Was ist ein "Man in the Middle"-Angriff?

Ein Man-in-the-Middle-Angriff (oft als MitM oder MiM abgekürzt) ist eine Art von Session-Hijacking-Cyberattacke. Hacker fangen digital ausgetauschte Informationen ab, in der Regel entweder als Lauschangriff oder um sich als eine andere Person auszugeben. Diese Art des Angriffs ist äußerst gefährlich, da sie zu verschiedenen Risiken führen kann, z. B. zu gestohlenen Informationen oder gefälschter Kommunikation, die oft schwer zu erkennen sind, da die Situation für legitime Nutzer völlig normal erscheint.

In diesem Artikel erfahren Sie alles, was Sie über Man-in-the-Middle-Angriffe wissen müssen, einschließlich:

• Was ist ein Angriff auf einen Mann in der Mitte?
• Wie funktioniert ein Man-in-the-Middle-Angriff?
• Was sind die verschiedenen Arten eines Angriffs auf einen Mann in der Mitte?
• Was sind die potenziellen Risiken eines Angriffs durch einen Mann in der Mitte?
• Wie entwickeln sich die Man-in-the-Middle-Angriffe?
• Welche Beispiele gibt es im wirklichen Leben für einen Angriff auf einen Mann in der Mitte?
• Wie können Sie sich vor einem Angriff durch einen Mann in der Mitte schützen?

Ein Man-in-the-Middle-Angriff liegt vor, wenn eine dritte Partei ein digitales Gespräch abfängt, ohne dass die rechtmäßigen Teilnehmer davon wissen. Dieses Gespräch kann zwischen zwei menschlichen Benutzern, einem menschlichen Benutzer und einem Computersystem oder zwei Computersystemen stattfinden.

In jedem dieser Fälle könnte der Angreifer einfach das Gespräch belauschen, um an Informationen zu gelangen (z. B. Anmeldedaten, private Kontoinformationen usw.), oder er könnte sich als der andere Benutzer ausgeben, um das Gespräch zu manipulieren. Im letzteren Fall könnte der Angreifer falsche Informationen senden oder bösartige Links verbreiten, die Systeme zum Absturz bringen oder die Tür für weitere Cyberangriffe öffnen können. In der Regel sind sich die rechtmäßigen Benutzer nicht bewusst, dass sie tatsächlich mit einem unrechtmäßigen Dritten kommunizieren, bis der Schaden bereits eingetreten ist. 

Ein Man-in-the-Middle-Angriff ist ein Beispiel für Session Hijacking. Andere Arten von Session-Hijacking-Angriffen sind Cross-Site-Scripting, Session-Side-Jacking, Session-Fixation und Brute-Force-Angriffe.

Um einen Man-in-the-Middle-Angriff auszuführen, muss sich ein Hacker Zugriff auf die Verbindung eines Benutzers verschaffen. Eine der häufigsten Methoden hierfür ist die Einrichtung eines öffentlichen WLAN-Hotspots, dem jeder in der Nähe beitreten kann, ohne dass ein Passwort erforderlich ist. Sobald die Benutzer diesem Netzwerk beitreten, kann der Hacker auf ihre gesamte digitale Kommunikation zugreifen und sogar Tastenanschläge protokollieren, um als "Man in the Middle" zu agieren.

Das Beispiel mit dem öffentlichen WLAN ist die häufigste und einfachste Art, einen Man-in-the-Middle-Angriff zu starten, aber nicht die einzige. Andere gängige Ansätze sind:

• Senden von Benutzern an eine gefälschte Website: Hacker können Nutzer durch IP-Spoofing oder DNS auf eine gefälschte Website leiten, statt auf das gewünschte Ziel. IP-Spoofing liegt vor, wenn der Hacker die Paket-Header einer IP-Adresse ändert, während DNS -Spoofing vorliegt, wenn der Hacker Zugang zu einem DNS -Server erhält und den DNS -Eintrag der Website ändert. In beiden Fällen landet der Benutzer auf einer gefälschten Website, die dem Hacker gehört (und von der er alle Informationen abgreifen kann), obwohl sie völlig echt zu sein scheint.
• Umleitung von Datenübertragungen: Hacker können das Ziel der Kommunikation umleiten, indem sie ARP-Spoofing betreiben. Dies geschieht, wenn der Hacker seine MAC-Adresse mit der IP-Adresse eines der an der Kommunikation beteiligten rechtmäßigen Nutzer verbindet. Sobald er diese Verbindung hergestellt hat, kann der Hacker alle Daten empfangen, die für die IP-Adresse des rechtmäßigen Benutzers bestimmt sind.

In einigen Fällen kann die Kommunikation offengelegt werden, aber in Fällen, in denen die Daten verschlüsselt sind, erfordern Man-in-the-Middle-Angriffe einen weiteren Schritt, um diese Informationen für Hacker lesbar zu machen. Hacker können versuchen, verschlüsselte Informationen zu entschlüsseln, z. B. durch folgende Methoden:

• SSL Hijacking: Hacker fälschen Authentifizierungsschlüssel, um eine scheinbar legitime, sichere Sitzung aufzubauen. Da der Hacker jedoch im Besitz dieser Schlüssel ist, kann er in Wirklichkeit das gesamte Gespräch kontrollieren.

• SSL BEAST: Hacker nutzen eine Schwachstelle in SSL , um Malware auf dem Gerät eines Benutzers zu installieren, die verschlüsselte Cookies abfangen kann, die die digitale Kommunikation privat und sicher halten sollen.
• SSL Stripping: Hacker können eine sicherere HTTPS-Verbindung in eine weniger sichere HTTP-Verbindung umwandeln, wodurch die Verschlüsselung von Websitzungen aufgehoben und die gesamte Kommunikation während dieser Sitzungen offengelegt wird.

Es gibt eine Vielzahl von Arten von Man-in-the-Middle-Angriffen, die jeweils unterschiedliche Folgen für die Opfer haben können. Zu den gängigen Arten von Man-in-the-Middle-Angriffen gehören:

Ein Hacker kann Gespräche über einen beliebigen Zeitraum hinweg ausspähen, um Informationen zu erfassen, die er zu einem späteren Zeitpunkt verwenden kann. Sie müssen die Kommunikation nicht unbedingt in irgendeiner Weise verändern, aber wenn sie sich Zugang zu den ausgetauschten Details verschaffen können, können sie vertrauliche Informationen erfahren oder Anmeldedaten erhalten, die sie jederzeit verwenden können.

Ein Hacker kann eine Technik wie SSL hijacking verwenden, um die Kommunikation zu verändern, indem er vorgibt, ein anderer Benutzer zu sein. Nehmen wir zum Beispiel an, Alice und Bob glauben, dass sie miteinander kommunizieren. In diesem Fall könnte sich der Hacker mitten in die Unterhaltung einmischen und die Nachrichten, die sich die beiden gegenseitig schicken, verändern. Auf diese Weise können falsche Informationen versendet, bösartige Links geteilt oder sogar wichtige Details abgefangen werden, z. B. die Übermittlung der Kontonummer und der Bankleitzahl eines Benutzers für eine Einzahlung.

Ein Hacker kann Benutzer auf eine gefälschte Website schicken (ein häufiges Beispiel hierfür ist ein Phishing-Versuch), die genauso aussieht wie das beabsichtigte Ziel. Auf diese Weise können sie alle Informationen wie Anmeldedaten oder Kontodaten abfangen, die die Benutzer auf der echten Website eingeben würden. Mit diesen Informationen kann sich der Hacker dann auf der echten Website als Benutzer ausgeben, um auf Finanzdaten zuzugreifen, Details zu ändern oder sogar gefälschte Nachrichten zu versenden.

Ein "Man-in-the-Middle"-Angriff kann eine Vielzahl negativer Folgen nach sich ziehen. Tatsächlich sind Man-in-the-Middle-Angriffe oft ein Sprungbrett für Hacker, um noch größere und wirkungsvollere Angriffe zu starten. Zu den größten potenziellen Risiken eines Man-in-the-Middle-Angriffs gehören:

Ein Man-in-the-Middle-Angriff kann zu betrügerischen Transaktionen führen, entweder durch Abhören, um Anmelde- und Kontoinformationen zu sammeln, oder durch Umleitung von Überweisungen. Am häufigsten trifft dies auf Finanztransaktionen zu, entweder direkt von einer Bank oder über Kreditkartenzahlungen.

Das Abfangen der Anmeldedaten eines Benutzers, das Senden an eine gefälschte Website oder auch nur das Abhören von E-Mails kann zum Diebstahl vertraulicher Informationen führen. Diese Konsequenz ist besonders besorgniserregend für große Unternehmen, die ihr geistiges Eigentum schützen oder sensible Daten wie Gesundheitsdaten oder Sozialversicherungsnummern von Kunden sammeln. Dies ist auch ein Grund zur Besorgnis, da immer mehr Datenschutzgesetze auftauchen, die alle Arten von Unternehmen dazu verpflichten, die Informationen, die sie über ihre Kunden verarbeiten, zu schützen.

Der Diebstahl der Anmeldedaten von Benutzern durch einen Man-in-the-Middle-Angriff kann Hackern auch Zugang zu einer beliebigen Anzahl weiterer Systeme verschaffen. Das bedeutet, dass selbst wenn nur ein System für einen Angriff anfällig ist, andere, sicherere Systeme dadurch anfälliger werden könnten. In dieser Situation müssen die Sicherheitsteams der Unternehmen sicherstellen, dass es keine Schwachstelle gibt, egal wie trivial ein bestimmter Verbindungspunkt auch erscheinen mag.

Hacker können einen Man-in-the-Middle-Angriff nutzen, um Malware mit Benutzern zu teilen. Diese Malware kann wiederum zu einem weit verbreiteten Angriff führen, z. B. einem, der ein ganzes System zum Absturz bringt, oder der kontinuierlichen Zugriff auf Informationen oder Systeme ermöglicht, um einen langfristigen Angriff durchzuführen.

Zwei Trends haben zu einer Entwicklung bei Man-in-the-Middle-Angriffen geführt und damit ein erhöhtes Risiko für Unternehmen geschaffen.

Der erste Grund ist die Zunahme mobiler und verteilter Arbeitsumgebungen, was letztlich bedeutet, dass sich mehr Menschen über öffentliche WLAN-Netzwerke verbinden (sowohl für private als auch für geschäftliche Zwecke). Je verbreiteter dies wird, desto mehr Möglichkeiten ergeben sich für Hacker, sich über diese ungesicherten Verbindungen Zugang zu verschaffen. 

Zweitens, und für Unternehmen in Zukunft besonders wichtig, ist die Zunahme von Geräten und Maschinenidentitäten im Internet der Dinge (IoT). Die Geräte von IoT erfordern nicht nur eine andere Art von Sicherheit, sondern sie schaffen auch mehr Verbindungspunkte und Identitäten, die eine Authentifizierung erfordern. Wenn sie nicht ordnungsgemäß gesichert sind, bieten diese Geräte eine Vielzahl von Zugangspunkten für Hacker, von denen viele scheinbar unschuldig sind (z. B. HLK-Geräte). Unabhängig davon, wie banal sie erscheinen mögen, benötigen alle diese Geräte eine starke Sicherheit, z. B. durch Verschlüsselung und regelmäßige Aktualisierungen, um sicherzustellen, dass sie den neuesten Sicherheitsprotokollen entsprechen, damit sie nicht anfällig für Man-in-the-Middle-Angriffe werden.

Leider sind Man-in-the-Middle-Angriffe recht häufig. Einige der bemerkenswertesten aktuellen Beispiele für diese Art von Angriffen sind:

2015 verhafteten die europäischen Behörden 49 Verdächtige für eine einer Reihe von Bankkontodiebstählen in ganz Europa, bei denen "Man in the Middle"-Techniken eingesetzt wurden. Die Gruppe stahl etwa €6 Millionen Euro von europäischen Unternehmen gestohlen, indem sie sich Zugang zu E-Mail-Konten von Unternehmen verschaffte, die Kommunikation überwachte, um nach Zahlungsaufforderungen Ausschau zu halten, und diese Transaktionen dann auf ihre eigenen Konten umleitete. Bei diesem Angriff wurden Phishing-Versuche unternommen und gefälschte Websites eingerichtet, die echt aussehen sollten.

Im Jahr 2017 entdeckten Forscher eine Schwachstelle in der Zertifikatsverknüpfungstechnologie, die in mobilen Apps von Großbanken, darunter HSBC, NatWest, Co-op, Santander und Allied Irish Bank. Der Fehler führte dazu, dass ein Hacker, der sich im selben Netzwerk wie ein legitimer Nutzer befand, unbemerkt auf Anmeldedaten wie Benutzernamen, Passwörter und Pins zugreifen konnte, da der Hostname der Anwendung nicht ordnungsgemäß überprüft wurde.

Mit dieser Art von Zugang könnten Hacker einen Man-in-the-Middle-Angriff durchführen, um Informationen einzusehen und zu sammeln, im Namen legitimer Nutzer zu handeln oder sogar In-App-Phishing-Angriffe zu starten. Interessant ist, dass die Schwachstelle, die in diesem Fall den Zugang ermöglichte, aus unsachgemäß verwalteten Prozessen für den Umgang mit Zertifikaten herrührte, die eigentlich die Sicherheit verbessern sollen.

Im Jahr 2017 wurde Equifax, eine der größten Kreditauskunfteien in den USA, Opfer eines Man-in-the-Middle-Angriff über ungesicherte Domain-Verbindungen der zum Diebstahl personenbezogener Kreditinformationen von über 100 Millionen Verbrauchern führte. Der Angriff begann damit, dass Equifax es versäumte, eine Sicherheitslücke in einem von ihr verwendeten Entwicklungs-Framework zu schließen, was es Hackern ermöglichte, bösartigen Code in HTTP-Anfragen einzubetten. Von dort aus konnten sich die Hacker Zugang zu internen Systemen verschaffen und die Aktivitäten der Nutzer abhören, um über Monate hinweg eine Vielzahl von Informationen zu sammeln.

Man-in-the-Middle-Angriffe sind nach wie vor viel zu häufig und stellen daher eine ernsthafte Bedrohung für die Sicherheit von Benutzern und Unternehmen dar. Trotz der hohen Bedrohung durch diese Angriffe gibt es mehrere Maßnahmen, die das Sicherheitsteam Ihres Unternehmens und Ihre Benutzer ergreifen können, um sich vor diesen Risiken zu schützen. Zu den besten Schutzmaßnahmen gehören:

Eine der häufigsten Möglichkeiten für Hacker, sich Zugang zu verschaffen, um einen Man-in-the-Middle-Angriff auszuführen, sind ungesicherte Verbindungspunkte, wie z. B. öffentliche WLANs. Daher ist es wichtig, dass die Benutzer bei Verbindungspunkten äußerst vorsichtig sind. Das bedeutet, öffentliches WLAN zu meiden (und sich auf keinen Fall in Systeme einzuloggen, die mit einem öffentlichen Netzwerk verbunden sind) und ein VPN zur Verschlüsselung von Netzwerkverbindungen zu verwenden.

Phishing-Versuche sind ein weiterer gängiger Einstiegspunkt für Man-in-the-Middle-Angriffe, und die besten davon können sehr überzeugend sein. Die Aufklärung der Nutzer über diese Angriffe und ihre Entwicklung kann ihnen helfen, die Versuche zu erkennen und zu vermeiden, dass sie ihnen zum Opfer fallen.

Die Navigation zu einer Website durch Eingabe der URL statt durch Anklicken eines Links ist eine bewährte Methode, um erfolgreiches Phishing und andere gängige Taktiken zu verhindern, die Man-in-the-Middle-Angriffe initiieren, indem sie Benutzer auf eine gefälschte Website schicken oder Malware einbetten. Auf diese Weise werden Fälle vermieden, in denen Hacker einen leicht veränderten Link senden, der die Tür für einen Angriff öffnen kann.

Wenn Benutzer die URL-Adresse einer Website eingeben, sollten sie auch HTTPS eingeben und sicherstellen, dass jede Website, die sie besuchen, über diese Sicherheitsstufe verfügt. Die Überprüfung des HTTPS-Protokolls mag einfach erscheinen, kann aber viel dazu beitragen, die Legitimität und Sicherheit einer Website zu überprüfen, bevor sensible Daten weitergegeben werden.

Bei mehreren Man-in-the-Middle-Angriffen in jüngster Zeit wurden Benutzer aufgefordert, Schritte zur Anmeldung bei einer Website zu durchlaufen, die eigentlich nicht Teil des normalen Anmeldevorgangs sind, obwohl sie völlig legitim erschienen. Wenn die Benutzer darüber aufgeklärt werden, was normale Anmeldevorgänge beinhalten und was nicht, können sie Situationen, die nicht normal sind, leichter erkennen.

Für das Sicherheitsteam kann es hilfreich sein, die normalen Anmeldegewohnheiten der Benutzer zu kennen, um ungewöhnliche Muster leichter zu erkennen. Wenn sich zum Beispiel die meisten Benutzer an Wochentagen anmelden, aber plötzlich eine Aktivitätsspitze an den Wochenenden auftritt, könnte das besorgniserregend sein und weitere Untersuchungen erfordern.

Selbst wenn es Hackern gelingt, eine Kombination aus Benutzername und Passwort zu erlangen, können sie ohne eine weitere Form der Verifizierung (z. B. einen per SMS gesendeten Code) nicht in Konten eindringen.

Dieser zweischichtige Ansatz ist zwar nicht hieb- und stichfest, da in jüngster Zeit einige Man-in-the-Middle-Angriffe beide Schichten durchdrungen haben, bietet aber deutlich mehr Schutz.

Es ist wichtig, die Benutzer zu zwingen, sich nach Beendigung einer gesicherten Sitzung abzumelden, da durch das Schließen der Sitzung jeglicher Zugriff von legitimen und illegalen Quellen auf die Sitzung beendet wird. Mit anderen Worten: Je länger eine Sitzung offen ist, desto größer ist das Risiko, dass sich ein Hacker auf beliebige Weise Zugang zu ihr verschaffen kann.

Schließlich ist ein starkes PKI-Programm von entscheidender Bedeutung für die Authentifizierung von Verbindungen zwischen Benutzern (sowohl Menschen als auch Maschinen) und die Verschlüsselung ihrer Kommunikation. Ein Best-Practice-Ansatz für PKI erfordert ein äußerst flexibles System, das mit der schnell wachsenden Zahl von Identitäten Schritt halten kann, Sicherheitsstandards durchgängig anwendet und Verschlüsselungsschlüssel regelmäßig aktualisiert, um Risiken wie die Ausbreitung von Schlüsseln zu vermeiden.