Man-in-the-Middle

Was bedeutet Man-in-the-Middle?

Bei Man-in-the-Middle (MITM) handelt es sich um einen Angriff durch einen Dritten, der sich zwischen zwei Kommunizierende schaltet. Hierbei spielt er den Beteiligten jeweils die Identit├Ąt des Kommunikationspartners vor. Oftmals sind Man-in-the-Middle-Attacken darauf ausgelegt, andernfalls sichere Verschl├╝sselungstechniken auszuschalten. Der Man-in-the-Middle-Angriff ist auch als Mittelsmannattacke oder Janusangriff bekannt.

├ťberblick und Allgemeines

Von einem Man-in-the-Middle-Angriff ist die Rede, wenn eine au├čenstehende, dritte Partei die Kommunikation zweier Systeme abf├Ąngt. Diese Form von Attacke ist in jeder Form der Online-Kommunikation denkbar. Diese kann etwa via E-Mail oder ├╝ber Social-Media-Kan├Ąle erfolgen. Der Dritte belauscht hierbei die Kommunikation, f├Ąngt Daten ab oder t├Ąuscht dem jeweiligen Partner eine falsche Identit├Ąt vor. Zielscheibe dieser Attacken sind selten nur die reinen Kommunikationsdaten. S├Ąmtliche Informationen, die sich auf dem betroffenen Ger├Ąt befinden, sind von potenziellem Interesse.

Eine Besonderheit der Man-in-the-Middle-Attacke besteht darin, dass sie auch starke Verschl├╝sselungstechniken umgeht. Auch wenn die beteiligten kommunizierenden Partner ihre Daten verschl├╝sseln, kann der in der Mitte befindliche Angreifer diese entschl├╝sseln. Anschlie├čend leitet er sie an den anderen Partner weiter. Hierbei verh├Ąlt er sich ├Ąhnlich wie ein Proxy. Dies setzt die M├Âglichkeit des Aufbaus einer Verbindungsanfrage durch den Mittelsmann voraus. Ebenso funktioniert dieser Angriff nur, wenn die Kommunikationspartner keine Anstrengungen unternehmen, die Identit├Ąt des jeweils anderen zu ├╝berpr├╝fen. Ein Beispiel f├╝r eine gef├Ąhrliche Man-in-the-Middle-Attacke ist das Entschl├╝sseln gesicherter SSL-Verbindungen im Online-Banking.

Die einfachste Form einer MITM-Attacke l├Ąsst sich im Offline-Bereich gut veranschaulichen. Sie entspricht einem neugierigen Brieftr├Ąger, der Briefe abf├Ąngt, ├Âffnet oder manipuliert und anschlie├čend weiterleitet. Auf Cyber-Angriffe bezogen findet sich ein anschauliches Beispiel in einem Hacker, der zwischen den Parteien Webbrowser und Webseite sitzt.

Hierbei f├Ąngt er die Informationen ab, die der Browser beziehungsweise der Nutzer an die Webseite schickt. Handelt es sich um wertvolle Login-Daten oder um Online-Banking-PINs, kann erheblicher Schaden f├╝r den Nutzer entstehen.

Wie funktioniert eine MITM-Attacke?

Grunds├Ątzliches Funktionsprinzip ist das Einklinken eines Dritten in das Kommunikations-Schema zweier Parteien, die einander vertrauen. Hierbei kann es sich um Menschen oder um technische Einheiten (beispielsweise Browser) handeln. Der Angreifer gibt vor, seine Datenpakete k├Ąmen von einem Computer, dem der Angegriffene vertraut. Die falsche Identit├Ąt des Angreifers veranlasst das Opfer dazu, ihm s├Ąmtliche gew├╝nschten Informationen oder Datenpakete zukommen zu lassen. Dies erm├Âglicht es dem Angreifenden, die Daten auszuwerten oder auch zu manipulieren.

Viele Einheiten k├Ânnen grunds├Ątzlich zur Zielscheibe einer Man-in-the-Middle-Attacke werden. Oft richten sich die Angriffe an Router, WLAN-Zug├Ąnge oder Gateways. An s├Ąmtlichen Stellen, an denen Datenpakete ausgetauscht oder weitergeleitet werden k├Ânnen, kann es zu Mittelsmannangriffen kommen.

Nicht nur Privatpersonen, sondern auch zentrale Web-Schnittstellen k├Ânnen belauscht werden, so etwa durch Ermittler oder Geheimdienstmitarbeiter.

Besonders h├Ąufig wird gezielt der Informationsverkehr einer bestimmten Zielperson Opfer einer solchen Attacke. Hierf├╝r gibt es den einfachen Weg ├╝ber das offene WLAN. Insbesondere in ├Âffentlichen WLAN-Zug├Ąngen, beispielsweise in Caf├ęs oder Hotels haben Mittelsm├Ąnner daher leichtes Spiel. Die m├Âglichen Angriffspunkte sind jedoch zahlreich. Der Vorgang der Man-in-the-Middle-Attacke ist meist aufwendig, weshalb typischerweise nur eine vorhersehbare Kommunikation Opfer eines solchen Angriffs wird. Ein aktiver Angriff erfordert es vom Mittelsmann, zur rechten Zeit am rechten Ort zu sein. Nur dann ist gew├Ąhrleistet, dass der den Datenverkehr abgreifen und die Kommunikation manipulieren kann.

Bestimmte Varianten von Man-in-the-Middle-Angriffen sehen die Ausf├╝hrung eines Skripts auf dem Zielger├Ąt vor. H├Ąufig kommt JavaScript zum Einsatz. Dieses Skript kann ein Hacker als Mittelsmann in eine Webseite einbauen, wenn diese unverschl├╝sselt ist. Damit dies funktioniert, muss gew├Ąhrleistet sein, dass dieser JavaScript-Code ausgef├╝hrt wird. W├Ąhrend Web-Browser dieses Skript in der Regel ausf├╝hren werden, ist es im Falle von Mail-Programmen oder Social-Media-Clients unwahrscheinlich.
Zus├Ątzliche Eintrittspforten f├╝r Angriffe bieten schwache, unsichere Passw├Ârter. Ebenso bergen ├Âffentlich bekannte Sicherheitsl├╝cken unterschiedlicher Softwarel├Âsungen zus├Ątzliche Sicherheitsrisiken.

Angriffspunkte und Arten von Man-in-the-Middle-Attacken

Hacker haben im Zeitverlauf mehrere Angriffsstellen f├╝r MITM-Attacken gefunden. Schon mit vergleichsweise geringem Aufwand ist es m├Âglich, an g├╝nstige Hacking-Werkzeuge zu gelangen und diese anzuwenden. Selbst Unternehmen, die sich in Sicherheit wiegen, sind derlei Angriffen ausgesetzt. Es gibt mehrere sicherheitsrelevante Schnittstellen in Organisationen, an denen Mittelsm├Ąnner ansetzen k├Ânnen.

Zu den am weitesten verbreiteten Man-in-the-Middle-Attacken geh├Âren die Techniken des Hijackings. Insbesondere E-Mail- und Session-Hijacking sind in diesem Zusammenhang zu nennen.

Das Email-Hijacking ist eine Angriffs-Taktik, die insbesondere auf die E-Mail-Konten gr├Â├čerer Organisationen ausgerichtet ist. Insbesondere Banken und andere Institute aus der Finanzbranche sind betroffen. Der Zugang zu wichtigen Konten ist das Ziel der Hijacker. Diese ├╝berwachen die exakten Konten-Transaktionen genau und zielen darauf ab, ihre Angriffe besonders authentisch und damit unbemerkt zu starten. Ein typisches Szenario, in dem ein Mittelsmann mit dieser Technik aktiv wird, ist die ├ťberweisung von Geld durch einen Kunden. Der Hijacker kann antworten, indem er eine gef├Ąlschte E-Mail-Adresse des Unternehmens nutzt. Die Bankverbindungs-Daten der Organisation werden dann durch die eigene ausgetauscht. W├Ąhrend der Kunde im Glauben ist, die ├ťberweisung an das korrekte Konto des Unternehmens zu t├Ątigen, erfolgt die Buchung auf das Konto des Mittelsmanns.

Diese Form pers├Ânlicher Bereicherung durch Angreifer trifft nicht nur gro├če Unternehmen, sondern auch kleinere Organisationen und Privatleute. Vor wenigen Jahren wurde der Fall eines Londoner Immobilieneigent├╝mers bekannt, der seine Bankverbindung seinem Anwalt per E-Mail mitteilte. Es ging um einen Verkaufserl├Âs von ├╝ber 300.000 Euro. Mittelsm├Ąnner hatten sich Zugang auf sein E-Mail-Konto verschafft und konnten somit seine Kommunikations-Aktivit├Ąten ├╝berwachen. Als es um den Hausverkauf ging, schickten die Angreifer unter Vorgabe der Identit├Ąt des Verk├Ąufers eine weitere Mail an den Anwalt. Darin gaben sie ein eigenes Konto an, um den Verkaufserl├Âs zu erhalten. Zwar gelang es dem Betroffenen, den gr├Â├čeren Teil des Geldes wiederzuerlangen, doch zeigt dieses Beispiel, welchen Schaden auch Privatleute durch E-Mail-Hijacking erleiden k├Ânnen.

Eine andere verbreitete Form des Hijackings ist das sogenannte Session-Hijacking. Mit jedem Log-in auf einer Webseite entsteht eine Verbindung zwischen Computer beziehungsweise Browser und Webseite. Diese Verbindungen werden auch als Sessions bezeichnet, wovon sich der Name des gezielten Angriffs auf diese Sessions ableitet. Hackern stehen mehrere Taktiken des Hijackings dieser Sessions zu Gebote. Beliebt ist der Diebstahl der Cookies des Browsers. Diese Cookies haben die Aufgabe, gewisse Datenpakete zu speichern, um Nutzern ein angenehmeres Browsen zu erm├Âglichen. Zu den gespeicherten Daten geh├Âren Surf-Aktivit├Ąten, Log-in-Daten, bereits ausgef├╝llte Formulare oder auch Standorte. Dies birgt die Gefahr, dass sensible Log-in-Daten, beispielsweise Online-Banking-Informationen von Mittelsm├Ąnnern abgegriffen werden. Zugriff zu den Log-in-Cookies gen├╝gt f├╝r Mittelsm├Ąnner, sich selbst einzuloggen und mit der Identit├Ąt der Nutzer zu agieren.

Angriffe auf das WLAN sind im Rahmen von Man-in-the-Middle-Attacken gleichfalls beliebt. Offene WLAN-Verbindungen sind f├╝r Hacker ein leichtes Ziel. Auch die Einrichtung eigener WLAN-Connections mit authentisch klingenden Bezeichnungen durch Angreifer sind verbreitet. Hierbei m├╝ssen Mittelsm├Ąnner lediglich auf die Aufnahme der Verbindung durch den Betroffenen warten. Anschlie├čend ist bereits der Zugriff auf das verbindende Ger├Ąt m├Âglich. Ebenso ist die Einrichtung legitim erscheinender WLAN-Knoten m├Âglich. Die gef├Ąlschten Knoten wirken wie legitime Zugangspunkte und erm├Âglichen den Zugriff auf Informationen und Daten derjenigen, die eine Verbindung aufbauen.

Abwehr und Verteidigungsma├čnahmen

Die meisten Abwehrma├čnahmen und Verteidigungsm├Âglichkeiten finden sich aufseiten der betroffenen Ger├Ąte, insbesondere der Router oder Server. Damit haben Anwender meist keine M├Âglichkeit, die Sicherheit des Datenaustauschs oder einer Transaktion aktiv zu kontrollieren. Eine der wichtigsten Verteidigungsoptionen besteht in der Nutzung einer starken Verschl├╝sselung zwischen dem Client und dem Server. Dies erm├Âglicht es dem Server, sich ├╝ber ein g├╝ltiges digitales Zertifikat zu authentifizieren. Server und Client ist es im Anschluss m├Âglich, einen sicheren, verschl├╝sselten Kommunikationskanal aufzubauen, ├╝ber den auch der Austausch sensibler Daten m├Âglich ist.

Auf Anwenderseite ist es wichtig, ein Bewusstsein f├╝r die Gefahr durch Man-in-the-Middle-Attacken sowie ihre Einfallstore zu entwickeln. Bei hinreichender Sensibilisierung vermeiden Nutzer es, unbedarft Verbindungen zu offenen WLAN-Routern herzustellen. Mit der Nutzung bestimmter Browser-Plug-ins wie HTTPS Everywhere steigt die Wahrscheinlichkeit, dass sichere Verbindungen aufgebaut werden. Jedoch gilt es zu ber├╝cksichtigen, dass Verteidigungsoptionen an ihre Grenzen gelangen k├Ânnen. Es sind Angriffe bekannt, bei denen die Sicherheit verschl├╝sselter SSL-Verbindungen aufgehoben werden konnte.

Eine zertifikatbasierte Authentifizierung verhindert, dass Mittelsm├Ąnner in fremde Systeme wie etwa WLAN-Netze eindringen k├Ânnen. In diesem Falle k├Ânnen nur diejenigen Personen zugreifen, die g├╝ltige Zertifikate vorweisen. Zertifikate ben├Âtigen dabei keine zus├Ątzliche Hardware und ihre Bereitstellung l├Ąsst sich automatisieren.

Bei der E-Mail-Kommunikation bietet S/MIME einen Verschl├╝sselungsstandard. Die Secure/Multipurpose Internet Mail Extensions gew├Ąhrleisten eine Verschl├╝sselung der E-Mails im Speicher. Auf diese Weise wird sichergestellt, dass nur der angestrebte Empf├Ąnger sie lesen kann. Mittelsm├Ąnnern oder Hackern wird hierbei keine M├Âglichkeit gegeben, sich dazwischenzuschalten, Nachrichten abzufangen oder zu manipulieren. Zudem erm├Âglicht S/MIME die Signatur der E-Mails mittels digitalen Zertifikaten. Dieses Zertifikat ist f├╝r jedes beteiligte Individuum einzigartig. Damit ist die Identit├Ąt der einzelnen Person an die jeweilige Mail gekoppelt. Dies bietet E-Mail-Empf├Ąngern Sicherheit, dass die Mail tats├Ąchlich vom angenommenen Kommunikationspartner und nicht von einem Man-in-the-Middle stammt.

Stellenwert in der Suchmaschinenoptimierung: Sicherheit als Rankingfaktor

Suchmaschinen-Betreiber und SEO-Experten fordern Webseiten-Betreiber immer wieder dazu auf, f├╝r ein hohes Ma├č an Sicherheit auf ihrer Webpr├Ąsenz zu sorgen. Google f├╝hrt beispielsweise die Nutzung von SSL-Verschl├╝sselung bereits seit 2014 offiziell als Rankingfaktor. Bei Nutzung dieser Technik sinkt die Bedrohung durch einen Man-in-the-Middle-Angriff erheblich, wenngleich sie nicht vollst├Ąndig ausgeschlossen werden kann.

Zur Gew├Ąhrleistung eines hinreichenden Schutzes vor Man-in-the-Middle-Attacken ist es zudem erforderlich, dass Seitenbetreiber auf regelm├Ą├čige Updates achten. Dies betrifft sowohl die Server als auch die verwendete Software. Suchmaschinen achten auch ├╝ber die SSL-Verschl├╝sselung hinaus auf Sicherheit. Wenn Webseiten in der Google Search Console angemeldet sind, spricht Google etwa Warnungen an Webmaster aus, sofern Hacks der Seite zu bef├╝rchten sind.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte