Ein Angreifer leitet Internet-Traffic, der für die IP-Adresse deiner Domain bestimmt ist, auf seinen eigenen Server um, indem er false Eigentumsansprüche auf dein IP-Präfix gegenüber dem globalen BGP-Routing-System erhebt. Deine Domain löst sich immer noch zur korrekten IP via DNS auf, aber Pakete kommen nie dort an – sie werden stattdessen woanders weitergeleitet.
Das unterscheidet sich grundlegend vom DNS-Hijacking. Während DNS-Poisoning deinen Domain-Namen zu einer gefälschten IP umleitet, fängt BGP-Hijacking Traffic ab, der zur legitimen IP unterwegs ist. Der Angreifer kündet eine spezifischere BGP-Route an (z.B. 203.0.113.0/25 statt 203.0.113.0/24) und Border-Gateway-Router bevorzugen das spezifischere Präfix, das deinen Traffic zu ihrer Infrastruktur umleitet.
Warum es wichtig ist: BGP-Hijacks sind selten, aber katastrophal. Sie umgehen DNS-Sicherheit (DNSSEC hilft nicht), TLS-Zertifikate (wenn der Angreifer die Verbindung MITM-en kann) und die meisten üblichen Abwehrmaßnahmen. Bemerkenswerte Vorfälle sind der Indosat-Hijack von 2014, die Verizon/AWS-Routen von 2017 und der Facebook/Cloudflare-Ausfall von 2021.
Abwehr erfordert RPKI-Einführung (Resource Public Key Infrastructure) bei deinem ISP und Upstream-Providern – im Grunde kryptografischer Beweis von IP-Eigentum. Die meisten kleineren Betreiber haben diesen Schutz nicht. Wenn du kritische Infrastruktur betreibst, fordere RPKI-Validierung von deinem Hosting-Provider.