Man-in-the-Middle
Man-in-the-Middle (MITM) bezeichnet einen Cyberangriff, bei dem sich ein Angreifer unbemerkt zwischen zwei kommunizierende Parteien schaltet. Der Angreifer kann dabei den gesamten Datenverkehr mitlesen, aufzeichnen und sogar manipulieren, ohne dass die Kommunikationspartner dies bemerken. Beide Seiten glauben, direkt miteinander zu kommunizieren, während ihre Daten in Wirklichkeit durch das System des Angreifers fließen.
Stell dir vor, du schickst einen Brief an einen Freund, aber jemand fängt den Brief unterwegs ab, liest ihn, schreibt vielleicht etwas anderes hinein und schickt ihn dann weiter. Genau so funktioniert ein Man-in-the-Middle-Angriff im digitalen Bereich - nur dass hier IP-Adressen, Netzwerkpakete und verschlüsselte Verbindungen das Ziel sind.
Funktionsweise eines Man-in-the-Middle-Angriffs
Ein MITM-Angriff läuft typischerweise in mehreren Phasen ab:
-
Positionierung: Der Angreifer verschafft sich Zugang zum Kommunikationsweg zwischen Opfer und Zielserver. Dies kann in einem lokalen Netzwerk, über einen kompromittierten Router oder in einem öffentlichen WLAN geschehen.
-
Abfangen: Sobald der Angreifer positioniert ist, leitet er den Datenverkehr durch sein System. Die Opfer bemerken keine Verzögerung oder Unterbrechung.
-
Entschlüsselung: Falls die Kommunikation verschlüsselt ist, versucht der Angreifer, die Verschlüsselung zu umgehen oder aufzubrechen.
-
Manipulation oder Aufzeichnung: Der Angreifer kann die Daten lesen, speichern oder verändern, bevor er sie an den eigentlichen Empfänger weiterleitet.
Arten von Man-in-the-Middle-Angriffen
Je nach Angriffstechnik und Netzwerkschicht unterscheidet man verschiedene MITM-Varianten:
ARP-Spoofing
Beim ARP-Spoofing sendet der Angreifer gefälschte ARP-Pakete im lokalen Netzwerk. Dadurch wird die MAC-Adresse des Angreifers mit der IP-Adresse des Standard-Gateways verknüpft. Das Opfer sendet seinen gesamten Internetverkehr unwissentlich an den Angreifer statt an den Router.
Diese Technik funktioniert nur im lokalen Netzwerk (LAN), ist dort aber besonders effektiv. Tools wie Ettercap oder Cain & Abel automatisieren ARP-Spoofing-Angriffe.
DNS-Spoofing
Beim DNS-Spoofing manipuliert der Angreifer die Namensauflösung. Wenn du beispielsweise "www.onlinebanking.de" eingibst, liefert der Angreifer eine gefälschte IP-Adresse, die zu seinem Server führt. Du landest auf einer täuschend echten Kopie der Banking-Webseite und gibst dort deine Zugangsdaten ein - direkt in die Hände des Angreifers.
DNSSEC wurde entwickelt, um diese Art von Angriffen durch kryptografische Signaturen zu verhindern.
SSL-Stripping
SSL-Stripping ist eine spezialisierte Technik, die HTTPS-Verbindungen auf unverschlüsseltes HTTP herabstuft. Der Angreifer fängt die ursprüngliche HTTPS-Anfrage ab und leitet das Opfer auf eine HTTP-Version der Webseite um. Gleichzeitig hält er selbst eine sichere Verbindung zum echten Server aufrecht.
Das Opfer sieht möglicherweise, dass das Schloss-Symbol im Browser fehlt, aber viele Nutzer bemerken dieses Detail nicht. Alle eingegebenen Daten, einschließlich Passwörter und Kreditkartennummern, werden im Klartext übertragen.
Session Hijacking
Beim Session Hijacking stiehlt der Angreifer die Session-ID einer bereits authentifizierten Verbindung. Mit dieser ID kann er die Sitzung des Opfers übernehmen, ohne dessen Zugangsdaten zu kennen.
Bekannte Beispiele sind das Abfangen von Session-Cookies über unverschlüsselte Verbindungen oder durch Cross-Site-Scripting (XSS). Der Angreifer kann dann alle Aktionen ausführen, die dem legitimen Benutzer erlaubt sind.
WLAN-basierte Angriffe
Öffentliche WLAN-Hotspots sind ein beliebtes Ziel für MITM-Angriffe. Der Angreifer kann:
- Einen gefälschten Hotspot mit dem Namen eines legitimen Netzwerks erstellen (Evil Twin)
- Sich in ein bestehendes unverschlüsseltes WLAN einschleichen
- Den Datenverkehr aller verbundenen Geräte überwachen
Deshalb solltest du in öffentlichen WLANs immer ein VPN verwenden.
Gefahren und Auswirkungen
Die Konsequenzen eines erfolgreichen MITM-Angriffs können schwerwiegend sein:
- Datendiebstahl: Zugangsdaten, Kreditkartennummern, persönliche Informationen und Geschäftsgeheimnisse können abgefangen werden
- Identitätsdiebstahl: Mit gestohlenen Zugangsdaten kann der Angreifer im Namen des Opfers handeln
- Finanzieller Schaden: Manipulation von Überweisungen oder Zugriff auf Bankkonten
- Unternehmensspionage: Abfangen vertraulicher Geschäftskommunikation
- Malware-Einschleusung: Der Angreifer kann Downloads manipulieren und Schadsoftware einschleusen
Laut aktuellen Studien verursacht Cyberkriminalität in Deutschland jährlich Schäden von über 200 Milliarden Euro. MITM-Angriffe gehören dabei zu den häufigsten Angriffsvektoren.
Schutzmaßnahmen gegen Man-in-the-Middle-Angriffe
Ein mehrschichtiger Sicherheitsansatz bietet den besten Schutz gegen MITM-Angriffe:
Verschlüsselung mit TLS
TLS (Transport Layer Security) verschlüsselt die Kommunikation zwischen Client und Server. TLS 1.3, die aktuelle Version, bietet verbesserte Sicherheit und Performance. Achte auf das HTTPS-Protokoll und das Schloss-Symbol im Browser.
HSTS (HTTP Strict Transport Security)
HSTS zwingt Browser, ausschließlich verschlüsselte HTTPS-Verbindungen zu einer Domain herzustellen. Selbst wenn ein Angreifer SSL-Stripping versucht, lehnt der Browser die unverschlüsselte Verbindung ab. Webseitenbetreiber sollten HSTS-Header implementieren.
Certificate Pinning
Beim Certificate Pinning speichert eine Anwendung den erwarteten öffentlichen Schlüssel oder das Zertifikat eines Servers. Verbindungen werden nur akzeptiert, wenn das präsentierte Zertifikat mit dem gespeicherten übereinstimmt. Dies verhindert Angriffe mit gefälschten Zertifikaten.
VPN-Nutzung
Ein VPN (Virtual Private Network) verschlüsselt den gesamten Datenverkehr zwischen deinem Gerät und dem VPN-Server. Selbst wenn ein Angreifer den Verkehr abfängt, kann er die verschlüsselten Inhalte nicht lesen. Dies ist besonders wichtig in öffentlichen Netzwerken.
WLAN-Sicherheit
- Verwende WPA3-Verschlüsselung für dein eigenes WLAN
- Meide ungesicherte öffentliche Netzwerke
- Prüfe die Authentizität von WLAN-Hotspots, bevor du dich verbindest
- Deaktiviere die automatische WLAN-Verbindung auf mobilen Geräten
Zwei-Faktor-Authentifizierung
Selbst wenn ein Angreifer durch einen MITM-Angriff dein Passwort stiehlt, kann er ohne den zweiten Faktor (z.B. einen SMS-Code oder Hardware-Token) nicht auf dein Konto zugreifen. 2FA ist daher eine wichtige zusätzliche Schutzschicht.
Netzwerksicherheit im Unternehmen
- Implementiere Dynamic ARP Inspection (DAI) auf Switches
- Nutze Netzwerksegmentierung durch VLANs
- Setze Intrusion Detection Systeme (IDS) ein
- Schulde Mitarbeiter regelmäßig zu Sicherheitsthemen
MITM-Angriffe erkennen
Die Erkennung von MITM-Angriffen ist schwierig, aber nicht unmöglich:
- Zertifikatswarnungen: Browser zeigen Warnungen an, wenn Zertifikate ungültig oder manipuliert sind. Diese Warnungen niemals ignorieren!
- Ungewöhnliche Verzögerungen: MITM-Angriffe können minimale Latenzen verursachen
- Netzwerk-Monitoring: Tools wie Wireshark können ungewöhnlichen ARP-Traffic aufdecken
- Fehlende HTTPS-Verbindung: Wenn eine normalerweise sichere Webseite plötzlich über HTTP lädt
Relevante Standards und Protokolle
Für IT-Fachleute sind folgende Standards relevant:
- RFC 8446: Spezifikation von TLS 1.3
- RFC 6797: HTTP Strict Transport Security (HSTS)
- RFC 4033-4035: DNSSEC-Spezifikationen
- ISO 27001: Informationssicherheitsmanagementsystem
Man-in-the-Middle in der Praxis
Für Fachinformatiker für Systemintegration ist das Verständnis von MITM-Angriffen essenziell. Bei der Konfiguration von Firewalls, der Implementierung von VPN-Lösungen oder der Absicherung von Unternehmensnetzwerken musst du diese Bedrohung berücksichtigen.
Auch Fachinformatiker für Anwendungsentwicklung sollten MITM-Angriffe kennen: Bei der Entwicklung von Webanwendungen und APIs ist die korrekte Implementierung von TLS und HSTS entscheidend für die Sicherheit der Nutzer.