Glossar

Man-in-the-Middle Angriffe: Definition, Funktionsweise, Schutzmaßnahmen

Sebastian
von
Sebastian
Sebastian
vonSebastian
Ich bin Sebastian, Gründer von Sicherheitsradar.de 🙂✌️ IT-Sicherheit ist für mich nicht nur ein Beruf, sondern eine echte Leidenschaft. Seit 2019 arbeite ich im Bereich Cybersecurity...
Follow:
15 Minuten Lesezeit

Man-in-the-Middle (MITM) Angriffe gehören zu den gefährlichsten und häufigsten Bedrohungen in der IT-Sicherheit. Bei diesen Angriffen positioniert sich ein Angreifer zwischen zwei kommunizierenden Parteien und kann deren Datenverkehr abfangen, mitlesen oder manipulieren. Dieses Glossar erklärt die wichtigsten Begriffe rund um MITM-Angriffe und deren Abwehr.

Inhalt

Definition

Man-in-the-Middle (MITM) / Person-in-the-Middle (PITM) bezeichnet einen Cyberangriff, bei dem sich ein Angreifer heimlich zwischen zwei kommunizierende Parteien schaltet. Der Angreifer kann die Kommunikation abhören, manipulieren oder stören, ohne dass die beteiligten Parteien dies bemerken. Die Bezeichnung „Person-in-the-Middle“ wird zunehmend als geschlechtsneutrale Alternative verwendet.

Beim Eavesdropping (Abhören) handelt es sich um das heimliche Mitlesen oder Mithören von Kommunikation zwischen zwei oder mehreren Parteien. Im Kontext von MITM-Angriffen bezieht sich dies auf das Abfangen und Analysieren von Netzwerkverkehr ohne Wissen der Beteiligten. Eng verwandt ist die Interception (Abfangen) – der Vorgang des Abfangens von Datenpaketen während der Übertragung zwischen Sender und Empfänger. Dies ermöglicht es Angreifern, sensible Informationen wie Passwörter, Kreditkartendaten oder persönliche Nachrichten zu stehlen.

Session Hijacking ist eine spezielle Angriffstechnik, bei der ein Angreifer eine bestehende Kommunikationssitzung zwischen einem Benutzer und einem Server übernimmt. Dies geschieht oft durch das Stehlen von Session-Cookies oder Session-IDs. Bei dieser Art des Angriffs nutzt der Angreifer die bereits authentifizierten Verbindungen, um sich als legitimer Benutzer auszugeben und Zugriff auf geschützte Ressourcen zu erhalten.

Funktionsweise

Angriffstechniken

ARP Spoofing/ARP Poisoning ist eine grundlegende Technik für MITM-Angriffe auf lokale Netzwerke. Der Angreifer sendet gefälschte ARP-Nachrichten, um seine MAC-Adresse mit der IP-Adresse eines anderen Geräts zu verknüpfen und so den Netzwerkverkehr umzuleiten. Diese Methode ermöglicht es dem Angreifer, sich als Gateway oder als ein anderes Gerät im Netzwerk auszugeben.

DNS Spoofing/DNS Hijacking ist eine Angriffsmethode, bei der DNS-Anfragen manipuliert werden, um Benutzer auf bösartige Websites umzuleiten. Angreifer können DNS-Antworten fälschen oder DNS-Server kompromittieren, um Benutzer zu Phishing-Seiten zu führen. Eine ähnlich effektive Technik ist SSL Stripping, bei dem HTTPS-Verbindungen in unverschlüsselte HTTP-Verbindungen umgewandelt werden. Der Angreifer fungiert als Proxy und baut eine verschlüsselte Verbindung zum Server auf, während er dem Client eine unverschlüsselte Verbindung präsentiert.

Bei Evil Twin (Rogue Access Point) Angriffen erstellen Angreifer einen bösartigen WLAN-Hotspot, der einen legitimen Hotspot imitiert. Der gefälschte Access Point trägt einen vertrauenswürdig klingenden Namen, um Benutzer zur Verbindung zu verleiten und deren Datenverkehr abzufangen. Packet Sniffing ergänzt diese Technik durch das Erfassen und Analysieren von Datenpaketen, die über ein Netzwerk übertragen werden. Spezielle Software wird verwendet, um den Netzwerkverkehr zu überwachen und sensible Informationen zu extrahieren.

Auf einer größeren Skala funktioniert BGP Hijacking – ein Angriff auf das Border Gateway Protocol (BGP), das Internet-Routing steuert. Angreifer können Routing-Tabellen manipulieren, um Datenverkehr über ihre eigenen Server zu leiten und so MITM-Angriffe auf großer Skala durchzuführen. DHCP Spoofing komplettiert das Arsenal der Angriffstechniken: Hierbei wird ein bösartiger DHCP-Server eingerichtet, um Netzwerkkonfigurationsinformationen an Clients zu senden. Dies ermöglicht es Angreifern, sich als Standard-Gateway zu positionieren und den gesamten Netzwerkverkehr zu kontrollieren.

Angriffsvektoren

Unsecured Wi-Fi Networks sind besonders gefährliche Angriffsvektoren für MITM-Angriffe. Öffentliche WLAN-Netzwerke ohne Verschlüsselung bieten Angreifern ideale Bedingungen, um sich leicht in die Kommunikation zwischen Geräten und dem Access Point einzuschalten. Ebenso problematisch sind Compromised Router – kompromittierte Router können als Plattform für MITM-Angriffe dienen, da Angreifer den gesamten Datenverkehr über den Router überwachen und manipulieren können.

Malicious Proxy Server stellen eine weitere Bedrohung dar, da bösartige Proxy-Server als Zwischenstationen für MITM-Angriffe fungieren können. Benutzer, die unwissentlich einen bösartigen Proxy verwenden, leiten ihren gesamten Internetverkehr über den Angreifer. Nicht zu unterschätzen sind auch Bluetooth Attacks – MITM-Angriffe können auch über Bluetooth-Verbindungen durchgeführt werden, wobei sich Angreifer zwischen zwei Bluetooth-Geräte schalten und deren Kommunikation abfangen oder manipulieren können.

Technische Komponenten

Der TLS/SSL Handshake ist der Aushandlungsprozess zwischen Client und Server zu Beginn einer verschlüsselten Verbindung. Während dieses Prozesses werden Verschlüsselungsparameter vereinbart und die Identität des Servers überprüft. Dabei kommen Digital Certificates zum Einsatz – elektronische Dokumente, die die Identität einer Person, Organisation oder eines Geräts bestätigen. Sie enthalten öffentliche Schlüssel und werden von vertrauenswürdigen Certificate Authorities (CA) signiert. Diese CAs sind vertrauenswürdige Organisationen, die digitale Zertifikate ausstellen und deren Gültigkeit bestätigen, wodurch sie eine zentrale Rolle bei der Sicherstellung der Authentizität von Online-Kommunikation spielen.

Die Public Key Infrastructure (PKI) bildet das Framework aus Richtlinien, Verfahren und Technologien zur Verwaltung digitaler Zertifikate und öffentlicher Schlüssel, das die Basis für sichere Kommunikation und Authentifizierung in digitalen Systemen darstellt. Angreifer versuchen oft, diese Sicherheitsmechanismen zu umgehen oder zu kompromittieren, um ihre MITM-Angriffe erfolgreich durchzuführen.

Schutzmaßnahmen

Verschlüsselung und Authentifizierung

End-to-End Encryption ist eine der wirksamsten Schutzmaßnahmen gegen MITM-Angriffe. Bei dieser Verschlüsselungsmethode werden Daten vom Sender verschlüsselt und erst beim Empfänger entschlüsselt. Selbst wenn ein MITM-Angreifer die Kommunikation abfängt, kann er den Inhalt nicht lesen. Ergänzend dazu ist die Certificate Validation entscheidend – der Prozess der Überprüfung der Gültigkeit und Authentizität digitaler Zertifikate. Ordnungsgemäße Zertifikatvalidierung hilft dabei, gefälschte oder kompromittierte Zertifikate zu erkennen.

Certificate Pinning ist eine wichtige Sicherheitstechnik, bei der eine Anwendung nur bestimmte, vorab festgelegte Zertifikate oder Zertifizierungsstellen akzeptiert. Dies verhindert MITM-Angriffe, die auf gefälschten oder kompromittierten Zertifikaten basieren. HSTS (HTTP Strict Transport Security) ergänzt diese Sicherheitsmaßnahmen als Mechanismus, der Browser dazu zwingt, nur verschlüsselte HTTPS-Verbindungen zu einer Website zu verwenden. HSTS verhindert SSL Stripping-Angriffe, indem es HTTP-Verbindungen blockiert und somit eine wichtige Verteidigungslinie gegen MITM-Angriffe bildet.

Netzwerksicherheit

VPN (Virtual Private Network) Verbindungen schaffen einen verschlüsselten Tunnel zwischen einem Gerät und einem VPN-Server, der die gesamte Internetkommunikation schützt. VPNs sind besonders wichtig beim Surfen in unsicheren Netzwerken wie öffentlichen WLAN-Hotspots. Network Segmentation ergänzt diese Maßnahmen durch die Aufteilung eines Netzwerks in kleinere, isolierte Segmente. Dies begrenzt die Auswirkungen eines erfolgreichen MITM-Angriffs und erschwert es Angreifern, sich seitlich durch das Netzwerk zu bewegen.

Intrusion Detection Systems (IDS) vervollständigen die Verteidigungsstrategie als Sicherheitssysteme, die Netzwerkverkehr und Systemaktivitäten auf verdächtige Muster überwachen. IDS können MITM-Angriffe erkennen, indem sie ungewöhnliche Kommunikationsmuster oder Anomalien im Netzwerkverkehr identifizieren und so frühzeitig vor laufenden Angriffen warnen. Diese Systeme sind besonders wertvoll, da sie automatisiert arbeiten und rund um die Uhr Schutz bieten können.

Fazit

Man-in-the-Middle Angriffe stellen eine ernsthafte Bedrohung für die Datensicherheit dar. Das Verständnis der verschiedenen Angriffstechniken und Schutzmaßnahmen ist entscheidend für die Entwicklung einer effektiven IT-Sicherheitsstrategie. Durch die Implementierung von Verschlüsselung, ordnungsgemäßer Zertifikatvalidierung und anderen Sicherheitsmaßnahmen können Organisationen und Einzelpersonen das Risiko von MITM-Angriffen erheblich reduzieren.

Die kontinuierliche Weiterbildung und Sensibilisierung für diese Bedrohungen ist ein wichtiger Baustein für eine umfassende Cybersicherheit.

Man-in-the-Middle (MITM) Angriffe gehören zu den gefährlichsten und häufigsten Bedrohungen in der IT-Sicherheit. Bei diesen Angriffen positioniert sich ein Angreifer zwischen zwei kommunizierenden Parteien und kann deren Datenverkehr abfangen, mitlesen oder manipulieren. Dieses Glossar erklärt die wichtigsten Begriffe rund um MITM-Angriffe und deren Abwehr.

Grundlegende Begriffe

Man-in-the-Middle (MITM) / Person-in-the-Middle (PITM) bezeichnet einen Cyberangriff, bei dem sich ein Angreifer heimlich zwischen zwei kommunizierende Parteien schaltet. Der Angreifer kann die Kommunikation abhören, manipulieren oder stören, ohne dass die beteiligten Parteien dies bemerken. Die Bezeichnung „Person-in-the-Middle“ wird zunehmend als geschlechtsneutrale Alternative verwendet.

Beim Eavesdropping (Abhören) handelt es sich um das heimliche Mitlesen oder Mithören von Kommunikation zwischen zwei oder mehreren Parteien. Im Kontext von MITM-Angriffen bezieht sich dies auf das Abfangen und Analysieren von Netzwerkverkehr ohne Wissen der Beteiligten. Eng verwandt ist die Interception (Abfangen) – der Vorgang des Abfangens von Datenpaketen während der Übertragung zwischen Sender und Empfänger. Dies ermöglicht es Angreifern, sensible Informationen wie Passwörter, Kreditkartendaten oder persönliche Nachrichten zu stehlen.

Session Hijacking ist eine spezielle Angriffstechnik, bei der ein Angreifer eine bestehende Kommunikationssitzung zwischen einem Benutzer und einem Server übernimmt. Dies geschieht oft durch das Stehlen von Session-Cookies oder Session-IDs. Eine weitere grundlegende Technik ist ARP Spoofing/ARP Poisoning – ein Angriff auf das Address Resolution Protocol (ARP) in lokalen Netzwerken. Der Angreifer sendet gefälschte ARP-Nachrichten, um seine MAC-Adresse mit der IP-Adresse eines anderen Geräts zu verknüpfen und so den Netzwerkverkehr umzuleiten.

Spezielle MITM-Techniken

DNS Spoofing/DNS Hijacking ist eine Angriffsmethode, bei der DNS-Anfragen manipuliert werden, um Benutzer auf bösartige Websites umzuleiten. Angreifer können DNS-Antworten fälschen oder DNS-Server kompromittieren, um Benutzer zu Phishing-Seiten zu führen. Eine ähnlich effektive Technik ist SSL Stripping, bei dem HTTPS-Verbindungen in unverschlüsselte HTTP-Verbindungen umgewandelt werden. Der Angreifer fungiert als Proxy und baut eine verschlüsselte Verbindung zum Server auf, während er dem Client eine unverschlüsselte Verbindung präsentiert.

Bei Evil Twin (Rogue Access Point) Angriffen erstellen Angreifer einen bösartigen WLAN-Hotspot, der einen legitimen Hotspot imitiert. Der gefälschte Access Point trägt einen vertrauenswürdig klingenden Namen, um Benutzer zur Verbindung zu verleiten und deren Datenverkehr abzufangen. Packet Sniffing ergänzt diese Technik durch das Erfassen und Analysieren von Datenpaketen, die über ein Netzwerk übertragen werden. Spezielle Software wird verwendet, um den Netzwerkverkehr zu überwachen und sensible Informationen zu extrahieren.

Auf einer größeren Skala funktioniert BGP Hijacking – ein Angriff auf das Border Gateway Protocol (BGP), das Internet-Routing steuert. Angreifer können Routing-Tabellen manipulieren, um Datenverkehr über ihre eigenen Server zu leiten und so MITM-Angriffe auf großer Skala durchzuführen. DHCP Spoofing komplettiert das Arsenal der Angriffstechniken: Hierbei wird ein bösartiger DHCP-Server eingerichtet, um Netzwerkkonfigurationsinformationen an Clients zu senden. Dies ermöglicht es Angreifern, sich als Standard-Gateway zu positionieren und den gesamten Netzwerkverkehr zu kontrollieren.

Technische Komponenten

Certificate Pinning ist eine wichtige Sicherheitstechnik, bei der eine Anwendung nur bestimmte, vorab festgelegte Zertifikate oder Zertifizierungsstellen akzeptiert. Dies verhindert MITM-Angriffe, die auf gefälschten oder kompromittierten Zertifikaten basieren. Die Grundlage dafür bildet die Public Key Infrastructure (PKI) – ein Framework aus Richtlinien, Verfahren und Technologien zur Verwaltung digitaler Zertifikate und öffentlicher Schlüssel, das die Basis für sichere Kommunikation und Authentifizierung in digitalen Systemen darstellt.

Der TLS/SSL Handshake ist der Aushandlungsprozess zwischen Client und Server zu Beginn einer verschlüsselten Verbindung. Während dieses Prozesses werden Verschlüsselungsparameter vereinbart und die Identität des Servers überprüft. Dabei kommen Digital Certificates zum Einsatz – elektronische Dokumente, die die Identität einer Person, Organisation oder eines Geräts bestätigen. Sie enthalten öffentliche Schlüssel und werden von vertrauenswürdigen Certificate Authorities (CA) signiert. Diese CAs sind vertrauenswürdige Organisationen, die digitale Zertifikate ausstellen und deren Gültigkeit bestätigen, wodurch sie eine zentrale Rolle bei der Sicherstellung der Authentizität von Online-Kommunikation spielen.

HSTS (HTTP Strict Transport Security) ergänzt diese Sicherheitsmaßnahmen als Mechanismus, der Browser dazu zwingt, nur verschlüsselte HTTPS-Verbindungen zu einer Website zu verwenden. HSTS verhindert SSL Stripping-Angriffe, indem es HTTP-Verbindungen blockiert und somit eine wichtige Verteidigungslinie gegen MITM-Angriffe bildet.

Schutzmaßnahmen

End-to-End Encryption ist eine der wirksamsten Schutzmaßnahmen gegen MITM-Angriffe. Bei dieser Verschlüsselungsmethode werden Daten vom Sender verschlüsselt und erst beim Empfänger entschlüsselt. Selbst wenn ein MITM-Angreifer die Kommunikation abfängt, kann er den Inhalt nicht lesen. Ergänzend dazu ist die Certificate Validation entscheidend – der Prozess der Überprüfung der Gültigkeit und Authentizität digitaler Zertifikate. Ordnungsgemäße Zertifikatvalidierung hilft dabei, gefälschte oder kompromittierte Zertifikate zu erkennen.

VPN (Virtual Private Network) Verbindungen schaffen einen verschlüsselten Tunnel zwischen einem Gerät und einem VPN-Server, der die gesamte Internetkommunikation schützt. VPNs sind besonders wichtig beim Surfen in unsicheren Netzwerken wie öffentlichen WLAN-Hotspots. Network Segmentation ergänzt diese Maßnahmen durch die Aufteilung eines Netzwerks in kleinere, isolierte Segmente. Dies begrenzt die Auswirkungen eines erfolgreichen MITM-Angriffs und erschwert es Angreifern, sich seitlich durch das Netzwerk zu bewegen.

Intrusion Detection Systems (IDS) vervollständigen die Verteidigungsstrategie als Sicherheitssysteme, die Netzwerkverkehr und Systemaktivitäten auf verdächtige Muster überwachen. IDS können MITM-Angriffe erkennen, indem sie ungewöhnliche Kommunikationsmuster oder Anomalien im Netzwerkverkehr identifizieren und so frühzeitig vor laufenden Angriffen warnen.

Angriffsvektoren

Unsecured Wi-Fi Networks sind besonders gefährliche Angriffsvektoren für MITM-Angriffe. Öffentliche WLAN-Netzwerke ohne Verschlüsselung bieten Angreifern ideale Bedingungen, um sich leicht in die Kommunikation zwischen Geräten und dem Access Point einzuschalten. Ebenso problematisch sind Compromised Router – kompromittierte Router können als Plattform für MITM-Angriffe dienen, da Angreifer den gesamten Datenverkehr über den Router überwachen und manipulieren können.

Malicious Proxy Server stellen eine weitere Bedrohung dar, da bösartige Proxy-Server als Zwischenstationen für MITM-Angriffe fungieren können. Benutzer, die unwissentlich einen bösartigen Proxy verwenden, leiten ihren gesamten Internetverkehr über den Angreifer. Nicht zu unterschätzen sind auch Bluetooth Attacks – MITM-Angriffe können auch über Bluetooth-Verbindungen durchgeführt werden, wobei sich Angreifer zwischen zwei Bluetooth-Geräte schalten und deren Kommunikation abfangen oder manipulieren können.

Fazit

Man-in-the-Middle Angriffe stellen eine ernsthafte Bedrohung für die Datensicherheit dar. Das Verständnis der verschiedenen Angriffstechniken und Schutzmaßnahmen ist entscheidend für die Entwicklung einer effektiven IT-Sicherheitsstrategie. Durch die Implementierung von Verschlüsselung, ordnungsgemäßer Zertifikatvalidierung und anderen Sicherheitsmaßnahmen können Organisationen und Einzelpersonen das Risiko von MITM-Angriffen erheblich reduzieren.

Die kontinuierliche Weiterbildung und Sensibilisierung für diese Bedrohungen ist ein wichtiger Baustein für eine umfassende Cybersicherheit.

TAGGED:
Sebastian
vonSebastian
Follow:
Ich bin Sebastian, Gründer von Sicherheitsradar.de 🙂✌️ IT-Sicherheit ist für mich nicht nur ein Beruf, sondern eine echte Leidenschaft. Seit 2019 arbeite ich im Bereich Cybersecurity und beschäftige mich täglich mit der Frage, wie sich Systeme, Daten und Menschen besser schützen lassen.
Vorheriger Beitrag Ransomware im Glossar erklärt Ransomware: Definition, Funktionsweise und Schutzmaßnahmen
Nächster Beitrag Mobile Security Apps – Sinnvoller Schutz oder überflüssiges Marketing?

Über mich

Sebastian
vonSebastian
Follow:
Ich bin Sebastian, Gründer von Sicherheitsradar.de 🙂✌️ IT-Sicherheit ist für mich nicht nur ein Beruf, sondern eine echte Leidenschaft. Seit 2019 arbeite ich im Bereich Cybersecurity und beschäftige mich täglich mit der Frage, wie sich Systeme, Daten und Menschen besser schützen lassen.

Beliebte Beiträge 🔥

Mehr Sicherheit für dich: