DNS-Hijacking erkennen und verhindern ist keine Raketenwissenschaft – aber viele Nutzer wissen gar nicht, dass ihre Internet-Anfragen umgeleitet werden können. Stell dir vor: Du tippst "sparkasse.de" in deinen Browser, landest aber auf einer perfekten Kopie der echten Seite. Du gibst deine Login-Daten ein – und Hacker haben sie. Genau das passiert bei DNS-Hijacking. In diesem Ratgeber erfährst du, wie diese Attacke funktioniert, wie du sie erkennst und mit welchen konkreten Maßnahmen du dich auf Router, Windows und Mac dagegen schützt.
Was ist DNS-Hijacking? Die Umleitung erklärt
DNS steht für Domain Name System – das Telefonbuch des Internets. Wenn du eine Website-Adresse eingibst, fragt dein Computer einen DNS-Server: "Wo finde ich sparkasse.de?" Der Server antwortet mit der richtigen IP-Adresse, und dein Browser lädt die echte Seite.
Beim DNS-Hijacking manipulieren Angreifer genau diesen Prozess. Sie ändern die DNS-Einstellungen auf deinem Router, Computer oder sogar beim Internet-Provider. Das Ergebnis: Deine Anfrage wird zu einer gefälschten Website umgeleitet, die täuschend echt aussieht.
Die Analogie: Stell dir vor, jemand überklebt im Telefonbuch die Nummer deiner Bank mit der Nummer von Betrügern. Du wählst die "richtige" Nummer aus dem Buch – landest aber bei den Kriminellen. Genau so funktioniert DNS-Hijacking.
Das Tückische: Im Browser steht oft die richtige Adresse. Moderne Angriffe nutzen sogar gefälschte SSL-Zertifikate, sodass das Schloss-Symbol erscheint. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sind solche Angriffe 2026 wieder häufiger geworden – besonders über kompromittierte Router.
Das Wichtigste auf einen Blick
DNS-Hijacking leitet deine Internet-Anfragen auf Fake-Websites um – ohne sichtbare Warnhinweise
Angreifer manipulieren Router-Einstellungen, Computer-Konfigurationen oder Provider-DNS-Server
Erkennbar durch ungewöhnliche Website-Layouts, Werbe-Pop-ups oder fehlende HTTPS-Verbindungen
Wichtigste Schutzmaßnahme: Standard-Router-Passwort ändern und DNS-Einstellungen prüfen
Sichere DNS-Server wie Cloudflare (1.1.1.1) oder Google (8.8.8.8) helfen gegen Hijacking
Wie Hacker DNS-Hijacking durchführen: 3 typische Angriffswege
Verstehe die Taktik der Angreifer – dann kannst du dich besser schützen. Hier sind die drei häufigsten Angriffswege:
1. Router-Hijacking: Das schwächste Glied im Heimnetzwerk
Die meisten Heimrouter haben Standard-Passwörter wie "admin" oder "password". Hacker nutzen automatisierte Tools, um Router mit diesen Zugängen zu finden. Sobald sie drin sind, ändern sie die DNS-Einstellungen für das gesamte Netzwerk.
Das Ergebnis: Jedes Gerät in deinem WLAN – Smartphone, Laptop, Smart-TV – nutzt die manipulierten DNS-Server. Du merkst es erst, wenn du auf einer Fake-Seite landest.
Praxis-Tipp: Logge dich in deinen Router ein (meist über 192.168.1.1 oder 192.168.0.1) und prüfe unter "WAN" oder "Internet" die DNS-Einstellungen. Stehen dort unbekannte IP-Adressen statt der Adressen deines Providers oder bekannter DNS-Dienste? Dann sofort zurücksetzen!
2. Malware auf dem Computer: Die lokale Manipulation
Manche Schadsoftware ändert die DNS-Einstellungen direkt auf deinem Windows-PC oder Mac. Das passiert oft durch:
Gefälschte Software-Updates
E-Mail-Anhänge mit Trojanern
Drive-by-Downloads auf unsicheren Websites
Die Malware überschreibt deine Netzwerk-Konfiguration und setzt bösartige DNS-Server. Andere Geräte im Netzwerk sind nicht betroffen – nur dein Computer.
3. ISP-Hijacking: Angriffe beim Internet-Provider
Seltener, aber möglich: Angreifer kompromittieren DNS-Server beim Internet-Provider selbst. 2024 gab es mehrere dokumentierte Fälle in Osteuropa. Auch manipulierte öffentliche WLAN-Hotspots nutzen diese Methode.
Hier der Trick: Nutze in öffentlichen Netzwerken immer ein VPN. Das verschlüsselt deine DNS-Anfragen und verhindert Manipulation.
[INTERN: VPN erklärt - Was ist ein VPN und wann brauchst du es?]
DNS-Hijacking erkennen: 7 Warnzeichen für manipulierte Verbindungen
Du bist bereits Opfer, merkst es aber nicht? Diese Anzeichen verraten DNS-Hijacking:
Website-Design wirkt veraltet oder fehlerhaft: Plötzlich fehlen bekannte Elemente, Logos sind verpixelt oder die Navigation funktioniert anders
Unerwartete Werbe-Pop-ups: Auf Seiten, die normalerweise werbefrei sind (z.B. deine Bank), erscheinen aggressive Werbebanner
HTTPS-Warnungen im Browser: Chrome, Firefox oder Safari zeigen Zertifikatsfehler – ignoriere diese niemals!
Umleitung zu seltsamen Domains: Statt "sparkasse.de" landest du auf "sparkasse-secure-login.net" oder ähnlichen Varianten
Langsame Seitenladezeiten: Hijacking-Server sind oft überlastet oder geografisch weit entfernt
Ungewöhnliche Login-Abfragen: Die Seite fragt nach Daten, die normalerweise nicht verlangt werden (z.B. "Verifiziere deine Identität mit deiner Kreditkarte")
DNS-Leak-Test schlägt an: Tools wie dnsleaktest.com zeigen unbekannte DNS-Server
Schnelltest jetzt durchführen: Öffne dnsleaktest.com und klicke auf "Standard Test". Du siehst, welche DNS-Server dein Computer nutzt. Erkennst du sie nicht oder stehen dort exotische Länder? Dann besteht Verdacht auf Hijacking.
DNS-Hijacking verhindern auf dem Router: Die wichtigste Schutzmaßnahme
Dein Router ist das Einfallstor Nummer 1. Sichere ihn mit diesen Schritten ab – dauert maximal 10 Minuten:
Schritt 1: Router-Zugang absichern
Öffne deinen Browser und gib die Router-IP ein (meist 192.168.1.1 oder 192.168.0.1)
Logge dich mit den aktuellen Zugangsdaten ein
Suche im Menü "Administration", "System" oder "Verwaltung"
Ändere das Passwort: Nutze mindestens 12 Zeichen mit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen
Ändere auch den Benutzernamen, falls möglich (statt "admin" z.B. "router-admin-2026")
Schritt 2: DNS-Einstellungen kontrollieren
Gehe zu "Internet", "WAN" oder "Internetverbindung"
Suche den Bereich "DNS-Server" oder "Domain Name Server"
Prüfe die eingetragenen IP-Adressen: Sollten die DNS-Server deines Providers sein (frag beim Provider nach) oder bekannte öffentliche DNS-Server
Bei verdächtigen Einträgen: Lösche sie und trage sichere DNS-Server ein (siehe nächster Abschnitt)
Schritt 3: Sichere DNS-Server eintragen
Nutze DNS-Server von vertrauenswürdigen Anbietern. Diese 3 Optionen sind 2026 empfehlenswert:
Anbieter
Primärer DNS
Sekundärer DNS
Vorteil
Cloudflare
1.1.1.1
1.0.0.1
Schnell, datenschutzfreundlich, kein Logging
Google Public DNS
8.8.8.8
8.8.4.4
Zuverlässig, weltweit verfügbar
Quad9
9.9.9.9
149.112.112.112
Blockiert bekannte Malware-Domains automatisch
Unsere Empfehlung: Cloudflare 1.1.1.1 als primären und Quad9 9.9.9.9 als sekundären DNS-Server. So kombinierst du Geschwindigkeit mit Sicherheit.
[INTERN: Router absichern - 10 Einstellungen die du sofort ändern solltest]
Schritt 4: Router-Firmware aktualisieren
Alte Router-Software hat oft Sicherheitslücken. Viele Hersteller schließen diese mit Updates:
Suche im Router-Menü nach "Firmware", "System-Update" oder "Software-Aktualisierung"
Klicke auf "Nach Updates suchen" oder "Automatische Updates aktivieren"
Installiere verfügbare Updates sofort
Aber Vorsicht: Unterbreche niemals die Stromversorgung während eines Firmware-Updates – das kann den Router unbrauchbar machen.
DNS-Hijacking verhindern unter Windows: 3-Minuten-Absicherung
Auch auf deinem Windows-PC kannst du DNS-Server direkt festlegen – als zusätzliche Sicherheitsebene:
Für Windows 11 und Windows 10
Drücke Windows + I für die Einstellungen
Klicke auf "Netzwerk & Internet"
Wähle deine aktive Verbindung (WLAN oder Ethernet)
Klicke neben "DNS-Serverzuweisung" auf Bearbeiten
Wähle "Manuell" und aktiviere "IPv4"
Trage ein:
Bevorzugter DNS-Server: 1.1.1.1
Alternativer DNS-Server: 9.9.9.9
Klicke auf "Speichern"
Praxis-Tipp: Aktiviere in Windows 11 auch "DNS über HTTPS" (DoH). Das verschlüsselt deine DNS-Anfragen und verhindert Manipulation durch Dritte. Die Option findest du in den erweiterten DNS-Einstellungen.
DNS-Cache leeren nach Änderungen
Windows speichert DNS-Anfragen im Cache. Nach DNS-Änderungen solltest du diesen leeren:
Drücke Windows + R
Tippe cmd und drücke Enter
Gib ein: ipconfig /flushdns
Drücke Enter
Du siehst die Meldung "DNS-Auflösungscache wurde geleert" – fertig.
DNS-Hijacking verhindern auf dem Mac: DNS in macOS absichern
Für Mac-Nutzer funktioniert die Absicherung ähnlich einfach:
DNS-Server in macOS ändern
Öffne die Systemeinstellungen (Apfel-Menü > Systemeinstellungen)
Klicke auf "Netzwerk"
Wähle deine aktive Verbindung (WLAN oder Ethernet)
Klicke auf Details (macOS Ventura+) oder Weitere Optionen
Wechsle zum Tab DNS
Klicke auf das Plus-Symbol unter "DNS-Server"
Trage ein:
1.1.1.1
9.9.9.9
Entferne alte/unbekannte DNS-Einträge mit dem Minus-Symbol
Klicke auf OK und dann Anwenden
DNS-Cache auf dem Mac leeren
Öffne das Terminal (Programme > Dienstprogramme > Terminal)
Keine Ausgabe erscheint – das ist normal und bedeutet Erfolg.
Zusatz-Tipp für macOS: Nutze DNS-Profile für mehr Sicherheit. Anbieter wie Cloudflare bieten installierbare Profile an, die DNS-Anfragen automatisch verschlüsseln. Download unter 1.1.1.1/de.
Zusätzliche Schutzmaßnahmen gegen DNS-Manipulation
Kombiniere mehrere Schutzebenen für maximale Sicherheit:
1. DNS over HTTPS (DoH) oder DNS over TLS (DoT) aktivieren
Moderne Browser und Betriebssysteme unterstützen verschlüsselte DNS-Anfragen. Das verhindert, dass dein Provider oder Netzwerk-Angreifer DNS-Anfragen mitlesen oder manipulieren können.
In Chrome aktivieren:
Einstellungen > Datenschutz und Sicherheit > Sicherheit
Scrolle zu "Sicheres DNS verwenden"
Aktiviere die Option und wähle "Cloudflare (1.1.1.1)"
Gute VPN-Dienste betreiben eigene DNS-Server und leiten alle Anfragen verschlüsselt durch den VPN-Tunnel. DNS-Hijacking wird so praktisch unmöglich.
Wichtig: Achte auf die VPN-Einstellung "DNS Leak Protection" – die sollte immer aktiviert sein.
3. Regelmäßige Sicherheits-Checks
Mache einmal pro Monat diese 3 schnellen Tests:
DNS-Leak-Test: Besuche dnsleaktest.com und prüfe die angezeigten DNS-Server
Router-Login: Kontrolliere die DNS-Einstellungen im Router-Interface
Browser-Zertifikat-Check: Klicke bei wichtigen Seiten (Bank, E-Mail) auf das Schloss-Symbol und prüfe das Zertifikat
4. Anti-Malware-Software auf dem neuesten Stand
Gute Sicherheitssoftware erkennt viele DNS-Hijacking-Versuche durch Malware. Windows Defender (in Windows 11 integriert) reicht für die meisten Nutzer aus – aber nur mit aktiviertem Echtzeitschutz.
Zusatz-Tipp: Nutze die "Manipulationsschutz"-Funktion in Windows Security. Die verhindert, dass Malware Sicherheitseinstellungen ändert.
[INTERN: Passwort-Manager Test - Welcher ist 2026 der sicherste?]
Was tun bei einem DNS-Hijacking-Angriff? Notfall-Maßnahmen
Du vermutest, dass dein System bereits kompromittiert ist? Handle schnell:
Trenne die Internetverbindung sofort: Ziehe das LAN-Kabel oder deaktiviere WLAN
Führe einen vollständigen Virenscan durch: Nutze Windows Defender Offline-Scan (Einstellungen > Windows-Sicherheit > Viren- & Bedrohungsschutz > Scanoptionen) oder einen Second-Opinion-Scanner wie Malwarebytes
Setze Router auf Werkseinstellungen zurück: Drücke den Reset-Knopf am Router 10 Sekunden lang (meist an der Rückseite)
Ändere alle wichtigen Passwörter: Besonders Bank, E-Mail und Online-Shopping – aber erst nach der Bereinigung
Prüfe Kontoauszüge und Kreditkarten: Schaue nach verdächtigen Transaktionen
Aktiviere Zwei-Faktor-Authentifizierung (2FA): Bei allen wichtigen Diensten als zusätzlicher Schutz
Wichtig für Unternehmen: DNS-Hijacking ist meldepflichtig nach DSGVO, wenn personenbezogene Daten betroffen sein könnten. Kontaktiere deinen Datenschutzbeauftragten.
Häufige Fragen zu DNS-Hijacking
Kann DNS-Hijacking auch Smartphones betreffen?
Ja, absolut. Wenn dein Router kompromittiert ist, sind alle Geräte im WLAN betroffen – auch iPhone und Android-Smartphones. Die Angriffe funktionieren geräteübergreifend, weil die Manipulation auf Netzwerk-Ebene stattfindet. Zusätzlich können auch Smartphone-Apps mit Malware die DNS-Einstellungen im Gerät selbst ändern.
Schutz für Smartphones: Nutze sichere DNS-Server auch in den Smartphone-Einstellungen. Unter Android: Einstellungen > Netzwerk & Internet > Privates DNS > "Hostname des privaten DNS-Anbieters" > Trage "1dot1dot1dot1.cloudflare-dns.com" ein. Auf dem iPhone: Installiere das DNS-Profil von Cloudflare über die 1.1.1.1-App aus dem App Store.
Sind öffentliche WLAN-Netzwerke besonders gefährdet?
Ja, öffentliche Hotspots in Cafés, Hotels oder Flughäfen sind ein beliebtes Angriffsziel für DNS-Hijacking. Angreifer richten oft Evil Twin Access Points ein – gefälschte WLAN-Netze mit vertrauenswürdig klingenden Namen wie "Starbucks Free WiFi". Wer sich einloggt, nutzt automatisch die manipulierten DNS-Server der Angreifer.
Sicheres Verhalten in öffentlichen WLANs: Nutze immer ein VPN, sobald du dich verbindest. Vermeide Login-Vorgänge bei wichtigen Diensten (Banking, E-Mail) über öffentliches WLAN. Deaktiviere die automatische WLAN-Verbindung in deinen Geräte-Einstellungen, damit du nicht versehentlich mit gefälschten Netzen verbunden wirst.
Schützen Standard-Antivirus-Programme vor DNS-Hijacking?
Nur teilweise. Gute Anti-Malware-Software erkennt und blockiert Trojaner, die DNS-Einstellungen auf deinem Computer ändern wollen. Aber wenn das Hijacking auf Router-Ebene stattfindet oder ein Provider-DNS kompromittiert ist, hilft klassische Antivirus-Software nicht – weil der Angriff außerhalb des Computers passiert.
Besser: Kombiniere Antivirus-Software mit den in diesem Artikel beschriebenen Maßnahmen. Nutze DNS-Schutz-Features wie sie in manchen Internet-Security-Suiten enthalten sind (z.B. Kaspersky Internet Security, Bitdefender Total Security). Diese überwachen DNS-Anfragen und warnen bei Manipulationsversuchen.
Kann ich sehen, welche Websites ich trotz DNS-Hijacking besucht habe?
Ja, über deinen Browser-Verlauf. Aber: Wenn du auf Fake-Seiten umgeleitet wurdest, steht im Verlauf oft die richtige URL – weil die Umleitung auf DNS-Ebene passierte. Verdächtig sind Einträge mit ungewöhnlichen URLs oder Domains, die du nicht kennst.
Besser zur Überprüfung: Schaue in den Router-Logs nach verdächtigen Verbindungen. Viele moderne Router zeigen unter "System-Log" oder "Sicherheit" alle DNS-Anfragen und verbundene Geräte. Siehst du dort unbekannte IPs oder massenhaft Anfragen zu seltsamen Domains, ist das ein Warnsignal.
