Stellen Sie sich vor, Sie geben Ihre Zugangsdaten für das Online-Banking ein und jemand stiehlt sie. Oder Sie wollen eine E-Mail mit vertraulichen Geschäftsdaten an einen Partner schicken, aber sie landet bei Kriminellen. Dann sind Sie möglicherweise Opfer eines so genannten „Man-in-the-Middle-Angriffs“ (frei übersetzt: Mittelsmann-Angriff) geworden. Doch was ist das genau?
Allgemein bezeichnet ein Man-in-the-Middle-Angriff eine kriminelle Attacke auf einen Kommunikationsvorgang im Internet. Angreifer:innen haben das Ziel, Kommunikation abzufangen und Daten zu erbeuten, wie zum Beispiel Passwörter. Dazu nutzen sie Schwachstellen zwischen dem System des Opfers und einer Internetressource. Attacken von einem „Man in the Middle“ (MITM) bleiben oft unbemerkt: Ohne Ihr Wissen nimmt eine dritte Person mit kriminellen Absichten an der Kommunikation teil und verwendet die erbeuteten Daten dazu, um Ihnen und/oder Ihrem Unternehmen Schaden zuzufügen.
Wie ein Man-in-the-Middle-Angriff abläuft und wie Sie sich davor schützen können, erfahren Sie in diesem Artikel.
Im Prinzip ist eine Man-in-the-Middle-Attacke einfach erklärt: Bei einem MITM-Angriff schalten sich Angreifer:innen zwischen zwei Instanzen einer digitalen Kommunikation. Die Attacke kann von einer hackenden Person oder von einer Schadsoftware ausgehen. Die häufigsten Angriffe finden innerhalb einer Netzwerkverbindung statt. Allerdings können Kriminelle auch einzelne Rechner angreifen: In diesem Fall findet die MITM-Attacke zwischen einzelnen Prozessen auf einem Computer statt.
Ein MITM-Angriff soll für das Opfer unentdeckt bleiben und kann auf unterschiedliche Weise erfolgen. Gewöhnlich greifen Kriminelle die komplette Kommunikation zwischen dem Opfer und der Netzressource ab, um sie zu lesen oder zu manipulieren.
Eine andere Vorgehensweise besteht darin, dass die kriminelle Person dem Opfer oder der Ressource vorgaukelt, der oder die eigentliche Kommunikationspartner:in zu sein. Damit gelangt der „Man in the Middle” anstelle der eigentlich adressierten Person an geschützte Informationen.
Die Möglichkeiten für den Missbrauch der so erlangten Daten sind vielfältig: Sie reichen vom Diebstahl geistigen Eigentums über den Zugang zu geschützten Unternehmensbereichen und der Abwicklung illegaler finanzieller Transaktionen bis hin zur Erpressung oder dem Identitätsdiebstahl der Opfer.
Bei einem Man-in-the-Middle-Angriff stiehlt eine kriminelle Person unbemerkt die Daten einer Kommunikation zwischen einem Opfer und einer Internetressource.
So läuft ein Man-in-the-Middle-Angriff ab
Angriffe mittels der MITM-Methode sind auf verschiedene Arten möglich. Unabhängig von der Art des Angriffs ist das Ziel, die Datenkommunikation zwischen zwei oder mehr Systemen zu infiltrieren. Um Zugriff auf diesen Datenverkehr zu erlangen, nutzen die Techniken meist bekannte Schwachstellen der Internetkommunikation aus.
MITM-Angriffe erfolgen auf die folgenden Komponenten der Netzwerkkommunikation:
DHCP: Das „Dynamic Host Configuration Protocol” vergibt und verwaltet die lokalen IP-Adressen eines Netzwerks und ist leicht zu manipulieren.
ARP: Das „Address Resolution Protocol” ermittelt die MAC-Adressen der Hardware in einem Netzwerk (MAC = Media-Access-Control) und sammelt sie. Hacker:innen können dort falsche Adressen einspielen.
Browser: Hacker:innen machen sich Sicherheitslücken in veralteten Internetbrowsern zunutze, um diese zu manipulieren.
Malware: In einen Webbrowser eingeschleuste Schadsoftware kann alles mitlesen, was dort an Kommunikation stattfindet.
Öffentliches WLAN: Drahtlose lokale Netzwerke („Wireless Local Area Network”), die frei zugänglich sind, bieten häufig Möglichkeiten zum Angriff auf unzureichend geschützte Nutzer:innen.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Man-in-the-Middle: Diese Angriffsarten sollten Sie kennen
Aufgrund der unterschiedlichen Angriffsarten können Sie einen Man-in-the-Middle-Angriff auf Ihr System nur schwer erkennen.
Eine besonders perfide Vorgehensweise ist der so genannte „Man-in-the-Browser-Angriff“: Dabei erstellen Kriminelle mittels eines Trojaners eine exakte Kopie Ihres Online-Banking-Accounts und gaukeln Ihnen vor, dass Sie gerade Ihr Konto verwalten. Tatsächlich sehen Sie aber eine Fälschung und nicht Sie kommunizieren mit ihrer Bank, sondern die Kriminellen.
Wenn Sie bemerken, dass Dritte Ihnen auf diese Weise Geld entwendet haben, ist es meistens längst zu spät. Das Trojaner-Virus kommt oft durch eine Phishing-Mail auf Ihren Rechner. Deshalb sollten Sie Mails mit zweifelhaftem Inhalt nicht öffnen und niemals auf unbekannte Links klicken oder angehängte Dateien öffnen, wenn sie die Absende-Adresse nicht kennen.
Doch das ist längst nicht die einzige Methode, wie Kriminelle sich Zugang zu Ihren Daten verschaffen können. Weitere Arten von Man-in-the-Middle-Angriffen schildern wir Ihnen im Folgenden.
Sniffing
Sniffer (übersetzt: Schnüffler) sind Programme zur Überwachung von Datenflüssen in Netzwerken. Sie müssen nicht zwangsläufig schädlich sein: Häufig verwenden Netzwerkadministrator:innen diese Tools, um einen konstanten Datenfluss in einem Netzwerk zu gewährleisten. Damit spüren sie zum Beispiel Bandbreitenfresser und fehlerhafte Anwendungen auf, die das Netzwerk verlangsamen. Alternative Bezeichnungen sind etwa „Netzwerksonden“, „Wlan-Sniffer“, „Ethernet-Sniffer“ oder „Packet-Analyzer“.
Bei einem Sniffing-Angriff hingegen setzen Hacker:innen diese Programme dafür ein, um Ihren Netzwerkverkehr heimlich zu untersuchen. Die Sniffer überwachen und analysieren die von Ihrem Rechner ausgehenden Datenpakete. Sie geben Cyberkriminellen mittels ausgeklügelter Filterfunktionen Auskunft darüber, wenn bestimmte Daten interessant für sie sind. Darunter fallen vor allem Anmeldedaten, Finanzdaten und andere vertrauliche (Geschäfts-)Informationen.
Auch Sniffing-Programme landen meist durch Phishing-Betrug auf Ihrem Rechner.
ARP-Spoofing
Diese MITM-Angriffe sind auch unter den Bezeichnungen „ARP-Cache-Poisoning“ und „ARP-Poison-Routing“ bekannt. Dabei senden Kriminelle ein inkorrektes ARP-Paket über ein Netzwerk und verknüpfen ihre eigene MAC-Adresse mit der IP-Adresse des Opfers. Dadurch empfangen sie alle Daten, die eigentlich für das Opfer bestimmt sind.
DNS-Spoofing
Das „Domain Name System” (DNS) dient der Übersetzung von komplizierten Internetadressen in einprägsame, lesbare Bezeichnungen. Um beim Abruf Zeit zu sparen, speichern Server diese „übersetzten“ Titel in einem Cache. Beim DNS-Spoofing greifen Hacker auf diesen Cache zu und verändern die Übersetzungen. Anstatt auf die eigentliche Webseite zu gelangen, landen Sie auf einer gefälschten Seite.
Rogue Access Point
Die meisten mobilen Geräte sind mit WLAN-Modulen ausgestattet, die sich an entsprechenden Zugangspunkten (Access Points) mit dem Internet verbinden. Häufig versuchen sie sich automatisch mit dem Zugang zu verbinden, von dem sie das stärkste Signal empfangen.
Ein MITM-Angriff gaukelt Ihnen einen falschen Zugangspunkt vor und lädt Ihr Gerät dazu ein, dessen Domäne beizutreten. Ab diesem Zeitpunkt kann der gesamte Netzwerkverkehr des Opfers überwacht und manipuliert werden. Die Rogue Access Points können unabhängig von tatsächlich bestehenden Netzwerken bereitgestellt werden: Angreifende müssen lediglich physisch in der Nähe der Opfer sein, um ihnen über ein eigenes Gerät einen seriösen Zugangspunkt vorzutäuschen.
Sonstige MITM-Angriffsarten
MITM-Angriffe fangen zunächst vor allem Ihre Daten ab. Für die Entschlüsselung zielen die Attacken hingegen vor allem auf vermeintlich sichere Internetstrukturen ab. Beim HTTPS-Spoofing schleusen Hacker:innen ein gefälschtes Sicherheitszertifikat ein, das Ihr Browser anerkennt und ihm deshalb seinen Verschlüsselungscode zur Verfügung stellt. Dadurch können Kriminelle nun sämtliche Daten entschlüsseln, die Ihr Browser empfängt und sendet.
Andere Angriffe haben es auf SSL-Verschlüsselungen abgesehen: Die Abkürzung SSL-BEAST bedeutet „Browser Exploit Against SSL/TLS“. Im bekannten Protokoll „Secure Sockets Layer“ (SSL) werden hin und wieder Sicherheitslücken entdeckt, die Angreifende dann mithilfe einer MITM-Attacke anzapfen. Dadurch fangen Hacker:innen die Kommunikation zwischen Browser und Webserver ab. Andere Methoden erstellen hingegen gefälschte SSL-Sicherheitszertifikate (SSL-Hijacking) oder stufen eine sichere HTTPS-Seite auf eine ungeschützte HTTP-Seite herab, ohne dass Sie dies bemerken (SSL-Stripping).
Ein Opfer bemerkt den Schaden durch einen Man-in-the-Middle-Angriff meist erst dann, wenn es zu spät ist.
So erkennen Sie einen MITM-Angriff
Man-in-the-Middle-Angriffe sind in der Regel äußerst schwer zu erkennen. Generell schützt vor allem eine gute Vorbeugung gegen diese Art der Cyberkriminalität. Es gibt lediglich zwei Hinweise im Verhalten Ihres Rechners, die auf einen MITM-Angriff hindeuten können:
Längere Ladezeiten für Webseiten, die unvermittelt auftreten.
HTTPS-Adressen (verschlüsselt), die auf HTTP (unverschlüsselt) wechseln.
Sollten Ihnen diese Dinge beim Verhalten Ihres Browsers auffallen, könnte ein zweiter Blick hilfreich sein. Dazu existieren entsprechende kostenlose Tools, die zum Beispiel einen MITM-Angriff durch ARP-Spoofing erkennen können, etwa das Programm Wireshark. Eine andere Freeware ist SSL Eye, die die SSL-Anmeldungen von Webseiten überprüft und feststellen kann, ob sie manipuliert wurden.
Abgesehen davon können Sie vor allem durch Sicherheitsmaßnahmen und vorsichtige Internetnutzung das Risiko eines MITM-Angriffs auf Sie minimieren.
Machen Sie Angreifern das Leben schwer
Als Opfer einer Man-in-the-Middle-Attacke bemerken Sie den Datenverlust oft erst, wenn es zu spät ist. Zum Beispiel, wenn Kriminelle bereits Geldbeträge von Ihrem Konto entwendet haben oder Ihre Firma mit vertraulichen Informationen erpressen. Präventive Sicherheitsmaßnahmen gegen diese Art von Angriffen sind daher grundsätzlich der beste Schutz für die Rechner und Daten Ihres Unternehmens.
Mit diesen Maßnahmen reduzieren Sie das Risiko für einen MITM-Angriff deutlich:
Virtual Private Network: Mittels eines „Virtual Private Networks” (VPN) sorgen Sie innerhalb eines lokalen Netzwerks für eine sichere Umgebung. Auf Basis einer in der Regel mehrstufigen Verschlüsselung kommunizieren Sie mittels eines sicheren Subnetzes. Angreifende können den Datenfluss innerhalb eines VPNs nicht entziffern.
WPA-Verschlüsselung: Verwenden Sie beim Betrieb eigener WLAN-Router stets aktuelle Verschlüsselungsmechanismen. Besser als der veraltete Standard WEP sind die aktuellen Algorithmen „Wi-Fi Protected Access 2“ (WPA2) oder, falls verfügbar, das noch modernere Protokoll WPA3.
Hoher Router-Schutz: Zur WLAN-Sicherheit in Ihrem Unternehmen gehören nicht nur zeitgemäße Verschlüsselungsprotokolle, sondern auch möglichst sichere Anmeldeinformationen. Dazu zählen die regelmäßige Aktualisierung des WLAN-Passworts und der Router-Zugangsdaten. Außerdem sollten Sie auf dem Router stets die aktuelle Firmware installieren. Die meisten Router updaten ihre Firmware jedoch glücklicherweise automatisch, sodass hier kaum händische Eingriffe notwendig sind.
Öffentliches WLAN meiden: Mit öffentlich zugänglichen WLAN-Zugangspunkten (zum Beispiel in Hotels, Bahnhöfen oder Flughäfen) sollten Sie sich grundsätzlich nicht verbinden. Wenn es sich nicht vermeiden lässt, nutzen Sie ein VPN für den Zugang zu Unternehmensdaten.
Force HTTPS: Betreiben Sie Websites, sollten Sie die Kommunikation zwischen der Seite und den Benutzer:innen zwingend auf HTTPS-Basis ablaufen lassen. Der öffentlich-private Schlüsseltausch gewährleistet eine sichere Kommunikation und verhindert die Umwandlung von HTTPS in HTTP durch eine MITM-Attacke.
Authentifizierung über öffentliche Schlüsselpaare: Bei MITM-Angriffen geben sich die Angreifenden häufig als authentische Kommunikationspartner:in aus. Nur eine Authentifizierung der beiden beteiligten Schlüsselpaare, beispielsweise mittels eines RSA-Kryptosystems, sorgt dafür, dass dies tatsächlich der Fall ist.
Hohe Sicherheitseinstellungen: Strenge Sicherheitsvorkehrungen auf den in Ihrem Unternehmen benutzten Geräten erschweren Angreifern den Zugriff enorm. Dies umfasst beispielsweise eine leistungsfähige Firewall, stets aktuelle Antivirensoftware, strenge Datenschutzeinstellungen in Ihrem Webbrowser sowie regelmäßige Sicherheitsüberprüfungen von Websites.
Lookout: Die Sicherheitslösung für mobile Endgeräte
Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.
Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.
Checkliste: So verhindern Sie Man-in-the-Middle-Attacken
Sie können die Gefahr für Man-in-the-Middle-Attacken auf die Rechner und Mobilgeräte Ihres Unternehmens signifikant verringern, wenn Sie die folgenden Sicherheitsmaßnahmen beachten:
Stellen Sie keine Direktverbindungen zu öffentlichen WLANs (Hotel, Flughafen usw.) her.
IT-Sicherheit im Überblick: Definition, Bereiche, Ziele
In einer fortschreitend vernetzten Welt sind Ihre geschäftskritischen IT-Systeme und Ihre wertvollen Daten permanent Cyber-Bedrohungen ausgesetzt. Daher ist eine solide IT-Sicherheitslösung eine entscheidende Investition für den Schutz Ihres Unternehmens. Wir geben einen Überblick über die verschiedenen Bereiche, in denen IT-Sicherheit in Ihrem Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen schützen kann.
Die fortschreitende Digitalisierung bringt zwar viele Vorteile, stellt Unternehmen aber auch vor neue Herausforderungen im Bereich IT-Sicherheit. Der Schutz sensibler Daten und Systeme vor Cyber-Angriffen ist zu einer der wichtigsten Aufgaben geworden. Eine solide IT-Sicherheitsstrategie ist der Schlüssel, um Datenverluste, Ausfallzeiten und finanzielle Schäden zu vermeiden. Erfahren Sie, wie Sie Ihre Unternehmensdaten und Systeme effektiv vor den ständig wachsenden Cyber-Bedrohungen schützen können.
Der Trick stammt vom berühmten „trojanischen Pferd“ aus der griechischen Mythologie und ist längst zum geflügelten Wort geworden: Ein Trojaner schleicht sich meist unter dem Deckmantel einer nützlichen Anwendung in ein geschlossenes IT-System ein und greift es von innen heraus an. Für Unternehmen stellen Trojaner eine enorme Gefahr dar: Vom Diebstahl über die Systemübernahme bis hin zur Zerstörung kompletter Datenbestände ist dabei erheblicher Schaden möglich.
Anwender:innen bekommen meist nichts von einem Trojaner-Angriff mit – bis es zu spät ist. Selbst wenn Sie dann den Trojaner nach der Entdeckung vom Rechner löschen, können die durch ihn installierten Schadprogramme oft weiterhin unbemerkt ihren Aufgaben nachgehen.
Doch im Gegensatz zur Bevölkerung der antiken Stadt Troja sind Sie dem Angreifer nicht schutzlos ausgeliefert: In diesem Artikel erfahren Sie, welche Arten von Trojanern es gibt, wie diese vorgehen und wie Sie Ihr Unternehmen gegen die Schädlinge schützen können.
Ist Ihre IT-Infrastruktur sicher? Jetzt den Schnell-Check machen!
Der Branchenverband Bitkom schlägt Alarm: Drei von vier deutschen Firmen wurden bereits Opfer von Hacker-Attacken. Besonders perfide: Zwischen dem Eindringen in Ihr System und der eigentlichen Attacke können Monate liegen. Ist Ihr Unternehmen gefährdet? Hier erfahren Sie es.
Höchste Zeit, dass Cyber-Sicherheit in Ihrer Firma Chefsache wird! Gerade kleine und mittlere Betriebe sind im Visier von Cyberkriminellen. Erpressersoftware und Datendiebstahl verursachen Milliardenschäden.
Haben Sie bereits gefährliche Eindringlinge in Ihrer IT, ohne es zu wissen? Machen Sie hier den von Security-Profis entwickelten 5-Punkte-Schnell-Check von Vodafone Business!
Ende-zu-Ende-Verschlüsselung: Definition, Grundlagen und Einsatzmöglichkeiten erklärt
Erfahren Sie hier, wie Ende-zu-Ende-Verschlüsselung Sie dabei unterstützen kann, die Sicherheit Ihrer Kommunikation zu stärken und sensible Daten vor unbefugtem Zugriff zu schützen.
Der Schutz sensibler Daten ist für Unternehmen von großer Bedeutung. Ende-zu-Ende-Verschlüsselung (E2E) hat sich dabei als wichtiges Werkzeug erwiesen: Sie kann die Vertraulichkeit der Kommunikation gewährleisten und sensible Informationen schützen. Hier erfahren Sie alles über die Grundlagen, Anwendungen und Sicherheitsaspekte von E2E-Verschlüsselung, den Unterschied zu P2P sowie bewährte Methoden für eine erfolgreiche Implementierung in Ihrem Unternehmen.
Social Engineering: Angriffe auf die Schwachstelle Mensch
Social Engineering zielt auf menschliche Schwächen ab: Vermeintliche E-Mails von Bekannten sollen Ihre Neugier und Hilfsbereitschaft ansprechen, Mitteilungen von Banken bieten verlockende Angebote oder Behörden fordern Sie zur Kooperation auf. Doch hinter den oft vertraulich wirkenden Nachrichten stecken in Wahrheit Kriminelle. Diese wollen Ihnen sensible Daten entlocken oder Sie zu unbedachten Klicks auf Webseiten mit Schadsoftware verleiten.
Die Methoden von Social Engineering sind vielfältig: Sie erstrecken sich von E-Mails mit angeblich dringenden Handlungsanweisungen über fingierte Verlosungsgewinne bis hin zu Hilferufen von Verwandten, die vermeintlich im Ausland festsitzen. Auch per Telefon oder mittels gezielt versendeter „Werbeartikel“ versuchen Kriminelle, an sensible Informationen zu gelangen.
Sie können derartige Manipulationsversuche leicht durchschauen, wenn Sie auf die richtigen Warnzeichen achten: In diesem Artikel erfahren Sie, wie Kriminelle Sie mittels Social Engineering zu unbedachten Handlungen verführen wollen und wie Sie sich am besten dagegen wappnen.
