Man-in-the-Middle

man-in-the-middle

Copyright © Shutterstock / shaneinsweden

Was bedeutet Man-in-the-Middle?

Bei Man-in-the-Middle (MITM) handelt es sich um einen Angriff durch einen Dritten, der sich zwischen zwei Kommunizierende schaltet. Hierbei spielt er den Beteiligten jeweils die Identit√§t des Kommunikationspartners vor. Oftmals sind Man-in-the-Middle-Attacken darauf ausgelegt, andernfalls sichere Verschl√ľsselungstechniken auszuschalten. Der Man-in-the-Middle-Angriff ist auch als Mittelsmannattacke oder Janusangriff bekannt.

√úberblick und Allgemeines

Von einem Man-in-the-Middle-Angriff ist die Rede, wenn eine au√üenstehende, dritte Partei die Kommunikation zweier Systeme abf√§ngt. Diese Form von Attacke ist in jeder Form der Online-Kommunikation denkbar. Diese kann etwa via E-Mail oder √ľber Social-Media-Kan√§le erfolgen. Der Dritte belauscht hierbei die Kommunikation, f√§ngt Daten ab oder t√§uscht dem jeweiligen Partner eine falsche Identit√§t vor. Zielscheibe dieser Attacken sind selten nur die reinen Kommunikationsdaten. S√§mtliche Informationen, die sich auf dem betroffenen Ger√§t befinden, sind von potenziellem Interesse.

Eine Besonderheit der Man-in-the-Middle-Attacke besteht darin, dass sie auch starke Verschl√ľsselungstechniken umgeht. Auch wenn die beteiligten kommunizierenden Partner ihre Daten verschl√ľsseln, kann der in der Mitte befindliche Angreifer diese entschl√ľsseln. Anschlie√üend leitet er sie an den anderen Partner weiter. Hierbei verh√§lt er sich √§hnlich wie ein Proxy. Dies setzt die M√∂glichkeit des Aufbaus einer Verbindungsanfrage durch den Mittelsmann voraus. Ebenso funktioniert dieser Angriff nur, wenn die Kommunikationspartner keine Anstrengungen unternehmen, die Identit√§t des jeweils anderen zu √ľberpr√ľfen. Ein Beispiel f√ľr eine gef√§hrliche Man-in-the-Middle-Attacke ist das Entschl√ľsseln gesicherter SSL-Verbindungen im Online-Banking.

Die einfachste Form einer MITM-Attacke lässt sich im Offline-Bereich gut veranschaulichen. Sie entspricht einem neugierigen Briefträger, der Briefe abfängt, öffnet oder manipuliert und anschließend weiterleitet. Auf Cyber-Angriffe bezogen findet sich ein anschauliches Beispiel in einem Hacker, der zwischen den Parteien Webbrowser und Webseite sitzt.

Hierbei f√§ngt er die Informationen ab, die der Browser beziehungsweise der Nutzer an die Webseite schickt. Handelt es sich um wertvolle Login-Daten oder um Online-Banking-PINs, kann erheblicher Schaden f√ľr den Nutzer entstehen.

Wie funktioniert eine MITM-Attacke?

Grunds√§tzliches Funktionsprinzip ist das Einklinken eines Dritten in das Kommunikations-Schema zweier Parteien, die einander vertrauen. Hierbei kann es sich um Menschen oder um technische Einheiten (beispielsweise Browser) handeln. Der Angreifer gibt vor, seine Datenpakete k√§men von einem Computer, dem der Angegriffene vertraut. Die falsche Identit√§t des Angreifers veranlasst das Opfer dazu, ihm s√§mtliche gew√ľnschten Informationen oder Datenpakete zukommen zu lassen. Dies erm√∂glicht es dem Angreifenden, die Daten auszuwerten oder auch zu manipulieren.

Viele Einheiten können grundsätzlich zur Zielscheibe einer Man-in-the-Middle-Attacke werden. Oft richten sich die Angriffe an Router, WLAN-Zugänge oder Gateways. An sämtlichen Stellen, an denen Datenpakete ausgetauscht oder weitergeleitet werden können, kann es zu Mittelsmannangriffen kommen.

Nicht nur Privatpersonen, sondern auch zentrale Web-Schnittstellen können belauscht werden, so etwa durch Ermittler oder Geheimdienstmitarbeiter.

Besonders h√§ufig wird gezielt der Informationsverkehr einer bestimmten Zielperson Opfer einer solchen Attacke. Hierf√ľr gibt es den einfachen Weg √ľber das offene WLAN. Insbesondere in √∂ffentlichen WLAN-Zug√§ngen, beispielsweise in Caf√©s oder Hotels haben Mittelsm√§nner daher leichtes Spiel. Die m√∂glichen Angriffspunkte sind jedoch zahlreich. Der Vorgang der Man-in-the-Middle-Attacke ist meist aufwendig, weshalb typischerweise nur eine vorhersehbare Kommunikation Opfer eines solchen Angriffs wird. Ein aktiver Angriff erfordert es vom Mittelsmann, zur rechten Zeit am rechten Ort zu sein. Nur dann ist gew√§hrleistet, dass der den Datenverkehr abgreifen und die Kommunikation manipulieren kann.

Bestimmte Varianten von Man-in-the-Middle-Angriffen sehen die Ausf√ľhrung eines Skripts auf dem Zielger√§t vor. H√§ufig kommt JavaScript zum Einsatz. Dieses Skript kann ein Hacker als Mittelsmann in eine Webseite einbauen, wenn diese unverschl√ľsselt ist. Damit dies funktioniert, muss gew√§hrleistet sein, dass dieser JavaScript-Code ausgef√ľhrt wird. W√§hrend Web-Browser dieses Skript in der Regel ausf√ľhren werden, ist es im Falle von Mail-Programmen oder Social-Media-Clients unwahrscheinlich.
Zus√§tzliche Eintrittspforten f√ľr Angriffe bieten schwache, unsichere Passw√∂rter. Ebenso bergen √∂ffentlich bekannte Sicherheitsl√ľcken unterschiedlicher Softwarel√∂sungen zus√§tzliche Sicherheitsrisiken.

Angriffspunkte und Arten von Man-in-the-Middle-Attacken

Hacker haben im Zeitverlauf mehrere Angriffsstellen f√ľr MITM-Attacken gefunden. Schon mit vergleichsweise geringem Aufwand ist es m√∂glich, an g√ľnstige Hacking-Werkzeuge zu gelangen und diese anzuwenden. Selbst Unternehmen, die sich in Sicherheit wiegen, sind derlei Angriffen ausgesetzt. Es gibt mehrere sicherheitsrelevante Schnittstellen in Organisationen, an denen Mittelsm√§nner ansetzen k√∂nnen.

Zu den am weitesten verbreiteten Man-in-the-Middle-Attacken gehören die Techniken des Hijackings. Insbesondere E-Mail- und Session-Hijacking sind in diesem Zusammenhang zu nennen.

Das Email-Hijacking ist eine Angriffs-Taktik, die insbesondere auf die E-Mail-Konten gr√∂√üerer Organisationen ausgerichtet ist. Insbesondere Banken und andere Institute aus der Finanzbranche sind betroffen. Der Zugang zu wichtigen Konten ist das Ziel der Hijacker. Diese √ľberwachen die exakten Konten-Transaktionen genau und zielen darauf ab, ihre Angriffe besonders authentisch und damit unbemerkt zu starten. Ein typisches Szenario, in dem ein Mittelsmann mit dieser Technik aktiv wird, ist die √úberweisung von Geld durch einen Kunden. Der Hijacker kann antworten, indem er eine gef√§lschte E-Mail-Adresse des Unternehmens nutzt. Die Bankverbindungs-Daten der Organisation werden dann durch die eigene ausgetauscht. W√§hrend der Kunde im Glauben ist, die √úberweisung an das korrekte Konto des Unternehmens zu t√§tigen, erfolgt die Buchung auf das Konto des Mittelsmanns.

Diese Form pers√∂nlicher Bereicherung durch Angreifer trifft nicht nur gro√üe Unternehmen, sondern auch kleinere Organisationen und Privatleute. Vor wenigen Jahren wurde der Fall eines Londoner Immobilieneigent√ľmers bekannt, der seine Bankverbindung seinem Anwalt per E-Mail mitteilte. Es ging um einen Verkaufserl√∂s von √ľber 300.000 Euro. Mittelsm√§nner hatten sich Zugang auf sein E-Mail-Konto verschafft und konnten somit seine Kommunikations-Aktivit√§ten √ľberwachen. Als es um den Hausverkauf ging, schickten die Angreifer unter Vorgabe der Identit√§t des Verk√§ufers eine weitere Mail an den Anwalt. Darin gaben sie ein eigenes Konto an, um den Verkaufserl√∂s zu erhalten. Zwar gelang es dem Betroffenen, den gr√∂√üeren Teil des Geldes wiederzuerlangen, doch zeigt dieses Beispiel, welchen Schaden auch Privatleute durch E-Mail-Hijacking erleiden k√∂nnen.

Eine andere verbreitete Form des Hijackings ist das sogenannte Session-Hijacking. Mit jedem Log-in auf einer Webseite entsteht eine Verbindung zwischen Computer beziehungsweise Browser und Webseite. Diese Verbindungen werden auch als Sessions bezeichnet, wovon sich der Name des gezielten Angriffs auf diese Sessions ableitet. Hackern stehen mehrere Taktiken des Hijackings dieser Sessions zu Gebote. Beliebt ist der Diebstahl der Cookies des Browsers. Diese Cookies haben die Aufgabe, gewisse Datenpakete zu speichern, um Nutzern ein angenehmeres Browsen zu erm√∂glichen. Zu den gespeicherten Daten geh√∂ren Surf-Aktivit√§ten, Log-in-Daten, bereits ausgef√ľllte Formulare oder auch Standorte. Dies birgt die Gefahr, dass sensible Log-in-Daten, beispielsweise Online-Banking-Informationen von Mittelsm√§nnern abgegriffen werden. Zugriff zu den Log-in-Cookies gen√ľgt f√ľr Mittelsm√§nner, sich selbst einzuloggen und mit der Identit√§t der Nutzer zu agieren.

Angriffe auf das WLAN sind im Rahmen von Man-in-the-Middle-Attacken gleichfalls beliebt. Offene WLAN-Verbindungen sind f√ľr Hacker ein leichtes Ziel. Auch die Einrichtung eigener WLAN-Connections mit authentisch klingenden Bezeichnungen durch Angreifer sind verbreitet. Hierbei m√ľssen Mittelsm√§nner lediglich auf die Aufnahme der Verbindung durch den Betroffenen warten. Anschlie√üend ist bereits der Zugriff auf das verbindende Ger√§t m√∂glich. Ebenso ist die Einrichtung legitim erscheinender WLAN-Knoten m√∂glich. Die gef√§lschten Knoten wirken wie legitime Zugangspunkte und erm√∂glichen den Zugriff auf Informationen und Daten derjenigen, die eine Verbindung aufbauen.

Abwehr und Verteidigungsmaßnahmen

Die meisten Abwehrma√ünahmen und Verteidigungsm√∂glichkeiten finden sich aufseiten der betroffenen Ger√§te, insbesondere der Router oder Server. Damit haben Anwender meist keine M√∂glichkeit, die Sicherheit des Datenaustauschs oder einer Transaktion aktiv zu kontrollieren. Eine der wichtigsten Verteidigungsoptionen besteht in der Nutzung einer starken Verschl√ľsselung zwischen dem Client und dem Server. Dies erm√∂glicht es dem Server, sich √ľber ein g√ľltiges digitales Zertifikat zu authentifizieren. Server und Client ist es im Anschluss m√∂glich, einen sicheren, verschl√ľsselten Kommunikationskanal aufzubauen, √ľber den auch der Austausch sensibler Daten m√∂glich ist.

Auf Anwenderseite ist es wichtig, ein Bewusstsein f√ľr die Gefahr durch Man-in-the-Middle-Attacken sowie ihre Einfallstore zu entwickeln. Bei hinreichender Sensibilisierung vermeiden Nutzer es, unbedarft Verbindungen zu offenen WLAN-Routern herzustellen. Mit der Nutzung bestimmter Browser-Plug-ins wie HTTPS Everywhere steigt die Wahrscheinlichkeit, dass sichere Verbindungen aufgebaut werden. Jedoch gilt es zu ber√ľcksichtigen, dass Verteidigungsoptionen an ihre Grenzen gelangen k√∂nnen. Es sind Angriffe bekannt, bei denen die Sicherheit verschl√ľsselter SSL-Verbindungen aufgehoben werden konnte.

Eine zertifikatbasierte Authentifizierung verhindert, dass Mittelsm√§nner in fremde Systeme wie etwa WLAN-Netze eindringen k√∂nnen. In diesem Falle k√∂nnen nur diejenigen Personen zugreifen, die g√ľltige Zertifikate vorweisen. Zertifikate ben√∂tigen dabei keine zus√§tzliche Hardware und ihre Bereitstellung l√§sst sich automatisieren.

Bei der E-Mail-Kommunikation bietet S/MIME einen Verschl√ľsselungsstandard. Die Secure/Multipurpose Internet Mail Extensions gew√§hrleisten eine Verschl√ľsselung der E-Mails im Speicher. Auf diese Weise wird sichergestellt, dass nur der angestrebte Empf√§nger sie lesen kann. Mittelsm√§nnern oder Hackern wird hierbei keine M√∂glichkeit gegeben, sich dazwischenzuschalten, Nachrichten abzufangen oder zu manipulieren. Zudem erm√∂glicht S/MIME die Signatur der E-Mails mittels digitalen Zertifikaten. Dieses Zertifikat ist f√ľr jedes beteiligte Individuum einzigartig. Damit ist die Identit√§t der einzelnen Person an die jeweilige Mail gekoppelt. Dies bietet E-Mail-Empf√§ngern Sicherheit, dass die Mail tats√§chlich vom angenommenen Kommunikationspartner und nicht von einem Man-in-the-Middle stammt.

Stellenwert in der Suchmaschinenoptimierung: Sicherheit als Rankingfaktor

Suchmaschinen-Betreiber und SEO-Experten fordern Webseiten-Betreiber immer wieder dazu auf, f√ľr ein hohes Ma√ü an Sicherheit auf ihrer Webpr√§senz zu sorgen. Google f√ľhrt beispielsweise die Nutzung von SSL-Verschl√ľsselung bereits seit 2014 offiziell als Rankingfaktor. Bei Nutzung dieser Technik sinkt die Bedrohung durch einen Man-in-the-Middle-Angriff erheblich, wenngleich sie nicht vollst√§ndig ausgeschlossen werden kann.

Zur Gew√§hrleistung eines hinreichenden Schutzes vor Man-in-the-Middle-Attacken ist es zudem erforderlich, dass Seitenbetreiber auf regelm√§√üige Updates achten. Dies betrifft sowohl die Server als auch die verwendete Software. Suchmaschinen achten auch √ľber die SSL-Verschl√ľsselung hinaus auf Sicherheit. Wenn Webseiten in der Google Search Console angemeldet sind, spricht Google etwa Warnungen an Webmaster aus, sofern Hacks der Seite zu bef√ľrchten sind.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte