Was ist ein Man-in-the-Middle Angriff? Die gängigsten Methoden und effektivsten Schutzmaßnahmen

von

Lesezeit: Minuten ( Wörter)

Physisch oder logisch – Die Möglichkeiten eines Man-in-the-Middle Angriffs

Bei Man-in-the-Middle Angriffen klinkt sich der Angreifer entweder physisch oder, was heute eher die Regel ist, logisch zwischen zwei Kommunikationspartner ein. Bei dieser Form des Cyberangriffs erlangt der Hacker mit seinem System die vollständige Kontrolle über den Datenverkehr. Hat sich der Angreifer einmal im Netzwerk eingenistet, erlangt er Zugriff auf die kompletten Informationen, die tagtäglich über die digitalen Leitungen ausgetauscht werden. Ob Online-Banking, geschäftliche E-Mails oder intime Details aus dem Privatleben: Vor dem „Man-in-the-Middle“ ist nichts sicher. Vergleichbar ist diese Form des Cyberangriffs mit einem Postboten, der jeden einzelnen Ihrer Briefe kontrolliert, bevor diese an Sie ausgeliefert werden. Wenn der Postbote der Meinung ist, dass der Brief an Ihren Lebenspartner ein paar neue Sätze braucht – schreibt er diese in Ihren Brief. Und findet er intimste Details aus Ihrem Privatleben, werden diese mühelos an den Meistbietenden weiterverkauft. Klingt unheimlich? Ist es auch – und dennoch tagtägliche Realität. Vor allem dort, wo es um Geld geht, ist der Cyberkriminelle nicht weit.

Welche Ziele nimmt ein Man-in-the-Middle Angriff ins Visier?

Auch Cyberkriminelle brauchen Motivation, um ans Werk zu gehen. Und eine der besten Motivationsverstärker ist: Geld. Entsprechend nehmen die Hacker bevorzugt Webseiten und Netzwerke ins Visier, bei denen viel Geld fließt. Beliebte Angriffspunkte sind Online-Banking-Webseiten, Shopping-Portale oder Seiten, bei denen Sie für die Anmeldung Ihre Bankdaten oder Ihre Kreditkartennummer hinterlegen müssen. Aber selbst „Oma Erna von Nebenan“ ist vor den Cyberangreifern nicht sicher, wie ein drastisches Beispiel aus 2017 zeigt. Das Londoner Ehepaar Lupton hatte sich gefreut, als sie ihr Haus für die schöne Summe von 333.000 Euro verkaufen konnten. Herr Lupton schicke nach dem Verkauf seine Kontodaten an seinen Anwalt – ein gängiger Weg, um den Erlös zu beanspruchen. Leider ahnte Herr Lupton nicht, dass sich längst ein Man-in-the-Middle Angreifer in den E-Mail-Verkehr eingeklinkt hatte. Der Hacker reagierte umgehend und sendete im Namen von Herrn Lupton eine weitere Mail an den Anwalt. Der Inhalt: Der Anwalt solle doch bitte die erste Mail ignorieren und das Geld auf ein anderes Konto überweisen. Sie können es sich denken – das „andere Konto“ war im Besitz des Hackers. Der Anwalt ahnte nichts Böses und transferierte die 333.000 Euro auf das aktualisierte Konto. Glücklicherweise bemerkte Herr Lupton noch rechtzeitig, was geschehen war. Und konnte so einen Teil des Geldes retten. Ein Ende mit Schrecken zwar – jedoch mit glimpflicherem Verlauf, als es ansonsten bei Man-in-the-Middle Angriffen der Fall ist.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Welche Methoden und Taktiken setzen Angreifer ein?

Kreativität besitzen die Cyberkriminellen, soviel muss man ihnen lassen. Bei Man-in-the-Middle Angriffen wird das zur Verfügung stehende Potential an Möglichkeiten komplett ausgeschöpft. Spoofing, Sniffing, Hijacking und Stripping: Hier kommen die verbreitetsten MITM-Angriffe!

W-Lan Fakes: Rogue Access Points
W-Lan-fähige Geräte sind immer bestrebt, sich vollautomatisch mit dem nächstgelegenen Access Point zu verbinden. Dabei wählen die Geräte bevorzugt Zugangspunkte mit starkem Signal. Das nutzen Hacker gnadenlos aus. Sie erstellen ihre eigenen Zugangspunkte und warten darauf, dass Geräte aus der Umgebung der Domäne beitreten. Ist ein Gerät einem Rogue Access Point beigetreten, kann der Cyberangreifer mühelos den kompletten Datenverkehr des Opfers überwachen und manipulieren. Die einzige Voraussetzung für die Erstellung eines Rogue Access Points ist die physische Nähe des Angreifers zu seinen Opfern.

mDNS Spoofing
Multicast DNS (mDNS) ist ein auf lokale Netzwerke begrenztes Namensauflösungssystem. Erschaffen von mDNS für den Komfort der Endanwender. Um die Konfiguration von Netzwerkgeräten wie Drucker, Spielekonsolen oder Fernseher so einfach und bequem wie möglich zu gestalten, übernimmt mDNS die Adressierung der Kommunikation. Der Hintergedanke: Die meisten Netzwerkgeräte werden in vertrauenswürdigen Netzwerken betrieben, somit muss kein besonderer Schutz in den Mechanismus integriert sein. Cyberangreifer wissen das genau – und setzen mit mDNS Spoofing genau an dieser Schwachstelle an. Die Hacker schleusen sich mit gefälschten Daten in den Netzwerkverkehr ein und weisen die Geräte an, eine Adresse im Netzwerk aufzulösen – nämlich eine Adresse, die vom Angreifer kontrolliert wird.

DNS Spoofing
DNS Spoofing funktioniert ähnlich wie mDNS Spoofing, ist allerdings nicht auf lokale Netzwerke begrenzt. Bei DNS Spoofing werden korrupte DNS-Cachedaten in einen Host eingeführt. So kann mit einem eigentlich vertrauenswürdigen Domain-Namen auf einen anderen Host zugegriffen werden. Das Opfer ahnt nicht, dass es seine vertraulichen Daten nicht an eine vertrauenswürdige Adresse, sondern an einen kriminellen Host sendet.

Session Hijacking
Wenn Sie im Internet unterwegs sind, sind Sie wahrscheinlich auch schnell genervt, wenn Sie auf den immer gleichen Seiten immer wieder ihr Passwort eingeben müssen. Daher setzen viele Webanwendungen auf eine komfortable Anmeldefunktion, die ihre Eingaben für die nächsten Sitzungen abspeichert. Dies wird über sogenannte temporäre Sitzungs-Tokens realisiert. Bei einem Man-in-the-Middle Angriff wird dieses Sitzungs-Token durch den Hacker abgegriffen und in der Folge eingesetzt. Ein klarer Fall von Identitätsdiebstahl, denn ist der Hacker einmal im Besitz des Tokens, kann er sich ohne weitere Tarnung als legitimer Benutzer Ihres Accounts ausgeben.

SSL Stripping
HTTPS ist gängiger Sicherheits-Standard für Webseiten und eine eigentlich zuverlässige Absicherung vor Spoofing-Attacken. Hacker sind allerdings schon einen Schritt weiter. Mittels SSL Stripping fangen sie Datenpakete ab und ändern die auf HTTPS basierenden Adressenanfragen. Ohne es zu merken, werden die Opfer auf ähnlich gelagerte HTTP-Endpunkte geleitet. Die Verschlüsselung des Datenverkehrs ist damit passé – und der Man-in-the-Middle kann jedwede Informationen mitlesen.

Paketinjektionen
Wenn Sie sich impfen lassen, werden kleinste Partikel in Ihren Blutkreislauf eingespeist, um eine gewünschte Immunreaktion auszulösen. Ganz ähnlich funktioniert die Methode der Paketinjektion bei einem Man-in-the-Middle Angriff. Hier nutzt der Hacker den Überwachungsmodus seines Endgerätes, um „Partikel“ in Form von Datenpaketen in Ihre digitale Kommunikation einzuschleusen. Getarnt mischen sich die bösartigen Pakete dann unter die „legalen“ Pakete – und werden so Teil des Kommunikationsflusses. Während Sie E-Mails versenden, Bankdaten eingeben oder Weihnachtsgeschenke online kaufen, liest der Angreifer mit – und kann jederzeit Ihren Datenaustausch zu seinen Gunsten verändern.

Während Sie E-Mails versenden, Bankdaten eingeben oder Weihnachtsgeschenke online kaufen, liest der Angreifer mit – und kann jederzeit Ihren Datenaustausch zu seinen Gunsten verändern.

Auch das BSI warnt mit deutlichen Worten vor Man-in-the-Middle Angriffen

Das BSI wird deutlich: Wenn es einem Angreifer gelingt, sich in den Datenverkehr einzuklinken, kann er „unter Umständen alle Informationen, die der Sender an den vermeintlichen Empfänger sendet, einsehen oder manipulieren, bevor er sie an den richtigen Empfänger weiterleitet. Auf die Antworten des Empfängers kann der Angreifer wiederum ebenfalls zugreifen, wenn nicht entsprechende Schutzmechanismen wirksam sind.“ Deutliche Worte der Spezialisten des BSI – doch welche Schutzmechanismen sind denn wirklich wirksam?

Wie lassen sich Man-in-the-Middle Angriffe verhindern?

Mit grundlegenden Sicherheits-Funktionen können MITM-Angriffe zwar nicht komplett verhindert, aber zumindest schon einmal erschwert werden. Ein unerwünschtes Mitlesen und Abgreifen von Informationen lässt sich durch eine starke Verschlüsselung verhindern. WLAN Access Points sollten daher immer mit möglichst starken Verschlüsselungsmechanismen ausgerüstet sein. Mit WEP/WAP-Verschlüsselungen erschweren Sie MITM-Angriffe deutlich. Zusätzlich sollten Sie auch Ihrem Router ein „Sicherheits-Update“ verpassen. Viele User verwenden die standardmäßigen Anmeldedaten für den Betrieb des Routers – eine Einladung für alle ungebetenen Gäste! Auch die ungesicherte HTTP-Kommunikation über das Internet kann mit einfachen Maßnahmen abgesichert werden. Mit einem öffentlich-privaten Schlüsselaustausch, der über ein Plugin in den Browser integriert werden kann, nehmen Sie Hackern eine Möglichkeit, in Ihren Datenverkehr einzudringen.

Angriffsfrüherkennung implementieren!

Grundlegende Sicherheitsmaßnahmen reichen jedoch nicht aus, um Man-in-the-Middle Transaktionen zu verhindern. Sie werden früher oder später stattfinden - auch in Ihrem Unternehmen. Unternehmensverantwortliche sehen sich zum Umdenken gezwungen: Angreifer werden früher oder später auch beim eigenen Unternehmen erfolgreich sein und sich ihren Weg ins Netzwerk bahnen. Um geschäftskritische Schäden effektiv abzuwenden, muss die eigene IT Security-Strategie um die Komponente der Angriffsfrüherkennung erweitert werden.

secion bietet mit seinem Active Cyber Defense (ACD)-Service einen umfassenden, zuverlässigen und dauerhaften Schutz auch vor möglichen Man-in-the-Middle Angriffen. Der Service deckt versteckte, kriminelle Kommunikationen mit externen Command & Control Servern auf, wie sie gerne und häufig von Hacker eingesetzt werden. Diese proaktive „Jagd“ auf Cyberkriminelle identifiziert raffinierte und gezielte Cyberattacken frühzeitig – und wehrt so Schäden ab, bevor sie entstehen. Mit den ACD Services werden Sicherheitsvorfälle genau in dem Moment detekiert, wenn Angreifer ein System kompromittieren wollen – und nicht erst nach der ansonsten „üblichen“, hochriskanten Zeitspanne von mehr als 6 Monaten.

Fazit

In unserer digitalen Welt vertrauen wir tagtäglich auf den Schutz unserer persönlichsten Daten. Wenn Sie ihre Rechnungen online bezahlen, Weihnachtsgeschenke in großen Shops einkaufen oder auch Ihrem Anwalt eine Mail senden, gehen Sie davon aus, dass Sie in einem abgesicherten Umfeld kommunizieren. HTTPS ist schließlich Standard im Internet, Ihr W-Lan hat kürzlich erst ein neues Passwort erhalten und außerdem: Wer soll sich schon für ihren ganz normalen Alltag interessieren? Wie wir gesehen haben, interessiert sich leider eine ganze Menge krimineller Energie für Ihren Datenverkehr - und den Ihres Unternehmens! Während Sie diesen Artikel hier lesen, hängt eventuell schon ein „Man-in-the-Middle“ in Ihrem Netzwerk, liest sich in Ihren Mailverkehr ein und schleust ggf. Ihre persönlichen Unternehmensdaten aus. Klingt bedrohlich – und ist es auch!  Wir beraten Sie gerne unverbindlich zu einer effektiven Angriffsfrüherkennung für Ihr Netzwerk.

Ein (Man-in-the-Middle-) Angriff wird auch auf Ihr Netzwerk stattfinden - nur wann? Kontaktieren Sie uns!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück