Spoofing

Spoofing bezeichnet eine Klasse von Angriffstechniken, bei denen ein Angreifer eine falsche Identität vortäuscht, um Vertrauen zu erschleichen oder Sicherheitsmechanismen zu umgehen. Der Begriff leitet sich vom englischen 'to spoof' (vortäuschen, fälschen) ab. Spoofing kann auf verschiedenen Ebenen stattfinden — von der E-Mail-Adresse über IP-Adressen bis hin zu DNS-Einträgen. In der Praxis ist E-Mail-Spoofing die häufigste und für Unternehmen gefährlichste Variante, da sie die Grundlage für Phishing-Angriffe und CEO Fraud bildet.

E-Mail-Spoofing

Beim E-Mail-Spoofing fälscht ein Angreifer den Absender einer E-Mail, sodass sie scheinbar von einer vertrauenswürdigen Person oder Organisation stammt. Das SMTP-Protokoll wurde in den 1980er Jahren ohne Authentifizierungsmechanismen entworfen — jeder Mailserver kann technisch jede beliebige Absenderadresse in den From:-Header einsetzen. Diese Designschwäche wird bis heute aktiv ausgenutzt.

Ein typisches Szenario: Ein Angreifer sendet eine E-Mail, die so aussieht, als käme sie von der Geschäftsführung, und fordert die Buchhaltung auf, eine dringende Überweisung durchzuführen. Die E-Mail erscheint im Posteingang mit dem korrekten Absendernamen und der korrekten Absenderdomain — für den Empfänger ist die Fälschung mit bloßem Auge nicht erkennbar.

Die wirksamsten Gegenmaßnahmen gegen E-Mail-Spoofing sind die drei Protokolle der E-Mail-Authentifizierung: SPF prüft, ob der sendende Server autorisiert ist. DKIM stellt sicher, dass die Nachricht nicht manipuliert wurde. Und DMARC verbindet beide Prüfungen und legt fest, dass nicht authentifizierte E-Mails abgewiesen werden. Erst mit einer DMARC-Policy von p=reject ist die eigene Domain effektiv vor Spoofing geschützt.

IP-Spoofing

Beim IP-Spoofing fälscht ein Angreifer die Quell-IP-Adresse in Netzwerkpaketen, sodass diese scheinbar von einer anderen Adresse stammen. Diese Technik wird vor allem für zwei Zwecke eingesetzt: DDoS-Angriffe (der Angreifer verschleiert seine tatsächliche IP, und die Antwortpakete fluten das Opfer) sowie die Umgehung von IP-basierten Zugriffskontrollen (Firewalls, die bestimmte IP-Bereiche erlauben).

Gegenmaßnahmen umfassen Ingress Filtering (BCP38/BCP84), bei dem der ISP Pakete mit gefälschten Quelladressen bereits am Netzwerkrand verwirft, sowie die Nutzung von Authentifizierungsverfahren, die nicht allein auf IP-Adressen vertrauen.

DNS-Spoofing

DNS-Spoofing (auch DNS Cache Poisoning) manipuliert DNS-Antworten, sodass Anfragen für eine legitime Domain zu einer vom Angreifer kontrollierten IP-Adresse aufgelöst werden. Der Nutzer gibt die korrekte URL ein, wird aber unbemerkt zu einem gefälschten Server umgeleitet. Dort kann der Angreifer Zugangsdaten abfangen oder Malware verteilen.

DNSSEC (DNS Security Extensions) ist die primäre Gegenmaßnahme: Es signiert DNS-Antworten kryptografisch, sodass Manipulationen erkannt werden. Ob Ihre Domain DNSSEC korrekt implementiert hat, können Sie mit dem DNSSEC-Check in Sekunden prüfen. Zusätzlich reduzieren verschlüsselte DNS-Abfragen über DNS-over-HTTPS (DoH) oder DNS-over-TLS (DoT) das Risiko von Man-in-the-Middle-Angriffen auf DNS-Ebene.

ARP-Spoofing

ARP-Spoofing findet im lokalen Netzwerk statt. Ein Angreifer sendet gefälschte ARP-Nachrichten (Address Resolution Protocol), um seine MAC-Adresse mit der IP-Adresse eines anderen Geräts zu verknüpfen — typischerweise dem Standard-Gateway. Dadurch leitet der Angreifer den gesamten Netzwerkverkehr über sein Gerät und kann ihn mitlesen oder manipulieren (Man-in-the-Middle).

Gegenmaßnahmen sind Dynamic ARP Inspection (DAI) auf Managed Switches, statische ARP-Einträge für kritische Systeme und Netzwerksegmentierung, die den Aktionsradius eines Angreifers einschränkt.

Spoofing-Varianten im Vergleich

Die folgende Übersicht zeigt die wichtigsten Spoofing-Arten und ihre jeweiligen Gegenmaßnahmen:

Relevanz für Unternehmen

E-Mail-Spoofing ist für die meisten Unternehmen die relevanteste Variante, da sie unmittelbar die Kommunikation mit Kunden, Partnern und Mitarbeitenden betrifft. Ein Angreifer, der die Domain eines Unternehmens für gefälschte E-Mails missbraucht, kann erheblichen Reputationsschaden verursachen — selbst wenn das Unternehmen selbst nicht direkt betroffen ist. Kunden, die eine Phishing-Mail von einer scheinbar vertrauenswürdigen Domain erhalten, verlieren das Vertrauen in den Absender.

Die gute Nachricht: E-Mail-Spoofing lässt sich durch die korrekte Konfiguration von SPF, DKIM und DMARC weitgehend verhindern. Diese drei Protokolle bilden die E-Mail-Authentifizierung und sollten für jede geschäftlich genutzte Domain konfiguriert sein.

Spoofing-Schutz prüfen

Ob Ihre Domain gegen E-Mail-Spoofing geschützt ist, können Sie mit dem E-Mail Security Check in wenigen Sekunden prüfen. Das Tool analysiert SPF, DKIM und DMARC und zeigt, ob Angreifer Ihre Domain für gefälschte E-Mails missbrauchen könnten. Wenn Sie eine konkret verdächtige E-Mail untersuchen möchten, liefert die E-Mail Header Analyse den technischen Beweis: Sie zeigt den tatsächlichen Transportweg, die Absender-IP und ob die Authentifizierung bestanden hat. Ergänzend hilft die WHOIS-Abfrage, verdächtige Domains zu untersuchen — etwa um festzustellen, ob eine Domain erst kürzlich registriert wurde, was ein typisches Merkmal von Phishing- und Spoofing-Infrastruktur ist. Der Phishing-URL-Check erkennt darüber hinaus Homoglyphen-Angriffe und prüft verdächtige URLs gegen Google Safe Browsing — besonders hilfreich, wenn ein konkreter Link aus einer potenziell gefälschten Nachricht vorliegt. Auf Webanwendungsebene hilft der Cookie-Scanner dabei, fehlende Sicherheitsflags wie SameSite und HttpOnly zu erkennen, die Angreifer für Session-Hijacking nach einem erfolgreichen Spoofing-Angriff ausnutzen könnten.