Was ist ein Man-in-the-Middle (MITM) Angriff?

Schwachstellen in Netzwerken, Webbrowsern, E-Mail-Konten, Benutzerverhalten und Sicherheitsprotokollen sind die Ausgangspunkte von MITM-Angriffen. Cyberkriminelle nutzen diese Schwachstellen aus, um sich zwischen Benutzer und vertrauenswürdige Anwendungen zu stellen, um so sie die Kommunikation zu kontrollieren und Daten in Echtzeit abzufangen.

Phishing-Angriffe sind eine gängige Einstiegsmöglichkeit für MITM-Angreifer. Durch Klicken auf einen bösartigen Link in einer E-Mail kann ein Benutzer unwissentlich einen Man-in-the-Browser-Angriff starten. MITM-Angreifer verlassen sich oft auf diese Taktik, um den Webbrowser eines Benutzers mit einer Malware zu infizieren, die es ihnen ermöglicht, verdeckte Änderungen an Webseiten vorzunehmen, Transaktionen zu manipulieren und die Aktivitäten des Benutzers auszuspionieren.

Eine weitere häufige Quelle für MITM-Angriffe sind öffentliche WLAN-Hotspots. Öffentliche WLAN-Router haben weniger Sicherheitsprotokolle als WLAN-Router zu Hause oder am Arbeitsplatz. Dies erleichtert es Benutzern in der Nähe, sich mit dem Netzwerk zu verbinden. Außerdem können Hacker so einfacher den Router kompromittieren, um den Internetverkehr abzuhören und Benutzerdaten zu sammeln.

MITM-Angreifer erstellen manchmal ihre eigenen bösartigen öffentlichen WLAN-Netzwerke, um ahnungslose Benutzer anzulocken und ihre persönlichen Daten zu erfassen.

MITM-Angreifer können auch gefälschte Websites erstellen, die legitim erscheinen, aber in Wirklichkeit wichtige Daten wie Anmeldeinformationen erfassen. Mit diesen Daten haben die Hacker dann die Möglichkeit, sich bei Benutzerkonten auf echten Websites anzumelden. Oder sie nutzen die gefälschte Website, um Benutzer dazu zu verleiten, Zahlungen zu leisten oder Geld zu überweisen.

Bei Man-in-the-Middle-Angriffen müssen Cyberkriminelle: 1) die Daten abfangen, die zwischen ihren beiden Zielen ausgetauscht werden, und 2) diese Informationen entschlüsseln.

Abfangen
Um zwischen zwei kommunizierenden Zielen – z. B. einem Benutzer und einer Webanwendung – zu gelangen, muss ein Angreifer die zwischen den beiden übertragenen Daten abfangen. Der Angreifer leitet dann diese umgeleiteten Informationen zwischen den Zielen so weiter, als ob eine normale Kommunikation im Gange wäre, sodass die Opfer nichts vermuten.

Entschlüsselung
Die Internetkommunikation erfolgt heute meist verschlüsselt, so dass alle Daten, die ein MITM-Angreifer abfängt, höchstwahrscheinlich entschlüsselt werden müssen, bevor der Angreifer sie verwenden kann. Angreifer können Daten entschlüsseln, indem sie Dechiffrierschlüssel stehlen, Brute-Force-Angriffe durchführen oder spezielle MITM-Angriffstechniken einsetzen (siehe nächster Abschnitt).  

Angreifer nutzen eine Vielzahl von Techniken, um Daten bei MITM-Angriffen abzufangen und zu entschlüsseln. Zu den gängigen Techniken gehören:

IP-Spoofing: Internet-Protocol-Adressen (IP-Adressen) identifizieren Online-Entitäten wie Websites, Geräte und E-Mail-Adressen. MITM-Angreifer verändern oder „spoofen“ (fälschen) ihre IP-Adressen, so dass es so aussieht, als ob ein Benutzer mit einem echten Host kommuniziert, obwohl er in Wirklichkeit mit einer bösartigen Quelle verbunden ist.

ARP-Spoofing oder ARP-Cache-Poisoning: Das Address Resolution Protocol (ARP) verbindet eine IP-Adresse mit der richtigen Media Access Control Adresse (MAC) in einem lokalen Netzwerk. Durch Fälschen der ARP-Adresse kann ein Angreifer diese Verbindung an seine eigene MAC-Adresse weiterleiten, um Informationen zu extrahieren.

DNS-Spoofing: Das Domain Name System (DNS) verbindet die Domainnamen von Websites mit den ihnen zugewiesenen IP-Adressen. Durch die Änderung eines Domainnamens in den DNS-Einträgen kann ein MITM-Angreifer Benutzer von einer legitimen Website auf eine betrügerische Website umleiten.

HTTPS-Spoofing: Hypertext Transfer Protocol Secure (HTTPS) gewährleistet sichere Kommunikation durch Verschlüsselung der Daten, die zwischen einem Benutzer und einer Website hin und her übertragen werden. MITM-Angreifer leiten Benutzer heimlich ohne Verschlüsselung auf eine Standard-HTTP-Seite weiter, damit sie auf ungeschützte Daten zugreifen können.  

SSL-Hijacking: Secure Sockets Layers (SSL) ist die Technologie, die die Authentifizierung und Verschlüsselung zwischen einem Webbrowser und einem Webserver mithilfe von SSL-Zertifikaten ermöglicht. MITM-Angreifer verwenden ein gefälschtes SSL-Zertifikat, um diesen Prozess zu übernehmen und Daten abzufangen, bevor sie verschlüsselt werden können.

SSL-Stripping: Diese Technik findet statt, wenn eine Website eingehende HTTP-Verbindungen akzeptiert, bevor dieser Datenverkehr an sichere HTTPS-Verbindungen weitergeleitet wird. MITM-Angreifer unterbrechen diesen Übergangsprozess, damit sie auf unverschlüsselte Daten zugreifen können, bevor sie auf eine sichere HTTPS-Verbindung übertragen werden.

E-Mail-Hijacking
Bei dieser Art von Angriff übernehmen Cyberkriminelle die Kontrolle über die E-Mail-Konten eines Unternehmens oder einer Organisation. MITM-Angreifer zielen dabei oft auf Finanzinstitute wie Banken oder Kreditkartenunternehmen ab.

Die Hacker überwachen die Kommunikation, erfassen persönliche Daten sowie Informationen über Transaktionen. In einigen Fällen fälschen sie geschäftliche E-Mail-Adressen, um Kunden oder Partner davon zu überzeugen, Einzahlungen zu tätigen oder Gelder auf ein betrügerisches Konto zu überweisen.

Session-Hijacking
Wenn der Webbrowser eines Benutzers mit einer Website kommuniziert, speichert er vorübergehend
Informationen auf Session-Cookies. MITM-Angreifer erhalten Zugriff auf diese Cookies und verwenden sie, um sich als Benutzer auszugeben oder die darin enthaltenen Informationen zu stehlen, zu denen Passwörter, Kreditkartennummern und andere Kontoinformationen gehören können.

Da diese Cookies mit der Sitzung ablaufen, müssen Hacker schnell handeln, bevor diese Informationen wieder verloren gehen.

WLAN-Eavesdropping
MITM-Angreifer richten manchmal öffentliche WLAN-Netzwerke und Hot-Spots an beliebten öffentlichen Orten wie Flughäfen, Restaurants und Stadtzentren ein. Die Namen dieser betrügerischen Netzwerke ähneln oft denen von Unternehmen in der Nähe oder anderen vertrauenswürdigen öffentlichen WLAN-Verbindungen. Hacker können auch legitime öffentliche WLAN-Hotspots kompromittieren, die von der Öffentlichkeit genutzt werden.

In beiden Fällen erfassen die Angreifer bei der Anmeldung ahnungsloser Benutzer sensible Daten wie Kreditkartennummern, Benutzernamen und Passwörter.

Equifax
Im Jahr 2017 wurde die Kreditauskunftei Equifax Opfer eines Man-in-Middle-Angriffs aufgrund einer ungepatchten Sicherheitslücke in ihrem Webanwendungs-Framework. Der Angriff enthüllte die Finanzinformationen von fast 150 Millionen Menschen.

Gleichzeitig entdeckte Equifax Sicherheitslücken in seinen mobilen Apps, die Kunden anfällig für weitere MITM-Angriffe machen könnten. Equifax entfernte daraufhin die Apps aus dem Apple App Store und Google Play.

DigiNotar
Hacker nutzten gefälschte Websites, um Passwörter zu sammeln, und starteten 2011 einen erfolgreichen MITM-Angriff auf die niederländische digitale Sicherheitsbehörde DigiNotar.

Der Verstoß war schwerwiegend, da DigiNotar mehr als 500 kompromittierte Sicherheitszertifikate für wichtige Websites wie Google, Yahoo! und Microsoft ausstellte. DigiNotar wurde schließlich als Anbieter von Sicherheitszertifikaten entfernt und meldete Konkurs an.

Tesla
Im Jahr 2024 berichteten Sicherheitsforscher, dass eine Schwachstelle es Hackern ermöglichte, einen MITM-Angriff zu starten, um Tesla-Fahrzeuge aufzuschließen und zu stehlen.¹

Mithilfe eines gefälschten WLAN-Hotspots an einer Tesla-Ladestation konnten Angreifer die Kontoanmeldeinformationen eines Tesla-Besitzers abgreifen. Der Angreifer fügte dann einen neuen „Telefonschlüssel“ hinzu, der das Fahrzeug ohne das Wissen des Fahrzeugbesitzers entsperrt und startet, so die Forscher.

Es gibt Cybersicherheitsmaßnahmen, die Unternehmen und Einzelpersonen implementieren können, um sich vor Man-in-the-Middle-Angriffen zu schützen. Experten empfehlen, sich auf die folgenden Strategien zu konzentrieren:

HTTPS: Benutzer sollten Websites nur mit einer sicheren Verbindung besuchen, die durch „HTTPS“ und ein Vorhängeschlosssymbol in der Adressleiste des Browsers angezeigt wird. Webseiten, die nur ungesicherte HTTP-Verbindungen anbieten, sollten vermieden werden. Darüber hinaus können SSL- und TLS-Protokolle (Transport Layer Security) für Anwendungen vor bösartigem Webverkehr schützen und Spoofing-Angriffe verhindern.

Sicherheit der Endgeräte: Endgeräte wie Laptops, Smartphones, Workstations und Server sind die Hauptziele für MITM-Angreifer. Die Sicherheit der Endgeräte, einschließlich der neuesten Patches und Antivirensoftware, ist entscheidend, um zu verhindern, dass Angreifer Malware auf diesen Geräten installieren.

Virtuelle private Netzwerke: Ein VPN bietet durch die Verschlüsselung des Netzwerkverkehrs einen effektiven Schutz gegen MITM-Angriffe. Selbst wenn es zu einem Diebstahl kommt, können Hacker vertrauliche Daten wie Anmeldeinformationen, Kreditkartennummern und Kontoinformationen nicht lesen.

Multi-Faktor-Authentifizierung (MFA): MFA erfordert einen zusätzlichen Schritt über die Eingabe eines Passworts hinaus, um auf Konten, Geräte oder Netzwerkdienste zuzugreifen. Selbst wenn ein MITM-Angreifer in der Lage ist, Anmeldeinformationen zu erhalten, kann die Multi-Faktor-Authentifizierung helfen, den Angreifer daran zu hindern, Kontrolle über ein Konto zu übernehmen.

Verschlüsselung: Die Verschlüsselung ist eine grundlegende Voraussetzung für die Netzwerksicherheit und den Schutz vor MITM-Angriffen. Eine starke End-to-End-Verschlüsselung des gesamten Netzwerkverkehrs und aller Ressourcen – einschließlich E-Mail-Inhalte, DNS-Einträge, Messaging-Anwendungen und Access Points – kann viele MITM-Angriffe vereiteln.

Öffentliche WLAN-Netzwerke: Benutzer sollten öffentliche WLAN-Netzwerke meiden, wenn sie Transaktionen durchführen, die sensible Daten beinhalten, wie z. B. beim Einkaufen.