Zum Inhalt springen

Cookies ­čŹ¬

Diese Website verwendet Cookies, die Ihre Zustimmung brauchen.

Eine Frau Mit Kaputze steht im Dunklen und hält Handy vor ihr Gesicht. Durch das Licht des Displays sind ihre Konturen erkenntlich.

Man-in-the-Middle-Attacke: Was ist das und wie funktioniert es?

Auf der d├╝steren Flanke des Internets hat sich ein bl├╝hender Schwarzmarkt rund um gestohlene Identit├Ątsdaten herausgebildet. Mit dem Ziel, in den Besitzstand jener begehrten Informationen zu kommen, werden verschiedene Techniken zum Angriff eingesetzt. Eine oft genutzte und zugleich gewinnversprechende Strategie ist die Man-in-the-Middle-Attacke. Was sich genau dahinter verh├╝llt und wie Sie sich und ihr Unternehmen vor diesen absichern k├Ânnen, verk├╝nden wir Ihnen in den folgenden Kapiteln.

Zuletzt aktualisiert:  

Teilen

Digitale Identit├Ątsdaten liegen bei Internetkriminellen ├Ąu├čerst hoch im Kurs ÔÇô sei es, um diese auf den illegalen Plattformen im dunklen Netz zu verkaufen, oder mit dem Ziel diese f├╝r die alleinigen betr├╝gerischen Machenschaften zu missbrauchen. Kein Wunder demzufolge, dass immer mehr Bedrohungsakteure diesen mit ungeheurem Aufwand ÔÇô und in manchen F├Ąllen sogar in gro├čer Manier auflauern.

Allein in den vergangenen Jahren wurden beispielsweise im Rahmen einer Vielzahl gro├čangelegter Internetangriffe auf namenhafte Unternehmen mehrere Millionen Identit├Ątsdaten erbeutet und preisgegeben. Unter diesen unter anderem T-Mobile, Facebook, LinkedIn, das rote Kreuz sowie Lufthansa.

Um in den Besitzstand dieser gefragten Informationen zu gelangen, greifen Bedrohungsakteure auf das Angebot moderner, aber auch ├Ąlterer Angriffsmethoden zu wie Man-in-the-Middle, ebenfalls namhaft als Janusangriff sowie Mittelsmannangriff.

Wie laufen Man-in-the-Middle-Angriffe ab?

Bei Man-in-the-Middle handelt es sich um eine Angriffsstrategie, bei der ein Bedrohungsakteur heimlich die Datenkommunikation zweier oder mehrerer Kommunikationsbeteiligter infiltriert. Im Zuge dessen f├╝hrt dieser sich in eine Position, bei der jeder Datentraffic ├╝ber seine privaten Systeme navigiert wird, wodurch er in der Position ist, wertvolle Identit├Ątsdaten aufzuhalten, zu lesen oder etwa schier zu manipulieren.
Damit die Man-in-the-Middle-Operation gelingt, ist es wichtig, dass ebenjener Bedrohungsakteur unauff├Ąllig verweilt. Zu diesem Zweck platziert er sich selbst oder eine gef├Ąhrliche Software erst mal zwischen das Opfer sowie jene Internetressource, die vom Opfer genutzt wird, etwa dem E-Mail-Account. Danach gibt er sich bei dem Opfer oder der Ressource als der eigentliche Kommunikationsbeteiligte aus.
Durch diese Positionierung ist der Bedrohungsakteur in der Lage, s├Ąmtliche Datenkommunikation zwischen dem Opfer und der Internetressource zu begutachten sowie zu den eigenen Gunsten zu manipulieren, um weitere verbotene Vorg├Ąnge zu beginnen, zum Beispiel das Manipulieren von Handelstransaktionen oder das Stehlen von geistigem Eigentum.

Die verschiedenen Typen von Man-in-the-Middle-Attacken

Im Laufe der Jahre haben diese Bedrohungsakteure diverse M├Âglichkeiten f├╝r Man-in-the-Middle-Attacken entwickelt. Abh├Ąngig vom Anwendungsbereich kommen unterschiedliche Angriffsvarianten sowie Angriffsmethoden zum Einsatz. Am meist genutzten sind:

Evil-Hotspot/ Rogue Access Point: Bei ebendieser Angriffstechnik richten Bedrohungsakteure ihren WLAN-Zugangspunkt, das hei├čt Hotspot, in einem ├Âffentlichen WLAN-Netz ein, mit dem Ziel, in der Umgebung befindliche Endger├Ąte dazu zu verf├╝hren, ihrer Dom├Ąne beizutreten. Verbindet sich ein Angestellter mit diesem angeblichen ├Âffentlichen WLAN, w├Ąren die Bedrohungsakteure in der Position s├Ąmtliche Datenkommunikation einzusehen und zu verf├Ąlschen.

Ausnutzung von Schwachstellen eines WLAN-Routers: Bei dieser Angriffsmethode nutzen ebendiese Bedrohungsakteure eine Schwachstelle in einem ÔÇ×echtenÔÇť Router aus, mit dem Ziel, die Datenkommunikation von dem Router und dem Benutzer ÔÇ×abzuh├ÂrenÔÇť. Im Gegensatz zum Evil-Hotspot garantiert die Methode einen besseren Gewinn, weil ├╝ber einen l├Ąngeren Zeitabstand eine deutlich gr├Â├čere Menge kostbarer Identit├Ątsdaten ausgelesen werden k├Ânnen.

Man-in-the-Browser-Attacke: Bei dieser Angriffstechnik wird Malware im Browser eines Internetnutzers oder Angestellten installiert. Diese Angriffsmethode funktioniert am besten, sobald diese genutzte Software des betroffenen Rechners auf keinen Fall auf dem neuesten Level ist und deshalb Sicherheitsl├╝cken aufweist. Au├čerdem werden bei der Angriffsform Browser-Plug-Ins eingesetzt, da sie jene Datenkommunikation zwischen dem infiltrierten Nutzer und den besuchten Internetseiten speichert.

DHCP-basierte Angriffe/DHCP-Spoofing: Bei DHCP-basierten Angriffen geben sich die Bedrohungsakteure innerhalb eines LANs als DHCP-Server aus. Auf diese Weise k├Ânnen diese die Vergabe von IP-Adressen steuern, verschiedene Standardgateways sowie DNS-Server eintragen und so die Datenkommunikation auf ihre Systeme umadressieren, mit dem Ziel, sie abzuh├Âren oder etwa zu manipulieren. Dies nennt man auch DHCP-Spoofing. Unerl├Ąsslich f├╝r den Triumph des Angriffs bleibt es, dass sich der Bedrohungsakteur im selben LAN aufh├Ąlt, wie sein Angriffsziel.

ARP-Cache-Poisoning: Bei dieser Angriffsversion setzen Bedrohungsakteure an der Zuteilung von der MAC-Adresse zu einer lokalen IP an. Hierzu manipulieren diese die ARP-Tabellen, mit dem Ziel, den Rechner als WLAN-Access-Point auszugeben. Ist ein ARP-Spoofing gelungen, k├Ânnen Bedrohungsakteure den gesamten ausgehenden Datenverkehr mitlesen oder aufzeichnen, bevor jener an das tats├Ąchliche Gateway geleitet wird. Selbst dabei ist es f├╝r den Triumph des Angriffs unerl├Ąsslich, dass sich der Bedrohungsakteur und das Opfer im gleichen Netz befinden.

DNS-basierte Angriffe: Bei der DNS-basierten Man-in-the-Middle-Attacke, werden vorhandene Eintr├Ąge im Cachespeicher des DNS-Servers verf├Ąlscht. Ziel dabei sei es, dass der DNS-Server mit fehlerhaften, definierten Zieladressen antwortet. Auf diese Weise kann das Opfer unauff├Ąllig auf eine willk├╝rliche, eventuell manipulierte Website geleitet werden. Gelungen ist ein derartiger Angriff durch das Missbrauchen von Sicherheitsl├╝cken ├Ąlterer DNS-Server.

Best Practices zur Verhinderung von Man-in-the-Middle-Angriffen

Eines vorweg: Ohne die richtigen Ma├čnahmen sollte es schwierig sein, Man-in-the-Middle-Attacken zu erkennen. In den meisten F├Ąllen kommt f├╝r eine geraume Zeit nicht mal auf, dass eine Datenkommunikation mitverfolgt wird, sofern keine offenkundige Manipulation ├Ąu├čerst pr├Ąsenter Nachrichteninhalte passiert. Demzufolge werden Man-in-the-Middle-Angriffe erst dann bemerkt, wenn es schon zu sp├Ąt ist.

Da Man-in-the-Middle-Attacken enorme Sch├Ąden anrichten k├Ânnen, sollten diese im Otimalfall von Anfang an unterbunden oder aber abgewehrt werden. Ein verl├Ąsslicher Schutzmechanismus l├Ąsst sich an dieser Stelle blo├č durch die Verbindung mehrerer IT-Schutzma├čnahmen erzielen.

Dazu z├Ąhlen unter anderem:

  • starke WEP/WPA-Verschl├╝sselung auf den Zugriffspunkten

  • starke Verschl├╝sselung und Anmeldeinformationen auf Ihren Routern

  • eine Benutzung von digitalen privaten Netzwerken

  • eine Anwendung von HTTPS als Kommunikationsprotokoll bzw. die Verschl├╝sselung mit SSL / TLS

  • eine Authentifizierung anhand mehrerer Faktoren

  • die Nutzung sicherer Passw├Ârter

  • die Anwendung unsicherer LAN- und WLAN-Verbindungen vermeiden

  • Systeme, Tools, Software und Browser immer auf dem brandaktuellen Stand halten

  • bekannte Sicherheitsl├╝cken schlie├čen

  • g├Ąngige Ma├čnahmen gegen Phishing respektieren

Lassen Sie niemanden in die Mitte geraten

Identit├Ątsdiebstahl wie auch Identit├Ątsmissbrauch kann heute jeden ber├╝hren! Doch mit ein wenig Augenmerk und den passenden Schutzma├čahmen sollten Internetangriffe wie Man-in-the-Middle im Voraus unterbunden oder abgewehrt werden.

Wollen auch Sie die digitalen Identit├Ąten wie auch gesch├Ąftskritischen Assets mit den bew├Ąhrtesten Praktiken vor raffinierten Man-in-the-Middle-Attacken besch├╝tzen? Oder haben Sie noch weitere Anliegen zum Thema? Sprechen Sie uns gerne an!

Mehr Artikel

Jetzt Anrufen

Tel.: +49 (800) 8669000
Montag 08:00 - 18:00
Dienstag 08:00 - 18:00
Mittwoch 08:00 - 18:00
Donnerstag 08:00 - 18:00
Freitag 08:00 - 18:00
Samstag Geschlossen
Sonntag Geschlossen
* Die SLA-Regelung tritt nach unseren regul├Ąren Gesch├Ąftszeiten in Kraft.

aconitas GmbH

Unser Team ist f├╝r Sie da. Kontaktieren Sie uns ÔÇô wir freuen uns, Ihnen weiterzuhelfen.

Unser Service & Support f├╝r Unternehmen

Telefon Support

+49 (800) 8669000

E-Mail Support

service@aconitas.com

Supremo - Remote Support