Ein sogenannter Man-in-the-Middle-Angriff (MITM) ereignet sich, wenn sich eine unbefugte Person zwischen zwei kommunizierenden Computern positioniert und den Datenverkehr heimlich abfängt. Diese Person kann die übertragenen Informationen nicht nur ausspähen, sondern auch manipulieren oder sogar stehlen.
Diese Art von Angriff stellt eine erhebliche Bedrohung für die Cybersicherheit dar. Im Folgenden werden wichtige Aspekte und Schutzmaßnahmen erläutert.
Wenn Dritte mithören: Die Gefahren von MITM-Angriffen
Das Besondere (oder eher Problematische) an MITM-Angriffen ist, dass der Angreifer keinen direkten Zugriff auf Ihren Computer benötigt – weder physisch noch aus der Ferne. Es reicht aus, wenn sich der Angreifer im gleichen Netzwerk wie Sie befindet, um Daten unbemerkt abzufangen oder sogar ein eigenes Netzwerk aufzubauen und Sie dazu zu bewegen, dieses zu nutzen.
Ein häufig genutzter Ansatzpunkt sind ungesicherte, öffentliche WLAN-Netzwerke, wie sie beispielsweise an Flughäfen oder in Cafés zu finden sind. Ein Angreifer kann sich in ein solches Netzwerk einklinken und mithilfe von Tools wie Wireshark den gesamten Datenverkehr erfassen. Anschließend kann er die gesammelten Daten analysieren und möglicherweise sensible Informationen extrahieren.
Durch die weitverbreitete Nutzung von HTTPS, das verschlüsselte Verbindungen zu Websites und Diensten ermöglicht, ist dieser Angriffsvektor zwar etwas weniger erfolgversprechend geworden. Verschlüsselte Daten, die über eine HTTPS-Verbindung übertragen werden, können von einem Angreifer nicht ohne Weiteres entschlüsselt werden.
HTTPS allein bietet jedoch keinen vollständigen Schutz. Es gibt Methoden, mit denen Angreifer diese Verschlüsselung umgehen können.
Bei einem MITM-Angriff kann ein Angreifer versuchen, eine Verbindung von verschlüsselt (HTTPS) auf unverschlüsselt (HTTP) „herabzustufen“, um den Datenverkehr zwischen den Computern zu beobachten.
Eine andere Technik ist das „SSL-Stripping“, bei dem der Angreifer sich in die verschlüsselte Verbindung einschaltet, den Datenverkehr abfängt, modifiziert und dann an das ahnungslose Opfer weiterleitet.
Angriffe auf Netzwerkebene und manipulierte WLAN-Router
MITM-Angriffe können auch auf der Netzwerkebene erfolgen. Ein Beispiel hierfür ist das ARP Cache Poisoning, bei dem ein Angreifer versucht, seine eigene MAC-Adresse mit der IP-Adresse eines Opfers zu verknüpfen. Im Erfolgsfall werden alle an das Opfer gerichteten Daten an den Angreifer umgeleitet.
DNS-Spoofing ist eine ähnliche Angriffsart. DNS fungiert als „Telefonbuch“ des Internets und übersetzt lesbare Domainnamen (wie google.com) in numerische IP-Adressen. Durch DNS-Spoofing kann ein Angreifer legitime Anfragen auf gefälschte Websites umleiten und so Daten stehlen oder Schadsoftware verbreiten.
Eine andere Möglichkeit ist das Einrichten eines gefälschten WLAN-Zugangspunkts oder das Platzieren eines Computers zwischen dem Benutzer und dem Router oder einem Remote-Server.
Viele Menschen sind zu leichtgläubig, wenn es um die Nutzung öffentlicher WLAN-Hotspots geht. Der Anblick von „kostenlosem WLAN“ veranlasst sie oft dazu, die potenziellen Risiken zu ignorieren. Es gibt sogar humorvolle Beispiele dafür, wo Nutzer ungewöhnliche Bedingungen für die Nutzung akzeptieren, wie etwa die Reinigung einer schmutzigen Festivaltoilette, oder sogar ihr Erstgeborenes zu versprechen.
Die Einrichtung eines solchen manipulierten Zugangspunkts ist einfacher als man denkt und es gibt sogar spezielle Hardware, die dies vereinfacht. Diese Produkte sind jedoch in erster Linie für Sicherheitsfachleute gedacht, die Penetrationstests durchführen.
Auch Router selbst können eine Schwachstelle darstellen, da sie häufig mit Standardpasswörtern betrieben werden und ihre Sicherheitsupdates vernachlässigt werden. Ein Angreifer könnte Schadcode in den Router einschleusen und so einen MITM-Angriff aus der Ferne starten.
Malware und MITM-Angriffe
Wie bereits erwähnt, kann ein MITM-Angriff auch erfolgen, ohne dass sich der Angreifer physisch in der Nähe befindet. Eine Möglichkeit dafür ist der Einsatz von Schadsoftware.
Ein Man-in-the-Browser-Angriff (MITB) tritt auf, wenn ein Webbrowser durch Malware infiziert wird. Dies geschieht manchmal über gefälschte Browsererweiterungen, die dem Angreifer fast vollständigen Zugriff auf die Datenübertragung ermöglichen.
Ein Angreifer könnte beispielsweise manipulierte Webseiten anzeigen oder aktive Sitzungen auf Bank- oder Social-Media-Seiten übernehmen und dort Spam verbreiten oder Geld stehlen.
Ein Beispiel dafür ist der SpyEye-Trojaner, der als Keylogger eingesetzt wurde, um Anmeldeinformationen zu stehlen. Er konnte auch Formulare mit zusätzlichen Feldern ergänzen und so weitere persönliche Daten sammeln.
Wie Sie sich schützen können
Es gibt zum Glück Möglichkeiten, sich vor MITM-Angriffen zu schützen. Wie bei jeder Form der Online-Sicherheit ist Wachsamkeit entscheidend. Vermeiden Sie nach Möglichkeit die Nutzung öffentlicher WLAN-Hotspots. Nutzen Sie stattdessen Ihr eigenes Netzwerk, wie z.B. einen mobilen Hotspot.
Ein VPN kann ebenfalls Schutz bieten, indem es den gesamten Datenverkehr zwischen Ihrem Computer und dem Internet verschlüsselt. Wählen Sie jedoch Ihren VPN-Anbieter mit Bedacht, da Ihre Sicherheit vom Vertrauen in diesen abhängt. Wenn Ihr Arbeitgeber Ihnen ein VPN zur Verfügung stellt, sollten Sie dieses unbedingt nutzen.
Um sich vor Malware-basierten MITM-Angriffen (wie MITB) zu schützen, befolgen Sie grundlegende Sicherheitsregeln. Installieren Sie keine unbekannten Anwendungen oder Browsererweiterungen und melden Sie sich von Ihren Online-Konten ab, wenn Sie mit der Arbeit fertig sind. Eine solide Antivirensoftware ist ebenfalls empfehlenswert.