Definition Pharming

Was ist Pharming?

Pharming ist ein zusammengesetztes Kunstwort aus "password" (dt. Passwort) und "farming" (dt. Landwirtschaft). Pharming ist ein Internetbetrug, der darauf abzielt, Nutzer auf eine gefälschte Website umzuleiten, um sensible Informationen wie Passwörter, Kreditkartennummern und Bankdaten abzugreifen. Im Gegensatz zum Phishing, bei dem Benutzer durch gefälschte E-Mails oder Links auf eine gefälschte Website gelockt werden, erfolgt die Umleitung beim Pharming auf DNS-Ebene.

DNS-Server

Ein DNS-Server ist ein System, das Domainnamen in IP-Adressen übersetzt, damit das Internet sie finden und verbinden kann. Wenn ein Benutzer eine Website besuchen möchte, gibt er den Domainnamen in seinen Webbrowser ein. Der Browser sendet dann eine Anfrage an den DNS-Server, um die IP-Adresse der Website herauszufinden und eine Verbindung herzustellen. Wenn der DNS-Server jedoch gehackt oder manipuliert wird, kann er die Anfrage auf eine falsche IP-Adresse umleiten und den Benutzer auf eine gefälschte Website weiterleiten.

Wie funktionieren Pharming-Angriffe?

Pharming-Angriffe können auf verschiedene Arten durchgeführt werden. Ein häufiger Angriffsweg, auch Angriffsvektor genannt, ist die Verwendung von Malware, die auf dem Computer des Benutzers installiert wird. Diese Malware kann den DNS-Cache des Computers manipulieren und die Anfragen des Browsers auf eine falsche IP-Adresse umleiten.

Ein weiterer Angriffsvektor besteht darin, Schwachstellen in der DNS-Software oder -Hardware auszunutzen, um den DNS-Server zu kompromittieren. Die Angreifer können auch das Domain Name System Security Extensions (DNSSEC) umgehen, das eine digitale Signatur für DNS-Daten bereitstellt und die Integrität von DNS-Anfragen und -Antworten gewährleistet.

Schutz vor Pharming-Angriffen

Um sich vor Pharming-Angriffen zu schützen, sollten Benutzer ihre Anti-Virus-Software und Firewall regelmäßig aktualisieren und kritische Informationen nur auf verschlüsselten Websites eingeben. Es ist auch ratsam, eine Zwei-Faktor-Authentifizierung zu aktivieren, um zusätzlichen Schutz zu bieten. Wenn Benutzer eine Website besuchen, sollten sie immer die URL-Adresse überprüfen, um sicherzustellen, dass sie sich auf der richtigen Seite befinden. Wenn sie Verdacht schöpfen, sollten sie die Website sofort verlassen und den Vorfall melden.

FAQs zu Pharming

Was ist Pharming – und worin unterscheidet es sich von Phishing?

Pharming ist eine Form des Internetbetrugs, bei der Nutzer beim Aufruf einer legitimen Website-Adresse automatisch und unbemerkt auf eine gefälschte Seite umgeleitet werden – ohne dass eine betrügerische E-Mail oder ein manipulierter Link nötig ist. Der Begriff setzt sich aus „Password" und „Farming" zusammen und beschreibt das systematische „Ernten" von Zugangsdaten im großen Maßstab. Ziel ist es, sensible Informationen wie Passwörter, Bankdaten und Kreditkartennummern abzugreifen, nachdem das Opfer auf der täuschend echt gestalteten Fake-Website seine Daten eingibt.

Der entscheidende Unterschied zum Phishing liegt im Angriffsmechanismus: Beim Phishing wird das Opfer aktiv gelockt – durch eine gefälschte E-Mail mit einem manipulierten Link, auf den es klicken muss. Beim Pharming muss das Opfer nichts anklicken; es tippt die korrekte URL selbst in den Browser ein und wird trotzdem auf die Fake-Seite umgeleitet, weil der DNS-Auflösungsprozess im Hintergrund kompromittiert wurde. Das macht Pharming für Nutzer schwerer zu erkennen und potenziell gefährlicher als klassisches Phishing.

Wie funktioniert das DNS-System – und warum ist es das Ziel von Pharming-Angriffen?

Um Pharming zu verstehen, ist ein Grundverständnis des DNS-Systems (Domain Name System) notwendig – denn DNS ist das technische Fundament, das Pharming-Angriffe ausnutzen.

  • Funktion des DNS: Das DNS ist das „Telefonbuch des Internets". Es übersetzt menschenlesbare Domainnamen (z. B. www.meine-bank.de) in maschinenlesbare IP-Adressen (z. B. 93.184.216.34), die Browser benötigen, um die richtige Server-Verbindung herzustellen. Jede Internetanfrage durchläuft diesen Übersetzungsprozess.
  • DNS-Cache als Angriffspunkt: Um die Auflösung zu beschleunigen, speichern sowohl das Betriebssystem des Nutzers als auch der Router und der DNS-Resolver des Internetanbieters (ISP) Zuordnungen von Domain zu IP-Adresse temporär im Cache. Wird dieser Cache mit falschen Einträgen vergiftet (DNS-Cache-Poisoning), leitet jede Anfrage an die betroffene Domain zur falschen IP-Adresse weiter – bei jedem Nutzer, der diesen Cache verwendet.
  • DNS-Server als Angriffspunkt: Wenn ein DNS-Server selbst – also die Infrastruktur des Internetanbieters oder eines Unternehmens – kompromittiert wird, betrifft die fehlerhafte Zuordnung alle Nutzer, die diesen Server verwenden. Ein einziger erfolgreicher Angriff auf einen DNS-Server kann Tausende bis Millionen von Nutzern gleichzeitig betreffen.
  • Warum DNS so attraktiv für Angreifer ist: DNS wurde in seinen Ursprüngen (1983, RFC 882) ohne Authentifizierungsmechanismen entworfen. Anfragen und Antworten sind im klassischen DNS unverschlüsselt und unsigniert – was Manipulationen ohne kryptografische Gegenmaßnahmen ermöglicht.

Welche Angriffsvektoren nutzen Pharming-Angreifer?

Pharming-Angriffe können auf verschiedenen Wegen durchgeführt werden, die sich in ihrer technischen Komplexität und ihrer Reichweite stark unterscheiden:

  • Malware-basiertes lokales Pharming (hosts-Datei): Auf Windows- und Linux-Systemen gibt es eine lokale hosts-Datei, die Domains direkt IP-Adressen zuordnet und Vorrang vor DNS-Anfragen hat. Malware, die auf dem Rechner des Opfers installiert wird – z. B. über einen infizierten E-Mail-Anhang oder eine Drive-by-Infektion –, kann diese Datei manipulieren und gezielt einzelne Domains auf Angreifer-Server umleiten. Dieser Angriffsvektor betrifft nur das einzelne Gerät.
  • DNS-Cache-Poisoning (Resolver-Ebene): Angreifer senden gefälschte DNS-Antworten an einen DNS-Resolver, bevor die legitime Antwort eintrifft – oder nutzen Schwachstellen in der Resolver-Software aus, um falsche IP-Adressen dauerhaft im Cache zu verankern. Betroffen sind alle Nutzer, die diesen Resolver verwenden. Der Kaminsky-Angriff (2008) demonstrierte, wie weitverbreitet diese Schwachstelle war, und führte zu dringenden Sicherheits-Updates weltweit.
  • DNS-Server-Kompromittierung: Ein direkter Angriff auf den autoritativen DNS-Server einer Domain oder den rekursiven Resolver eines ISPs. Gelingt er, werden alle Nutzer des Servers für die gesamte Cache-Laufzeit (TTL, Time to Live) fehlgeleitet. Je höher die TTL eines DNS-Eintrags, desto länger bleibt eine falsche Zuordnung wirksam.
  • Router-Pharming: Heimrouter und Unternehmens-Router verwalten lokale DNS-Einstellungen für alle verbundenen Geräte. Angreifer, die sich Zugang zu einem Router verschaffen – z. B. über Standard-Passwörter oder Sicherheitslücken in der Firmware –, können den konfigurierten DNS-Server durch einen eigenen Malware-DNS-Server ersetzen und damit alle Geräte im Netzwerk gleichzeitig betreffen.
  • BGP-Hijacking als verwandter Angriff: Beim BGP-Hijacking wird nicht DNS, sondern das Border Gateway Protocol manipuliert, um IP-Adressblöcke auf andere Server umzuleiten. Technisch aufwändiger, aber mit weitreichenderer Wirkung auf ganze Netzwerksegmente.

Woran erkennt man einen Pharming-Angriff – und warum ist er so schwer zu entdecken?

Pharming ist deshalb besonders tückisch, weil die klassischen Schutzhinweise – „Prüf den Link, bevor du klickst" oder „Tippt die Adresse manuell ein" – ins Leere laufen: Das Opfer tippt die korrekte URL ein und sieht sie korrekt in der Adressleiste. Dennoch gibt es Warnsignale:

  • Fehlendes oder ungültiges HTTPS-Zertifikat: Professionelle Pharming-Angriffe setzen auf täuschend echte Fake-Seiten – diese haben jedoch häufig kein gültiges SSL/TLS-Zertifikat für die angegriffene Domain. Der Browser zeigt dann ein Warnsymbol (Schloss mit Ausrufezeichen, „Nicht sicher"-Hinweis) oder eine explizite Zertifikatswarnung. Solche Warnungen sollten niemals ignoriert werden.
  • Zertifikatsdetails prüfen: Selbst wenn HTTPS angezeigt wird, kann das Zertifikat auf eine andere Domain ausgestellt sein. Durch Klick auf das Schloss-Symbol in der Adressleiste lässt sich der Aussteller und die genaue Domain des Zertifikats einsehen. Stimmt sie nicht mit der aufgerufenen Domain überein, ist Vorsicht geboten.
  • Ungewöhnliches Seitenverhalten: Pharming-Seiten sind optisch oft täuschend echt, weisen aber gelegentlich subtile Unterschiede auf: leicht veränderte Schriftarten, fehlende Seitenelemente, broken Links oder ein abweichendes Layout. Auch eine ungewöhnlich langsame Ladezeit kann ein Hinweis sein.
  • Sicherheitssoftware-Warnungen: Aktuelle Browser (Chrome, Firefox, Edge, Safari) und Sicherheitssoftware pflegen Blocklisten bekannter Pharming- und Phishing-Domains und warnen beim Aufruf verdächtiger Adressen.
  • Warum Erkennung schwierig bleibt: Da die URL in der Adressleiste korrekt aussieht und das Opfer keinen verdächtigen Link angeklickt hat, fehlt der typische Ausgangsverdacht. Besonders gefährdet sind Nutzer, die Sicherheitswarnungen des Browsers routinemäßig wegklicken.

Wie schützen sich Nutzer, Unternehmen und Website-Betreiber vor Pharming?

Effektiver Pharming-Schutz erfordert Maßnahmen auf mehreren Ebenen – beim Endnutzer, im Netzwerk und bei den Betreibern von Websites und DNS-Infrastruktur:

  • Für Nutzer – Router-Passwort ändern: Heimrouter werden häufig mit Standard-Zugangsdaten (admin/admin, admin/password) ausgeliefert. Ein individuelles, starkes Passwort für die Router-Verwaltungsoberfläche schließt eine der häufigsten Einstiegspforten für Router-Pharming.
  • Für Nutzer – Sicherheitssoftware und Betriebssystem-Updates: Aktuelle Antivirensoftware und Firewall erkennen und blockieren Malware, die lokale hosts-Dateien oder DNS-Einstellungen manipuliert. Betriebssystem-Updates schließen Sicherheitslücken, über die solche Malware eingeschleust wird.
  • Für Nutzer – Zertifikatswarnungen ernst nehmen: Jede Zertifikatswarnung beim Aufrufen einer Banking-, Shop- oder Login-Seite sollte als ernstes Warnsignal behandelt und die Sitzung sofort beendet werden.
  • Für Nutzer – Zwei-Faktor-Authentifizierung (2FA): Auch wenn Zugangsdaten durch Pharming abgegriffen werden, verhindert 2FA den Zugriff ohne den zweiten Faktor. Phishing-resistente Methoden wie FIDO2/Passkeys sind besonders wirksam, da sie die Authentifizierung an die legitime Domain binden.
  • Für Unternehmen und ISPs – DNSSEC: DNS Security Extensions (DNSSEC) ergänzt DNS-Einträge um digitale Signaturen, die sicherstellen, dass Antworten vom autorisierten DNS-Server stammen und nicht manipuliert wurden. DNSSEC verhindert DNS-Cache-Poisoning wirksam, ist aber noch nicht flächendeckend implementiert.
  • Für Website-Betreiber – HTTPS und HSTS: Ein gültiges SSL/TLS-Zertifikat und der HSTS-Header (HTTP Strict Transport Security) stellen sicher, dass Browser ausschließlich verschlüsselte Verbindungen zur Domain akzeptieren – und Zertifikatsabweichungen als Fehler behandeln statt sie stillschweigend zu übergehen.

Welche technologischen Entwicklungen machen Pharming-Angriffe schwieriger – und welche neuen Risiken entstehen?

Die Sicherheitsinfrastruktur des Internets hat sich in den letzten Jahren deutlich weiterentwickelt – mit direkten Auswirkungen auf die Effektivität und die Verbreitung von Pharming-Angriffen:

  • DNS over HTTPS (DoH) und DNS over TLS (DoT): Diese Protokolle verschlüsseln DNS-Anfragen zwischen dem Endgerät und dem Resolver, sodass sie nicht mehr im Klartext abgefangen oder manipuliert werden können. Mozilla Firefox nutzt DoH seit 2019 standardmäßig in den USA; auch Chrome, Windows 11 und Android unterstützen DoH inzwischen. DoH/DoT reduzieren das Risiko von DNS-Manipulation auf Übertragungsebene erheblich.
  • DNSSEC-Ausbau: Die Verbreitung von DNSSEC schreitet global voran – allerdings langsam. Laut ICANN sind weltweit weniger als 30 % aller Domains mit DNSSEC gesichert. Für kritische Domains (Banken, Behörden, E-Commerce) ist DNSSEC-Implementierung heute ein Sicherheitsstandard.
  • Certificate Transparency (CT): Alle öffentlich vertrauenswürdigen SSL/TLS-Zertifikate müssen seit 2018 in öffentlichen Certificate-Transparency-Logs eingetragen sein. Das ermöglicht es Website-Betreibern, über Monitoring-Dienste (z. B. crt.sh) unberechtigte Zertifikate für ihre Domain zu erkennen und umgehend zu widerrufen – ein wichtiges Gegengewicht zu Pharming-Angriffen, die auf gefälschten Zertifikaten basieren.
  • Neue Risiken durch IoT und Smart-Home-Geräte: Die wachsende Zahl von IoT-Geräten im Heimnetzwerk – smarte Lautsprecher, IP-Kameras, Smart-TVs – nutzt häufig veraltete Firmware mit nicht gepatchten DNS-Schwachstellen und verstärkt so die Angriffsfläche für Router-Pharming. Viele dieser Geräte erhalten keine regelmäßigen Sicherheitsupdates vom Hersteller.
  • KI-gestützte Angriffserkennung: Auf Verteidigungsseite nutzen DNS-Sicherheitsdienste (z. B. Cisco Umbrella, Cloudflare Gateway) KI-Modelle zur Anomalieerkennung in DNS-Anfragen – ungewöhnliche Auflösungsmuster, plötzliche IP-Wechsel bekannter Domains oder auffällige TTL-Werte können so in Echtzeit erkannt und blockiert werden.

letzte Aktualisierung: 22. Mai 2026