Zum Hauptinhalt springen
Sicherheits-Konzept

Domain-Verifikation: Schutz vor Scan-Missbrauch

Damit Empcora kein Werkzeug für Wettbewerber-Abmahnungen wird, dürfen nur verifizierte Domain-Inhaber tiefe Compliance-Scans ihrer Website starten. Wir unterstützen vier Verifikations-Methoden — wählen Sie die für Sie einfachste.

Warum dieser Schutz nötig ist

Ein Compliance-Scanner ohne Inhaber-Prüfung könnte als Abmahn-Waffe missbraucht werden: Ein Anwalt oder Wettbewerber gibt eine fremde Website ein, lässt sie automatisch nach EmpCo-Verstößen analysieren — und schickt anschließend kostenpflichtige Unterlassungserklärungen.

Empcora schließt diesen Missbrauch konstruktiv: Wer eine Domain im Konto anlegt, muss zunächst beweisen, dass er der Inhaber ist. Erst dann läuft der tiefe Scan an — gegen die fairnessgefährdeten Massenangriffe, mit denen sich die Branche in den letzten Jahren überzogen hat.

Vier Wege zum Inhaber-Nachweis

Eine Methode reicht. Welche für Sie am einfachsten ist, hängt von Ihrem Setup ab — die DNS-TXT-Variante gilt als technisch sauberster „Gold-Standard", das Meta-Tag ist am schnellsten umzusetzen.

1. HTML Meta-Tag

Einfach

Genau wie bei Google Search Console: Fügen Sie ein einzelnes Meta-Tag in das <head> Ihrer Startseite ein.

<meta name="empcora-verify"
      content="emp-abc123…">

Geeignet für: WordPress mit „Insert Headers and Footers", Webflow, Shopify-Themes, statische Seiten.

2. HTTP-Header

Mittel

Web-Server (nginx, Apache) oder CDN (Cloudflare) sendet bei jedem Request einen Custom-Response-Header. Robust auch ohne HTML-Zugriff.

# nginx
add_header X-Empcora-Verify
  "emp-abc123…" always;

Geeignet für: nginx/Apache mit eigenen Configs, Cloudflare Workers, AWS CloudFront / ALB Response-Header-Policies.

3. /.well-known-Datei

Einfach

Eine kleine Text-Datei unter /.well-known/empcora-verify mit dem Token als Inhalt. RFC 8615-konform.

# Datei: /.well-known/empcora-verify
emp-abc123…

Geeignet für: Single-Page-Apps (Next.js, React, Vue), JAM-Stack (Vercel, Netlify), Hosting ohne Code-Zugriff.

4. DNS TXT-Record

Empfohlen

Gold-Standard: TXT-Eintrag auf _empcora-verify.IhreDomain.de. Unabhängig von Web-Server, CDN, Theme — funktioniert auch bei Multi-CDN-Setups.

Host: _empcora-verify.IhreDomain.de
Typ:  TXT
Wert: empcora-verify=emp-abc123…

Geeignet für: Konzerne mit Multi-Origin-Architektur, Agenturen mit vielen Kunden-Domains, alle Setups mit Cloudflare/Route 53.

So funktioniert die Prüfung

  1. 1

    Token wird automatisch erzeugt

    Sobald Sie eine Domain im Konto anlegen, erstellt Empcora einen kryptographisch zufälligen Token (256 Bit). Dieser ist einmalig und nur für diese eine Domain gültig.

  2. 2

    Sie wählen Ihre Methode

    Im Domain-Detail werden alle vier Anleitungen mit copy-paste-fertigen Snippets angezeigt. Sie müssen nur eine davon umsetzen.

  3. 3

    Empcora prüft alle 4 Methoden parallel

    Klick auf „Verifizierung prüfen" — wir laden Ihre Startseite (HTTP-Header + Meta-Tag), die .well-known-Datei und führen einen DNS-TXT-Lookup durch. Die erste erfolgreiche Methode gilt.

  4. 4

    Strict-Modus blockt unverifizierte Scans

    Mit aktivem Strict-Modus (Default für neue Domains) lehnt unsere API jeden Scan-Start ab, bis die Verifikation erfolgreich war. Audit-traceable, mit Rate-Limit gegen Brute-Force.

  5. 5

    Token-Rotation jederzeit möglich

    Über „Token rotieren" können Sie den Token jederzeit ungültig machen — z.B. wenn Sie Verdacht auf Leak haben oder eine Domain den Inhaber wechselt.

Häufige Fragen

Was passiert mit dem kostenlosen Quick-Check ohne Login?

Der Gratis-Check (max. 5 Seiten) auf der Startseite ist absichtlich oberflächlich und Rate-Limit-geschützt — kein vollständiger Crawl, kein PDF-Report. Wer einen echten Compliance-Audit starten will, muss seine Domain verifizieren.

Kann ich den Strict-Modus deaktivieren?

Ja, pro Domain einstellbar. Bestandsdomains aus der Zeit vor Mai 2026 stehen automatisch auf „Optional", damit nichts kaputt geht. Neue Domains starten auf „Strikt" — das empfohlene Sicherheits-Setting.

Was, wenn ich gar keinen Zugang zur Domain habe?

Dann sollten Sie diese Domain auch nicht scannen. Wenn Sie für einen Kunden arbeiten, sprechen Sie mit Ihrem Auftraggeber: Er kann eine der vier Methoden umsetzen und Ihnen anschließend den Scan freischalten — oder Sie verwalten mehrere Domains gemeinsam im Multi-Domain-Plan.

Wie schützt das vor Anwalts-Abmahnungen?

Der Schutz ist zweistufig: (1) Anwälte können fremde Sites nicht in Empcora einspeisen, weil sie die Verifikation nicht bestehen würden. (2) Selbst wenn sie tarnen sollten — die Audit-Logs zeigen, welche Org wann welche Domain wie verifiziert hat. Das ist juristisch belastbar.

Werden die Token irgendwo öffentlich?

Beim Meta-Tag und .well-known sind sie öffentlich lesbar (jeder der Ihre Website besucht). Das ist aber unkritisch: Der Token verifiziert nur, dass Sie Schreib-Zugriff auf den HTML-Code haben — kein Geheimnis, das man verbergen müsste. Beim HTTP-Header sind sie nur an HTTP-Response-Inspektor sichtbar; bei DNS-TXT wäre der Lookup öffentlich, aber außerhalb des „Beobachtungs-Horizonts" normaler Nutzer.

Was passiert nach erfolgreicher Verifizierung?

Die Domain bleibt verifiziert, solange der Eintrag/Header/Tag bestehen bleibt. Sie können den Token rotieren (z.B. nach Konto-Übergabe) — dann müssen Sie den neuen Token wieder hinterlegen. Wir bauen ein wöchentliches Re-Check-System, das Sie warnt, falls der Token plötzlich nicht mehr gefunden wird.

Bereit für sicheres, faires Compliance-Scanning?

Starten Sie mit einem kostenlosen Quick-Check oder legen Sie direkt ein Konto an und verifizieren Ihre erste Domain.