Man-in-the-Middle

Copyright © Shutterstock/winfinity

Was bedeutet Man-in-the-Middle?

Überblick und Allgemeines

Von einem Man-in-the-Middle-Angriff ist die Rede, wenn eine außenstehende, dritte Partei die Kommunikation zweier Systeme abfängt. Diese Form von Attacke ist in jeder Form der Online-Kommunikation denkbar. Diese kann etwa via E-Mail oder über Social-Media-Kanäle erfolgen. Der Dritte belauscht hierbei die Kommunikation, fängt Daten ab oder täuscht dem jeweiligen Partner eine falsche Identität vor. Zielscheibe dieser Attacken sind selten nur die reinen Kommunikationsdaten. Sämtliche Informationen, die sich auf dem betroffenen Gerät befinden, sind von potenziellem Interesse.

Eine Besonderheit der Man-in-the-Middle-Attacke besteht darin, dass sie auch starke Verschlüsselungstechniken umgeht. Auch wenn die beteiligten kommunizierenden Partner ihre Daten verschlüsseln, kann der in der Mitte befindliche Angreifer diese entschlüsseln. Anschließend leitet er sie an den anderen Partner weiter. Hierbei verhält er sich ähnlich wie ein Proxy.

Dies setzt die Möglichkeit des Aufbaus einer Verbindungsanfrage durch den Mittelsmann voraus. Ebenso funktioniert dieser Angriff nur, wenn die Kommunikationspartner keine Anstrengungen unternehmen, die Identität des jeweils anderen zu überprüfen. Ein Beispiel für eine gefährliche Man-in-the-Middle-Attacke ist das Entschlüsseln gesicherter SSL-Verbindungen im Online-Banking.

Die einfachste Form einer MITM-Attacke lässt sich im Offline-Bereich gut veranschaulichen. Sie entspricht einem neugierigen Briefträger, der Briefe abfängt, öffnet oder manipuliert und anschließend weiterleitet. Auf Cyber-Angriffe bezogen findet sich ein anschauliches Beispiel in einem Hacker, der zwischen den Parteien Webbrowser und Webseite sitzt.

Hierbei fängt er die Informationen ab, die der Browser beziehungsweise der Nutzer an die Webseite schickt. Handelt es sich um wertvolle Login-Daten oder um Online-Banking-PINs, kann erheblicher Schaden für den Nutzer entstehen.

Wie funktioniert eine MITM-Attacke?

Grundsätzliches Funktionsprinzip ist das Einklinken eines Dritten in das Kommunikations-Schema zweier Parteien, die einander vertrauen. Hierbei kann es sich um Menschen oder um technische Einheiten (beispielsweise Browser) handeln. Der Angreifer gibt vor, seine Datenpakete kämen von einem Computer, dem der Angegriffene vertraut.

Die falsche Identität des Angreifers veranlasst das Opfer dazu, ihm sämtliche gewünschten Informationen oder Datenpakete zukommen zu lassen. Dies ermöglicht es dem Angreifenden, die Daten auszuwerten oder auch zu manipulieren.

Viele Einheiten können grundsätzlich zur Zielscheibe einer Man-in-the-Middle-Attacke werden. Oft richten sich die Angriffe an Router, WLAN-Zugänge oder Gateways. An sämtlichen Stellen, an denen Datenpakete ausgetauscht oder weitergeleitet werden können, kann es zu Mittelsmannangriffen kommen.

Nicht nur Privatpersonen, sondern auch zentrale Web-Schnittstellen können belauscht werden, so etwa durch Ermittler oder Geheimdienstmitarbeiter.

Besonders häufig wird gezielt der Informationsverkehr einer bestimmten Zielperson Opfer einer solchen Attacke. Hierfür gibt es den einfachen Weg über das offene WLAN. Insbesondere in öffentlichen WLAN-Zugängen, beispielsweise in Cafés oder Hotels haben Mittelsmänner daher leichtes Spiel. Die möglichen Angriffspunkte sind jedoch zahlreich.

Der Vorgang der Man-in-the-Middle-Attacke ist meist aufwendig, weshalb typischerweise nur eine vorhersehbare Kommunikation Opfer eines solchen Angriffs wird. Ein aktiver Angriff erfordert es vom Mittelsmann, zur rechten Zeit am rechten Ort zu sein. Nur dann ist gewährleistet, dass der den Datenverkehr abgreifen und die Kommunikation manipulieren kann.

Bestimmte Varianten von Man-in-the-Middle-Angriffen sehen die Ausführung eines Skripts auf dem Zielgerät vor. Häufig kommt JavaScript zum Einsatz. Dieses Skript kann ein Hacker als Mittelsmann in eine Webseite einbauen, wenn diese unverschlüsselt ist.

Damit dies funktioniert, muss gewährleistet sein, dass dieser JavaScript-Code ausgeführt wird. Während Web-Browser dieses Skript in der Regel ausführen werden, ist es im Falle von Mail-Programmen oder Social-Media-Clients unwahrscheinlich. Zusätzliche Eintrittspforten für Angriffe bieten schwache, unsichere Passwörter. Ebenso bergen öffentlich bekannte Sicherheitslücken unterschiedlicher Softwarelösungen zusätzliche Sicherheitsrisiken.

Angriffspunkte und Arten von Man-in-the-Middle-Attacken

Hacker haben im Zeitverlauf mehrere Angriffsstellen für MITM-Attacken gefunden. Schon mit vergleichsweise geringem Aufwand ist es möglich, an günstige Hacking-Werkzeuge zu gelangen und diese anzuwenden. Selbst Unternehmen, die sich in Sicherheit wiegen, sind derlei Angriffen ausgesetzt. Es gibt mehrere sicherheitsrelevante Schnittstellen in Organisationen, an denen Mittelsmänner ansetzen können.

Zu den am weitesten verbreiteten Man-in-the-Middle-Attacken gehören die Techniken des Hijackings. Insbesondere E-Mail- und Session-Hijacking sind in diesem Zusammenhang zu nennen.

Das Email-Hijacking ist eine Angriffs-Taktik, die insbesondere auf die E-Mail-Konten größerer Organisationen ausgerichtet ist. Insbesondere Banken und andere Institute aus der Finanzbranche sind betroffen. Der Zugang zu wichtigen Konten ist das Ziel der Hijacker. Diese überwachen die exakten Konten-Transaktionen genau und zielen darauf ab, ihre Angriffe besonders authentisch und damit unbemerkt zu starten.

Ein typisches Szenario, in dem ein Mittelsmann mit dieser Technik aktiv wird, ist die Überweisung von Geld durch einen Kunden. Der Hijacker kann antworten, indem er eine gefälschte E-Mail-Adresse des Unternehmens nutzt. Die Bankverbindungs-Daten der Organisation werden dann durch die eigene ausgetauscht. Während der Kunde im Glauben ist, die Überweisung an das korrekte Konto des Unternehmens zu tätigen, erfolgt die Buchung auf das Konto des Mittelsmanns.

Diese Form persönlicher Bereicherung durch Angreifer trifft nicht nur große Unternehmen, sondern auch kleinere Organisationen und Privatleute. Vor wenigen Jahren wurde der Fall eines Londoner Immobilieneigentümers bekannt, der seine Bankverbindung seinem Anwalt per E-Mail mitteilte. Es ging um einen Verkaufserlös von über 300.000 Euro.

Mittelsmänner hatten sich Zugang auf sein E-Mail-Konto verschafft und konnten somit seine Kommunikations-Aktivitäten überwachen. Als es um den Hausverkauf ging, schickten die Angreifer unter Vorgabe der Identität des Verkäufers eine weitere Mail an den Anwalt. Darin gaben sie ein eigenes Konto an, um den Verkaufserlös zu erhalten. Zwar gelang es dem Betroffenen, den größeren Teil des Geldes wiederzuerlangen, doch zeigt dieses Beispiel, welchen Schaden auch Privatleute durch E-Mail-Hijacking erleiden können.

Eine andere verbreitete Form des Hijackings ist das sogenannte Session-Hijacking. Mit jedem Log-in auf einer Webseite entsteht eine Verbindung zwischen Computer beziehungsweise Browser und Webseite. Diese Verbindungen werden auch als Sessions bezeichnet, wovon sich der Name des gezielten Angriffs auf diese Sessions ableitet. Hackern stehen mehrere Taktiken des Hijackings dieser Sessions zu Gebote. Beliebt ist der Diebstahl der Cookies des Browsers.

Diese Cookies haben die Aufgabe, gewisse Datenpakete zu speichern, um Nutzern ein angenehmeres Browsen zu ermöglichen. Zu den gespeicherten Daten gehören Surf-Aktivitäten, Log-in-Daten, bereits ausgefüllte Formulare oder auch Standorte. Dies birgt die Gefahr, dass sensible Log-in-Daten, beispielsweise Online-Banking-Informationen von Mittelsmännern abgegriffen werden. Zugriff zu den Log-in-Cookies genügt für Mittelsmänner, sich selbst einzuloggen und mit der Identität der Nutzer zu agieren.

Angriffe auf das WLAN sind im Rahmen von Man-in-the-Middle-Attacken gleichfalls beliebt. Offene WLAN-Verbindungen sind für Hacker ein leichtes Ziel. Auch die Einrichtung eigener WLAN-Connections mit authentisch klingenden Bezeichnungen durch Angreifer sind verbreitet. Hierbei müssen Mittelsmänner lediglich auf die Aufnahme der Verbindung durch den Betroffenen warten. Anschließend ist bereits der Zugriff auf das verbindende Gerät möglich. Ebenso ist die Einrichtung legitim erscheinender WLAN-Knoten möglich. Die gefälschten Knoten wirken wie legitime Zugangspunkte und ermöglichen den Zugriff auf Informationen und Daten derjenigen, die eine Verbindung aufbauen.

Abwehr und Verteidigungsmaßnahmen

Die meisten Abwehrmaßnahmen und Verteidigungsmöglichkeiten finden sich aufseiten der betroffenen Geräte, insbesondere der Router oder Server. Damit haben Anwender meist keine Möglichkeit, die Sicherheit des Datenaustauschs oder einer Transaktion aktiv zu kontrollieren. Eine der wichtigsten Verteidigungsoptionen besteht in der Nutzung einer starken Verschlüsselung zwischen dem Client und dem Server. Dies ermöglicht es dem Server, sich über ein gültiges digitales Zertifikat zu authentifizieren. Server und Client ist es im Anschluss möglich, einen sicheren, verschlüsselten Kommunikationskanal aufzubauen, über den auch der Austausch sensibler Daten möglich ist.

Auf Anwenderseite ist es wichtig, ein Bewusstsein für die Gefahr durch Man-in-the-Middle-Attacken sowie ihre Einfallstore zu entwickeln. Bei hinreichender Sensibilisierung vermeiden Nutzer es, unbedarft Verbindungen zu offenen WLAN-Routern herzustellen. Mit der Nutzung bestimmter Browser-Plug-ins wie HTTPS Everywhere steigt die Wahrscheinlichkeit, dass sichere Verbindungen aufgebaut werden. Jedoch gilt es zu berücksichtigen, dass Verteidigungsoptionen an ihre Grenzen gelangen können. Es sind Angriffe bekannt, bei denen die Sicherheit verschlüsselter SSL-Verbindungen aufgehoben werden konnte.

Eine zertifikatbasierte Authentifizierung verhindert, dass Mittelsmänner in fremde Systeme wie etwa WLAN-Netze eindringen können. In diesem Falle können nur diejenigen Personen zugreifen, die gültige Zertifikate vorweisen. Zertifikate benötigen dabei keine zusätzliche Hardware und ihre Bereitstellung lässt sich automatisieren.

Bei der E-Mail-Kommunikation bietet S/MIME einen Verschlüsselungsstandard. Die Secure/Multipurpose Internet Mail Extensions gewährleisten eine Verschlüsselung der E-Mails im Speicher. Auf diese Weise wird sichergestellt, dass nur der angestrebte Empfänger sie lesen kann. Mittelsmännern oder Hackern wird hierbei keine Möglichkeit gegeben, sich dazwischenzuschalten, Nachrichten abzufangen oder zu manipulieren. Zudem ermöglicht S/MIME die Signatur der E-Mails mittels digitalen Zertifikaten. Dieses Zertifikat ist für jedes beteiligte Individuum einzigartig. Damit ist die Identität der einzelnen Person an die jeweilige Mail gekoppelt. Dies bietet E-Mail-Empfängern Sicherheit, dass die Mail tatsächlich vom angenommenen Kommunikationspartner und nicht von einem Man-in-the-Middle stammt.

Zur Gewährleistung eines hinreichenden Schutzes vor Man-in-the-Middle-Attacken ist es zudem erforderlich, dass Seitenbetreiber auf regelmäßige Updates achten. Dies betrifft sowohl die Server als auch die verwendete Software. Suchmaschinen achten auch über die SSL-Verschlüsselung hinaus auf Sicherheit. Wenn Webseiten in der Google Search Console angemeldet sind, spricht Google etwa Warnungen an Webmaster aus, sofern Hacks der Seite zu befürchten sind.