Man-in-the-Middle-Attacke: Was ist das und wie funktioniert es?

Auf der düsteren Flanke des Internets hat sich ein blühender Schwarzmarkt rund um gestohlene Identitätsdaten herausgebildet. Mit dem Ziel, in den Besitzstand jener begehrten Informationen zu kommen, werden verschiedene Techniken zum Angriff eingesetzt. Eine oft genutzte und zugleich gewinnversprechende Strategie ist die Man-in-the-Middle-Attacke. Was sich genau dahinter verhüllt und wie Sie sich und ihr Unternehmen vor diesen absichern können, verkünden wir Ihnen in den folgenden Kapiteln.

Digitale Identitätsdaten liegen bei Internetkriminellen äußerst hoch im Kurs – sei es, um diese auf den illegalen Plattformen im dunklen Netz zu verkaufen, oder mit dem Ziel diese für die alleinigen betrügerischen Machenschaften zu missbrauchen. Kein Wunder demzufolge, dass immer mehr Bedrohungsakteure diesen mit ungeheurem Aufwand – und in manchen Fällen sogar in großer Manier auflauern.

Allein in den vergangenen Jahren wurden beispielsweise im Rahmen einer Vielzahl großangelegter Internetangriffe auf namenhafte Unternehmen mehrere Millionen Identitätsdaten erbeutet und preisgegeben. Unter diesen unter anderem T-Mobile, Facebook, LinkedIn, das rote Kreuz sowie Lufthansa.

Um in den Besitzstand dieser gefragten Informationen zu gelangen, greifen Bedrohungsakteure auf das Angebot moderner, aber auch älterer Angriffsmethoden zu wie Man-in-the-Middle, ebenfalls namhaft als Janusangriff sowie Mittelsmannangriff.

Wie laufen Man-in-the-Middle-Angriffe ab?

Bei Man-in-the-Middle handelt es sich um eine Angriffsstrategie, bei der ein Bedrohungsakteur heimlich die Datenkommunikation zweier oder mehrerer Kommunikationsbeteiligter infiltriert. Im Zuge dessen führt dieser sich in eine Position, bei der jeder Datentraffic über seine privaten Systeme navigiert wird, wodurch er in der Position ist, wertvolle Identitätsdaten aufzuhalten, zu lesen oder etwa schier zu manipulieren.
Damit die Man-in-the-Middle-Operation gelingt, ist es wichtig, dass ebenjener Bedrohungsakteur unauffällig verweilt. Zu diesem Zweck platziert er sich selbst oder eine gefährliche Software erst mal zwischen das Opfer sowie jene Internetressource, die vom Opfer genutzt wird, etwa dem E-Mail-Account. Danach gibt er sich bei dem Opfer oder der Ressource als der eigentliche Kommunikationsbeteiligte aus.
Durch diese Positionierung ist der Bedrohungsakteur in der Lage, sämtliche Datenkommunikation zwischen dem Opfer und der Internetressource zu begutachten sowie zu den eigenen Gunsten zu manipulieren, um weitere verbotene Vorgänge zu beginnen, zum Beispiel das Manipulieren von Handelstransaktionen oder das Stehlen von geistigem Eigentum.

Die verschiedenen Typen von Man-in-the-Middle-Attacken

Im Laufe der Jahre haben diese Bedrohungsakteure diverse Möglichkeiten für Man-in-the-Middle-Attacken entwickelt. Abhängig vom Anwendungsbereich kommen unterschiedliche Angriffsvarianten sowie Angriffsmethoden zum Einsatz. Am meist genutzten sind:

Evil-Hotspot/ Rogue Access Point: Bei ebendieser Angriffstechnik richten Bedrohungsakteure ihren WLAN-Zugangspunkt, das heißt Hotspot, in einem öffentlichen WLAN-Netz ein, mit dem Ziel, in der Umgebung befindliche Endgeräte dazu zu verführen, ihrer Domäne beizutreten. Verbindet sich ein Angestellter mit diesem angeblichen öffentlichen WLAN, wären die Bedrohungsakteure in der Position sämtliche Datenkommunikation einzusehen und zu verfälschen.

Ausnutzung von Schwachstellen eines WLAN-Routers: Bei dieser Angriffsmethode nutzen ebendiese Bedrohungsakteure eine Schwachstelle in einem „echten“ Router aus, mit dem Ziel, die Datenkommunikation von dem Router und dem Benutzer „abzuhören“. Im Gegensatz zum Evil-Hotspot garantiert die Methode einen besseren Gewinn, weil über einen längeren Zeitabstand eine deutlich größere Menge kostbarer Identitätsdaten ausgelesen werden können.

Man-in-the-Browser-Attacke: Bei dieser Angriffstechnik wird Malware im Browser eines Internetnutzers oder Angestellten installiert. Diese Angriffsmethode funktioniert am besten, sobald diese genutzte Software des betroffenen Rechners auf keinen Fall auf dem neuesten Level ist und deshalb Sicherheitslücken aufweist. Außerdem werden bei der Angriffsform Browser-Plug-Ins eingesetzt, da sie jene Datenkommunikation zwischen dem infiltrierten Nutzer und den besuchten Internetseiten speichert.

DHCP-basierte Angriffe/DHCP-Spoofing: Bei DHCP-basierten Angriffen geben sich die Bedrohungsakteure innerhalb eines LANs als DHCP-Server aus. Auf diese Weise können diese die Vergabe von IP-Adressen steuern, verschiedene Standardgateways sowie DNS-Server eintragen und so die Datenkommunikation auf ihre Systeme umadressieren, mit dem Ziel, sie abzuhören oder etwa zu manipulieren. Dies nennt man auch DHCP-Spoofing. Unerlässlich für den Triumph des Angriffs bleibt es, dass sich der Bedrohungsakteur im selben LAN aufhält, wie sein Angriffsziel.

ARP-Cache-Poisoning: Bei dieser Angriffsversion setzen Bedrohungsakteure an der Zuteilung von der MAC-Adresse zu einer lokalen IP an. Hierzu manipulieren diese die ARP-Tabellen, mit dem Ziel, den Rechner als WLAN-Access-Point auszugeben. Ist ein ARP-Spoofing gelungen, können Bedrohungsakteure den gesamten ausgehenden Datenverkehr mitlesen oder aufzeichnen, bevor jener an das tatsächliche Gateway geleitet wird. Selbst dabei ist es für den Triumph des Angriffs unerlässlich, dass sich der Bedrohungsakteur und das Opfer im gleichen Netz befinden.

DNS-basierte Angriffe: Bei der DNS-basierten Man-in-the-Middle-Attacke, werden vorhandene Einträge im Cachespeicher des DNS-Servers verfälscht. Ziel dabei sei es, dass der DNS-Server mit fehlerhaften, definierten Zieladressen antwortet. Auf diese Weise kann das Opfer unauffällig auf eine willkürliche, eventuell manipulierte Website geleitet werden. Gelungen ist ein derartiger Angriff durch das Missbrauchen von Sicherheitslücken älterer DNS-Server.

Best Practices zur Verhinderung von Man-in-the-Middle-Angriffen

Eines vorweg: Ohne die richtigen Maßnahmen sollte es schwierig sein, Man-in-the-Middle-Attacken zu erkennen. In den meisten Fällen kommt für eine geraume Zeit nicht mal auf, dass eine Datenkommunikation mitverfolgt wird, sofern keine offenkundige Manipulation äußerst präsenter Nachrichteninhalte passiert. Demzufolge werden Man-in-the-Middle-Angriffe erst dann bemerkt, wenn es schon zu spät ist.

Da Man-in-the-Middle-Attacken enorme Schäden anrichten können, sollten diese im Otimalfall von Anfang an unterbunden oder aber abgewehrt werden. Ein verlässlicher Schutzmechanismus lässt sich an dieser Stelle bloß durch die Verbindung mehrerer IT-Schutzmaßnahmen erzielen.

Dazu zählen unter anderem:

• starke WEP/WPA-Verschlüsselung auf den Zugriffspunkten
• starke Verschlüsselung und Anmeldeinformationen auf Ihren Routern
• eine Benutzung von digitalen privaten Netzwerken
• eine Anwendung von HTTPS als Kommunikationsprotokoll bzw. die Verschlüsselung mit SSL / TLS
• eine Authentifizierung anhand mehrerer Faktoren
• die Nutzung sicherer Passwörter
• die Anwendung unsicherer LAN- und WLAN-Verbindungen vermeiden
• Systeme, Tools, Software und Browser immer auf dem brandaktuellen Stand halten
• bekannte Sicherheitslücken schließen
• gängige Maßnahmen gegen Phishing respektieren

Lassen Sie niemanden in die Mitte geraten

Identitätsdiebstahl wie auch Identitätsmissbrauch kann heute jeden berühren! Doch mit ein wenig Augenmerk und den passenden Schutzmaßahmen sollten Internetangriffe wie Man-in-the-Middle im Voraus unterbunden oder abgewehrt werden.

Wollen auch Sie die digitalen Identitäten wie auch geschäftskritischen Assets mit den bewährtesten Praktiken vor raffinierten Man-in-the-Middle-Attacken beschützen? Oder haben Sie noch weitere Anliegen zum Thema? Sprechen Sie uns gerne an!