Was ist ein Man-in-the-Middle-Angriff?

Bei einem Man-in-the-Middle-Angriff platziert sich der Angreifer zwischen die Opfer und die Dienste, auf die sie zugreifen möchten. Sein Ziel dabei ist häufig der Datendiebstahl.

Share facebook icon linkedin icon twitter icon email icon

Man-in-the-Middle

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Man-in-the-Middle-Angriff definieren
  • Lernen Sie verschiedene Arten von Man-in-the-Middle-Angriffen kennen
  • Beschreiben Sie Methoden zum Schutz vor Man-in-the-Middle-Angriffen

Was ist ein Man-in-the-Middle-Angriff?

Bei einem Man-in-the-Middle-Angriff platzieren sich Angreifer zwischen zwei Geräte (häufig zwischen einen Webbrowser und einen Webserver), fangen ihre Kommunikation ab oder modifizieren sie. Die Angreifer können auf diese Weise Informationen sammeln und sich als eine der beiden Parteien ausgeben. Zusätzlich zu Websites können diese Angriffe auf E-Mail-Kommunikation, DNS-Lookups und öffentliche WLAN-Netzwerke abzielen. Typische Ziele für Man-in-the-Middle-Angriffe sind SaaS-Unternehmen, E-Commerce-Unternehmen und Benutzer von Finanz-Apps.

Man-in-the-middle Attack

Sie können sich Man-in-the-Middle-Angreifer wie einen korrupten Postangestellten vorstellen, der in einem Postamt sitzt und Briefe abfängt, die zwischen zwei Personen verschickt werden. Er kann private Nachrichten lesen und sogar den Inhalt dieser Briefe bearbeiten, bevor er sie an die vorgesehenen Empfänger weiterleitet.

In einem moderneren Beispiel platziert sich ein Man-in-the-Middle-Angreifer zwischen einem Benutzer und der Website, die er besuchen möchte, um Benutzernamen und Kennwort des Benutzers zu erfassen. Das geschieht, indem der Angreifer auf die HTTP-Verbindung zwischen dem Benutzer und der Website abzielt. Durch das Hijacking dieser Verbindung kann ein Angreifer als Proxy fungieren und die Informationen sammeln und ändern, die Benutzer und Website einander zusenden. Alternativ kann der Angreifer die Cookies eines Benutzers stehlen (kleine Daten, die von einer Website erstellt und zur Identifizierung und für andere Zwecke auf dem Computer eines Benutzers gespeichert werden). Diese gestohlenen Cookies können für das Hijacking der Sitzung des Benutzers verwendet werden, sodass ein Angreifer sich als dieser Benutzer auf der Website ausgeben kann.

Man-in-the-Middle-Angriffe können auch auf DNS-Server abzielen. Der DNS-Lookup-Prozess ermöglicht es Webbrowsern, Websites zu finden, indem Domainnamen in IP-Adressen übersetzt werden. Bei DNS-Man-in-the-Middle-Angriffen wie dem DNS-Spoofing und DNS-Hijacking kann ein Angreifer den DNS-Lookup-Prozess beeinträchtigen und Benutzer an falsche Seiten senden. Häufig sind das Seiten, die Malware verbreiten und/oder sensible Informationen sammeln.

Man In The Middle Attack

Was ist E-Mail-Hijacking?

Ein weiterer häufiger Man-in-the-Middle-Angriff ist das E-Mail-Hijacking. Dabei infiltrieren die Angreifer E-Mail-Server, indem sie sich zwischen einem E-Mail-Server und dem Web platzieren. Sobald der Server kompromittiert ist, können die Angreifer die E-Mail-Kommunikation für verschiedene Zwecke überwachen. Ein Betrugsszenario besteht darin, darauf zu warten, dass eine Person Geld an eine andere Person überweisen muss (z. B. ein Kunde an ein Unternehmen). Die Angreifer können dann eine gefälschte E-Mail-Adresse verwenden, um die Überweisung auf das Konto eines Angreifers anzufordern. Die E-Mail erscheint dem Empfänger legitim und harmlos („Entschuldigen Sie, meine letzte E-Mail enthielt einen Tippfehler! Meine korrekte Kontonummer lautet: XXX-XXXX“). Das macht diesen Angriff sehr effektiv und finanziell verheerend. Im Jahr 2015 nutzte ein Cybercrime-Ring in Belgien E-Mail-Hijacking, um über 6 Millionen Euro von verschiedenen europäischen Unternehmen zu stehlen.

Warum ist es riskant, öffentliche WLAN-Netzwerke zu nutzen?

Man-in-the-Middle-Angriffe werden häufig über WLAN-Netzwerke ausgeführt. Angreifer können böswillige WLAN-Netzwerke erstellen, die entweder harmlos erscheinen oder Klone legitimer WLAN-Netzwerke sind. Wenn ein Benutzer eine Verbindung zum kompromittierten WLAN-Netzwerk herstellt, kann ein Angreifer die Online-Aktivitäten dieses Benutzers überwachen. Raffinierte Angreifer können sogar den Browser des Benutzers auf gefälschte Kopien legitimer Websites umleiten.

Wie kann man sich vor Man-in-the-Middle-Angriffen schützen?

Da Man-in-the-Middle-Angriffe auf unterschiedliche Arten durchgeführt werden können, gibt es für diese Angriffe keine einheitliche Lösung. Eine der grundlegendsten Schutzmöglichkeiten vor Man-in-the-Middle-Angriffen auf HTTP-Verkehr ist die Verwendung von SSL/TLS. SSL/TLS stellt sichere Verbindungen zwischen Benutzern und Webdiensten her. Absolute Sicherheit bietet diese Lösung leider nicht, da es einige ausgefeiltere Man-in-the-Middle-Angriffe gibt, die den SSL/TLS-Schutz umgehen können. Um sich vor dieser Art von Angriffen weiter zu schützen, implementieren einige Webdienste HTTP Strict Transport Security (HSTS). HSTS erzwingt sichere SSL/TLS-Verbindungen mit jedem Browser oder jeder App, blockiert alle ungesicherten HTTP-Verbindungen und verhindert Cookie-Diebstahl.Erfahren Sie mehr über HSTS im Cloudflare-Blog oder überprüfen Sie Ihre Website auf HTTPS-Nutzung.

Eine weitere Schutzmaßnahme vor Man-in-the-Middle-Angriffen sind Authentifizierungszertifikate. Eine Organisation kann die zertifikatbasierte Authentifizierung auf all ihren Geräten implementieren, sodass nur Benutzer mit ordnungsgemäß konfigurierten Zertifikaten auf ihr System zugreifen können.

Um E-Mail-Hijacking zu verhindern, können Secure/Multipurpose Internet Mail Extensions (S/MIM) verwendet werden. Dieses Protokoll verschlüsselt E-Mails und ermöglicht es Benutzern, E-Mails mit einem eindeutigen digitalen Zertifikat digital zu signieren, sodass der Empfänger weiß, dass es sich um eine legitime Nachricht handelt.

Auf individueller Basis können sich Benutzer auch vor Man-in-the-Middle-Angriffen schützen, indem sie es vermeiden, vertrauliche Informationen in einem öffentlichen WLAN-Netzwerk zu übermitteln, es sei denn, sie sind durch ein sicheres virtuelles privates Netzwerk (VPN) geschützt.