Man-in-the-Middle-Angriff

Warum es wichtig ist

Man-in-the-Middle-Angriffe (MITM) ermöglichen es Angreifern, Kommunikation abzuhören und zu manipulieren, von der beide Parteien annehmen, dass sie privat ist. Diese Angriffe können Anmeldedaten abfangen, Finanztransaktionen modifizieren, Malware injizieren und die Privatsphäre untergraben.

Die Bedrohung ist besonders in öffentlichen WLAN-Umgebungen relevant, in denen Angreifer leicht zwischen Benutzer und Netzwerk positionieren können. Allerdings existieren MITM-Vektoren in der gesamten Netzwerkinfrastruktur, von lokalen Netzwerken bis zu Internet-Backbone-Verbindungen.

Verschlüsselungsprotokolle wie TLS/HTTPS wurden speziell entwickelt, um MITM-Angriffe zu verhindern. Das Verständnis, wie diese Schutzmechanismen funktionieren – und versagen können – ist wesentlich für die Implementierung effektiver Sicherheit.

Für Sicherheitsexperten informiert MITM-Wissen die Netzwerksicherheitsarchitektur, sichere Kommunikationsimplementierung und Penetrationstests.

Wie MITM-Angriffe funktionieren

Grundlegende Mechanik

Der Angreifer:

1. Positioniert sich zwischen zwei Kommunikationsparteien
2. Fängt ab Verkehr in beide Richtungen
3. Kann lesen unverschlüsselte Daten
4. Kann modifizieren Daten vor dem Weiterleiten
5. Bleibt verborgen vor beiden Parteien

Positionierungstechniken

ARP-Spoofing Sendet gefälschte ARP-Antworten, um Verkehr durch den Angreifer zu leiten.

DNS-Spoofing Bietet gefälschte DNS-Antworten, um Verkehr auf bösartige Server umzuleiten.

DHCP-Spoofing Täuscht vor, ein DHCP-Server zu sein, um Netzwerkkonfiguration einschließlich Gateway zu kontrollieren.

Evil Twin Wi-Fi Erstellt gefälschten Zugangspunkt, der ein legitimes Netzwerk imitiert.

MITM-Angriffsvarianten

SSL/TLS-Stripping

Downgrade von HTTPS auf HTTP, wenn möglich.

Zertifikats-Manipulation

• Selbstsignierte Zertifikate: Auf Benutzerakzeptanz von Warnungen setzen
• Kompromittierte CAs: Nutzung gestohlener CA-Schlüssel
• Rogue Zertifikate: Fraudulent ausgestellte Zertifikate
• Certificate Pinning Bypass: Auf Mobil- oder Spezialanwendungen abzielend

Session Hijacking

Abfangen von Session-Tokens nach Authentifizierung.

E-Mail-Abfangen

MITM auf E-Mail-Protokollen (SMTP, IMAP, POP3).

Erkennung von MITM-Angriffen

Netzwerkbasierte Erkennung

Endpoint-Indikatoren

• Zertifikatswarnungen im Browser
• Fehlende HTTPS-Indikatoren
• Unerwartete Zertifikatsänderungen
• Langsamere Verbindungen

Schutzmaßnahmen

Für Benutzer

• HTTPS überall verwenden: Browser-Erweiterungen erzwingen HTTPS
• VPN nutzen: Besonders in öffentlichen Netzwerken
• Zertifikatswarnungen beachten: Niemals ignorieren
• Bekannte Netzwerke bevorzugen: Unbekannte WLANs vermeiden

Für Organisationen

Netzwerksicherheit

• Dynamic ARP Inspection (DAI) aktivieren
• DHCP Snooping implementieren
• 802.1X für Netzwerkzugangskontrolle
• Netzwerksegmentierung

Verschlüsselung

• TLS 1.3 erzwingen
• HSTS (HTTP Strict Transport Security) implementieren
• Certificate Pinning für kritische Anwendungen
• Ende-zu-Ende-Verschlüsselung für sensible Daten

Authentifizierung

• Multi-Faktor-Authentifizierung
• Mutual TLS (Client-Zertifikate)
• Sichere Sitzungsverwaltung
• Token-Binding

Karriereverbindung

MITM-Angriffe sind ein wichtiges Thema in Netzwerksicherheit und Penetrationstests. Das Verständnis sowohl von Angriffstechniken als auch von Abwehrmaßnahmen ist für viele Sicherheitsrollen unerlässlich.