Skip to main content
banner image
venafi logo

Was sind Man-in-the-Middle-Angriffe?

Was sind Man-in-the-Middle-Angriffe?

man in the middle attacks
June 4, 2018 | Guest Blogger: Kim Crawley

Wenn Sie sich näher mit Cyberangriffen beschäftigen, werden Sie gelegentlich auch von Man-in-the-Middle-Angriffen hören. Solche Angriffe wirken sich auf die Daten aus, die zwischen zwei Computern ausgetauscht werden. Oder zwischen einem Computer und einem Netzwerkgerät, beispielsweise einem kabellosen Router. Die Computer könnten PCs sein, mobile Geräte, IoT-Geräte, Server, Videospielkonsolen, was auch immer. Ihr Computer jedenfalls glaubt, dass er Daten an eine autorisierte Stelle schickt. Wenn mein PC beispielsweise meine Zugangsdaten fürs Online-Banking sendet, dann hoffe ich, dass sie nur an die Website meiner Bank gehen. Doch die Kommunikation könnte abgefangen werden, und ich würde es wahrscheinlich nicht einmal merken. Es könnte sogar sein, dass der rechtmäßige Empfänger wie geplant die Daten von meinem Computer erhält! Nur hört dummerweise jemand das Ganze ab, ohne dass ich oder meine Bank einen blassen Schimmer davon haben. Das, liebe Leser, ist eine MITM (Man-in-the-Middle)-Attacke. Ganz wie es der Name schon sagt: Da gibt es einen „Mann“ in der Mitte, und der ist ein Cyberangreifer.

Alles über MITM-Angriffe

Zwischen Computern werden Daten aller Art ausgetauscht, insbesondere im Internet. Sie werden als WiFi-Funksignale, über Koaxial- oder Glasfaserkabel oder via Bluetooth übertragen. Es gibt Hunderte von TCP/IP-Ports, die das Rückgrat der allermeisten Netzwerke bilden, einschließlich des Internets. Einige Ports sind sehr bekannt und werden viel genutzt, wie etwa die Ports 80 und 443 für das Web oder Port 25 für den E-Mail-Versand. Andere sind ziemlich obskur, zum Beispiel Port 17 für „Quote of the Day“ oder Port 10823 für Landwirtschaftssimulator 2011, ein Videospiel. Eine MITM-Attacke kann sich gegen jedweden TCP/IP-Port richten. Es könnten auch alle Arten von Netzwerkkommunikation abgefangen werden, einschließlich der Kommunikation in internen Netzen. Die Mehrzahl der MITM-Angriffe findet jedoch im Internet statt.

Varianten von MITM-Angriffen

Eine sehr häufige Form von MITM-Angriff ist das Belauschen von WLAN-Verbindungen. Das Angriffsszenario könnte dabei ungefähr so aussehen: Ein Angreifer richtet einen öffentlichen, unverschlüsselten WLAN Access Point ein. Derweil sitzen Sie am Bahnhof und denken: „Jetzt würde ich echt gerne etwas auf YouTube anschauen, um die Zeit rumzubringen, aber meine Handyverbindung ist hier fürchterlich schlecht. Mal sehen, ob es WLAN gibt.“ Prompt finden Sie eine SSID mit der Bezeichnung „Toronto Transit Free WiFi“. Das ist ja praktisch! Sie verbinden sich also mit diesem Access Point. (Jemand, der eine WLAN-Verbindung einrichtet, kann sich so ziemlich jede beliebige SSID ausdenken. Wenn allerdings jeder dabei ehrlich wäre, müsste es in meiner Nachbarschaft eine Menge Wagen vom FBI geben.) Nun starten Sie auf Ihrem Handy die YouTube-App, und schwupps haben Sie Ihre Google-Zugangsdaten an einen Cyberangreifer gesendet. Der kann jetzt Ihr digitales Leben gründlich aufmischen.

Eine andere gängige MITM-Variante ist Session Hijacking. Ein Webbrowser verwendet oft Cookies, kleine Textdateien. Diese Web-Cookies ermöglichen es mir, von meinem Home-Office-PC aus automatisch bei meinen genutzten Websites und Webservices angemeldet zu werden, ohne ständig meinen Benutzernamen und mein Passwort eingeben zu müssen. Komfort dieser Art bringt allerdings auch ein Cybersicherheitsrisiko mit sich. Cyberangreifer kennen viele Tricks, um an mein Authentifizierungs-Cookie zu gelangen. Zum Beispiel könnten sie bösartigen Code in einen Webserver einschleusen. Mein Browser glaubt dann, dass der legitime Webdienst nach meinem Cookie fragt; in Wirklichkeit fragt jedoch der Angreifer. Diese Methode wird als XSS (Cross-Site Scripting) bezeichnet. Auch Malware auf meinem PC könnte sich die Cookies von meiner Festplatte schnappen und an den Angreifer senden. Oder der Angreifer arbeitet mit Session Sidejacking: Bei diesem Szenario mögen die Authentifizierungsdaten verschlüsselt sein, die ich an einen Webservice schicke, doch die restliche Kommunikation erfolgt in Klartext. Der Angreifer könnte dann mithilfe eines Packet Sniffers meine unverschlüsselt gesendeten Cookies erfassen oder Daten aus meinen Paket-Headern extrahieren, um verfolgen zu können, was ich mache.

E-Mail-Hijacking ist eine weitere Form von MITM-Attacke. Nicht jede E-Mail-Kommunikation ist verschlüsselt. Doch selbst verschlüsselte E-Mails können mitgelesen werden, wenn es einem Angreifer auf irgendeine Weise gelingt, an die kryptografischen Schlüssel zu kommen. E-Mails können von Malware gekapert werden, die auf einem Mail-Server installiert wurde. Angreifer könnten einen Packet Sniffer einsetzen oder eine Phishing-E-Mail mit einem Hyperlink zu einer bösartigen Webanwendung versenden, die dann Ihren E-Mail-Client ausspioniert. Ein Angreifer könnte also die E-Mails mitlesen, die ich sende und empfange, und erst einmal abwarten. Irgendwann entdeckt er dann eine E-Mail, die ich an eine Firma geschickt habe, für die ich arbeite, und die einen Anhang mit meinen Bankdaten enthält. Oder der Angreifer liest mit, wenn ich eine Geldüberweisung per E-Mail durchführe. Er könnte dann die Bankdaten des beabsichtigten Empfängers durch die Daten zu seinem eigenen Bankkonto ersetzen. Und schon habe ich 1.000 Dollar an einen Cyberangreifer geschickt.

Zu MITM-Angriffen zählen alle Angriffsformen, bei denen Netzwerkkommunikation abgehört wird, und sie können auf viele, viele verschiedene Arten durchgeführt werden.

Wie verhindern Sie einen MITM-Angriff?

Sie können eine Menge tun, um zu verhindern, dass Sie Opfer einer MITM-Attacke werden. Für Unternehmen besteht die wichtigste Maßnahme darin, ihre Schlüssel und Zertifikate streng zu überwachen, damit Angreifer sie nicht missbrauchen können, um verschlüsselte Tunnel zu kapern. Und für Sie persönlich gebe ich hier ein paar Tipps zum Schutz vor MITM-Angriffen.

Verwenden Sie beim Internetsurfen wann immer möglich HTTPS statt HTTP. HTTPS ist verschlüsselt, HTTP dagegen nicht. Wenn ein Angreifer anstelle von Klartext-Daten verschlüsselte Daten in die Hände bekommt, sind die Pakete für ihn ziemlich nutzlos, sofern es ihm nicht gelingt, die Verschlüsselung irgendwie zu knacken oder zu umgehen. Es gibt ein beliebtes Plugin namens HTTPS Everywhere, das mehrere Webbrowser unterstützt. Es wäre eine gute Idee, es zu installieren. Das Plugin zwingt Websites, bei der Kommunikation mit Ihnen HTTPS statt HTTP zu verwenden. Ähnliche Funktionen sind auch in neuere Versionen von Google Chrome integriert. HTTPS ist keineswegs nur etwas für E-Commerce oder Online-Banking: Es sollte auch bei Webseiten verwendet werden, die scheinbar über keine sensiblen Daten verfügen. Vorsicht ist besser als Nachsicht.

Ändern Sie von Zeit zu Zeit sämtliche Benutzernamen und Passwörter für Ihren Heim- oder Büro-Router. Falls ein Cyberangreifer an so etwas wie Ihr WPA2-Passwort kommt, wird es ihm nichts mehr nützen, sobald Sie es geändert haben.

Wenn Sie je ein öffentliches, unverschlüsseltes WLAN-Netz nutzen, dann verwenden Sie ein VPN. Ein VPN verschlüsselt die gesamte Internetkommunikation von und zu Ihrem Computer und schafft dadurch auch bei unsicheren Verbindungen ein gewisses Maß an Sicherheit. Einige VPN-Anbieter stellen sogar benutzerfreundliche Anwendungen zur Verfügung, die Sie auf Smartphones, Tablets oder Laptops mit verschiedenen Betriebssystemen installieren können.

Manchmal werden MITM-Angriffe durch Malware ermöglicht. Sorgen Sie dafür, dass auf allen Ihren Computern eine Antivirensoftware läuft, gleich, um welchen Gerätetyp oder welches Betriebssystem es sich handelt. Stellen Sie sicher, dass Ihre AV-Software regelmäßig die Signaturen aktualisiert und Ihren Datenspeicher häufig scannt. Außerdem sollten Sie vorsichtig sein, wenn Sie neue Programme auf Ihren Computer herunterladen: Achten Sie darauf, dass die heruntergeladenen Programme mit Code-Signierung arbeiten.

Hüten Sie sich vor Phishing-E-Mails. Die Angreifer werden immer geschickter, und manche dieser Mails könnten auch mich täuschen. Wenn ich eine E-Mail erhalte, die von meiner Bank, von Google oder vom PlayStation Network zu kommen scheint und einen Link zum Einloggen enthält, werde ich ihn nicht anklicken. Ich werde die E-Mail löschen und manuell auf die Website des betreffenden Anbieters gehen. Phishing-Mails werden häufig für MITM-Angriffe eingesetzt. Ich habe noch nie etwas Wichtiges verpasst, nur weil ich nicht auf einen Anmeldelink in einer E-Mail geklickt habe.

Verwandte Beiträge

Subscribe to our Weekly Blog Updates!

Join thousands of other security professionals

Get top blogs delivered to your inbox every week

See Popular Tags

You might also like

end-to-end encryption, ghost proposal, encryption backdoor

Will the Trump Administration Succeed in Banning End-to-end Encryption?

HTTP, man-in-the-middle attack, HTTPS, TLS, TLS certificate, phishing attack

Can Attackers Use a New HTTP Exploit to Bypass Your TLS?

encryption backdoor, Cybersecurity, ssh key pair

Battle of the Backdoors in Networking Infrastructure: Intentional vs. Incidental

About the author

Guest Blogger: Kim Crawley
Guest Blogger: Kim Crawley
Read Posts by Author
get-started-overlay close-overlay cross icon
get-started-overlay close-overlay cross icon
Venafi Risk assessment Form Image

Sign up for Venafi Cloud


Venafi Cloud manages and protects certificates



* Please fill in this field Please enter valid email address
* Please fill in this field Password must be
At least 8 characters long
At least one digit
At last one lowercase letter
At least one uppercase letter
At least one special character
(@%+^!#$?:,(){}[]~`-_)
* Please fill in this field
* Please fill in this field
* Please fill in this field
*

End User License Agreement needs to be viewed and accepted



Already have an account? Login Here

×
get-started-overlay close-overlay cross icon

How can we help you?

Thank you!

Venafi will reach out to you within 24 hours. If you need an immediate answer please use our chat to get a live person.

In the meantime, please explore more of our solutions

Explore Solutions

learn more

Email Us a Question

learn more

Chat With Us

learn more
Chat