Was ist DNS-Hijacking?

DNS-Hijacking – Definition und Erklärung

DNS-Hijacking, auch DNS-Umleitung oder DNS-Poisoning genannt, ist ein böswilliger Angriff, bei dem genau dieser Übersetzungsprozess abgefangen oder manipuliert wird. Anstatt auf der gewünschten, sicheren Website zu landen, werden Nutzer auf eine gefälschte oder unsichere Zielseite der Angreifer umgeleitet. Im Gegensatz zu normalen DNS-Fehlern oder legitimen Weiterleitungen ist DNS-Hijacking immer vorsätzlich und bösartig. Hacker erreichen dies typischerweise, indem sie Malware auf deinem Computer installieren, Router übernehmen oder die DNS-Kommunikation selbst abfangen. Im nächsten Abschnitt erfährst du, wie diese Mechanismen im Detail funktionieren.

Wie funktioniert DNS-Hijacking?

Das Domain Name System (DNS) ist sehr dezentral aufgebaut. Kein einzelner DNS-Server kennt alle IP-Adressen und Domains. Deine Anfrage wandert also zunächst durch eine Kette von DNS-Servern, bis du die gesuchte Webseite erreichst.

Beim DNS-Hijacking werden genau diese DNS-Anfragen von Dritten umgeleitet. Du fragst zum Beispiel, welche IP-Adresse youtube.com hat, aber deine Anfrage wird gezielt in die falsche Richtung gelenkt. Dadurch bekommst du eine falsche IP-Adresse und eine ganz andere, oft gefälschte Webseite wird geladen. Warnzeichen für DNS-Hijacking können seltsame Pop-ups, falsche Warnungen oder langsames Laden von Seiten sein.

Stell dir vor, du rufst das Online-Banking deiner Bank auf. Durch DNS-Hijacking wird statt der echten Seite eine gefälschte Bank-Seite angezeigt. Sie sieht genauso aus wie das Original, und wenn du deine Login-Daten eingibst, landen diese direkt bei den Angreifern. So funktioniert zum Beispiel eine beliebte Phishing-Methode, bei der deine Zugangsdaten gestohlen werden – mit fatalen Folgen, wie einem leeren Bankkonto.

DNS-Hijacking kann aber auch einfach nur lästig sein. Wenn du eine Webseite aufrufen willst, die es gar nicht gibt, würdest du normalerweise eine Fehlermeldung sehen. Manche Internetanbieter leiten dich in diesem Fall aber statt zur Fehlermeldung auf ihre eigene Seite um und zeigen dir Werbung an.

Prinzipiell kann jeder von DNS-Hijacking betroffen sein. Hier eine kurze Übersicht, wie deine DNS genau gehijackt werden kann:

• Malware: Dein Computer oder Router kann mit Schadsoftware infiziert werden, die deine DNS-Einstellungen manipuliert. Danach werden deine Anfragen an einen gefälschten DNS-Server geschickt, der dir falsche IP-Adressen liefert. Ein berüchtigtes Beispiel war das Schadprogramm „DNSChanger“, das die DNS-Einstellungen auf Millionen Rechnern veränderte. Die Folge: Werbung wurde durch die Angreifer ausgetauscht oder Nutzer:innen wurden auf Phishing-Seiten weitergeleitet, ohne es zu merken. Besonders gefährlich: Meistens erfährst du erst nach dem Schaden, dass dein Gerät betroffen war.

• Kompromittierter DNS-Server: Auch DNS-Server selbst können gehackt werden. Dann wird deine Anfrage an eine manipulierte Adresse weitergeleitet – und du hast keinerlei Kontrolle mehr darüber, wohin dein Datenverkehr tatsächlich geht. Diese Angriffe sind technisch schwieriger durchzuführen, aber keinesfalls ausgeschlossen.
• Eingriffe durch Internetanbieter: Manche Internetanbieter wenden DNS-Hijacking selbst an, zum Beispiel um Werbung einzublenden oder Statistiken zu sammeln. Wenn du eine ungültige Adresse eingibst (NXDOMAIN-Antwort), leiten sie dich statt zur Fehlermeldung auf ihre eigene Seite weiter.

Warum wird DNS-Hijacking durchgeführt?

DNS-Hijacking kann aus verschiedenen Motiven heraus erfolgen. Cyberkriminelle wollen dich oft mit Phishing-Angriffen dazu bringen, deine Zugangs- oder Bankdaten preiszugeben. Oder sie leiten dich auf infizierte Webseiten um, um dir Malware wie Spyware oder Trojaner unterzuschieben. 

Eine andere gängige Masche ist die Umleitung auf Seiten voller Werbung, um damit Geld zu verdienen. Es ist wichtig zu wissen, dass auch Behörden oder Internetanbieter DNS-Hijacking durchführen können, etwa zur Zensur, zu Tracking-Zwecken oder für Analysen. Nicht jede DNS-Umleitung ist also ein Angriff, aber du solltest dir der potenziellen Auswirkungen auf deine Privatsphäre bewusst sein.

Arten von DNS-Hijacking-Angriffen

DNS-Hijacking kann verschiedene Formen annehmen, je nachdem, wo und wie der Angriff stattfindet. Um sich effektiv davor zu schützen, ist es entscheidend, die unterschiedlichen Arten zu verstehen – nur so lassen sich potenzielle Schwachstellen in der eigenen Konfiguration identifizieren und beheben. 

Lokales DNS-Hijacking

Lokales DNS-Hijacking beginnt damit, dass Malware, oft ein Trojaner, auf deinem Computer installiert wird und dort deine lokalen DNS-Einstellungen verändert. Dies führt dazu, dass alle deine zukünftigen Anfragen für Webseiten über den DNS-Server des Angreifers umgeleitet werden, anstatt zum richtigen Ziel zu gelangen. Achte auf typische Anzeichen wie unerwartet umgeleitete Webseiten, ungültige SSL-Zertifikate oder häufige Browserwarnungen. Wenn dir dies auffällt, solltest du sofort handeln. Scanne dein Gerät mit Anti-Malware-Software, setze deine DNS-Einstellungen auf den Standard zurück oder starte deine Netzwerkeinstellungen komplett neu.

Router-DNS-Hijacking

Router-DNS-Hijacking ist besonders gefährlich, da es ganze Netzwerke betrifft. Angreifer nutzen oft Standard-Zugangsdaten oder veraltete Firmware aus, um in deinen Heim- oder Bürorouter einzudringen. Sobald sie Zugriff haben, ändern sie die DNS-Einstellungen deines Routers. Das hat zur Folge, dass jedes mit diesem Router verbundene Gerät – dein PC, dein Smartphone, dein Smart-TV – automatisch die gefälschten DNS-Einstellungen nutzt. Dadurch kann sich diese Form des Hijackings schnell im gesamten Netzwerk verbreiten und alle Nutzer gefährden.

Böswilliges DNS-Server-Hijacking

DNS-Hijacking auf Server-Ebene liegt vor, wenn Angreifer einen legitimen DNS-Server (oft auf der Ebene deines Internetanbieters) infiltrieren. Dabei ändern sie die Domain-Einträge, um deine Anfragen auf bösartige Websites umzuleiten. Solche Angriffe sind zwar selten, haben aber schwerwiegende Folgen, da sie große Gruppen von Nutzern auf einmal betreffen können.

Man-in-the-Middle (MITM) DNS-Dijacking

DNS-Hijacking ist eine sogenannte Man-in-the-Middle-Attacke, bei der Angreifer deine Kommunikation mit dem DNS-Server abfangen und verändern, während sie in Echtzeit stattfindet. Im Grunde „sitzt“ der Angreifer zwischen dir und dem Server und schickt dir eine gefälschte DNS-Antwort mit einer falschen IP-Adresse, die auf eine bösartige Webseite zeigt, noch bevor die legitime Antwort bei dir ankommt. Das kann besonders leicht passieren, wenn du dich in ungesicherten öffentlichen WLANs befindest oder unverschlüsselte DNS-Anfragen nutzt (also Standard-DNS ohne DoH oder DoT).

DNS-Hijacking vs. DNS-Spoofing vs. DNS-Cache-Poisoning

Du solltest wissen, dass DNS-Hijacking, DNS-Spoofing und Cache Poisoning zwar eng verwandt sind, aber nicht das Gleiche bedeuten. Beim DNS-Hijacking werden die DNS-Einstellungen oder die Infrastruktur geändert, um deinen Traffic umzuleiten. DNS-Spoofing hingegen ist das Fälschen von DNS-Antworten, um dein System zu täuschen. Beim Cache Poisoning werden falsche Einträge in den DNS-Cache-Speicher eingeschleust. Im Grunde sind Spoofing und Cache Poisoning Methoden, die oft im Rahmen größerer Hijacking-Angriffe eingesetzt werden, um dich auf die falsche Fährte zu locken.

Wie kann man DNS-Hijacking erkennen?

DNS Hijacking kann heimtückisch sein und passiert oft unbemerkt. Achte auf diese häufigen Anzeichen, um eine Manipulation frühzeitig zu erkennen:

• Unerwartete Weiterleitungen: Vertraute Websites leiten dich plötzlich auf eine andere, unbekannte Seite um.
• Browser-Sicherheitswarnungen: Du siehst häufiger Sicherheitswarnungen oder Zertifikatfehler, selbst auf bekannten Seiten.
• Plötzliche Werbung: Auf Webseiten, denen du vertraust, tauchen plötzlich viele unerwünschte Pop-ups oder neue Werbebanner auf.
• Unerklärliche DNS-Änderungen: Deine DNS-Einstellungen haben sich geändert, ohne dass du dies bewusst vorgenommen hast.

Um sicherzugehen, dass alles in Ordnung ist, kannst du folgende einfache Schritte unternehmen:

• DNS-Ergebnisse vergleichen: Nutze Tools wie nslookup oder dig in der Kommandozeile, um zu prüfen, welche IP-Adresse für eine Domain zurückgegeben wird. Vergleiche dies mit den erwarteten Ergebnissen.
• Aktuellen DNS-Server prüfen: Verwende Online-Tools wie „WhoIsMyDNS“, um schnell zu sehen, welchen DNS-Server dein Gerät gerade benutzt. Du kannst außerdem einen DNS-Leak-Test durchführen, um zu sehen, ob dein DNS offengelegt wurde.
• Router-Einstellungen checken: Logge dich in das Administrationspanel deines Routers ein und überprüfe, ob dort unbekannte oder verdächtige DNS-Einträge hinterlegt sind.

Bestätige deine Ergebnisse immer, indem du die Tests über ein anderes Netzwerk oder ein anderes Gerät wiederholst.

Wie kann man sein Netzwerk vor DNS-Hijacking schützen?

Vorbeugung ist immer einfacher als die aufwändige Behebung eines Schadens. Deshalb solltest du nicht warten, bis es zu einem DNS-Hijacking kommt, sondern aktiv werden. Echter Schutz erfordert, dass du mehrere Punkte absicherst – deine eigenen Geräte, deinen Router und auch deinen DNS-Anbieter. Befolge diese einfachen, aber effektiven Schritte, um deine Verbindung zu schützen und Hackern das Leben schwer zu machen.

Schütze die DNS-Einstellungen deines Routers

Einer der häufigsten Angriffsziele für DNS-Hijacking sind Router. Da dein Router das Tor zu deinem gesamten Netzwerk ist, schützt du mit dem Router automatisch jedes verbundene Gerät. Deshalb solltest du regelmäßig die DNS-Einträge deines Routers prüfen, die voreingestellten Administrator-Passwörter ändern, die Firmware aktuell halten und unnötigen Fernzugriff deaktivieren.

Nutze vertrauenswürdige, verschlüsselte DNS-Dienste

Um dich effektiv vor DNS-Hijacking zu schützen, ist der erste Schritt, von den Standard-DNS-Servern deines Internetanbieters auf sicherere Alternativen wie Google DNS oder Cloudflare umzusteigen. Noch wichtiger ist es, die Konzepte von DNSSEC, DoH (DNS over HTTPS) und DoT (DNS over TLS) zu verstehen. Diese Technologien schützen die Integrität deiner DNS-Anfragen und deine Privatsphäre, indem sie sicherstellen, dass deine Anfragen weder manipuliert noch getrackt werden können. Nutze Dienste, die diese sicheren Protokolle unterstützen, damit deine Verbindung vor unbefugtem Zugriff geschützt ist.

Halte deine Software und Systeme auf dem neuesten Stand

Veraltete Router, Browser oder Betriebssysteme sind häufig Einfallstore für DNS-Hijacking, da sie Schwachstellen enthalten, die Angreifer ausnutzen können. Wir empfehlen dir daher dringend, automatische Updates zu aktivieren, da diese nicht nur die Sicherheit deines DNS, sondern deines gesamten Netzwerks deutlich verbessern.

Nutze Anti-Malware und Firewall-Schutz

Oft beginnen solche DNS-Hijacking-Angriffe mit Malware, die sich auf deinem lokalen Gerät einnistet. Um dem vorzubeugen, solltest du unbedingt eine vertrauenswürdige Anti-Malware-Software verwenden und regelmäßige Scans durchführen. Zusätzlich helfen Firewalls dabei, bösartigen DNS-Verkehr und nicht autorisierte ausgehende Anfragen zu blockieren.

Nutze ein VPN mit privatem DNS

Nutze ein VPN das deinen Traffic verschlüsselt und Hacker daran hindert, deine sensiblen Informationen abzufangen und auszuspionieren. Ein VPN ist besonders nützlich, wenn du häufig öffentliches WLAN nutzt, das aufgrund schlechter Routerkonfiguration und schwacher Passwörter oft unsicher ist. Darüber hinaus verfügt NordVPN auch über die Funktion privates DNS. Indem NordVPN deinen gesamten Online-Traffic verschlüsselt, schützt es deine DNS-Anfragen vor Dritten. Das bedeutet, niemand kann dich ausspionieren oder dich heimlich auf eine bösartige Website umleiten.