Cybersecurity für den Mittelstand: Jeden Mittwoch, 16 Uhr

IT-Security wissen by enginsight

Man-in-the-Middle-Attacke: Der unerkannte Eindringling

Inhalt

Durch die fortschreitende Digitalisierung von Kommunikationsprozessen ergeben sich zahlreiche Möglichkeiten für unbefugte Dritte, private sowie Regierungs- und Unternehmensnetzwerke digital anzugreifen. Bei einem Erfolg bedeuten diese Angriffe meist den Verlust äußerst sensibler Daten wie Betriebsgeheimnisse oder Banking-Informationen. „Man in the Middle“ (MITM) ist eine derartige Angriffsstrategie.

Bei einem Man-in-the-Middle-Angriff infiltriert ein unberechtigter Dritter den Datenaustausch zwischen zwei oder mehreren Kommunikationspartnern, beispielsweise zwischen Arbeitsrechner und Server in einem Unternehmen. Der Angreifer bringt sich dabei in eine Position, bei der jegliche Kommunikation über seine eigenen Systeme geschleust wird, wodurch er Daten mitlesen und gegebenenfalls auch manipulieren kann.

So laufen MITM-Angriffe ab

Bei der Man-in-the-Middle-Strategie setzt ein Angreifer seine eigenen Systeme als namensgebender „dritter Mann“ zwischen zwei Systeme, die miteinander kommunizieren. Das heißt: Will ein kompromittiertes System 1 (z.B. Arbeitsrechner) mit System 2 (z.B. Firmenserver) kommunizieren, dann schickt es eine Nachricht ab, die jedoch auf das Hacker-System umgeleitet wird. Das Hacker-System liest nun die Daten aus, bevor es sie an System 2 weiterkommuniziert.

Das Risiko von Man-in-the-Middle-Angriffen besteht in der großen Bandbreite an Informationen, die abgefangen und manipuliert werden können: Loggt sich beispielsweise ein Mitarbeiter über einen betroffenen Computer in das Firmennetzwerk ein, kann der Hacker die Login-Daten auslesen und für direkte Angriffe auf die Daten des Unternehmens nutzen. Und werden beispielsweise Produktionsmaschinen digital remote gesteuert, hat der Angreifer nun auch die Kontrolle über diese.

Im Analogen ist die Situation vergleichbar mit einem Postboten, der einen Brief in Empfang nimmt, ihn öffnet, liest und dann – erneut verschlossen – dem Empfänger zustellt. Der einzige Unterschied: Im Digitalen benötigen System 1 und System 2 keinen zwischengeschalteten „Postboten“ zur Kommunikation. Dementsprechend müssen Hacker bei einem MITM-Angriff verschleiern, dass es überhaupt einen dritten Kommunikationspartner zwischen den beiden Systemen gegeben hat. Das Hacker-System gibt sich also gegenüber System 1 als System 2 aus (und umgekehrt), sodass beide Kommunikationspartner glauben, direkt miteinander in Kontakt zu stehen.

Welche MITM-Angriffspunkte gibt es für Hacker?

Um sich erfolgreich zwischen zwei Kommunikationspartnern zu platzieren, muss der Hacker sich logisch (z.B. manipulierte Kommunikationsparameter) oder physisch (z.B. manipulierter Router) zwischen beiden platzieren können. Einige gängige Methoden sind:

  • DNS Spoofing: Einschleusen falscher Daten in einen der großen DNS-Server der Internet-Infrastruktur, sodass User beim Eingeben einer URL in einen Browser auf eine IP-Adresse des Hackers weitergeleitet werden.
  • Manipulation der Hosts-Datei: Modifizieren der Hosts-Datei auf einem Rechner, sodass die Internet-Kommunikation z.B. auf einen manipulierten DNS-Server des Hackers umgeleitet wird.
  • ARP Spoofing: Weiterleitung der unternehmensinternen Ethernet-Kommunikation auf eine Adresse des Hackers.
  • Schadsoftware: Beispielsweise die Verbindung zwischen Browser und Kommunikationsschnittstelle per Software so manipulieren, dass falsche IP-Adressen aufgelöst werden.
  • Zwischenschalten von Hardware: Einschleusen manipulierter Router in ein LAN- oder Aufbauen eines manipulierten WLAN-Netzes. 

Das bedeutet, dass Man-in-the-Middle-Hacks typischerweise erst nach einer erfolgreichen Vorbereitungsphase durchgeführt werden können. Beispielsweise würde dem Mitarbeiter eines Unternehmens über eine manipulierte E-Mail Schadsoftware auf den Arbeitsrechner gespielt, die dann die Hosts-Datei so manipuliert, dass jede zukünftige Kommunikation über die Server des Hackers stattfindet. Oder es wird ein manipuliertes WLAN-Netzwerk aufgebaut (z.B. in einer Cafeteria, die durch Mitarbeiter des Betriebs frequentiert wird). Verbindet sich dann ein Mitarbeiter mit diesem Netz und loggt sich im Firmennetzwerk ein, kann der Angreifer die Daten abfangen.

So schützt man Netzwerke vor Man-in-the-Middle

Eines vorweg: MITM-Angriffe zu erkennen ist extrem schwer. In vielen Fällen fällt für eine lange Zeit nicht mal auf, dass die Kommunikation zwischen den Firmenrechnern mitgelesen wird, sofern keine offensichtliche Manipulation sehr präsenter Nachrichteninhalte stattfindet (z.B. Chat- oder E-Mail-Nachrichten). Häufig fällt erst durch eine merklich verringerte Kommunikationsgeschwindigkeit auf, dass überhaupt ein Angriff vorliegt: Da ein zwischengeschaltetes Hacker-System die verschickten Daten zunächst ausließt und dann weiterleitet, kann eine Latenz entstehen, die eventuell bemerkt wird.

Aus diesem Grund ist es mehr als sinnvoll, Man-in-the-Middle-Angriffe von vornherein zu vermeiden oder abzuwehren. Ein verlässlicher Schutz lässt sich durch die Anwendung technischer Schutzmaßnahmen und Verhaltensregeln für Mitarbeiter erreichen:

  • Starke End-to-End-Verschlüsselungen und digitale Zertifikate für Clients und Server
  • Verwendung von https als Kommunikationsprotokoll bzw. Verschlüsselung der Daten mit SSL / TLS
  • PINs bzw. TANs verwenden, um eine Zwei-Faktor-Authentifizierung z.B. bei Logins zu etablieren
  • Passwörter regelmäßig ändern – die neuen Passwörter über nicht-digitale Kanäle kommunizieren
  • Firmenrechner nicht mit unsicheren LAN- und WLAN-Verbindungen koppeln (z.B. öffentliche WLAN-Hotspots)
  • Gängige Strategien gegen Phishing- und Spearphishing beachten (Kein Download von E-Mail-Anhängen etc.)
  • Bei sensiblen Systemen physischen Schutz vor Hardwaremanipulation durch Sicherheitsdienste etc. gewährleisten 

Idealerweise sollten für eine ausreichende Sicherung des Netzwerks mehrere dieser Optionen kombiniert werden, um alle potenziellen Man-in-the-Middle-Angriffsvektoren schützen zu können. Verlässt man sich beispielsweise auf die Verschlüsselung der Daten durch SSL und TLS, kann eine Schadsoftware auf dem Rechner trotzdem die Kommunikation auslesen, noch bevor diese entsprechend verschlüsselt wurde.

Der Man-in-the-Middle: Hohes Risiko, einfache Schutzmaßnahmen

Da Hacker durch erfolgreiche Man-in-the-Middle-Angriffe praktisch die gesamte Kommunikation zwischen zwei Systemen aushorchen und manipulieren können, stellt diese Hacking-Strategie eine große und nicht leicht zu erkennende Gefahr dar. Deshalb ist Privatpersonen und insbesondere Unternehmen und öffentlichen Stellen dringend zu raten, entsprechende Schutzmaßnahmen fest in der internen Strategien zur Netzwerk-Sicherheit zu etablieren.

« Zurück zur Glossar-Übersicht
Share on linkedin
Share on twitter
Share on facebook

Sie haben Fragen?

Gerne können Sie mir uns zum Thema IT-Sicherheit und Enginsight kontaktieren.

hello@enginsight.com
+49 (0)3641 2714966

Enginsight Logo