Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    Alle Cybergefahren
    Cyberbedrohung
    Bedrohungslevel: Mittel

    DNS-Spoofing und DNS-Hijacking

    DNS-Spoofing (auch DNS-Cache-Poisoning) bezeichnet Angriffe, bei denen Kriminelle DNS-Einträge manipulieren, um Nutzer auf gefälschte Webseiten umzuleiten – ohne dass diese es bemerken. DNS-Hijacking geht weiter: Dabei wird die Kontrolle über den DNS-Server oder den Domain-Registrar übernommen. Für Unternehmen kann dies bedeuten, dass Kunden auf gefälschte Unternehmenswebseiten weitergeleitet werden, E-Mails abgefangen werden oder der Ruf dauerhaft geschädigt wird.

    35 %der Unternehmen wurden 2023 Opfer eines DNS-Angriffs (IDC/EfficientIP DNS Threat Report)

    Wie funktioniert DNS-Spoofing und DNS-Hijacking?

    Das Domain Name System (DNS) ist das Telefonbuch des Internets: Es übersetzt menschenlesbare Domain-Namen (z. B. ihre-firma.de) in IP-Adressen, mit denen Server erreichbar sind. Da DNS in seiner ursprünglichen Form ohne Authentifizierung konzipiert wurde, ist es für verschiedene Angriffe anfällig.

    Beim DNS-Cache-Poisoning vergiftet ein Angreifer den Cache eines DNS-Resolvers mit falschen Einträgen. Wenn ein Mitarbeiter z. B. ihre-bank.de aufruft, gibt der vergiftete Resolver eine falsche IP-Adresse zurück – die zur gefälschten Website des Angreifers führt. Da HTTPS für den Nutzer trotzdem als sicher angezeigt werden kann (wenn der Angreifer ein Let's-Encrypt-Zertifikat für eine ähnliche Domain hat), ist die Täuschung oft perfekt.

    DNS-Hijacking geht tiefer: Angreifer übernehmen den DNS-Server des Unternehmens oder das Domain-Registrar-Konto. Damit können sie alle DNS-Einträge frei manipulieren – Website, E-Mail-Server (MX-Records), oder VPN-Zugangspunkte. Angreifer nutzen dies, um E-Mails abzufangen, Mitarbeiter auf gefälschte Intranet-Seiten umzuleiten oder Authentifizierungsprozesse zu unterlaufen.

    Für KMU besonders relevant ist der Registrar-Angriff: Durch Phishing oder Credential Stuffing übernehmen Angreifer den Registrar-Account und damit die vollständige Kontrolle über die Unternehmens-Domain. Mit dieser Kontrolle können sie HTTPS-Zertifikate ausstellen, E-Mails abfangen und legitime Unternehmens-E-Mails im Namen des Unternehmens versenden.

    BGP-Hijacking ist eine verwandte, komplexere Angriffsvariante, bei der Netzwerk-Routing-Informationen manipuliert werden, um den Datenverkehr umzuleiten. Diese Angriffe sind technisch anspruchsvoller, haben aber weitreichendere Konsequenzen.

    DNS-Spoofing und DNS-Hijacking in Zahlen

    35 %
    der Unternehmen weltweit wurden 2023 Opfer eines DNS-Angriffs (IDC EfficientIP DNS Threat Report 2024)
    74 %
    der DNS-Angriffe verursachten Anwendungsausfälle (EfficientIP DNS Threat Report 2024)
    950.000 €
    durchschnittlicher Schaden pro DNS-Angriff für betroffene Unternehmen (EfficientIP/IDC 2024)
    72 Stunden
    dauert die Wiederherstellung nach einem schweren DNS-Hijacking-Vorfall im Durchschnitt (Nominum)
    Echte Schadensfälle

    So trifft DNS-Spoofing und DNS-Hijacking Unternehmen

    E-Commerce / Handel

    Registrar-Übernahme leitet Kundenwebseite auf Phishing-Seite um

    190.000 €
    36 Stunden

    Die Domain eines mittelgroßen Online-Händlers aus Nordrhein-Westfalen wurde durch einen Angriff auf sein Registrar-Konto übernommen. Angreifer änderten alle DNS-Einträge, um Besucher auf eine täuschend echte Phishing-Seite umzuleiten. Über 36 Stunden wurden Kundendaten und Zahlungsinformationen abgegriffen. Der Händler musste alle Kunden informieren, DSGVO-Meldung erstatten und trug erhebliche Reputationsschäden.

    Rechtsdienstleistung

    E-Mail-Abfangung durch MX-Record-Manipulation einer Kanzlei

    310.000 €
    1 Woche

    Eine Anwaltskanzlei in München wurde Opfer eines DNS-Hijacking-Angriffs, der ihren E-Mail-Server-Eintrag (MX-Record) auf einen Proxy-Server der Angreifer umlenkte. Über drei Tage wurden alle eingehenden und ausgehenden E-Mails der Kanzlei mitgelesen und selektiv manipuliert. Die Angreifer fingen vertrauliche Mandantenkommunikation ab und nutzten diese für gezielte BEC-Angriffe gegen die Mandanten.

    Schutzmaßnahmen gegen DNS-Spoofing und DNS-Hijacking

    Technische Maßnahmen

    • DNSSEC (DNS Security Extensions) für eigene Domains aktivieren
    • DNS-over-HTTPS (DoH) oder DNS-over-TLS (DoT) für verschlüsselte DNS-Kommunikation
    • Multi-Faktor-Authentifizierung für den Domain-Registrar-Account
    • DNS-Monitoring und Alerting auf unerwartete DNS-Änderungen
    • DMARC, DKIM und SPF als Schutz vor E-Mail-basierten DNS-Angriffen
    • Verwendung eines vertrauenswürdigen, DNSSEC-validierenden DNS-Resolvers
    • Registry Lock für unternehmenskritische Domains
    • Certificate Transparency Monitoring für die eigene Domain

    Organisatorische Maßnahmen

    • Registrar-Zugangsdaten mit starkem, einzigartigem Passwort und MFA schützen
    • Regelmäßige Überprüfung aller DNS-Einträge der eigenen Domains
    • Verantwortliche für Domain-Verwaltung klar definieren
    • Domains nicht bei billigen Registraren ohne ausreichende Sicherheitsfunktionen halten
    • Incident-Response-Plan für Domain-Übernahme-Szenario vorbereiten
    Versicherungsschutz

    Was die Cyberversicherung bei DNS-Spoofing und DNS-Hijacking abdeckt

    Abgedeckte Leistungen

    • Betriebsunterbrechungsschäden durch DNS-Angriffe und Domainausfälle
    • Kosten für IT-Forensik und DNS-Sicherheitsanalyse
    • Benachrichtigungskosten nach DSGVO bei Datenleck durch DNS-Manipulation
    • Haftpflichtansprüche betroffener Kunden
    • Kosten für Domain-Wiederherstellung und DNS-Härtung
    • Krisenmanagement und Krisenkommunikation
    • Rechtsberatung bei Behördenkommunikation und Strafverfolgung

    Typische Ausschlüsse

    • Schäden durch nicht aktiviertes DNSSEC trotz verfügbarer Option
    • Verluste durch fehlende MFA am Registrar-Account
    • Domainverlust durch reguläres Ablaufen der Registrierung
    • Reine Reputationsschäden ohne direkten finanziellen Verlust
    • Schäden durch vom Registrar verursachte Ausfälle (keine Cyberversicherung, sondern SLA)

    Schützen Sie Ihr Unternehmen vor DNS-Spoofing und DNS-Hijacking

    Vergleichen Sie jetzt die besten Cyberversicherungs-Tarife und finden Sie den passenden Schutz für Ihr Unternehmen.

    JETZT TARIFE VERGLEICHEN
    Häufige Fragen

    FAQ zu DNS-Spoofing und DNS-Hijacking

    DNS-Spoofing (Cache Poisoning) manipuliert temporär den Cache eines DNS-Resolvers, um falsche Antworten zu liefern. DNS-Hijacking ist umfassender: Angreifer übernehmen dauerhaft die Kontrolle über den DNS-Server oder den Domain-Registrar und können alle DNS-Einträge dauerhaft ändern. DNS-Hijacking ist in der Regel schwerwiegender und schwieriger rückgängig zu machen.
    DNSSEC (DNS Security Extensions) fügt kryptografische Signaturen zu DNS-Einträgen hinzu. DNS-Resolver können damit verifizieren, dass eine DNS-Antwort wirklich vom autorisierten Nameserver kommt und nicht manipuliert wurde. DNSSEC schützt vor Cache-Poisoning, aber nicht vor Kompromittierung des DNS-Servers oder Registrars selbst.
    Anzeichen sind: unerwartete SSL-Zertifikatswarnungen, Nutzerberichte über nicht erreichbare oder unbekannte Webseiten, ungewöhnliche MX-Record-Änderungen in DNS-Monitoring, gestiegene Bounce-Raten bei ausgehenden E-Mails. Regelmäßiges DNS-Monitoring ist der beste Frühindikator.
    Ja, durch Übernahme des Registrar-Accounts oder durch Social Engineering beim Registrar-Kundendienst können Domains transferiert oder DNS-Einträge geändert werden. Registry Lock (ein zusätzlicher Schutzmechanismus) und MFA beim Registrar sind die wirksamsten Gegenmaßnahmen.
    Certificate Transparency (CT) ist ein öffentliches Log aller ausgestellten TLS-Zertifikate. Durch Monitoring dieser Logs auf eigene Domains können Unternehmen sofort erkennen, wenn unautorisierte Zertifikate für ihre Domain ausgestellt werden – ein frühes Warnsignal für Domain-Hijacking. Kostenlose Dienste wie crt.sh ermöglichen diese Überwachung.

    Verwandte Bedrohungen

    Phishing-AngriffeAPI-AngriffeCloud-Sicherheitsbedrohungen

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.