Zum Hauptinhalt springen

Denken Sie bei .brand an CSC.

Erfahren Sie mehr

Grundlegender Leitfaden zum DNS-Hijacking: Best Practices für Unternehmen

DNS-Hijacking (Domain Name System) ist eine wachsende Bedrohung. Dabei werden Ihre Kunden:innen umgeleitet, es werden vertrauliche Informationen gestohlen und das Image Ihres Unternehmens wird geschädigt, indem Schwachstellen in der Infrastruktur Ihrer Domain ausgenutzt werden.

Was ist DNS-Hijacking?

Bei einem DNS-Hijacking-Angriff leitet ein Dritter die Webbesucher:innen Ihres Unternehmens nahtlos an gefälschte Websites weiter, um ohne das Wissen Ihrer Kunden:innen Anmeldeinformationen und andere Daten zu stehlen. Angreifer:innen können auch Informationen aus Unternehmens-E-Mails sammeln, um ausgeklügelte Phishing-Kampagnen und andere Angriffe zu starten, die scheinbar von Ihren Domains stammen. Abgesehen von Datensicherheitsrisiken und Markenschäden wirft dies erhebliche Bedenken hinsichtlich des Datenschutzes auf, insbesondere bei Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union.

Wie kommt es zu DNS-Hijacking?

Das DNS fungiert grundsätzlich als das Adressbuch des Internets. Wenn eine Person einen Domainnamen in einen Webbrowser eingibt, übersetzt das DNS diesen Namen in eine entsprechende Internetprotokolladresse (IP-Adresse), also eine eindeutige Zahlenfolge. Anhand dieser Adresse erkennen Webbrowser, wohin der Datenverkehr geleitet werden soll.

DNS-Hijacking tritt auf, wenn böswillige Akteure den DNS-Prozess kompromittieren, indem sie DNS-Einträge ändern, Anfragen umleiten oder die Kontrolle über DNS-Server übernehmen. Dadurch werden legitime Anfragen an bösartige Websites in verschiedenen Hosting-Umgebungen gesendet. Dies kann durch kompromittierte DNS-Anbieterkonten, Sicherheitslücken in DNS-Servern oder eine schlecht gesicherte Netzwerkinfrastruktur, beispielsweise in Form eines Routers mit Standardzugangsdaten, geschehen.

DNS-Hijacking vs. andere DNS-basierte Bedrohungen

DNS-Hijacking vs. Domain-Hijacking

Domain-Hijacking oder Domain-Namen-Hijacking gibt Angreifer:innen die volle Kontrolle über eine Domain, indem sie Registrar-Anmeldeinformationen stehlen oder die Eigentumsrechte auf betrügerische Weise übertragen. Anders als beim DNS-Hijacking, bei dem die Auflösungspfade manipuliert werden, ohne dass die Eigentumsverhältnisse der Domain unbedingt geändert werden, ermöglicht das Domain-Hijacking es Angreifern:innen, DNS-Einstellungen zu ändern, Domains zu übertragen oder sie gegen Lösegeld zu sperren. Das führt zu lang anhaltenden Störungen. Reverse Domain Hijacking ist eine Taktik in Rechtsstreitigkeiten, bei der eine Partei fälschlicherweise Markenrechte geltend macht, um einem/einer rechtmäßigen Inhaber:in eine Domain zu entziehen. Dies hat nichts mit DNS- oder Domain-Hijacking zu tun. Weitere Informationen dazu finden Sie unter Wie sich Cybersquatting, Typosquatting und andere Domain-Streitigkeiten auf Unternehmen auswirken.

DNS-Hijacking vs. DNS-Poisoning

Bei einem DNS-Poisoning-Angriff schleusen Cyberkriminelle falsche DNS-Einträge in den Cache eines DNS-Resolvers ein. Dadurch gibt der Resolver eine falsche IP-Adresse zurück, fängt Nutzer:innen ab und leitet sie an bösartige Websites weiter. In der Regel verfallen die „vergifteten“ Datensätze, sobald der Cache aktualisiert wird.

Durch die Umleitung des Datenverkehrs mittels DNS-Hijacking oder -Poisoning können Angreifende Nutzer:innen dazu verleiten, bösartige Websites zu besuchen. DNS-Poisoning ist besonders gefährlich, da es Angreifenden ermöglicht, die Kommunikation abzufangen und zu manipulieren, was Man-in-the-Middle-Angriffe erleichtert. Beim DNS-Hijacking hingegen werden Nutzer:innen in erster Linie auf vom Angreifenden kontrollierte Ziele umgeleitet, wo sie möglicherweise unwissentlich Anmeldedaten eingeben oder Malware herunterladen.

Domain-Hijacking vs. Domain-Shadowing

Domain-Shadowing ist eine weitere DNS-basierte Bedrohung. Dabei verwenden Angreifende kompromittierte Anmeldedaten, um auf Domaineinstellungen zuzugreifen. Anstatt bestehende DNS-Einträge zu ändern, erstellen sie unbemerkt vom Domaininhaber oder der Domaininhaberin neue, bösartige Subdomains. Anders als beim DNS-Hijacking, bei dem ganze Domains umgeleitet werden, bleibt die primäre Domain beim Domain-Shadowing funktionsfähig, was die Erkennung erschwert. Diese bösartigen Subdomains werden häufig zum Phishing oder zur Verbreitung von Malware verwendet. Erfahren Sie mehr über andere Möglichkeiten, wie Angreifer:innen Subdomains ausnutzen können.

Drei Angriffsvektoren, die beim DNS-Hijacking zum Einsatz kommen

In der Cybersicherheit bezeichnen Vektoren bestimmte Methoden oder Wege, über die eine Operation durchgeführt wird. Es gibt drei bemerkenswerte Vektoren, die von Hackern für DNS-Hijacking verwendet werden.

Bei dieser Methode werden die unzureichenden Zugriffs- und Berechtigungskontrollen innerhalb eines Domainverwaltungssystems ausgenutzt. In der Regel verschafft sich ein Cyberkrimineller den Benutzernamen und das Passwort für das Portal eines Registrars, das nicht durch eine Zwei-Faktor-Authentifizierung oder IP-Validierung geschützt ist. Dadurch erhält er Zugriff auf die Änderung der Nameserver für die innerhalb des Kontos verwalteten Domains und damit die Kontrolle über deren Inhalte.

Es ist möglich, dass die Registrierungsstelle selbst gehackt wurde. Dies ist bekanntlich im Jahr 2016 mit einer brasilianischen Registrierungsstelle geschehen, als 36 brasilianische Bankdomains sechs Stunden lang auf perfekt nachgebaute, gefälschte Websites umgeleitet wurden. Die betrügerischen Websites verfügten sogar über gültige digitale Zertifikate, die auf den Namen der Bank ausgestellt waren. So täuschten sie Kunden:innen, deren Computer anschließend mit Malware infiziert wurden. Die Malware war als Update für ein Browser-Sicherheits-Plugin der Bank getarnt.

Bei dieser Angriffsmethode werden Sicherheitslücken in den Systemen des Registrars oder des DNS-Anbieters ausgenutzt. In einigen Fällen handelt es sich um dasselbe Unternehmen. In anderen Fällen nutzen Unternehmen jedoch separate Anbieter für die Domainregistrierung und das DNS-Hosting. Angreifer:innen nutzen diese Schwachstellen aus, beispielsweise durch gestohlene Anmeldedaten, Fehlkonfigurationen oder Social Engineering, um DNS-Einstellungen zu manipulieren und den Datenverkehr umzuleiten.

So stoppen Sie DNS-Hijacking

Bei DNS-Hijacking wird empfohlen, sofort Maßnahmen zu ergreifen. Hier sind die wichtigsten Schritte, um die Sicherheitsverletzung zu beheben:

  1. Melden Sie sich bei Ihrem Domainregistrar oder DNS-Anbieter an, um die Kontrolle über die DNS-Umgebung zurückzugewinnen und alle von den Angreifenden vorgenommenen Änderungen rückgängig zu machen. Um die ordnungsgemäße Verbindung wiederherzustellen, stellen Sie bitte sicher, dass alle DNS-Einträge auf die richtigen Server verweisen.
  2. Um nicht verifizierten Zugriff zu blockieren, sollten Sie die Passwörter ändern und die Zwei-Faktor-Authentifizierung für Ihre Domainregistrar- und DNS-Konten aktivieren.
  3. Entfernen Sie bösartige DNS-Einträge. Wenn Angreifer:innen DNS-Einträge geändert haben, ersetzen Sie die schädlichen Einträge durch die korrekten Informationen für Ihre Website oder Ihren Dienst. Dadurch wird verhindert, dass Nutzer:innen auf schädliche Websites weitergeleitet werden.
  4. Informieren Sie Ihre internen Teams, Partner:innen und Kunden:innen über den Vorfall. Weisen Sie sie darauf hin, betroffene Websites bis zur Behebung des Problems zu meiden.
  5. Überwachen Sie nach der Korrektur der DNS-Einträge und -Einstellungen den DNS-Verkehr auf Anzeichen weiterer Manipulationen und ungewöhnlicher Aktivitäten.
  6. Führen Sie eine gründliche Sicherheitsüberprüfung durch, um herauszufinden, wie der Angriff erfolgt ist. Dies kann die Stärkung Ihrer Abwehrmaßnahmen umfassen, beispielsweise die Sicherung Ihres DNS-Anbieters, Ihrer Netzwerke und Konten, um zukünftige Vorfälle zu verhindern.

So minimieren Sie das Risiko von DNS-Hijacking

Zwar ist es wichtig zu wissen, wie man einen DNS-Hijacking-Angriff stoppt, noch wichtiger ist es jedoch, einen solchen Angriff zu verhindern. Berücksichtigen Sie die folgenden Strategien zum Schutz vor DNS-Hijacking:

  • Stellen Sie sicher, dass Ihre Konten bei Domainregistraren und DNS-Anbietern durch starke, eindeutige Passwörter, Zwei-Faktor-Authentifizierung und Single-Sign-On (SSO) geschützt sind. Dies verhindert einen missbräuchlichen Zugriff auf Ihre DNS-Einstellungen.
  • Implementieren Sie Domain Name System Security Extensions (DNSSEC), um durch die Überprüfung der Authentizität von DNS-Antworten eine zusätzliche Sicherheitsebene hinzuzufügen.
  • Überprüfen Sie regelmäßig SSL- (Secure Sockets Layer) und TLS- (Transport Layer Security) Zertifikate mit einer Zertifikatsverwaltungslösung, um sicherzustellen, dass sie gültig sind, ordnungsgemäß konfiguriert wurden und rechtzeitig erneuert werden. Dies verhindert, dass Angreifer:innen im Falle eines DNS-Hijacking-Versuchs die Identität Ihrer Website missbrauchen.
  • Schützen Sie Ihre Router, Server und internen Netzwerke, indem Sie Standardpasswörter ändern, starke Verschlüsselung verwenden und die gesamte Firmware auf dem neuesten Stand halten. Dadurch werden die Schwachstellen, die für das Eindringen in Ihr DNS ausgenutzt werden können, eingeschränkt.
  • Überprüfen Sie DNS-Einträge und den Datenverkehr regelmäßig auf ungewöhnliche Änderungen. Durch die frühzeitige Erkennung verdächtiger Aktivitäten kann eine Verletzung gestoppt werden, bevor sie sich durchsetzt.
  • Wählen Sie einen seriösen DNS-Anbieter, der starke Sicherheitsmaßnahmen und eine kontinuierliche Überwachung bietet. Ein vertrauenswürdiger Anbieter unterstützt Sie dabei, Schwachstellen zu identifizieren und macht Sie auf potenzielle Bedrohungen aufmerksam, bevor diese eskalieren.

Wie ein Registry-Lock dabei hilft, Domain-Hijacking zu verhindern

Laut unserem Bericht zur Domainsicherheit haben 107 der im Forbes Global 2000 gelisteten Unternehmen keine empfohlenen Sicherheitsmaßnahmen für Domains, wie etwa eine Registrierungssperre, eingesetzt. Ein Registry-Lock ist eine hochgradige Sicherheitsfunktion, die Ihren Domainnamen zusätzlich schützt, indem sie betrügerische oder versehentliche Änderungen wichtiger Domain-Einstellungen verhindert. Ist ein Registry-Lock aktiviert, können Änderungen wie DNS-Rekonfigurationen, Domainübertragungen oder Aktualisierungen von Kontaktdaten nur nach einem strengen Authentifizierungsprozess durchgeführt werden. Dies stellt sicher, dass nur zugelassenes Personal Anpassungen vornehmen kann, wodurch die Wahrscheinlichkeit von Manipulationen verringert wird.

Sichern Sie geschäftskritische Domains mit CSC MultiLock. Erfahren Sie, wie unser Registry-Lock Ihre digitalen Vermögenswerte absichert.

Mehr erfahren

Schützen Sie Ihr Unternehmen vor DNS-Hijacking

CSC kann Sie bei der Bewältigung einer Reihe von Bedrohungen unterstützen. DomainSecSM bietet Ihnen einen ganzheitlichen Überblick über Sicherheitsauffälligkeiten, die Sie anfällig für Angriffe machen. Hunderte der weltweit größten Unternehmen nutzen unsere Sicherheitsdienste, wie beispielsweise MultiLock, unsere Version der Registrierungssperre, um ihre Organisation und ihre Marken zu schützen. Diese Lösungen sind die überzeugendste Methode, um Ihr Risiko im Falle eines Angriffs zu minimieren.

Häufig gestellte Fragen (FAQ)

Als DNS-Angriff wird jeder Versuch bezeichnet, Schwachstellen im Domain Name System (DNS) auszunutzen, um Dienste zu stören, Datenverkehr umzuleiten oder sensible Informationen zu stehlen. DNS-Hijacking ist ein Beispiel dafür, wie Cyberkriminelle die Kontrolle über die DNS-Einstellungen übernehmen, um zu manipulieren, wie Nutzer:innen auf Websites und Online-Dienste zugreifen.

DNS-Hijacking bedeutet, die Kontrolle über die DNS-Einstellungen zu übernehmen – oft durch Kompromittierung eines Domainregistrars, eines DNS-Anbieters oder eines Routers –, um den Datenverkehr an bösartige Ziele umzuleiten. DNS-Spoofing ist hingegen eine umfassendere Taktik, bei der Angreifende DNS-Antworten fälschen, um Nutzer:innen in die Irre zu führen, ohne dabei die DNS-Einträge zu ändern. Dies kann durch Cache-Poisoning (das Einfügen gefälschter Daten in einen DNS-Resolver) oder durch Abfangen in Echtzeit (die Manipulation von DNS-Antworten bei deren Anforderung) erfolgen. Während DNS-Hijacking Angreifern:innen eine dauerhafte Kontrolle über die DNS-Auflösung ermöglicht, ist Spoofing in der Regel eine vorübergehende Täuschung, bei der einzelne DNS-Anfragen manipuliert werden.

DNS-Hijacking bezeichnet die Umleitung von Nutzer:innen durch Änderung der DNS-Einstellungen. DNS-Tunneling ist hingegen eine Technik, bei der DNS-Anfragen missbraucht werden, um heimlich Daten zu übertragen. Dies geschieht häufig, um Sicherheitskontrollen zu umgehen oder Informationen zu exfiltrieren. Anders als beim DNS-Hijacking, bei dem bestehende DNS-Einträge manipuliert werden, muss der Angreifende beim DNS-Tunneling in der Regel eine eigene Domain registrieren und so konfigurieren, dass sie als Kommunikationskanal für gestohlene Daten dient.

Verwandte Ressourcen

Registry Lock and DNS Explained

reports Blog Post

A Basic Overview of DNSSEC

reports Blog Post

DNS: The Neglected Building Block, Part 4 – The Growing Threat of DNS Hijacking and Domain Shadowing

reports Blog Post

DNS Hijacking: The Iranian Cyber Security Threat That May Be Overlooked

reports Blog Post

CSC Alerts Companies to Increased DNS Hijacking

reports Blog Post

Global DNS Hijacking and How CSC Secures Your Digital Assets

reports Blog Post

Stellen Sie eine Anfrage

Alle mit * gekennzeichneten Felder sind Pflichtfelder.

Diese Website ist durch reCAPTCHA geschützt. Es gelten die Datenschutzerklärung und Nutzungsbedingungen von Google.