Ein Auth-Code (kurz für Authorization Code, auf Deutsch: Autorisierungscode) ist ein einmaliges Passwort, das du brauchst, wenn du eine Domain von einem Anbieter zu einem anderen umziehen möchtest. Er besteht aus einer zufälligen Kombination aus Buchstaben, Zahlen und Sonderzeichen und dient als Nachweis dafür, dass du als Domaininhaber dem Transfer zugestimmt hast. Ohne diesen Code kann kein Registrar-Wechsel gestartet werden.
Warum gibt es den Auth-Code überhaupt?
Stell dir vor, jemand will deine Domain ohne dein Wissen auf einen anderen Anbieter umbuchen — etwa ein unzufriedener ehemaliger Mitarbeiter oder ein Angreifer, dem deine Zugangsdaten beim alten Anbieter bekannt sind. Genau das verhindert der Auth-Code: Er funktioniert als zweite Sicherheitsstufe, die unabhängig vom Login beim Registrar existiert. Dieses Angriffsszenario wird als Domain Hijacking bezeichnet, also der unberechtigte Transfer einer Domain.
Der Auth-Code ist nur dem tatsächlichen Domaininhaber bekannt und wird nicht öffentlich gespeichert. Wenn du ihn dir nie ausdrücklich geholt hast, weißt du ihn also schlicht nicht — und das ist Absicht.
Technischer Hintergrund: EPP
Der Auth-Code ist kein eigenständiges System, sondern Teil des EPP (Extensible Provisioning Protocol). Das ist das standardisierte Netzwerkprotokoll, über das Registrare mit den Registrierungsstellen (den sogenannten Registries) kommunizieren — also zum Beispiel wenn eine Domain registriert, verlängert oder transferiert wird. Die IETF (Internet Engineering Task Force) hat EPP im März 2004 als Standard veröffentlicht (RFC 3730) und ihn im August 2009 in der bis heute gültigen Fassung aktualisiert (RFC 5730). Deswegen wird der Auth-Code oft auch als EPP-Code bezeichnet. Der Standard ist XML-basiert und wird von den meisten generischen TLDs (wie .com, .net, .org) und einem Großteil der länderspezifischen Endungen verwendet.
Wie der Auth-Code-Prozess abläuft
Du brauchst den Auth-Code nur dann, wenn du den Registrar wechselst — also den Anbieter, der deine Domain verwaltet. Ein normaler Providerwechsel beim Webhosting ohne Domaintransfer, eine Änderung der Nameserver oder das Verlängern einer Domain erfordert keinen Auth-Code.
Den Code forderst du bei deinem aktuellen Registrar an. Die meisten Anbieter stellen ihn direkt im Kundenbereich zur Verfügung oder senden ihn auf Anfrage per E-Mail an die beim Konto hinterlegte Adresse. Anschließend gibst du ihn beim neuen Anbieter ein, der damit den Transfer bei der zuständigen Registry initiiert. Sind Code und Daten korrekt, übernimmt die Registry die Änderung in ihrer Datenbank.
Wichtig zu wissen: Dein aktueller Registrar ist rechtlich verpflichtet, dir den Auth-Code herauszugeben — auch wenn noch offene Rechnungen bestehen oder die Domain noch nicht gekündigt ist.
Gültigkeitsdauer und Sicherheitsregeln
Ein Auth-Code ist zeitlich begrenzt gültig. In der Regel hast du nach der Ausstellung etwa 30 Tage Zeit, ihn für den Transfer zu verwenden. Nach Ablauf musst du einen neuen Code anfordern und den Prozess neu starten. Einige Registrare setzen kürzere Fristen, um das Missbrauchsrisiko zu reduzieren. Nach einem erfolgreichen Transfer sollte der neue Registrar automatisch einen neuen Auth-Code setzen, da der alte sonst weiterhin gültig bleibt.
Behandle den Auth-Code wie ein Passwort: Schicke ihn nicht unverschlüsselt per E-Mail weiter, teile ihn ausschließlich mit dem neuen Registrar und lösche ihn nach dem abgeschlossenen Transfer aus deinen Aufzeichnungen.
Die Besonderheit bei .at-Domains
Für österreichische Domains war die Situation lange anders geregelt. Die österreichische Registrierungsstelle nic.at führte das Auth-Code-Verfahren für .at-Domains erst am 29. September 2015 ein — bis dahin funktionierte der Providerwechsel über ein anderes Bestätigungsverfahren. Seitdem entspricht der .at-Transfer dem international üblichen EPP-Standard.
Eine Besonderheit gibt es bei .at-Domains bis heute: Falls ein Registrar den Auth-Code verweigert oder sich nicht mehr erreichbar ist, bietet nic.at ein Alternativverfahren an. Der neue Registrar kann bei nic.at einen sogenannten Bestätigungs-Token anfordern, der direkt an die beim Domaininhaber hinterlegte E-Mail-Adresse gesendet wird. Dieser Token ist 21 Tage gültig und nur für den anfordernden Registrar verwendbar.
Unterschied zum Inhaberwechsel
Ein Auth-Code transferiert die Domain zwischen zwei Registraren — der Domaininhaber bleibt dabei derselbe. Wenn du die Domain an eine andere Person oder ein anderes Unternehmen übergeben möchtest, ist das ein eigenes Verfahren: ein Inhaberwechsel. Das sind zwei rechtlich und technisch getrennte Vorgänge, die nicht verwechselt werden sollten.
Häufige Fragen
Wo finde ich meinen Auth-Code?
Den Auth-Code findest du entweder direkt im Kundenbereich deines Registrars unter dem Punkt Domainverwaltung oder du forderst ihn beim Support an. Bei .at-Domains, die direkt über nic.at verwaltet werden, ist der Code im nic.at-Kunden-Login abrufbar. Der Code wird in vielen Fällen per E-Mail an die hinterlegte Adresse des Domaininhabers zugeschickt.
Was passiert, wenn der Auth-Code falsch ist?
Gibt der neue Registrar einen falschen Auth-Code an die Registry weiter, wird der Transfer abgelehnt und du erhältst eine Fehlermeldung. Du musst dann den korrekten Code erneut angeben. Das ist kein dauerhafter Schaden — du kannst den Prozess mit dem richtigen Code einfach neu starten.
Brauche ich einen Auth-Code auch, wenn ich nur den Webhoster wechsle?
Nein. Wenn du nur deinen Webspace oder dein Hosting zu einem anderen Anbieter umziehst, die Domain aber beim selben Registrar verbleibt, brauchst du keinen Auth-Code. Der Code ist ausschließlich für den Transfer der Domain selbst zwischen zwei Registraren erforderlich.
