaddy) verwaltet.
Technischer Ablauf einer Abfrage
- Der Nutzer gibt eine Domain oder IP-Adresse ein.
- Die Anfrage wird an den zuständigen WHOIS-Server weitergeleitet (Port 43/TCP).
- Der Server durchsucht seine Datenbank und liefert die verfügbaren Registrierungsdaten zurück.
- Bei Bedarf erfolgt eine Weiterleitung an einen untergeordneten Server (Thin-WHOIS-Modell).
Für europäische Domains kommt seit Inkrafttreten der DSGVO häufig das RDAP-Protokoll (Registration Data Access Protocol) zum Einsatz. RDAP ist der modernere Nachfolger von WHOIS und bietet strukturierte JSON-Antworten sowie eine differenziertere Zugangskontrolle.
Welche Daten liefert eine WHOIS-Abfrage?
Der Umfang der zurückgegebenen Informationen hängt von der jeweiligen TLD (Top-Level-Domain) und den geltenden Datenschutzbestimmungen ab. Typischerweise erhältst du folgende Angaben:
| Feld | Beschreibung |
|---|---|
| Domain Name | Die abgefragte Domain |
| Registrar | Der Anbieter, über den die Domain registriert wurde |
| Registration Date | Datum der Erstregistrierung |
| Expiry Date | Ablaufdatum der Domain-Registrierung |
| Name Server | Die autoritativen DNS-Server |
| Domain Status | Aktueller Status (z. B. active, clientTransferProhibited) |
| Registrant | Inhaber der Domain (falls nicht durch Privacy-Dienst geschützt) |
Einschränkungen durch die DSGVO
Seit Mai 2018 sind europäische Registrare verpflichtet, personenbezogene Daten aus öffentlichen WHOIS-Antworten zu entfernen. Konkret bedeutet das: Name, Adresse, Telefonnummer und E-Mail-Adresse des Domain-Inhabers werden in den meisten Fällen nicht mehr angezeigt. Stattdessen erscheint ein Hinweis auf den Datenschutz oder ein anonymisierter Kontakt über den Registrar.
Für berechtigte Anfragen – etwa bei Markenrechtsverletzungen oder Strafverfolgung – existieren gesonderte Verfahren, um an die vollständigen Daten zu gelangen.
Tools und Methoden für die WHOIS-Abfrage
Es gibt verschiedene Wege, eine Abfrage durchzuführen. Die Wahl des Tools richtet sich nach dem Anwendungszweck und dem technischen Kenntnisstand.
Webbasierte WHOIS-Tools
Für schnelle Einzelabfragen eignen sich Online-Dienste am besten:
- who.is – Übersichtliche Darstellung mit DNS- und Hosting-Informationen
- ICANN Lookup (lookup.icann.org) – Offizielles Tool der ICANN, nutzt das RDAP-Protokoll
- DENIC Web-WHOIS (denic.de) – Speziell für .de-Domains, direkt beim Registry
- RIPE Database (apps.db.ripe.net) – Für IP-Adressen und AS-Nummern im europäischen Raum
Kommandozeile (Terminal)
Auf Linux- und macOS-Systemen ist der whois-Befehl in der Regel vorinstalliert. Unter Windows lässt er sich über das Windows Subsystem for Linux (WSL) oder Tools wie Sysinternals whois.exe nutzen.
whois example.com
Für IP-Adressen funktioniert die Abfrage analog:
whois 192.0.2.1
Du kannst auch einen spezifischen WHOIS-Server angeben:
whois -h whois.denic.de example.de
Programmatische Abfragen
Für automatisierte Auswertungen bieten Programmiersprachen wie Python passende Bibliotheken:
import whois
result = whois.whois("example.com")
print(result.registrar)
print(result.expiration_date)
Beachte dabei die Rate-Limits der WHOIS-Server. Massenabfragen werden von den meisten Registries gedrosselt oder blockiert, um Missbrauch zu verhindern.
Typische Anwendungsfälle in der Praxis
Eine WHOIS-Abfrage ist kein Selbstzweck. In der IT-Praxis gibt es zahlreiche konkrete Szenarien, in denen sie wertvolle Dienste leistet:
- Cybersecurity & Incident Response: Bei Phishing-Mails oder verdächtigen URLs hilft die Abfrage dabei, das Registrierungsdatum und den Registrar einer Domain zu ermitteln. Frisch registrierte Domains sind oft ein Warnsignal.
- Domain-Kauf: Vor dem Erwerb einer Domain lässt sich prüfen, ob sie bereits registriert ist, wann sie ausläuft und wer der aktuelle Registrar ist.
- Markenrecht & Rechtsdurchsetzung: Unternehmen nutzen WHOIS-Daten, um bei Cybersquatting oder Markenmissbrauch den zuständigen Registrar zu kontaktieren.
- Netzwerk-Troubleshooting: Über die IP-basierte Abfrage lässt sich herau