Stellen Sie sich vor, Sie geben Ihre Zugangsdaten für das Online-Banking ein und jemand stiehlt sie unbemerkt. Oder Sie schicken eine E-Mail mit vertraulichen Geschäftsdaten an ein Partnerunternehmen, tatsächlich landet sie aber bei Kriminellen. Dann sind Sie möglicherweise Opfer eines sogenannten Man-in-the-Middle-Angriffs geworden (frei übersetzt: Mittelsmann-Angriff). Doch was ist das genau und wie können Sie sich davor schützen?
Bei einem Man-in-the-Middle-Angriff schalten sich Angreifer:innen unbemerkt zwischen zwei Kommunikationspartner und greifen Daten ab oder manipulieren sie.
Ziel ist das Abfangen von Datenübertragungen durch das Ausnutzen von Schwachstellen in Protokollen, Browsern oder über Schadsoftware.
Die Angriffe bleiben oft lange unentdeckt und ermöglichen den Diebstahl sensibler Informationen wie Passwörter oder vertraulicher Geschäftsdaten.
Besonders betroffen sind Online-Banking, geschäftliche Kommunikation und ungesicherte öffentliche WLANs.
Hinweise auf einen Man-in-the-Middle-Angriff können lange Ladezeiten oder der Wechsel von Webseiten im Browser von HTTPS auf HTTP sein.
Mit Schutzmaßnahmen wie Firewalls, VPNs, aktuellen Systemen und schnellem Eingreifen im Ernstfall können Sie das Risiko deutlich reduzieren.
Cyber Security für Ihr Business
Mit unseren Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.
Man-in-the-Middle-Angriffe (MITM-Attacken) zählen zu den besonders perfiden Methoden der Cyberkriminalität, denn sie bleiben oft unbemerkt. Ohne Ihr Wissen kann eine dritte Person mit kriminellen Absichten an Ihrer Kommunikation teilnehmen und die erbeuteten Daten dazu verwenden, Ihrem Unternehmen enormen Schaden zuzufügen. Bis Sie gemerkt haben, dass Ihre Kommunikation abgefangen wurde, ist es meist zu spät.
Bei der Man-in-the-Middle-Attacke schalten sich Angreifende also unbemerkt in eine digitale Kommunikation ein, um Daten mitzulesen oder zu manipulieren.
Das Prinzip: Kriminelle positionieren sich mithilfe von Schadsoftware zwischen zwei Kommunikationspartnern. Die Attacken erfolgen meist innerhalb von Netzwerkverbindungen. Sie können aber auch einzelne Rechner betreffen, wenn die Kommunikation zwischen zwei Prozessen auf einem Gerät abgefangen wird.
Das Vorgehen: Die Angreifer:innen wollen für die Opfer möglichst unsichtbar bleiben, um den gesamten Datenverkehr zu kontrollieren. Hierfür geben sie sich als legitimer Kommunikationspartner aus.
Das Ziel: Die erlangten Informationen lassen sich anschließend vielfältig missbrauchen. Datendiebstahl und -weiterverkauf, unberechtigte Zugriffe, finanzielle Erpressungen und Identitätsdiebstahl sind die häufigsten Ziele, die Kriminelle bei einem MITM-Angriff verfolgen.
Doch Sie sind dieser Form der Cyberkriminalität nicht schutzlos ausgeliefert: Mit entsprechender Software können Sie sich und Ihre Unternehmensdaten schützen.
Man-in-the-Middle-Angriffe sind auf verschiedene Arten möglich. Das Ziel besteht aber immer darin, die Datenkommunikation zwischen zwei oder mehr Systemen zu infiltrieren. Um Zugriff auf diesen Datenverkehr zu erlangen, nutzen die Angreifer:innen meist bekannte Schwachstellen der Internet-Kommunikation aus.
MITM-Angriffe erfolgen auf die folgenden Komponenten der Netzwerkkommunikation:
DHCP: Das Dynamic Host Configuration Protocol (DHCP) vergibt und verwaltet die lokalen IP-Adressen eines Netzwerks und ist leicht zu manipulieren.
ARP: Das Address Resolution Protocol (ARP) ermittelt die MAC-Adressen der Hardware in einem Netzwerk (MAC = Media-Access-Control) und sammelt sie. Hacker:innen können dort falsche Adressen einspielen.
Browser: Kriminelle machen sich Sicherheitslücken in veralteten Internet-Browsern zunutze, um diese zu manipulieren.
Malware: In einen Webbrowser eingeschleuste Schadsoftware kann alles mitlesen, was dort an Kommunikation stattfindet.
Öffentliches WLAN: Lokale WLAN-Netze, die frei zugänglich sind, bieten oft Möglichkeiten für Angriffe auf unzureichend geschützte Nutzer:innen.
Bei einem Man-in-the-Middle-Angriff stiehlt eine kriminelle Person unbemerkt die Daten einer Kommunikation zwischen einem Opfer und einer Internetressource.
Arten von Man-in-the-Middle-Angriffen
Es gibt viele unterschiedliche Arten von Man-in-the-Middle-Angriffen. Dies sind die häufigsten Methoden:
Man-in-the-Browser
Bei einem Man-in-the-Browser-Angriff schleusen Kriminelle einen Trojaner ein, der eine täuschend echte Kopie Ihres Online-Banking-Accounts erzeugt. Sie glauben, direkt mit Ihrer Bank zu kommunizieren. Tatsächlich greifen Hacker:innen im Hintergrund auf Ihr Konto zu und nutzen Ihre Zugangsdaten. Häufig gelangen solche Trojaner über Phishing-Mails auf Ihren Rechner. Öffnen Sie daher keine verdächtigen Anhänge und klicken Sie nicht auf unbekannte Links.
Sniffing
Sniffer (übersetzt: Schnüffler) sind Programme zur Analyse von Datenflüssen in Netzwerken und werden auch von Administrator:innen zur Fehleranalyse eingesetzt. Bei einem Sniffing-Angriff nutzen Hacker:innen diese Tools jedoch, um Ihren Netzwerkverkehr heimlich mitzulesen. Besonders interessant sind sie für Anmelde-, Finanz- und andere vertrauliche Informationen. Auch Sniffing-Programme landen meist durch Phishing-Betrug auf Ihrem Rechner.
ARP-Spoofing
„ARP“ steht für „Address Resolution Protocol“. In lokalen Netzwerken übersetzt es logische IP-Adressen in physische MAC-Adressen. Beim ARP Poison Routing (auch ARP Cache Poisoning) senden Kriminelle manipulierte ARP-Pakete in ein Netzwerk. Dadurch verknüpfen sie ihre eigene MAC-Adresse mit der IP-Adresse des Opfers und fangen den gesamten Datenverkehr zu dieser Adresse ab.
DNS-Spoofing
Das Domain Name System (DNS) übersetzt Webadressen in lesbare Namen und speichert diese zur schnelleren Nutzung zwischen. Beim DNS-Spoofing manipulieren Angreifende diesen Cache, sodass Nutzer:innen statt auf der echten Webseite auf einer gefälschten Seite landen.
Ein Opfer bemerkt den Schaden durch einen Man-in-the-Middle-Angriff meist erst dann, wenn es zu spät ist.
Rogue Access Point / „Evil Twin”
Kriminelle erstellen täuschend echt aussehende WLAN-Zugangspunkte parallel zu den offiziellen Zugängen, sogenannte Evil Twins. Mobile Geräte verbinden sich oft automatisch mit dem stärksten Signal – und damit unter Umständen mit dem gefälschten Netzwerk. So können Angreifende Daten mitlesen oder manipulieren. Ein solcher Rogue Access Point kann auch unabhängig von bestehenden Netzwerken betrieben werden, solange sich die Angreifenden in der Nähe befinden.
SSL-Manipulation
Beim sogenannten SSL-Stripping zwingen Kriminelle eine Internet-Verbindung von HTTPS auf das unsichere HTTP. Ein solcher Wechsel kann ein Hinweis auf einen Man-in-the-Middle-HTTP-Angriff sein. Während die Angreifer:innen weiterhin verschlüsselt mit dem Server kommunizieren, werden die Daten der Opfer im Klartext übertragen. Darüber hinaus nutzen Kriminelle bekannte Schwachstellen in SSL/TLS-Protokollen für das SSL-Stripping.
Eine andere Variante von SSL-Manipulation ist der Browser Exploit Against SSL/TLS (kurz: BEAST). Im SSL-Protokoll werden hin und wieder Sicherheitslücken entdeckt, die Angreifende dann mithilfe einer MITM-Attacke ausnutzen. Dadurch fangen Hacker:innen die Kommunikation zwischen Browser und Webserver ab. Andere Methoden erstellen gefälschte SSL-Sicherheitszertifikate mittels des sogenannten SSL-Hijackings.
HTTPS-Spoofing
Weitere Methoden zielen darauf ab, eigentlich sichere HTTPS-Verbindungen zu kompromittieren. Beim HTTPS-Spoofing etwa schleusen Angreifer:innen ein manipuliertes Zertifikat ein, dem der Browser vertraut. Dadurch können sie verschlüsselte Daten entschlüsseln und vollständig mitlesen.
Cyberangriffe – so können Sie sich wehren
Cyberangriffe nehmen zu und, die potenziellen Schäden gerade für den Mittelstand sind gewaltig. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware und mehr
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Auf welche Daten haben es Kriminelle bei Man-in-the-Middle-Attacken abgesehen? Kurz gesagt: auf nahezu alle, aus denen sie einen Nutzen ziehen können. Entscheidend ist dabei, wer hinter dem Angriff steckt:
Einzeltäter:innen mit der Absicht eines schnellen Datendiebstahls
Gruppen, die Unternehmen im großen Stil angreifen wollen
Staatlich beauftragte Akteure, die Firmen und Organisationen in Drittstaaten Schaden zufügen wollen
Typische Ziele für MITM-Angriffe sind:
Bankdaten: Angreifer:innen lesen Aktivitäten beim Online-Banking mit. Dabei können sie beispielsweise die Kontonummer eines Überweisungsziels ändern und den Betrag anpassen. Sie können auch in die Infrastruktur des Bankings eingreifen, indem sie beispielsweise manipulierte Updates für Online-Banking-Apps oder die Zwei-Faktor-Authentifizierung einspielen.
Geschäftsdaten: Unterlagen zu Projekten, Produkten, Zukunftsplänen oder der Organisation Ihres Unternehmens sind ein lohnendes Ziel für Industriespionage per MITM. Mit diesem Wissen können beispielsweise Mitbewerber einen Marktvorteil erlangen und Ihrem Unternehmen großen Schaden zufügen. Auch der Handel im Darknet oder eine Erpressung sind möglich.
Kommunikation: Ein lohnendes Ziel für Angreifer:innen ist die interne und externe Kommunikation eines Unternehmen oder anderer Organisationen. Erbeutete E-Mails, Chatnachrichten sowie mitgeschnittene Audio- und Videogespräche können Wissen über Geschäftsgeheimnisse und -strategien sowie kompromittierende Aussagen enthalten. Diese verkaufen Kriminelle beispielsweise im Darknet oder erpressen Opfer mit dem Geheimwissen. In anderen Fällen erhoffen sich staatliche Akteure einen Vorteil in Bezug auf die künftige taktische und strategische Ausrichtung gegenüber einem anderen Staat. Etwa, wenn sie an Informationen zu Sicherheitstechnik und kritischer Infrastruktur gelangen.
So erkennen Sie Man-in-the-Middle-Angriffe
Man-in-the-Middle-Angriffe sind in der Regel äußerst schwer zu erkennen. Es gibt nur wenige Hinweise im Verhalten Ihres Rechners, die auf einen MITM-Angriff hindeuten können:
Ungewöhnlich lange Ladezeiten
Abgefangener oder umgeleiteter Datenverkehr
Wechsel von HTTPS zu HTTP
Man-in-the-Middle-HTTP-Angriff
Warnungen zu Zertifikaten
Manipulierte SSL/TLS-Zertifikate
Unerklärliche Verbindungsabbrüche
Instabile oder manipulierte Netzwerkverbindung
Auffälliges App- oder Browser-Verhalten
Schadsoftware oder MITM-Manipulation
Auffälligkeit
Mögliche Ursache
Sollten Ihnen diese Dinge auffallen, könnte ein zweiter Blick hilfreich sein. Dafür gibt es kostenlose Tools, die beispielsweise einen MITM-Angriff durch ARP-Spoofing erkennen können, etwa das Programm Wireshark. Eine andere Freeware ist SSL Eye, die die SSL-Anmeldungen von Webseiten überprüft und feststellen kann, ob sie manipuliert wurden.
Abgesehen davon können Sie das Risiko eines MITM-Angriffs vor allem durch vorsichtige Internet-Nutzung sowie durch einen wirksamen Geräteschutz minimieren – beispielsweise mittels Microsoft Defender for Business oder Lookout für mobile Geräte.
Lookout for Small Business
Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.
Integrieren Sie Lookout in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-out in Ihrer mobilen Flotte.
Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.
Präventive Sicherheitsmaßnahmensind der beste Schutz gegen Man-in-the-Middle-Angriffe. Mit diesen Maßnahmen reduzieren Sie das Risiko für einen MITM-Angriff deutlich:
Virtual Private Network:Mit einem Virtual Private Network (VPN) sorgen Sie innerhalb eines lokalen Netzwerks für eine sichere Umgebung. Auf Basis einer in der Regel mehrstufigen Verschlüsselung kommunizieren Sie in einem sicheren Subnetz. Angreifer:innen können den Datenfluss innerhalb eines VPNs nicht entschlüsseln.
Aktuelle WPA-Verschlüsselung:Verwenden Sie beim Betrieb von WLAN-Routern stets aktuelle Verschlüsselungsmechanismen. Besser als die längst veralteten Standards WEP und WPA ist der Algorithmus Wi-Fi Protected Access 2 (WPA2). Noch besser ist das aktuelle Protokoll WPA3, das es seit 2018 gibt.
Hoher Router-Schutz: Zur WLAN-Sicherheit in Ihrem Unternehmen gehören nicht nur zeitgemäße Verschlüsselungsprotokolle, sondern auch möglichst sichere Anmeldeinformationen. Das umfasst die regelmäßige Aktualisierung des WLAN-Passworts und der Router-Zugangsdaten. Außerdem sollten Sie auf dem Router stets die aktuelle Firmware installieren. Die meisten Router updaten ihre Firmware glücklicherweise automatisch, sodass hier kaum händische Eingriffe notwendig sind.
Öffentliches WLAN meiden:Mit öffentlich frei zugänglichen WLAN-Netzen (z.B. in Hotels, Bahnhöfen oder Flughäfen) sollten Sie sich grundsätzlich nicht verbinden. Wenn es sich nicht vermeiden lässt, nutzen Sie ein VPN für den Zugang zu Unternehmensdaten.
Force HTTPS:Wenn Sie Websites betreiben, sollten Sie die Kommunikation zwischen der Seite und den Benutzer:innen zwingend auf HTTPS-Basis ablaufen lassen. Der öffentlich-private Schlüsseltausch gewährleistet eine sichere Kommunikation und verhindert die Umwandlung von HTTPS in HTTP durch eine MITM-Attacke.
Authentifizierung über öffentliche Schlüsselpaare: Bei MITM-Angriffen geben sich die Angreifenden häufig als authentischer Kommunikationspartner aus. Nur eine Authentifizierung der beiden beteiligten Schlüsselpaare, beispielsweise mittels eines RSA-Kryptosystems, kann bestätigen, dass dies tatsächlich der Fall ist.
Wirksame Sicherheitseinstellungen:Sicherheitsvorkehrungen in Ihrem Firmennetzwerk und auf den Geräten, die in Ihrem Unternehmen zum Einsatz kommen, erschweren Angreifer:innen den Zugriff enorm. Dies umfasst beispielsweise eine leistungsfähige Firewall, stets aktuelle Antivirenprogramme, strenge Datenschutzeinstellungen in Ihrem Webbrowser sowie regelmäßige Sicherheitsüberprüfungen von Webseiten.
Erhöhen Sie die Sicherheit Ihrer Mobilgeräte
Ein mögliches Einfalltor für Man-in-the-Middle-Attacken sind auch mobile Endgeräte. Doch dieses Tor können Sie schließen, beispielsweise mit der Lookout-App. In Kombination mit Vodafone Managed Endpoint Security überwachen wir für Sie die Cybersicherheit Ihres Unternehmens rund um die Uhr.
Wenn Sie feststellen, dass Sie Opfer einer Man-in-the-Middle-Attacke geworden sind, sollten Sie umgehend handeln – ähnlich wie bei anderen Cyberangriffen:
Trennen Sie betroffene Geräte sofort vom Internet.
Melden Sie sich manuell aus allen Anwendungen ab, etwa aus Collaboration Tools wie Slack und Microsoft Teams sowie aus Cloud-Diensten.
Informieren Sie Ihre IT-Administration, dass Ihr Datenverkehr möglicherweise mitgelesen wurde.
Leiten Sie interne Sicherheitsmaßnahmen ein: Dazu zählen das Ändern kritischer Passwörter, Malware-Scans im Firmennetzwerk und bei Bedarf die Einbindung externer Expert:innen für Cybersecurity, um Umfang und Folgen des Angriffs zu analysieren.
Informieren Sie auch Mitarbeitende und weitere Netzwerknutzer:innen transparent über Maßnahmen, Hintergründe und nächste Schritte.
Binden Sie frühzeitig Ihren Rechtsbeistand ein. Da es sich um eine meldepflichtige Datenpanne handeln kann, müssen Sie ggf. betroffene Kund:innen sowie zuständige Behörden informieren. Lesen Sie dazu auch unseren separaten Artikel zum korrekten Umgang mit Datenpannen.
Cyber Security für Ihr Business
Mit unseren Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.
Fazit: Unternehmen sollten Man-in-the-Middle-Angriffe konsequent verhindern
Man-in-the-Middle-Angriffe gehören zu den tückischsten Cyberbedrohungen für Unternehmen, da sie oft lange unentdeckt bleiben. Währenddessen können sensible Daten in die falschen Hände gelangen. Umso wichtiger ist es, dass Sie Ihre Netzwerke, Endgeräte und mobilen Zugänge ganzheitlich absichern. Prävention, kontinuierliche Überwachung und schnelles Reagieren entscheiden darüber, ob ein Angriff folgenlos bleibt oder zum Sicherheitsvorfall wird.
Genau hier setzen moderne Security-Lösungen an: Microsoft Defender for Business schützt Unternehmensgeräte und Netzwerke vor bekannten Angriffsmustern. Lookout ergänzt diesen Schutz gezielt für mobile Endgeräte und sichert den Zugriff auf Unternehmensdaten auch unterwegs ab. Zusammengenommen schaffen beide Lösungen Transparenz, Kontrolle und ein deutlich höheres Sicherheitsniveau. So machen Sie Cyberkriminellen das Leben schwer, bevor diese überhaupt Zugriff auf Ihre Daten und/oder Ihre Kommunikation erhalten.
Man-in-the-Middle-Angriffe: Häufig gestellte Fragen (FAQ)
„Man in the Middle“ (MITM) bezeichnet eine Angriffsmethode, bei der sich eine dritte Partei unbemerkt zwischen zwei Kommunikationsstellen schaltet. Ihr Ziel ist es, Daten abzufangen, zu manipulieren oder sich als legitime:r Gesprächspartner:in auszugeben, um vertrauliche Informationen zu stehlen oder zu missbrauchen. Meist finden die Angriffe innerhalb einer Netzwerkverbindung statt und gehen entweder von einer kriminellen Person oder einer gezielt eingesetzten Schadsoftware aus. Typische Ziele sind das Erbeuten von Bank- und Geschäftsdaten sowie das Mithören von interner und externer Unternehmenskommunikation.
Ein Man-in-the-Middle-Angriff (MITM-Angriff) kann dem Abhören dienen, etwa indem die Datenpakete eines VoIP-Telefonats abgefangen werden. Daneben kann ein MITM-Angriff aber auch andere Daten zwischen Sender und Empfänger abfangen, etwa Accountdaten von einer Webseite. Unter „Abhören“ versteht man hingegen den gezielten Angriff auf ein Audiogespräch. Das ist auch mit anderen Methoden möglich, etwa durch Spyware oder gezielte Angriffe auf Funkverbindungen.
Sie können sich mit einigen generellen Verhaltensweisen gut gegen einen Man-in-the-Middle-Angriff wehren. Beachten Sie folgende Hinweise:
Stellen Sie keine Verbindung zu offenen WLANs her.
Verwenden Sie ein VPN für eine sichere Netzwerkverbindung.
Halten Sie Antivirensoftware auf allen Geräten aktuell.
Prüfen Sie Webseiten auf HTTPS und nutzen Sie nur verschlüsselte Webseiten.
Aktivieren Sie die Browser-Sicherheit, etwa den Tracking-Schutz.
Meiden Sie generell verdächtige Links und Anhänge, besonders in E-Mails unbekannter Absender:innen.
Diese Umsicht bewahrt Sie auch vor anderen Cyberangriffen wie Phishing.
Trennen Sie beim Verdacht auf einen Man-in-the-Middle-Angriff das Gerät sofort vom Internet, schalten Sie es aus und melden Sie den Vorfall Ihrer IT-Abteilung. Ändern Sie kritische Passwörter über ein anderes Gerät und lassen Sie das betroffene System auf Malware prüfen. Informieren Sie zudem mögliche weitere Betroffene. Falls kritische Daten verloren gegangen sein könnten, ziehen Sie externe Expert:innen hinzu und leiten Sie ggf. rechtliche Schritte ein.
Cyberkriminelle greifen Unternehmen längst nicht mehr ausschließlich über E-Mails oder Schadsoftware an. Häufig wählen sie einen direkteren Weg und greifen zum Telefon. Lesen Sie, wie Phishing-Anrufe (Vishing) funktionieren, welche Maschen Kriminelle nutzen und wie Sie verdächtige Anrufe erkennen.
Mit Managed Security Services (MSS) kaufen Firmen externe Cybersicherheit ein und sichern sich so die Fachkompetenz ausgewiesener Sicherheitsexpert:innen. Welche Vorteile MSS besonders für kleine und mittlere Unternehmen bietet und welche Alternativmodelle es gibt, erfahren Sie in diesem Beitrag.
Ransomware, Cyberangriffe oder menschliche Fehler: Lesen Sie hier, warum eine externe Office 365-Datensicherung für Unternehmen unverzichtbar ist, um geschäftskritische Daten vor Verlust zu schützen, gesetzliche Compliance-Vorgaben einzuhalten und Ausfallzeiten im Ernstfall zu minimieren.
Ein Virtual Private Network (VPN) sichert Datenverkehr wirksam ab. Es nutzt moderne Verschlüsselungstechnologien, um eine geschützte Direktverbindung zwischen einem Gerät und einer vertrauenswürdigen Gegenstelle herzustellen. Wie Unternehmen VPN gezielt einsetzen können, erfahren Sie hier.
Zwei-Faktor-Authentifizierung (2FA) schützt Benutzerkonten und Passwörter durch eine doppelte Absicherung über zwei voneinander unabhängige Apps auf jeweils unterschiedlichen Endgeräte. Wie dies genau funktioniert und welche Arten von 2FA es gibt, erfahren Sie in diesem Beitrag.
Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.