Deine Website läuft, deine E-Mails kommen an, es gibt kein Problem. Und jetzt sag bitte aus dem Kopf, bei welcher Firma deine Domain registriert ist. Und unter welchem Konto das Analytics-Property angelegt wurde. Die meisten Betriebe können eine der beiden Fragen beantworten, die zweite selten.
Wir sammeln diese Zugangsdaten bei jedem Projekt ein, und ehrlich gesagt war das immer ein bisschen mühsam. Domain, DNS und der ganze Rest haben keine klare Struktur, so wie sie ein Passwortmanager für Passwörter vorgibt. Genau darin liegt das ganze Problem. Ein Passwortmanager hat den Passwörtern eine Form gegeben: ein Eintrag pro Dienst, mit Benutzername, Passwort, URL. Du siehst auf einen Blick, wenn einer fehlt. Für die Zugänge zu einer Website gibt es diese Form bis heute nicht. Niemand kann dir sagen, wie ein vollständiger Satz überhaupt aussieht, und deshalb fällt eine Lücke erst an dem Tag auf, an dem sie wichtig wird.
Dieser Beitrag liefert die fehlende Form. Die Liste unten gilt für jeden Anbieter und jede Technik, auch für den Anbieter, mit dem du gerade völlig zufrieden bist.
Warum niemand daran schuld ist
Eine Website wird über Jahre aus zehn getrennten Diensten zusammengesetzt, von mehreren Personen, die jeweils das Naheliegende getan haben. Die Domain kam zuerst, das Hosting kam mit dem Relaunch, Analytics hat irgendwann jemand im Marketing eingerichtet. Es gibt keinen Moment, in dem das jemand hätte aufschreiben müssen. Also hat es niemand aufgeschrieben.
Das ist der Normalfall, und dein Anbieter verhält sich dabei völlig korrekt. Die Information wurde einfach nie an einer Stelle zusammengeführt, weil es diese Stelle nie gab.
Welche Zugänge gehören zu einer Website?
Zu einer Website gehören zehn Dinge, die man getrennt voneinander besitzen und verlieren kann: die Domain beim Registrar, der AuthInfo-Code, die Zahlung der Verlängerung, die DNS-Zone, das Hosting, der Quellcode, das CMS-Konto, der E-Mail-Anbieter, Analytics und das Ziel deiner Formulare. Die folgende Tabelle ist die Liste zum Abhaken.
| Zugang | Was es tatsächlich ist | Wer es halten sollte | Was du dir geben lässt |
|---|---|---|---|
| Domain beim Registrar | Die Miete am Namen. Eine .at-Domain gehört der Person oder Firma, die bei nic.at als Domain-Inhaber eingetragen ist | Der Betrieb, als eingetragener Domain-Inhaber. Immer | Name des Registrars, der Zugang, die Bestätigung, dass der Betrieb als Inhaber eingetragen ist, und das Verlängerungsdatum |
| AuthInfo-Code | Der Bestätigungscode, mit dem die Domain zu einem anderen Registrar umzieht | Der Betrieb, auf Anfrage | Die Zusage, dass du ihn jederzeit anfordern kannst. Du brauchst ihn heute nicht, du musst nur wissen, dass du ihn bekommst |
| Zahlung der Verlängerung | Die Karte, über die die Domain jedes Jahr abgerechnet wird | Der Betrieb | Welche Zahlungsmethode hinterlegt ist und ob die automatische Verlängerung aktiv ist |
| Nameserver und DNS-Zone | Das Adressbuch, das entscheidet, wohin die Domain zeigt, für die Website und für die Mails | Der Betrieb ist Inhaber des DNS-Kontos, der Anbieter bekommt eine Rolle darin | Welche Firma das DNS betreibt, der Zugang und ein Export der aktuellen Einträge |
| Webhosting | Der Ort, an dem die Website tatsächlich läuft | Der Betrieb ist Inhaber des Kontos | Anbieter, Zugang, und von wo aus die Website veröffentlicht wird |
| Quellcode und Repository | Die Website selbst, als Code | Der Betrieb ist Inhaber des Repositories oder der Organisation, in der es liegt | Wo der Code liegt, wer Admin ist, und ob der Betrieb Inhaber des Kontos ist oder Gast in der Organisation des Anbieters |
| CMS-Konto | Der Ort, an dem die Inhalte bearbeitet werden | Der Betrieb ist Inhaber, der Anbieter arbeitet als Admin oder Redaktion darin | Auf wessen Namen das Konto läuft und wer die Inhaber-Rolle hält |
| E-Mail-Anbieter | Getrennt vom Webhosting, und meist erst dann ein Thema, wenn sich die MX-Einträge ändern | Der Betrieb | Wer die Mailboxen betreibt und wo der Admin-Zugang liegt. Das ist nicht dieselbe Firma wie beim Hosting |
| Analytics | Das Property, das die Besuchsdaten sammelt | Der Betrieb ist Inhaber des Property, der Anbieter bekommt Zugriff | Welches Werkzeug, unter wessen Konto das Property angelegt wurde, und ob die Daten mit dir mitgehen |
| Ziel der Formulare | Wo die Anfragen tatsächlich landen: Postfach, CRM oder Webhook | Der Betrieb | Wo Anfragen heute ankommen und wer sie empfängt. Das bricht lautlos, und es fällt oft wochenlang niemandem auf |
Zwei Zeilen haben eine Falle, die man nur sieht, wenn man sie einmal erlebt hat. Die erste ist die Zahlung der Verlängerung. Eine Domain wird jedes Jahr abgebucht, und wenn die hinterlegte Karte auf ein Teammitglied lief, das den Betrieb inzwischen verlassen hat, scheitert die Abbuchung irgendwann still. Die zweite ist Analytics. Bei der Domain und beim Code gibt es etwas zu besitzen, beim Analytics-Property hängt alles am Zugang. Es gehört praktisch der Person, unter deren Konto es angelegt wurde, und wenn das ein privates Konto war, geht die gesamte Historie mit dieser Person.
Was diese Liste bewusst nicht tut: sie erklärt DNS nicht noch einmal. Wenn du wissen willst, was ein Nameserver oder ein A-Record eigentlich macht, steht das ausführlich in DNS, Domains und E-Mail: der Leitfaden ohne IT-Vorkenntnisse. Hier geht es nur darum, welche dieser Dinge es bei dir gibt und wer sie hält.
Wem gehört deine .at-Domain wirklich?
Deine .at-Domain gehört der Person oder Firma, die bei nic.at als Domain-Inhaber eingetragen ist. nic.at formuliert das eindeutig: Der Domain-Inhaber hat das alleinige Nutzungsrecht und kann frei über die Domain verfügen, und ohne seine Zustimmung dürfen die Daten der Domain weder geändert noch die Domain gelöscht werden (nic.at). Entscheidend ist allein dieser Eintrag. Die Rechte an der Domain hängen daran, unabhängig davon, wer die jährliche Rechnung bezahlt.
Der zweite Teil der Antwort ist der AuthInfo-Code. Das ist laut nic.at eine einmalige Kombination, die einer bestimmten Domain zugeordnet ist und beim Registrarwechsel als Bestätigungscode gilt. Du bekommst ihn von deinem aktuellen Registrar. Bei .com und den anderen generischen Endungen ist das sogar verbindlich geregelt: Die ICANN-Transfer-Policy verpflichtet den Registrar, den AuthInfo-Code innerhalb von fünf Kalendertagen nach der Anfrage herauszugeben, sofern er dir keine Möglichkeit gibt, ihn selbst zu erzeugen (ICANN Transfer Policy, 5.2).
Fordere den Code trotzdem nicht auf Vorrat an und lege ihn auch nicht ab. Ein AuthInfo-Code ist ein Schlüssel, und Schlüssel gehören nicht in eine Schublade, in der sie ein Jahr lang liegen. Was du wissen musst, ist nur, dass du ihn bekommst, wenn du ihn brauchst.
Braucht dein Anbieter dein Passwort?
Nein. Jeder Dienst in der Tabelle oben kann Personen per E-Mail einladen und ihnen eine Rolle geben: Admin, Redaktion, Mitarbeit. Der Betrieb bleibt Inhaber des Kontos, der Anbieter arbeitet mit einer eigenen Anmeldung darin. Geteilte Logins existieren, weil sie am ersten Tag schneller sind, und sie sind die häufigste Ursache für genau das Durcheinander, um das es hier geht.
Der Grund dafür ist ein struktureller. Eine Rolle kann man vergeben und wieder entziehen, ohne dass jemand ein Passwort ändern und im ganzen Betrieb herumschicken muss. Und sie macht sichtbar, wer eigentlich mitliest: In einem sauber aufgesetzten Konto steht in der Mitgliederliste, wer Zugriff hat, jederzeit einsehbar.
Praktisch heißt das drei Dinge:
- Konten werden auf eine Firmenadresse angelegt, nicht auf
max.mustermann@gmail.comund auch nicht auf die Adresse der Agentur. - Der Betrieb hält überall die Inhaber-Rolle, der Anbieter bekommt Admin oder weniger.
- Wenn ein Dienst keine Einladung per Rolle kann, ist das ein Hinweis auf den Dienst, und du solltest ihn beim nächsten Wechsel ersetzen.
Nebenbei hat das auch eine rechtliche Seite. Für die Daten, die deine Website verarbeitet, bist du der Verantwortliche im Sinne der DSGVO. Ein Anbieter, der in deinem Auftrag baut und hostet, ist Auftragsverarbeiter und braucht dafür einen schriftlichen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Wer die Konten hält, entscheidet damit auch, wessen Name auf dieser Verantwortung steht. Die rechtlichen Pflichten einer Firmenwebsite gehen darauf im Detail ein.
Wie fragst du deinen Anbieter nach den Zugängen?
Du schreibst eine kurze, freundliche Mail, und du begründest sie nicht weiter. Das läuft unter Buchhaltung, ungefähr so wie das jährliche Zusammensuchen der Versicherungspolizzen. Ein Anbieter, der ordentlich arbeitet, beantwortet die Fragen an einem Nachmittag und nimmt sie dir nicht übel. Genau das ist übrigens das nützlichste Signal an der ganzen Übung.
Ein Text, den du so verschicken kannst:
Hallo, wir räumen gerade unsere internen Unterlagen auf und wollen die Zugänge rund um unsere Website an einer Stelle dokumentieren. Kannst du uns bitte sagen: Bei welchem Registrar liegt unsere Domain, und sind wir dort als Domain-Inhaber eingetragen? Wer betreibt das DNS und das Hosting? Wo liegt der Quellcode? Auf wessen Konto laufen CMS und Analytics? Und wo landen die Anfragen aus dem Kontaktformular? Wenn irgendwo noch nicht wir selbst als Inhaber eingetragen sind, würden wir das gerne umstellen und dich stattdessen als Admin einladen.
Der letzte Satz ist der wichtige. Er macht aus einer Kontrollfrage ein Angebot, und er sagt dem Anbieter genau, was du willst. Wenn du das Gespräch breiter führen willst, hilft die Liste in woran du eine gute Webagentur erkennst: dort geht es um die Fragen vor der Unterschrift, hier um die Konten danach.
Wo bewahrst du die Zugänge auf?
In dem Passwortmanager, den dein Betrieb ohnehin schon hat, und zwar als ein Eintrag pro Dienst. Dazu kommt ein einziges Dokument, das auflistet, welche Dienste es überhaupt gibt, wer dort die Inhaber-Rolle hält und wann die Domain verlängert wird. Der Passwortmanager beantwortet die Frage “wie komme ich rein”. Das Dokument beantwortet die Frage “was gibt es überhaupt”, und das ist die Frage, an der die meisten Betriebe scheitern.
Zwei Personen im Betrieb sollten Zugriff darauf haben. Eine reicht nicht, denn Urlaub und Krankenstand gibt es auch bei der Person, die alles weiß. Eine Tabelle auf einem Desktop reicht ebenfalls nicht.
Der Punkt der ganzen Übung
Ein Betrieb, der seine zehn Zeilen ausgefüllt hat, kann jederzeit tun, was er will. Bei seinem Anbieter bleiben, weil die Arbeit gut ist. Wechseln, wenn sie es irgendwann nicht mehr ist. Jemanden dazuholen, ohne dass vorher drei Wochen lang Zugänge gesucht werden. Diese Freiheit kommt allein daher, dass du weißt, woraus deine Website besteht und wer die Schlüssel dazu in der Hand hält.
Setz dich eine halbe Stunde hin, geh die Tabelle von oben durch und schreib zu jeder Zeile hin, was du weißt. Die Lücken, die dabei übrig bleiben, sind genau die Fragen, die du deinem Anbieter stellst. Wie das aussieht, wenn Eigentum von Anfang an bei dir liegt, steht in wem die Website beim Abo gehört.