DNS-Spoofing & DNS-Cache-Poisoning
Author
Robin Laufenburg, Mo, 19. Mai. 2025
 in Cybersecurity

DNS-Spoofing & DNS-Cache-Poisoning

So schützen Sie Ihr Unternehmen davor

DNS-Spoofing gefährdet die Integrität Ihrer IT-Infrastruktur – denn manipulierte DNS-Antworten leiten unbemerkt auf gefälschte Webseiten um.

DNS-Cache-Poisoning zählt zu den gefährlichsten Varianten dieser Angriffe. Was genau dahintersteckt und wie Sie sich wirksam schützen, lesen Sie hier bei uns.

Wie DNS funktioniert – und wo es angreifbar ist

Im digitalen Alltag läuft die Namensauflösung von Domains im Hintergrund ab – unbemerkt, aber essenziell. Ohne das Domain Name System (DNS) könnten wir keine Webseiten über ihre Namen aufrufen. Statt „pcspezialist.de“ müssten wir uns eine IP-Adresse merken. Damit das nicht nötig ist, greift unser Gerät auf DNS-Server zurück, die Domains in IP-Adressen übersetzen.

Im Hintergrund arbeiten dabei verschiedene DNS-Server zusammen. Ein rekursiver DNS-Resolver nimmt die Anfrage des Nutzers entgegen und fragt bei Bedarf bei anderen Servern nach, wenn er die Antwort nicht bereits kennt. Diese Weiterleitung kann mehrere Stationen umfassen – von Root-Servern über Top-Level-Domain-Server bis hin zu autoritativen DNS-Servern, die für eine bestimmte Domain „verantwortlich“ sind und die korrekten IP-Adressen liefern.

Damit dieser Prozess nicht bei jeder Anfrage komplett durchlaufen werden muss, speichern viele DNS-Resolver die einmal erhaltenen Antworten im sogenannten Cache. Diese Zwischenspeicherung verbessert die Performance und reduziert die Netzwerklast. Genau hier liegt allerdings auch eine Schwachstelle, die Angreifer ausnutzen: Wird eine manipulierte DNS-Antwort in diesen Cache eingeschleust, wird sie von dort aus wiederverwendet – auch für andere Nutzer. So verbreiten sich gefälschte Einträge schnell und wirken besonders nachhaltig.

Ein weiterer Angriffsvektor liegt in der fehlenden Authentifizierung klassischer DNS-Antworten. Das ursprüngliche DNS-Protokoll kennt keine digitale Signatur oder Verschlüsselung. Eine DNS-Antwort gilt als vertrauenswürdig, solange sie formal korrekt aufgebaut ist – unabhängig davon, von wem sie stammt.

Grafik mit dem Titel Wie DNS funktioniert – und wo es angreifbar ist, links der Ablauf einer DNS-Abfrage mit rekursivem Resolver, Root-, TLD- und autoritativem Server. Rechts zwei Warnsymbole: eines zum manipulierbaren Cache, eines zur fehlenden Prüfung von DNS-Antworten. Darstellung in Blau- und Grautönen. Bild: ChatGPT [Bild mit KI erstellt]

Infografik zeigt den Ablauf der DNS-Namensauflösung sowie zwei potenzielle Schwachstellen klassischer DNS-Systeme. Bild: ChatGPT [Bild mit KI erstellt]

Was ist DNS-Spoofing?

Diese fehlende Validierung macht DNS besonders anfällig für sogenannte DNS-Spoofing-Angriffe. Cyberkriminelle haben längst erkannt, wie anfällig das DNS-Protokoll ist – insbesondere dann, wenn DNS-Antworten manipuliert und gefälschte Informationen gespeichert werden.

Beim DNS-Spoofing schleusen Angreifer erst einmal falsche DNS-Antworten in den Datenverkehr ein – oft noch bevor die legitime Antwort des echten DNS-Servers zurückkommt. DNS-Spoofing ist damit ein Überbegriff für Methoden, bei denen Angreifer gezielt falsche DNS-Antworten erzeugen oder in bestehende DNS-Kommunikation einschleusen. Ihr Ziel ist es, Internetnutzer auf manipulierte, häufig täuschend echt aussehende Webseiten umzuleiten. Dort wird beispielsweise versucht, Anmeldedaten, Kreditkarteninformationen oder andere sensible Daten abzufangen. Der Angriff funktioniert in vielen Fällen, ohne dass der betroffene Nutzer Verdacht schöpft.

Spoofing bezeichnet übrigens allgemein eine Technik zur Verschleierung oder Täuschung in digitalen Systemen. Neben DNS-Spoofing setzen Kriminelle auch IP-Spoofing, Domain-Spoofing, Website-Spoofing, E-Mail-Spoofing oder Call-ID-Spoofing für Ihre kriminellen Machenschaften ein.

Was ist DNS-Cache-Poisoning?

Ein besonders gefährlicher Spezialfall dieses Angriffs ist das DNS-Cache-Poisoning. Hierbei schleusen Angreifer gefälschte DNS-Antworten in den Zwischenspeicher (Cache) eines rekursiven DNS-Resolvers ein. Einmal gespeichert, wird die manipulierte Information bei zukünftigen Anfragen aus dem Cache zurückgegeben – anstatt vom tatsächlichen autoritativen Server. Diese Methode macht sich zunutze, dass viele Resolver die Authentizität von Antworten nicht überprüfen.

DNS-Cache-Poisoning gilt als besonders perfide, weil es Angreifern ermöglicht, den Datenverkehr zahlreicher Nutzer umzuleiten – über lange Zeiträume hinweg. Typischerweise wird der DNS-Cache eines ISP-DNS-Servers oder eines Unternehmensservers kompromittiert. Die Angriffe erfordern kein direktes Eindringen in Systeme des Opfers, sondern wirken auf Protokollebene – also dort, wo Vertrauen ohne Validierung stattfindet.

Solche Angriffe werden oft als Teil eines sogenannten Man-in-the-Middle- oder Adversary-in-the-Middle-Szenarios eingesetzt: Der Datenstrom zwischen Nutzer und Zielserver wird unbemerkt umgeleitet – etwa auf eine Phishing-Seite oder einen Server mit Malware. Besonders kritisch ist das für Unternehmen, deren Mitarbeitende dadurch ihre Zugangsdaten oder Unternehmensinformationen preisgeben – im schlimmsten Fall ohne zu merken, dass überhaupt ein Angriff stattgefunden hat.

Grafik mit dem Titel DNS-Antworten im Vergleich – warum Validierung wichtig ist, links eine DNS-Anfrage mit ungeprüfter Speicherung (Fragezeichen-Symbol), rechts eine validierte DNS-Antwort mit Schloss und Häkchen. Darstellung in Blau- und Türkistönen. Bild: ChatGPT [Bild mit KI erstellt]

Vergleich der Verarbeitung unvalidierter und validierter DNS-Antworten in modernen Netzwerken. Bild: ChatGPT [Bild mit KI erstellt]

So laufen DNS-Cache-Poisoning-Angriffe ab

Um einen DNS-Cache-Poisoning-Angriff erfolgreich durchzuführen, nutzen Cyberkriminelle gezielt Schwachstellen im DNS-Protokoll und in der verwendeten Software aus. Der Ablauf folgt dabei meist einem bestimmten Muster: Der Angreifer provoziert eine DNS-Anfrage an einen Resolver, etwa indem er eine nicht gespeicherte Subdomain aufruft. Gleichzeitig sendet er gefälschte DNS-Antworten – idealerweise schneller als der legitime autoritative Server.

Ziel dieser Antworten ist es, den DNS-Resolver zu täuschen. Wenn dieser die gefälschte Antwort akzeptiert, wird sie im Cache gespeichert – mitsamt falscher IP-Adresse. Bei zukünftigen Anfragen zur gleichen Domain greift der Resolver dann auf diese manipulierte Information zurück. Die Nutzer werden auf einen vom Angreifer kontrollierten Server umgeleitet, ohne es zu merken.

Besonders effektiv sind Angriffe, die zusätzliche Informationen im sogenannten „Additional“- oder „Authority“-Abschnitt einer DNS-Antwort platzieren. Dort lassen sich weitere manipulierte Einträge unterbringen – etwa für andere Domains oder Nameserver. Ein verwundbarer Resolver speichert diese mit, obwohl sie gar nicht direkt zur ursprünglichen Anfrage gehören. So können Angreifer gleich mehrere Ziele mit einer einzigen Antwort manipulieren.

Ein Beispiel: Eine DNS-Antwort zur Domain subdomain.attacker.example enthält in der Authority-Section einen Eintrag für target.example, der auf einen gefälschten Nameserver verweist. Akzeptiert der Resolver diesen Eintrag, kann der Angreifer künftig auch Anfragen an target.example umleiten – obwohl diese Domain mit der ursprünglichen nichts zu tun hatte.

Noch kritischer wird es, wenn DNS-Server sogenannte Predictable Transaction IDs oder feste Quellports nutzen. In diesen Fällen kann ein Angreifer mit ausreichend vielen Anfragen und gefälschten Antworten die korrekte Kombination erraten – und so gezielt manipulierte Einträge einschleusen. Die Folge: Selbst ohne Zugang zum Netzwerk kann ein Angriff von außen gelingen.

Grafik mit dem Titel Wie DNS-Resolver mit konkurrierenden Antworten umgehen, dargestellt ist eine DNS-Anfrage, die an einen Resolver gesendet wird. Zwei Antworten (IP-Adresse A und B) treffen ein, nur die erste wird gespeichert. Rechts ein Cache-Symbol mit Uhr. Bild: ChatGPT [Bild mit KI erstellt]

Technische Visualisierung des DNS-Verhaltens bei gleichzeitigen Antwortversuchen und der Verarbeitung im lokalen Resolver-Cache. Bild: ChatGPT [Bild mit KI erstellt]

Schutzmaßnahmen: Wie sich DNS-Spoofing verhindern lässt

Um sich wirksam gegen DNS-Spoofing und DNS-Cache-Poisoning zu schützen, braucht es mehr als klassische Firewalls oder Antivirenprogramme. Denn diese Angriffe finden auf einer Protokollebene statt, die oft weder überwacht noch abgesichert ist. Die gute Nachricht: Es gibt praxistaugliche Maßnahmen, mit denen sich Unternehmen zuverlässig schützen können:

  • Ein zentraler Baustein ist der Einsatz von DNSSEC (Domain Name System Security Extensions). Diese Erweiterung fügt DNS-Antworten digitale Signaturen hinzu, die sicherstellen, dass die Daten tatsächlich vom autoritativen Server stammen und unverändert sind. DNSSEC macht DNS-Antworten überprüfbar – und damit Spoofing-Angriffe erheblich schwieriger.
  • Zusätzlich empfiehlt sich die Verwendung von DNS-over-HTTPS (DoH) oder DNS-over-TLS (DoT). Diese Technologien verschlüsseln DNS-Anfragen und -Antworten und verhindern so, dass Angreifer DNS-Kommunikation auslesen oder manipulieren können – etwa im öffentlichen WLAN oder bei Man-in-the-Middle-Angriffen.
  • Wichtig ist auch die regelmäßige Aktualisierung und Absicherung der eingesetzten DNS-Software. Veraltete Resolver oder Konfigurationen mit festen Ports und vorhersehbaren IDs sind besonders anfällig. Auch die konsequente Trennung interner und externer DNS-Dienste sowie der Einsatz sicherer Forwarder helfen, die Angriffsfläche zu verringern.
  • Ergänzend sollte das DNS in eine Zero-Trust-Sicherheitsstrategie eingebettet werden. Das bedeutet: Keine DNS-Antwort oder -Anfrage wird automatisch als vertrauenswürdig behandelt. Stattdessen erfolgt eine kontinuierliche Validierung – z. B. durch Signaturen, Monitoring oder strikte Zugriffskontrollen.

Unternehmen sollten sich bewusst machen: DNS-Schutz ist keine isolierte Maßnahme, sondern ein unverzichtbarer Teil der Netzwerksicherheit. Wer DNS-Absicherung in seine IT-Strategie integriert, reduziert das Risiko für Spoofing-Angriffe erheblich – und schützt nicht nur sich, sondern auch die eigenen Kunden.

Grafik mit dem Titel DNS absichern – moderne Schutzmaßnahmen im Überblick, dargestellt sind sechs Schutzmaßnahmen in je einem Symbolfeld: DNSSEC aktivieren, DNS-over-HTTPS/TLS nutzen, DNS-Software aktuell halten, interne/externe DNS trennen, sichere DNS-Forwarder verwenden und das Zero-Trust-Prinzip einführen. Die Gestaltung erfolgt in Blau- und Türkistönen auf weißem Hintergrund. Bild: ChatGPT [Bild mit KI erstellt]

Übersichtsgrafik mit sechs praxisnahen Maßnahmen zur Absicherung des DNS-Betriebs in Unternehmen. Bild: ChatGPT [Bild mit KI erstellt]

Risiken und Folgen für Unternehmen

DNS-Spoofing und DNS-Cache-Poisoning zählen zu den gefährlichsten Angriffen im Unternehmensumfeld – gerade weil sie auf einer Ebene stattfinden, die oft wenig Aufmerksamkeit erhält. Wer die DNS-Infrastruktur seines Unternehmens nicht absichert, läuft Gefahr, zum Ziel und zur Verteilungsstelle von Cyberangriffen zu werden.

Ein erfolgreich ausgeführter Angriff führt in vielen Fällen zur Umleitung auf gefälschte Webseiten. Mitarbeitende bemerken nicht, dass sie sich nicht auf einer echten Login-Seite befinden, geben sensible Daten wie Passwörter oder Kundendaten ein – und übermitteln diese direkt an den Angreifer. In der Folge können ganze Systeme kompromittiert werden, ohne dass ein klassischer Trojaner aktiv eingeschleust werden muss.

Eine weitere Gefahr liegt in der Verbreitung von Schadsoftware. Gefälschte Webseiten können mit Exploits oder Malware versehen sein, die Sicherheitslücken im Browser oder Betriebssystem ausnutzen. Da die Seite auf den ersten Blick seriös wirkt – etwa mit korrektem Domainnamen in der Adresszeile – fehlt der Anlass zur Vorsicht.

DNS-Manipulationen wirken sich zudem auf die Verfügbarkeit und Integrität von Diensten aus. Wenn DNS-Einträge falsch aufgelöst werden, sind wichtige Services nicht erreichbar oder leiten auf fremde Server um. Gerade bei Remote-Arbeitsplätzen oder cloudbasierten Diensten kann das zu erheblichen Betriebsstörungen führen.

Nicht zuletzt steht die Reputation auf dem Spiel: Unternehmen, über deren DNS-Infrastruktur Angriffe auf Dritte ausgeführt werden oder deren Domains für Phishing missbraucht werden, riskieren massives Vertrauen der Kundschaft zu verlieren. Das gilt insbesondere dann, wenn Datenschutzverletzungen öffentlich bekannt werden – etwa durch den Verlust personenbezogener Daten oder durch Sicherheitswarnungen von Browsern und E-Mail-Providern.

Gefahr für kleine und mittelständische Firmen

Besonders kleine und mittlere Unternehmen sind gefährdet, da sie häufig auf Standardkonfigurationen ihrer Router und DNS-Dienste vertrauen – und oft keine gezielten Sicherheitsmechanismen wie DNSSEC oder DNS-Monitoring nutzen. So entsteht eine kritische Angriffsfläche: Über manipulierte DNS-Einträge können Zugangsdaten abgegriffen, Schadsoftware verbreitet oder komplette Kommunikationsströme übernommen werden – alles, ohne dass Nutzer etwas davon mitbekommen.

DNS-Spoofing ist keine theoretische Gefahr, sondern eine reale Bedrohung im Alltag von Unternehmen. Wer das DNS nicht als sicherheitskritische Komponente begreift, läuft Gefahr, Opfer gezielter Angriffe zu werden – mit potenziell gravierenden Folgen für Datenintegrität, Verfügbarkeit und Vertrauen der Kundschaft.

Grafik mit dem Titel DNS-Sicherheit – warum sie für Unternehmen entscheidend ist, zentrales Symbol eines Bürogebäudes mit sechs umliegenden Schutzfaktoren: Datenintegrität sichern, Verfügbarkeit gewährleisten, Remote-Zugriffe stabil halten, Malware-Verteilung verhindern, Vertrauen der Kundschaft erhalten und Reputation schützen. Darstellung in Blau-, Türkis- und Grautönen. Bild: ChatGPT [Bild mit KI erstellt]

Infografik mit sechs zentralen Wirkfeldern von DNS-Schutz im Unternehmensumfeld – von der Datenintegrität bis zur Markenreputation. Bild: ChatGPT [Bild mit KI erstellt]

So erkennen Sie DNS-Manipulation im Unternehmen

Einer der tückischsten Aspekte von DNS-Spoofing und Cache-Poisoning ist ihre Unsichtbarkeit. Die Umleitung erfolgt still und unauffällig im Hintergrund – in vielen Fällen ohne sichtbare Warnzeichen für die betroffenen Nutzer. Gerade deshalb ist eine aktive Überwachung der DNS-Infrastruktur essenziell, um Angriffe frühzeitig zu erkennen.

Ein häufiges Indiz für eine Manipulation sind plötzliche Veränderungen im Datenverkehr. Wenn bestimmte Webseiten nicht mehr erreichbar sind oder sich Nutzer über ungewöhnliche Weiterleitungen oder Zertifikatswarnungen beschweren, sollte das IT-Team genauer hinschauen. Auch ein unerklärlicher Rückgang des Website-Traffics kann auf DNS-Probleme hinweisen – etwa, wenn Kunden statt auf die Unternehmensseite auf eine Phishing-Kopie umgeleitet werden.

Technisch lässt sich DNS-Manipulation durch den Einsatz spezialisierter Monitoring-Tools erkennen. Diese überwachen DNS-Antworten, prüfen auf Unregelmäßigkeiten bei IP-Adressen oder beobachten, ob autoritative Server plötzlich wechseln. Auch Intrusion Detection Systeme (IDS) mit DNS-Analysemodulen können verdächtige Aktivitäten im DNS-Umfeld identifizieren.

Ein weiteres Hilfsmittel sind regelmäßige Integritätsprüfungen der DNS-Einträge: Stimmen die hinterlegten IP-Adressen noch mit den erwarteten überein? Gibt es unerklärliche Änderungen an Nameserver-Zuweisungen oder TTL-Werten? Solche Auffälligkeiten können auf einen Angriff hindeuten – vor allem dann, wenn sie ohne administrative Änderung aufgetreten sind.

Grundsätzlich gilt: Wer DNS-Aktivitäten nicht beobachtet, erkennt Manipulationen meist erst, wenn der Schaden bereits entstanden ist. Unternehmen sollten daher klare Prozesse für das DNS-Monitoring und die Protokollauswertung definieren – idealerweise automatisiert, nachvollziehbar und in ein umfassendes Sicherheitskonzept eingebettet.

Grafik mit dem Titel DNS-Sicherheit erkennen – und ganzheitlich umsetzen, links ein Bereich mit Monitoring-Symbolen für DNS-Anomalien wie ungewöhnliche IP-Adressen, Weiterleitungen oder Zertifikatswarnungen. Rechts Darstellung strategischer Maßnahmen wie DNSSEC, verschlüsselte DNS-Protokolle, Monitoring, Schulung und Segmentierung. Darstellung in Blau, Weiß und Türkis. Bild: ChatGPT [Bild mit KI erstellt]

Infografik verbindet technische Indikatoren für DNS-Anomalien mit einer strategischen Darstellung moderner DNS-Schutzmaßnahmen im Unternehmenskontext. Bild: ChatGPT [Bild mit KI erstellt]

DNS-Sicherheit als Teil einer ganzheitlichen IT-Strategie

Die Absicherung des Domain Name Systems ist kein isoliertes Spezialthema für Netzwerktechniker, sondern ein essenzieller Bestandteil moderner IT-Sicherheitsstrategien. Wer DNS-Schutz vernachlässigt, setzt die gesamte IT-Infrastruktur einem unnötigen Risiko aus – vom ersten Zugriff auf Unternehmensressourcen bis zur Kommunikation mit Kunden.

Dabei geht es nicht nur darum, Spoofing- oder Cache-Poisoning-Angriffe abzuwehren. Es geht darum, Vertrauen in die digitale Kommunikation sicherzustellen – sowohl intern im Unternehmen als auch extern gegenüber Kunden und Partnern. Denn kompromittierte DNS-Dienste sind ein Einfallstor für Identitätsdiebstahl, Datenspionage, Malware-Infektionen und gezielte Social-Engineering-Angriffe.

Deshalb sollte DNS-Sicherheit systematisch in die bestehende IT-Architektur eingebunden werden – technisch, organisatorisch und strategisch. Dazu zählen:

  • die Nutzung von DNSSEC und verschlüsselten DNS-Protokollen wie DoH,
  • eine saubere Netzwerktrennung interner und externer Namensauflösungen,
  • regelmäßige Audits und Monitoring-Prozesse,
  • sowie eine Sensibilisierung der Mitarbeitenden für potenzielle Angriffsformen.

Besonders wichtig ist ein integrierter Ansatz: DNS-Schutz funktioniert am besten, wenn er mit Maßnahmen wie Firewall-Management, Endpoint-Security, Schwachstellenanalysen und Backups zusammenspielt. Denn nur ein abgestimmtes Sicherheitskonzept schafft die nötige Widerstandsfähigkeit – und gibt Unternehmen die Kontrolle über ihre digitale Identität zurück.

IT-Sicherheitslösungen von PC-SPEZIALIST

Cyberkriminelle nutzen jede Schwachstelle – und das Domain Name System gehört zu den am häufigsten übersehenen Einfallstoren. Umso wichtiger ist es, dass Ihre DNS-Infrastruktur professionell konfiguriert, regelmäßig überprüft und gezielt geschützt wird. Genau hier unterstützt Sie PC-SPEZIALIST in Ihrer Nähe.

Ob es um die sichere Einrichtung von DNSSEC, das Monitoring verdächtiger Aktivitäten oder die Absicherung Ihres gesamten Netzwerks geht – unsere IT-Experten analysieren Ihre aktuelle Sicherheitslage und erarbeiten individuelle Lösungen, die zu Ihrem Unternehmen passen. Das Ziel: Risiken minimieren, Angriffsflächen schließen und Ihre Systeme langfristig absichern.

Sie möchten wissen, ob Ihre DNS-Konfiguration sicher ist? Oder ob in Ihrem Netzwerk versteckte Schwachstellen lauern? Dann lassen Sie sich von unseren Partnern vor Ort beraten – persönlich, verständlich und praxisnah.

_______________________________________________

Quellen: Wikipedia, MYRA, Akamai, Pexels/Ankit Seth (Headerbild)

, ,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren