Was sind Man-in-the-Middle-Angriffe?

Definition einer Man-in-the-Middle (MitM) Attacke

Fängt ein Angreifer Daten, die zwischen zwei Entitäten (Nutzer, Unternehmen, Server) gesendet werden, ab, spricht man von einem Man-in-the-Middle-Angriff (kurz MitM-Angriff). Der Angreifer hat dabei die vollständige Kontrolle über den Datenverkehr und kann die gesendeten Informationen mitlesen, abfangen und sogar manipulieren, um sie für böswillige Zwecke zu verwenden. Dabei täuscht er den Kommunikationspartnern vor, der jeweilige Gegenüber zu sein und gelangt so an Passwörter, Zugangsdaten, Kontodaten, TANs usw.

Wie funktioniert ein Man-in-the-Middle-Angriff?

Bei einem MitM-Angriff infiltriert ein Angreifer die Verbindung zwischen einer verwendeten (Internet-/Netzwerk-) Ressource und dem System des Nutzers, meist unter der Ausnutzung bekannter Schwachstellen in der webbasierten Kommunikation. Der Angreifer fungiert dabei als Mittelsmann zwischen den Systemen. Wenn beispielsweise das System A versucht eine Kommunikation zum System B aufzubauen, fängt der Angreifer diese ab und lenkt die Kommunikation zu sich um. Steht diese Verbindung, leitet er als Mittelsmann den Datenfluss weiter zum eigentlichen System B, ohne das die ursprünglichen Parteien davon etwas mitbekommen.

Angreifer nutzen hierfür zum Beispiel Sicherheitslücken in veralteter Soft- oder Hardware wie Internetbrowser oder Router, um diese zu manipulieren. Dabei wird Schadsoftware eingeschleust, um die Kommunikation mitzulesen. Alternativ werden öffentliche und damit frei zugängliche aber nicht ausreichend geschützte WLAN-Netze für einen Angriff genutzt. Eine weitere Option stellt die Manipulation von DNS-Servern, die das Routing zur richtigen IP-Adresse für eine Webseite sicherstellen, dar.

Leicht zu manipulieren ist ebenfalls das Dynamic Host Configuration Protocol (DHCP), dass die lokalen IP-Adressen vergibt und verwaltet sowie das Address Resolution Protocol (ARP) zuständig für die MAC-Adressen der Hardware in einem Netzwerk.

Beispiele für Man-in-the-Middle (MitM) Angriffe in den letzten zwei Jahrzehnten

Verschiedenen Berichten zur Cybersicherheit zufolge werden jedes Jahr schätzungsweise Hunderte Millionen Anmeldedaten allein durch MitM-Taktiken gestohlen. Dabei ist die Zahl der Fälle von MitM-Angriffen in den letzten zwei Jahrzehnten mit der Zunahme von Mobilgeräten und öffentlichen WLAN-Netzwerken besonders stark gestiegen und wird auf Zehntausende Fälle pro Jahr geschätzt. Die Folgen können verheerend und bedrohlich sein und zu Datenschutzverletzungen, finanziellen Verlusten für Unternehmen und Einzelpersonen sowie zur Offenlegung personenbezogener Daten führen. Einige wichtige Beispiele sind:

• 2011 & MitM bei Internetdienstanbietern: Ein Missbrauch trat auf, als Hacker eine Schwachstelle in der SSL-Verschlüsselung ausnutzten, die von mehreren großen Unternehmen, darunter Google und Yahoo, verwendet wurde. Durch diesen Verstoß wurden sensible Benutzerdaten offengelegt und es wurde deutlich, wie anfällig unsere Online-Kommunikation sein kann.
• Die Edward-Snowden-Enthüllungen von 2013: „Snowdens Enthüllungen erschütterten die Grundfesten der Privatsphäre und Sicherheit im digitalen Zeitalter. Die National Security Agency (NSA) überwachte nicht nur die Kommunikation, sondern gab sich auch aktiv als großes Technologieunternehmen wie Google aus. Durch das Abfangen des gesamten Datenverkehrs und das Fälschen von SSL-Verschlüsselungszertifikaten führte die NSA einen Man-in-the-Middle-Angriff aus, der es ihr ermöglichte, auf sensible Informationen zuzugreifen, ohne dass die Benutzer dies jemals bemerkten.
• Angriff auf die Server von Google im Jahr 2014: Cyberkriminelle konnten den Datenverkehr zwischen Nutzern und Google-Diensten abfangen, indem sie eine Zertifizierungsstelle kompromittierten. Dieser Angriff betraf Millionen von Nutzern und warf ernsthafte Fragen hinsichtlich des Vertrauens in die digitale Kommunikation auf.
• Vorfall im Jahr 2014 beim Office of Personnel Management der US-Regierung: Angreifer fingen Daten während der Übertragung ab und gefährdeten so die persönlichen Daten von Millionen von Bundesangestellten.
• Der berühmte Fall Equifax aus dem Jahr 2017: Die Finanzdaten von fast 150 Millionen Amerikanern wurden über einen Zeitraum von mehreren Monaten gehackt. Dabei stützte sich die Equifax-Website beim Hosting auf ein gemeinsam genutztes SSL-Zertifikat, das auch von Tausenden anderer Websites verwendet wurde. Dies führte zu DNS- und SSL-Spoofing, wodurch Benutzer auf gefälschte Websites umgeleitet oder Daten von der Website abgefangen wurden.
• 2023 Phishing auf der Social-Media-Plattform Reddit: Der Angreifer erstellte geschickt eine betrügerische Kopie des Intranetportals von Reddit, die überzeugend genug war, um Mitarbeiter dazu zu verleiten, ihre Anmeldedaten einzugeben und Hackern unwissentlich Hunderte von sensiblen Anmeldedaten zur Verfügung zu stellen. Glücklicherweise entstand kein größerer Schaden.
• Zu beachten: Dies war nur eine winzige Beispielliste von Tausenden von aufgezeichneten Man-in-the-Middle-Vorfällen der letzten Jahre.

Welche verschiedenen Arten von Man-in-the-Middle (MitM) Angriffen gibt es?

Es gibt sehr viele unterschiedliche MiTM-Techniken, von denen nachfolgend die Wichtigsten beschrieben werden.

Unterbrechung und Abfangen von Daten

Rogue Access Point (eine Art WLAN-Abhörgerät)

Wenn ein Gerät seine automatische Verbindungsfunktion aktiviert hat, verbindet es sich automatisch mit dem Zugangspunkt, der das stärkste Signal sendet und sich in unmittelbarer Nähe befindet, häufig ein kostenloses WLAN. Ein betrügerischer Zugangspunkt kann jedoch auch einen angenehm klingenden oder vertrauenserweckenden Namen haben, z. B. den Namen eines bekannten Unternehmens, eines kostenlosen WLAN-Hotspots usw., und sich an einem Ort befinden, an dem viele Menschen eine Internetverbindung benötigen. Die Verbindung mit diesem scheinbar harmlosen Netzwerk könnte Sie tatsächlich einem sorgfältig getarnten Netzwerk eines Angreifers aussetzen – einem Angriffspunkt, der dazu dient, Ihre Daten abzufangen. Sobald eine Verbindung hergestellt ist, können Angreifer Ihre Online-Aktivitäten überwachen, vertrauliche Informationen erfassen und sogar Ihr Gerät manipulieren.

DNS-Spoofing (Verfälschung des DNS-Caches)

DNS-Spoofing (oder das “Verfälschen des DNS-Caches”) ist eine böswillige Technik, die es Angreifern ermöglicht, das Domain Name System (DNS) zu manipulieren und Opfer ohne ihr Wissen auf betrügerische Websites umzuleiten. Durch das Ausnutzen von Schwachstellen in der DNS-Infrastruktur können Angreifer einen legitimen Domainnamen mit einer falschen IP-Adresse verknüpfen und so die Verbindung des Benutzers effektiv kapern.

Stellen Sie sich vor, Sie geben die Website Ihrer Bank ein und landen stattdessen auf einer ähnlichen Website, die darauf ausgelegt ist, Ihre persönlichen Daten zu stehlen. Genau das kann DNS-Spoofing bewirken. Angreifer haben es auf ahnungslose Opfer abgesehen, indem sie diese dazu verleiten, sensible Daten wie Passwörter oder Kreditkartennummern preiszugeben.

Diese Art von Angriff wird hauptsächlich in Büros, Geschäften, Bahnhöfen usw. eingesetzt, jedoch nicht so häufig in Privathaushalten oder im öffentlichen Internet. Bei Letzterem ist in der Regel die aktive Beteiligung von Regierungen erforderlich.

IP-Spoofing

IP-Spoofing ist eine ähnliche Technik wie DNS-Spoofing, manipuliert jedoch die IP-Adresse anstelle des DNS. Oftmals können beide Methoden kombiniert werden. Durch die Manipulation der IP-Adresse können Angreifer sich als legitime Quelle ausgeben und so den Anschein erwecken, als würden sie auf Informationen einer vertrauenswürdigen Entität zugreifen oder diese senden. Diese Form der Täuschung kann ahnungslose Benutzer auf betrügerische Websites führen, die legitime Webseiten imitieren.

Wenn DNS-Adressen durch Spoofing kompromittiert werden, kann es passieren, dass Benutzer ohne ihr Wissen auf schädliche Websites umgeleitet werden. Diese illegitimen Webseiten sehen den echten oft täuschend ähnlich und verleiten Personen dazu, sensible Informationen wie Passwörter oder Kreditkartendaten einzugeben.

Diese Angriffe treten meist in denselben Umgebungen auf wie DNS-Spoofing.

ARP-Spoofing (Verfälschung des Caches)

Ähnlich wie DNS-Namen in einem Browser in IP-Adressen aufgelöst werden, ist ARP-Spoofing eine Methode, die das Address Resolution Protocol (ARP) in einem Local Area Network (LAN) ausnutzt und IP-Adressen in MAC-Adressen auflöst. Diese Technik ermöglicht es einem Angreifer, gefälschte ARP-Nachrichten über das Netzwerk zu senden und so eine böswillige MAC-Adresse mit der IP-Adresse eines anderen Hosts zu verknüpfen. In Umgebungen, in denen Geräte auf ARP angewiesen sind, um unbekannte IP-Adressen in MAC-Adressen aufzulösen, kann diese Manipulation zu unbefugtem Zugriff und Datenlecks führen. Die Auswirkungen von ARP-Spoofing sind gravierend; Angreifer können sensible Informationen abhören oder sogar weitere Angriffe auf andere Geräte im Netzwerk starten.

Entschlüsselung von Daten

Secure Sockets Layer (SSL) Hijacking (Stripping)

Bei einem SSL-Hijacking-Angriff nutzen böswillige Akteure Schwachstellen im SSL-Protokoll oder seinem Nachfolger (TLS) aus, um die Kommunikation zwischen dem Computer eines Opfers und einem Server abzufangen und zu manipulieren. Eine sichere HTTPS-basierte Adressanfrage wird geändert und an ein unverschlüsseltes HTTP-Äquivalent umgeleitet. Dadurch erhält der Hacker die Möglichkeit, sensible Informationen im Klartext zu sehen.

Dies geschieht in der Regel nur, wenn ein Dienst seine privaten Schlüssel nicht ausreichend geschützt hat und sie gestohlen wurden oder Hacker aktive Unterstützung von einer Regierung erhalten haben.

E-Mail Hijacking

Die Methoden der Angreifer werden immer ausgefeilter. Häufig setzen sie Social-Engineering-Taktiken ein, um das Vertrauen ihrer Opfer zu gewinnen. Sie können gefälschte E-Mails erstellen, die scheinbar von legitimen Quellen stammen, und ahnungslose Benutzer dazu verleiten, ihre Anmeldedaten preiszugeben.

Stellen Sie sich vor, Sie erhalten eine E-Mail, die scheinbar von Ihrer Bank oder einem vertrauenswürdigen Kollegen stammt und in der Sie aufgefordert werden, auf einen Link zu klicken oder vertrauliche Informationen preiszugeben. Dies ist der Kern des E-Mail-Hijacking – eine raffinierte Täuschung, die darauf abzielt, Ihr Vertrauen für böswillige Zwecke auszunutzen. Sobald Angreifer Zugriff auf Ihr E-Mail-Konto erhalten, können sie verheerenden Schaden anrichten, indem sie persönliche Informationen stehlen, Phishing-Nachrichten an Ihre Kontakte senden oder sogar Finanzbetrug begehen.

Session Hijacking

Bei diesem bösartigen Angriff verschafft sich ein Angreifer unbefugten Zugriff auf die Sitzung eines Benutzers, indem er dessen Sitzungstoken stiehlt oder vorhersagt. Dies kann auf verschiedene Weise geschehen, z. B. durch Packet Sniffing in ungesicherten Netzwerken, wo sensible Daten wie Passwörter und persönliche Informationen leicht abgefangen werden können. Ein Angreifer könnte diesen Zugriff ausnutzen, um sensible Daten zu stehlen, Transaktionen zu manipulieren oder sich sogar online als Sie auszugeben. Die Folgen können verheerend sein und zu finanziellen Verlusten und Identitätsdiebstahl führen.

Diebstahl von Browser-Cookies

Der Diebstahl von Browser-Cookies erfolgt in der Regel zusammen mit einem anderen MitM-Angriff. Während andere MitM-Methoden, z. B. Rogue Access Point oder Session Hijacking, dem Hacker den Zugriff auf das Gerät ermöglichen, ermöglicht der Diebstahl von Browser-Cookies den Zugriff auf gespeicherte Informationen in Cookies, z. B. Passwörter, Kreditkarteninformationen sowie andere sensible Informationen.

Welches Ziel haben Man-in-the-Middle (MitM) Angriffe?

Bei MitM-Angriffen haben es Kriminelle auf alle möglichen Daten abgesehen, solange sie einen Nutzen daraus ziehen können. Ausschlaggebend ist hierbei aber um wen es sich bei den Angreifern handelt.

Der einzelne Hacker handelt oft wegen dem schnellen Geld, während staatlich beauftragte Akteure, Firmen oder anderen Staaten einen möglichst hohen Schaden zufügen wollen.

Ein lohnendes Ziel sind zum Beispiel die Aktivitäten der Nutzer beim Online-Banking. So lässt sich etwa die Kontonummer des Überweisungsziels ändern aber auch der Betrag anpassen. Werden Geschäftsdaten, Zukunftspläne, E-Mails, Chatnachrichten oder auch Telefonate von Unternehmen abgefangen, lassen sich diese im Darknet verkaufen oder werden für Erpressungsversuche verwendet. Aber auch Mitbewerber könnten sich dadurch einen Marktvorteil verschaffen.

Lassen sich MitM-Angriffe erkennen?

Man muss leider schon sehr genau hinschauen, um einen MitM-Angriff zu erkennen. Hierbei sollten größtmögliche Anstrengungen unternommen werden, dass MitM Attacken gar nicht erst auftreten (siehe nächsten Abschnitt). Leider können aber MitM Angriffe nicht immer vorab unterbunden werden. Aus diesem Grund sollten die eigenen Netzwerke zusätzlich fortwährend überprüft werden, da ansonsten MitM-Attacken sehr lange unbeobachtet bleiben und großen Schaden anrichten können. Beispiele zum Erkennen von potenziellen MitM-Angriffen können sein:

• Sporadisch auftretende verlängerte Ladezeiten für Websites bis hin zu Verbindungsabbrüchen sollten ein Warnhinweis sein.
• Kommen diese häufiger vor, sollte man sicherstellen, dass kein Hacker mitliest, um Netzwerkprobleme auszuschließen.
• Plötzliche Anzeige von unverschlüsselten http-Adressen, die vorher verschlüsselte HTTPS-Adressen waren, erfordern einen raschen Sicherheitscheck, um Eindringlinge möglichst rasch abwehren zu können.
• Regelmäßige Überprüfung einer ordnungsgemäßen Seitenauthentifizierung und die Implementierung einer Art Manipulationserkennung mit teilweise notwendigen nachträglichen forensischen Analysen.

Sollte festgestellt werden, dass man Opfer einer MitM-Attacke wurde, müssen ähnliche Maßnahmen erfolgen wie bei vielen anderen Cyberangriffen auch. Dazu gehört als erstes, dass der betroffene Computer vom Internet getrennt wird. Im nächsten Schritt sollte umgehend die IT-Abteilung informiert werden und bei sämtlichen Anwendungen, die verwendet werden, sollte ein manueller Logout erfolgen. Dazu gehören auch Cloud-Anwendungen und Collaboration Tools wie Teams oder Slack.

Ein MitM-Angriff kann aber auch einen Datenschutzvorfall nach sich ziehen, da es sich rechtlich gesehen um eine Datenpanne handelt. Deshalb kann es hilfreich sein, sich diesbezüglich frühzeitig anwaltlich beraten zu lassen, um gemeinsam eine geeignete Vorgehensweise zu besprechen und Informationspflichten mit den betroffenen Personen abklären zu können.

Je nach Schwere der Datenpanne kann auch eine Meldung an die zuständige Datenschutzbehörde notwendig werden.

Wie schützt man sich vor Man-in-the-Middle (MitM) Angriffen?

Je besser die eigene IT-Sicherheit ist, desto schwieriger wird es für einen Angreifer MitM Attacken durchzuführen. Werden nachfolgende Beispiele alle zu Herzen genommen, kann die Wahrscheinlichkeit einer MitM-Attacke deutlich reduziert werden:

• Software Aktualisierung: Eine Faustregel besagt, dass je älter die Systeme und Programme sind, desto häufiger kommt es zu gravierenden Sicherheitslücken. Folglich ist die Software-Aktualisierung hier der beste Schutz vor Man-in-the-Middle-Angriffen. Nur wenn die Systeme und verwendeten Programme durch Patches, Updates oder komplett neue Versionen auf dem aktuellsten Stand sind, kann man einen zuverlässigen Schutz gewährleisten.
• Personalisierung des Routerzugangs; Bei Kauf standardgesetzte Routerzugangseinstellungen sind ein willkommener Angriffspunkt für Hacker. Durch die Personalisierung des Zugangs, wird der Missbrauch des eigenen Routers deutlich erschwert.
• Vertrauen Sie keinem Netzwerk, egal ob privat, firmenintern oder öffentlich (das Internet), da alle potenziell gefährdet sein können. Solange sich Ihr Standort und die zu besuchende Website jedoch in einem DSGVO-konformen Land befinden (z. B. EU, Schweiz, Norwegen, Japan, Neuseeland), achten Sie einfach darauf, dass Sie eine verschlüsselte Verbindung verwenden. Wenn die Web-Domain mit “https://” beginnt und der Browser Sie nicht vor einer unsicheren Verbindung warnt, können Sie davon ausgehen, dass gültige Zertifikate verwendet werden und Sie auf der sicheren Seite sind. Wenn Sie sich außerhalb eines DSGVO-konformen Landes befinden oder auf eine Webseite außerhalb eines DSGVO-konformen Landes zugreifen möchten, stellen Sie sicher, dass die Verbindung zwischen Ihrem Computer und dem Webserver, auf den Sie zugreifen möchten, durch Verschlüsselung gesichert ist (z. B. VPN-Verbindung). Wenn Sie sich außerhalb des oben genannten sicheren Rahmens befinden, achten Sie auf folgende Punkte.
  • Verwendung einer starken WPA2/3-Verschlüsselung des Access Points (Routers): Eine starke Verschlüsselung erschwert Angreifern den Zugriff auf ein Netzwerk.
  • Deaktivierung der automatischen WLAN-Verbindung. Anmeldung nur in bekannte Netzwerke.
  • Nutzung eines Virtual Private Network, das in einem DSGVO-konformen Land vorkonfiguriert wurde, einschließlich der Einrichtung gültiger Zertifikate, damit diese Zertifikate nicht manipuliert werden können, wenn sie in einem Drittland geladen werden.
  • Dass ein Virtual Private Network (VPN) verwendet wird und die Nutzung öffentlicher WLAN-Netze (z. B. an Bahnhöfen, Flughäfen oder in Hotels) ohne VPN vermieden wird, um einen sicheren Zugang zu gewährleisten.
• Passwort Manager: Nutzung eines Passwort Managers, um Passwörter und Zugangsdaten sicher speichern zu können. Darüber hinaus verbessert die Nutzung einer Zwei-Faktor-Authentifizierung das Sicherheitsniveau zusätzlich.
• Webseitenbetreiber: Durch den Austausch eines privaten/öffentlichen Schlüsselpaares kann die Kommunikation zwischen der Webseite und den Nutzern abgesichert werden. Mit diesem Verfahren wird verhindert, dass ein Angreifer Daten in http-Form umwandelt, abhört und nutzen kann. Nutzer selbst können Browser-Plugins nutzen, um die dauerhafte Nutzung von HTTPS Codex zu gewährleisten.

Bei der Sicherung unserer digitalen Umgebungen ist es für Einzelpersonen und Organisationen gleichermaßen wichtig, diese Beispiele für Angriffe durch Mittelsmänner zu verstehen. Ein Bewusstsein für diese Angriffe kann zu besseren Schutzmaßnahmen gegen potenzielle Schwachstellen in unseren Kommunikationssystemen führen und sicherstellen, dass Privatsphäre und Sicherheit in einer zunehmend vernetzten Welt gewahrt bleiben.

Durch die Einhaltung der oben genannten Standard-Schutzregeln können Benutzer heutzutage die meisten MitM-Angriffe einzelner Hacker verhindern. Außerhalb der DSGVO-konformen Länder (z. B. EU, Kanada, Schweiz, Norwegen, Japan) können jedoch staatlich geförderte Angreifer oder Regierungsorganisationen die Internetkommunikation zwischen Ländern durch Manipulation des Border Gateway Protocol auf Länderebene unterbrechen, abfangen und entschlüsseln. Dies zu tun, ist äußerst komplex. Ein MiTM-System auf Länderebene zu verbergen, ist jedoch noch schwieriger, sodass der Standardbenutzer sich keine allzu großen Sorgen machen sollte, dass dies mit seinen Daten geschieht, da seine Daten meist nicht im nationalen Interesse der Regierungen stehen. Wenn ein Benutzer außerhalb dieser DSGVO-konformen Länder sicherstellen muss, dass kein MiTM-Angriff stattfindet, muss er ein oben genanntes VPN mit lokal installierten Sicherheitszertifikaten verwenden, um sicherzustellen, dass er nicht von einem potenziellen DNS/IP-Spoofing-Angriff einer Regierungsorganisation betroffen ist.