Was ist ein Man-in-the-Middle-Angriff?

Dass vertrauliche E-Mails, die an einen Geschäftspartner oder intern an Kollegen verschickt werden, von Dritten abgefangen werden könnten, ist eine sehr beunruhigende Vorstellung. Doch genau das passiert bei einem Man-in-the-Middle-Angriff (MITM-Angriff).

Bei dieser Art von Cyber-Angriff schleusen sich Hacker über verschiedene technische Methoden in eine Kommunikation oder einen Datenaustausch ein, um Zugriff auf sensible Informationen und Daten zu bekommen beziehungsweise den Austausch zu manipulieren, um ihre kriminellen Ziele zu erreichen.

Wie funktionieren Man-in-the-Middle-Angriffe? Welche Gefahren bestehen für Unternehmen und welche Schutzmaßnahmen können helfen, eine MITM-Attacke zu verhindern? Dieser Artikel gibt einen Überblick über die bestehenden Risiken und gibt praktische Tipps für Unternehmen, um ihre Cyber-Sicherheit zu verbessern.

Bei einem Man-in-the-Middle-Angriff (kurz: MITM-Angriff) fangen Cyber-Kriminelle unbemerkt den Datenaustausch ab - entweder zwischen zwei Personen beziehungsweise Unternehmen oder zwischen einem User und einer Anwendung. 

Dadurch wird es für Hacker möglich, Nachrichten mitzulesen, sie zu verändern oder sogar zu löschen und den Datenaustausch auf verschiedene Arten zu manipulieren. So können sensible Daten, Passwörter und Geschäftsgeheimnisse abgegriffen und für kriminelle Zwecke missbraucht werden.

Eine Man-in-the-Middle-Attacke findet in der Regel in zwei Phasen statt. In einem ersten Schritt werden die Daten abgefangen, bevor sie in einem zweiten Schritt entschlüsselt werden. Um die Kommunikation oder den Datenaustausch abzufangen, können Cyber-Kriminelle verschiedene Angriffsarten und -methoden verwenden.

Die technische Funktionsweise des Angriffs variiert je nach Angriffsart. Hier ist ein kurzer Überblick.

• Rogue Access Point: Bei dieser Angriffsmethode richtet ein Hacker einen eigenen WLAN-Zugangspunkt ein, der für Nutzer wie ein öffentliches WLAN aussieht und mit dem sich Geräte in der Nähe automatisch verbinden. Ist die Verbindung einmal hergestellt, kann der Hacker den gesamten Netzwerkverkehr zum Gerät des Opfers kontrollieren.
• Spoofing: Spoofing ist der Oberbegriff für verschiedene Täuschungsmethoden, um in Netzwerken die eigenen Identität zu verschleiern. Diese Methoden reichen vom Fälschen von Websites und E-Mail-Absendern bis hin zu komplexen technischen Angriffen wie das Fälschen von IP-Adressen, Adressauflösungsprotokollen (ARP) und DNS-Servern (Domain Name System). Die einzelnen Unterarten werden als Website-Spoofing, IP-Spoofing, ARP-Spoofing etc. bezeichnet.
• Sniffing: Beim Sniffing fängt ein Hacker den Netzwerkverkehr ab, um Zugriff auf vertrauliche Daten zu erhalten. Im Visier von Sniffing-Angriffen stehen häufig unverschlüsselte E-Mail-Nachrichten.
• Session Hijacking: Beim Session Hijacking übernimmt ein Angreifer die Internet-Session eines Users, um Zugriff auf persönliche Daten und Passwörter zu erhalten.

Man-in-the-Middle kann zu verschiedenen Bedrohungsszenarien führen, denen sich Unternehmen bewusst sein sollten. Hier sind verschiedene Beispiele, wie MITM-Attacken auf Unternehmen aussehen können.

• Ein Angreifer klinkt sich in die E-Mail-Kommunikation zwischen zwei Mitarbeitenden ein und fängt vertrauliche Informationen wie Zugangsdaten oder Finanzdaten ab.
• Ein Hacker schaltet sich zwischen das Unternehmen und einen Geschäftspartner und manipuliert den E-Mail-Austausch zwischen beiden Parteien. Zum Beispiel indem er die Kontodaten für eine ausstehende Überweisung verändert, sodass das Geld auf ein von ihm kontrolliertes Konto überwiesen wird.

Dass es sich bei diesen Beispielen nicht nur um potenziell mögliche Risiken, sondern um reale Bedrohungen handelt, zeigt die MITM-Attacke, die vor einigen Jahren Millionen bei dem amerikanischen Finanzdienstleistungsunternehmen Equifax für Schäden in Millionenhöhe sorgte.

Im Jahr 2017 veröffentlichte Equifax nach einer Datenpanne eine separate Website, über die Kunden einsehen konnten, ob sie von der Datenschutzverletzung betroffen waren. Aufgrund eines von mehreren Webseiten genutzten SSL-Zertifikats, schafften es Hacker mittels DNS- und SSL-Spoofing, die Kunden auf eine gefälschte Website umzuleiten, um so Daten abzugreifen. Insgesamt waren 2,5 Millionen Kunden von der MITM-Attacke betroffen.

Unternehmen können mehrere Maßnahmen ergreifen, um sich gegen Man-in-the-Middle-Angriffe zu schützen. Hierzu zählen:

• Vergabe von starken Passwörtern und Einrichtung von Zwei- oder Mehr-Faktor-Authentifizierung für den Zugriff auf Anwendungen und Systeme
• Sicherheit der WLAN-Verbindung erhöhen durch einen starken Verschlüsselungsmechanismus für WLAN-Zugangspunkte
• Kommunikation über verschlüsselte Verbindungen (SSL-, TLS- oder End-to-End-Verschlüsselung)
• Einsatz einer Firewall als zusätzliche Sicherheitsebene
• Verwendung von VPNs für Mitarbeitende
• Mitarbeiterschulungen, um sie für die Einhaltung grundlegender Sicherheitsstandards wie Zwei-Faktor-Authentifizierung und die Vergabe starker Passwörter zu sensibilisieren

Das Gefährliche an Man-in-the-Middle-Angriffen ist, dass die Angreifer sich unbemerkt in den digitalen Austausch einklinken und ein Angriff oft erst erkannt wird, wenn es bereits zu spät ist. Um einen MITM-Angriff zu erkennen, ist es notwendig, aktiv nach Anzeichen zu suchen, dass die Konversation von einer dritten Person abgefangen oder manipuliert wird.

Mögliche Anzeichen, dass Cyber-Kriminelle ein Netzwerk oder eine digitale Kommunikation infiltriert haben, sind zum Beispiel unerwartete und/oder wiederholte Abbrüche der Verbindung oder plötzlich auftretende verdächtige URLs in der Adressleiste des Browsers. Generell ist es jedoch besser, entsprechende Präventionsmaßnahmen zu ergreifen, um eine MITM-Attacke von vornherein zu verhindern.