Man-in-the-Middle: Was ist das und wie schützen Sie sich davor?

Digitales Business

Digitales Business

Datum 14.07.2022
Lesezeit 7 Min.

Man-in-the-Middle: Was ist das und wie schützen Sie sich davor?

Stellen Sie sich vor, Sie geben Ihre Zugangsdaten für das Online-Banking ein und jemand stiehlt sie. Oder Sie wollen eine E-Mail mit vertraulichen Geschäftsdaten an einen Partner schicken, aber sie landet bei Kriminellen. Dann sind Sie möglicherweise Opfer eines so genannten „Man-in-the-Middle-Angriffs“ (frei übersetzt: Mittelsmann-Angriff) geworden. Doch was ist das genau?

Allgemein bezeichnet ein Man-in-the-Middle-Angriff eine kriminelle Attacke auf einen Kommunikationsvorgang im Internet. Angreifer:innen haben das Ziel, Kommunikation abzufangen und Daten zu erbeuten, wie zum Beispiel Passwörter. Dazu nutzen sie Schwachstellen zwischen dem System des Opfers und einer Internetressource. Attacken von einem „Man in the Middle“ (MITM) bleiben oft unbemerkt: Ohne Ihr Wissen nimmt eine dritte Person mit kriminellen Absichten an der Kommunikation teil und verwendet die erbeuteten Daten dazu, um Ihnen und/oder Ihrem Unternehmen Schaden zuzufügen.

Wie ein Man-in-the-Middle-Angriff abläuft und wie Sie sich davor schützen können, erfahren Sie in diesem Artikel.

 

Was bedeutet Man-in-the-Middle?

Im Prinzip ist eine Man-in-the-Middle-Attacke einfach erklärt: Bei einem MITM-Angriff schalten sich Angreifer:innen zwischen zwei Instanzen einer digitalen Kommunikation. Die Attacke kann von einer hackenden Person oder von einer Schadsoftware ausgehen. Die häufigsten Angriffe finden innerhalb einer Netzwerkverbindung statt. Allerdings können Kriminelle auch einzelne Rechner angreifen: In diesem Fall findet die MITM-Attacke zwischen einzelnen Prozessen auf einem Computer statt.

Ein MITM-Angriff soll für das Opfer unentdeckt bleiben und kann auf unterschiedliche Weise erfolgen. Gewöhnlich greifen Kriminelle die komplette Kommunikation zwischen dem Opfer und der Netzressource ab, um sie zu lesen oder zu manipulieren.

Eine andere Vorgehensweise besteht darin, dass die kriminelle Person dem Opfer oder der Ressource vorgaukelt, der oder die eigentliche Kommunikationspartner:in zu sein. Damit gelangt der „Man in the Middle” anstelle der eigentlich adressierten Person an geschützte Informationen.

Die Möglichkeiten für den Missbrauch der so erlangten Daten sind vielfältig: Sie reichen vom Diebstahl geistigen Eigentums über den Zugang zu geschützten Unternehmensbereichen und der Abwicklung illegaler finanzieller Transaktionen bis hin zur Erpressung oder dem Identitätsdiebstahl der Opfer.

 

Ausklappbare Informationsgrafik

Bei einem Man-in-the-Middle-Angriff stiehlt eine kriminelle Person unbemerkt die Daten einer Kommunikation zwischen einem Opfer und einer Internetressource.

 

So läuft ein Man-in-the-Middle-Angriff ab

Angriffe mittels der MITM-Methode sind auf verschiedene Arten möglich. Unabhängig von der Art des Angriffs ist das Ziel, die Datenkommunikation zwischen zwei oder mehr Systemen zu infiltrieren. Um Zugriff auf diesen Datenverkehr zu erlangen, nutzen die Techniken meist bekannte Schwachstellen der Internetkommunikation aus.

MITM-Angriffe erfolgen auf die folgenden Komponenten der Netzwerkkommunikation:

  • DHCP: Das „Dynamic Host Configuration Protocol” vergibt und verwaltet die lokalen IP-Adressen eines Netzwerks und ist leicht zu manipulieren.
  • ARP: Das „Address Resolution Protocol” ermittelt die MAC-Adressen der Hardware in einem Netzwerk (MAC = Media-Access-Control) und sammelt sie. Hacker:innen können dort falsche Adressen einspielen.
  • Browser: Hacker:innen machen sich Sicherheitslücken in veralteten Internetbrowsern zunutze, um diese zu manipulieren.
  • Malware: In einen Webbrowser eingeschleuste Schadsoftware kann alles mitlesen, was dort an Kommunikation stattfindet.
  • Öffentliches WLAN: Drahtlose lokale Netzwerke („Wireless Local Area Network”), die frei zugänglich sind, bieten häufig Möglichkeiten zum Angriff auf unzureichend geschützte Nutzer:innen.

 

Vodafone mobile Security

Vodafone mobile Security

Ransomware, Phishing, Smishing oder APT-Angriffe: Die möglichen Bedrohungen im IT-Umfeld sind sowohl was mobile als auch stationäre Geräte angeht, nicht zu unterschätzen.

Unser vierteljährlich erscheinendes eBook „Cyber Insights” liefert Ihnen alle neuesten Erkenntnisse und Innovationen zum Thema mobile Sicherheit.

 

Man-in-the-Middle: Diese Angriffsarten sollten Sie kennen

Aufgrund der unterschiedlichen Angriffsarten können Sie einen Man-in-the-Middle-Angriff auf Ihr System nur schwer erkennen.

Eine besonders perfide Vorgehensweise ist der so genannte „Man-in-the-Browser-Angriff“: Dabei erstellen Kriminelle mittels eines Trojaners eine exakte Kopie Ihres Online-Banking-Accounts und gaukeln Ihnen vor, dass Sie gerade Ihr Konto verwalten. Tatsächlich sehen Sie aber eine Fälschung und nicht Sie kommunizieren mit ihrer Bank, sondern die Kriminellen.

Wenn Sie bemerken, dass Dritte Ihnen auf diese Weise Geld entwendet haben, ist es meistens längst zu spät. Das Trojaner-Virus kommt oft durch eine Phishing-Mail auf Ihren Rechner. Deshalb sollten Sie Mails mit zweifelhaftem Inhalt nicht öffnen und niemals auf unbekannte Links klicken oder angehängte Dateien öffnen, wenn sie die Absende-Adresse nicht kennen.

Doch das ist längst nicht die einzige Methode, wie Kriminelle sich Zugang zu Ihren Daten verschaffen können. Weitere Arten von Man-in-the-Middle-Angriffen schildern wir Ihnen im Folgenden.

Sniffing

Sniffer (übersetzt: Schnüffler) sind Programme zur Überwachung von Datenflüssen in Netzwerken. Sie müssen nicht zwangsläufig schädlich sein: Häufig verwenden Netzwerkadministrator:innen diese Tools, um einen konstanten Datenfluss in einem Netzwerk zu gewährleisten. Damit spüren sie zum Beispiel Bandbreitenfresser und fehlerhafte Anwendungen auf, die das Netzwerk verlangsamen. Alternative Bezeichnungen sind etwa „Netzwerksonden“, „Wlan-Sniffer“, „Ethernet-Sniffer“ oder „Packet-Analyzer“.

Bei einem Sniffing-Angriff hingegen setzen Hacker:innen diese Programme dafür ein, um Ihren Netzwerkverkehr heimlich zu untersuchen. Die Sniffer überwachen und analysieren die von Ihrem Rechner ausgehenden Datenpakete. Sie geben Cyberkriminellen mittels ausgeklügelter Filterfunktionen Auskunft darüber, wenn bestimmte Daten interessant für sie sind. Darunter fallen vor allem Anmeldedaten, Finanzdaten und andere vertrauliche (Geschäfts-)Informationen.

Auch Sniffing-Programme landen meist durch Phishing-Betrug auf Ihrem Rechner.

ARP-Spoofing

Diese MITM-Angriffe sind auch unter den Bezeichnungen „ARP-Cache-Poisoning“ und „ARP-Poison-Routing“ bekannt. Dabei senden Kriminelle ein inkorrektes ARP-Paket über ein Netzwerk und verknüpfen ihre eigene MAC-Adresse mit der IP-Adresse des Opfers. Dadurch empfangen sie alle Daten, die eigentlich für das Opfer bestimmt sind.

DNS-Spoofing

Das „Domain Name System” (DNS) dient der Übersetzung von komplizierten Internetadressen in einprägsame, lesbare Bezeichnungen. Um beim Abruf Zeit zu sparen, speichern Server diese „übersetzten“ Titel in einem Cache. Beim DNS-Spoofing greifen Hacker auf diesen Cache zu und verändern die Übersetzungen. Anstatt auf die eigentliche Webseite zu gelangen, landen Sie auf einer gefälschten Seite.

Rogue Access Point

Die meisten mobilen Geräte sind mit WLAN-Modulen ausgestattet, die sich an entsprechenden Zugangspunkten (Access Points) mit dem Internet verbinden. Häufig versuchen sie sich automatisch mit dem Zugang zu verbinden, von dem sie das stärkste Signal empfangen.

Ein MITM-Angriff gaukelt Ihnen einen falschen Zugangspunkt vor und lädt Ihr Gerät dazu ein, dessen Domäne beizutreten. Ab diesem Zeitpunkt kann der gesamte Netzwerkverkehr des Opfers überwacht und manipuliert werden. Die Rogue Access Points können unabhängig von tatsächlich bestehenden Netzwerken bereitgestellt werden: Angreifende müssen lediglich physisch in der Nähe der Opfer sein, um ihnen über ein eigenes Gerät einen seriösen Zugangspunkt vorzutäuschen.

Sonstige MITM-Angriffsarten

MITM-Angriffe fangen zunächst vor allem Ihre Daten ab. Für die Entschlüsselung zielen die Attacken hingegen vor allem auf vermeintlich sichere Internetstrukturen ab. Beim HTTPS-Spoofing schleusen Hacker:innen ein gefälschtes Sicherheitszertifikat ein, das Ihr Browser anerkennt und ihm deshalb seinen Verschlüsselungscode zur Verfügung stellt. Dadurch können Kriminelle nun sämtliche Daten entschlüsseln, die Ihr Browser empfängt und sendet.

Andere Angriffe haben es auf SSL-Verschlüsselungen abgesehen: Die Abkürzung SSL-BEAST bedeutet „Browser Exploit Against SSL/TLS“. Im bekannten Protokoll „Secure Sockets Layer“ (SSL) werden hin und wieder Sicherheitslücken entdeckt, die Angreifende dann mithilfe einer MITM-Attacke anzapfen. Dadurch fangen Hacker:innen die Kommunikation zwischen Browser und Webserver ab. Andere Methoden erstellen hingegen gefälschte SSL-Sicherheitszertifikate (SSL-Hijacking) oder stufen eine sichere HTTPS-Seite auf eine ungeschützte HTTP-Seite herab, ohne dass Sie dies bemerken (SSL-Stripping).

 

Eine Frau vor einem Laptop stützt den Kopf in die Hände, sie ist Opfer einer Man-in-the-Middle-Attacke geworden

Ein Opfer bemerkt den Schaden durch einen Man-in-the-Middle-Angriff meist erst dann, wenn es zu spät ist.

 

So erkennen Sie einen MITM-Angriff

Man-in-the-Middle-Angriffe sind in der Regel äußerst schwer zu erkennen. Generell schützt vor allem eine gute Vorbeugung gegen diese Art der Cyberkriminalität. Es gibt lediglich zwei Hinweise im Verhalten Ihres Rechners, die auf einen MITM-Angriff hindeuten können:

  1. Längere Ladezeiten für Webseiten, die unvermittelt auftreten.
  2. HTTPS-Adressen (verschlüsselt), die auf HTTP (unverschlüsselt) wechseln.

Sollten Ihnen diese Dinge beim Verhalten Ihres Browsers auffallen, könnte ein zweiter Blick hilfreich sein. Dazu existieren entsprechende kostenlose Tools, die zum Beispiel einen MITM-Angriff durch ARP-Spoofing erkennen können, etwa das Programm Wireshark. Eine andere Freeware ist SSL Eye, die die SSL-Anmeldungen von Webseiten überprüft und feststellen kann, ob sie manipuliert wurden.

Abgesehen davon können Sie vor allem durch Sicherheitsmaßnahmen und vorsichtige Internetnutzung das Risiko eines MITM-Angriffs auf Sie minimieren.

 

Machen Sie Angreifern das Leben schwer

Als Opfer einer Man-in-the-Middle-Attacke bemerken Sie den Datenverlust oft erst, wenn es zu spät ist. Zum Beispiel, wenn Kriminelle bereits Geldbeträge von Ihrem Konto entwendet haben oder Ihre Firma mit vertraulichen Informationen erpressen. Präventive Sicherheitsmaßnahmen gegen diese Art von Angriffen sind daher grundsätzlich der beste Schutz für die Rechner und Daten Ihres Unternehmens.

Mit diesen Maßnahmen reduzieren Sie das Risiko für einen MITM-Angriff deutlich:

  • Virtual Private Network: Mittels eines „Virtual Private Networks” (VPN) sorgen Sie innerhalb eines lokalen Netzwerks für eine sichere Umgebung. Auf Basis einer in der Regel mehrstufigen Verschlüsselung kommunizieren Sie mittels eines sicheren Subnetzes. Angreifende können den Datenfluss innerhalb eines VPNs nicht entziffern.
  • WPA-Verschlüsselung: Verwenden Sie beim Betrieb eigener WLAN-Router stets aktuelle Verschlüsselungsmechanismen. Besser als der veraltete Standard WEP sind die aktuellen Algorithmen „Wi-Fi Protected Access 2“ (WPA2) oder, falls verfügbar, das noch modernere Protokoll WPA3.
  • Hoher Router-Schutz: Zur WLAN-Sicherheit in Ihrem Unternehmen gehören nicht nur zeitgemäße Verschlüsselungsprotokolle, sondern auch möglichst sichere Anmeldeinformationen. Dazu zählen die regelmäßige Aktualisierung des WLAN-Passworts und der Router-Zugangsdaten. Außerdem sollten Sie auf dem Router stets die aktuelle Firmware installieren. Die meisten Router updaten ihre Firmware jedoch glücklicherweise automatisch, sodass hier kaum händische Eingriffe notwendig sind.
  • Öffentliches WLAN meiden: Mit öffentlich zugänglichen WLAN-Zugangspunkten (zum Beispiel in Hotels, Bahnhöfen oder Flughäfen) sollten Sie sich grundsätzlich nicht verbinden. Wenn es sich nicht vermeiden lässt, nutzen Sie ein VPN für den Zugang zu Unternehmensdaten.
  • Force HTTPS: Betreiben Sie Websites, sollten Sie die Kommunikation zwischen der Seite und den Benutzer:innen zwingend auf HTTPS-Basis ablaufen lassen. Der öffentlich-private Schlüsseltausch gewährleistet eine sichere Kommunikation und verhindert die Umwandlung von HTTPS in HTTP durch eine MITM-Attacke.
  • Authentifizierung über öffentliche Schlüsselpaare: Bei MITM-Angriffen geben sich die Angreifenden häufig als authentische Kommunikationspartner:in aus. Nur eine Authentifizierung der beiden beteiligten Schlüsselpaare, beispielsweise mittels eines RSA-Kryptosystems, sorgt dafür, dass dies tatsächlich der Fall ist.
  • Hohe Sicherheitseinstellungen: Strenge Sicherheitsvorkehrungen auf den in Ihrem Unternehmen benutzten Geräten erschweren Angreifern den Zugriff enorm. Dies umfasst beispielsweise eine leistungsfähige Firewall, stets aktuelle Antivirensoftware, strenge Datenschutzeinstellungen in Ihrem Webbrowser sowie regelmäßige Sicherheitsüberprüfungen von Websites.

 

Lookout: Die Sicherheitslösung für mobile Endgeräte

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.

 

Checkliste: So verhindern Sie Man-in-the-Middle-Attacken

Sie können die Gefahr für Man-in-the-Middle-Attacken auf die Rechner und Mobilgeräte Ihres Unternehmens signifikant verringern, wenn Sie die folgenden Sicherheitsmaßnahmen beachten:

  • Stellen Sie keine Direktverbindungen zu öffentlichen WLANs (Hotel, Flughafen usw.) her.
  • Nutzen Sie VPNs zur Verbindung mit Netzwerken.
  • Halten Sie auf allen Unternehmensgeräten aktuelle Antiviren-Software.
  • Verwenden Sie bei unbekannten Websites eine Sicherheitsprüfung, zum Beispiel mittels Google Safe Browsing.
  • Aktivieren Sie die Sicherheitstools Ihres Browsers, zu finden in den Datenschutzeinstellungen.
  • Überprüfen Sie, ob Webseiten das HTTPS-Protokoll verwenden.
  • Meiden Sie Webseiten mit viel Spam, Pop-ups oder Umleitungsfunktionen.
  • Öffnen Sie keine Links oder Anhänge in verdächtigen E-Mails und persönlichen Nachrichten unbekannter Absender in Kommunikationstools.

 

Wie schützen Sie Ihr Unternehmen vor Man-in-the-Middle-Attacken? Welche Sicherheitsmaßnahmen haben Sie zusätzlich ergriffen? Lassen Sie es uns in den Kommentaren wissen.

 


Ihre Digitalisierungs-Berater:innen für den Mittelstand

Sie haben Fragen zur Digitalisierung? Unser Expert:innen-Team hilft Ihnen kostenlos
und unverbindlich im Chat (Mo.-Fr. 8-20 Uhr). Oder am Telefon unter 0800 5054512

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Facebook Twitter WhatsApp LinkedIn Xing E-Mail