Das ABC der Cybersicherheit: M wie Man-in-the-Middle-Angriff (MITM-Angriff)

Ein Man-in-the-Middle-Angriff ist ein Vorgang, bei dem sich ein Angreifer zwischen Ihren Rechner und den Computer, mit dem Sie gerade kommunizieren, einklinkt, um die Unterhaltung mitzulesen oder zu verändern. Dieses Vorgehen war vor der massiven Umstellung auf das Kommunikationsprotokoll HTTP-Secure weit verbreitet und kommt auch heute noch häufiger zur Anwendung, auch wenn die Durchführung inzwischen etwas schwieriger geworden ist.

Nachdem jahrelang PCs im Fokus der Angriffe standen, nehmen Man-in-the-Middle-Angriffe inzwischen vorwiegend Mobiltelefone ins Visier. In Unkenntnis dessen, was diese Angriffe anrichten können, wählen sich die Nutzer mit ihren Telefonen vor allem im Urlaub in alle möglichen öffentlichen Netze ein.

Die größte Bedrohung ergibt sich daraus, dass solche Angriffe nur selten und wenn, dann erst im Nachhinein erkannt werden. Ganz gleich ob am Flughafen, im Hotel oder im Café um die Ecke - die Nutzer können nicht immer feststellen, ob das Netz, in dem sie kommunizieren, seriös ist oder ob jemand den Datenverkehr abhört oder gar abgreift. Unsere Abhängigkeit vom Internet geht inzwischen so weit, dass wir unsere Mobilgeräte sowohl für berufliche als auch private Zwecke nutzen und damit automatisch ein erhöhtes Risiko in Kauf nehmen. Somit stellen die Endbenutzer die größte Gefahr für ein Unternehmen dar: Sobald sie in einem betrügerischen Netz eingewählt sind, können Unternehmensdaten, Anmeldeinformationen oder die E-Mail-Kommunikation ausgespäht werden.

Wie funktionieren Man-in-the-Middle-Angriffe?

Zu Beginn einer Kommunikation stellen zwei Parteien in der Regel eine Verbindung her und tauschen so genannte öffentliche Schlüssel aus. Hierbei handelt es sich um Elemente, mit denen die Kommunikation verschlüsselt wird, bevor sie übertragen wird. Nehmen wir an, Sabine und Thomas chatten im Web. Wenn Sabine Thomas anfunkt, sendet sie ihm ihren öffentlichen Schlüssel. Mit diesem öffentlichen Schlüssel kann Thomas alle Nachrichten an Sabine verschlüsseln. Thomas wiederum sendet seinen öffentlichen Schlüssel an Sabine. Wenn Sabine die verschlüsselte Nachricht von Thomas empfängt, entschlüsselt sie diese mit ihrem privaten Schlüssel und liest sie.

Nun nehmen wir an, es befände sich eine dritte Person zwischen Sabine und Thomas, nennen wir sie Peter. Peter fängt Sabines öffentlichen Schlüssel auf dem Weg zu Thomas ab und tauscht ihn gegen seinen eigenen öffentlichen Schlüssel aus. Aus der Antwort, die Thomas an Sabine schickt, fängt Peter auch dessen öffentlichen Schlüssel ab und setzt dafür seinen eigenen öffentlichen Schlüssel ein. Jetzt verschlüsseln sowohl Sabine als auch Thomas ihre Nachrichten mit Peters öffentlichem Schlüssel, sodass dieser die gesendeten Informationen mit seinem privaten Schlüssel dechiffrieren kann. Nach dem Entschlüsseln kann er die Nachrichten lesen, ggf. ändert er sie ab, verschlüsselt sie mit dem im ersten Schritt abgefangenen öffentlichem Schlüssel von Sabine und leitet die Nachricht schließlich an Sabine weiter. Somit läuft die gesamte Kommunikation zwischen Thomas und Sabine über ihn, ohne dass die beiden etwas davon merken.

Kriminelle oder ungeschützte WLAN-Netzwerke sind aber nicht die einzigen Stellen, an denen sich ein Hacker einklinken kann, um einen Man-in-the-Middle-Angriff zu starten. Jedes Mal, wenn Sie eine Online-Verbindung aufbauen und einen Proxy-Dienst zum Anonymisieren Ihrer IP-Adresse oder zum Umgehen von Beschränkungen an Ihrem Arbeitsplatz nutzen, sollten Sie daran denken, dass der Proxy-Server normalerweise als Man-in-the-Middle fungiert.

Die von Ihnen besuchten Webseiten und Ihre Online-Aktivitäten, wie z. B. Dateiübertragungen, Finanztransaktionen oder E-Mails, können von Kriminellen über einen gekaperten Proxy-Server erfasst werden. So werden alle Ihre Informationen für Dritte zugänglich.

VPN-Server sollen Ihre Infrastruktur schützen, indem sie durchgängig mit verschlüsselten Verbindungen arbeiten. über gehackte oder kriminelle VPN-Server können Angreifer auch solche Daten stehlen und, was noch schlimmer ist, Ihren Datenverkehr umleiten und Ihre Internet-Verbindung für illegale Machenschaften nutzen. Bis Sie bei einer nicht gesicherten Verbindung herausfinden, dass auf Ihrem Gerät ein Schadprogramm installiert ist oder Sie auf eine verseuchte Website gelangt sind, kann es schon zu spät sein.

Wie erkennt man einen Man-in-the-Middle-Angriff?

Als normaler Anwender können Sie selbst wenig ausrichten. Man-in-the-Middle-Angriffe lassen sich nur sehr schwer erkennen, daher heißt das Zauberwort "Vorbeugen".

Sobald sich Ihr Mobilgerät im Urlaub automatisch in ein Netz einwählt, besteht die Gefahr, dass Sie Opfer eines MITM-Angriffs werden könnten. Wenn eine Aufforderung zur Installation einer VPN-App oder zur Annahme eines digitalen Zertifikats erscheint, läuft gerade ein Man-in-the-Middle-Angriff ab. Am einfachsten erkennen Sie MITM-Angriffe, indem Sie prüfen, ob für die Seite, die Sie besuchen wollen, ein SSL-Zertifikat vorhanden ist, idealerweise ausgestellt von einer dazu berechtigten und vertrauenswürdigen Zertifizierungsstelle. Wenn Ihr Browser die Gültigkeit oder Rechtmäßigkeit eines Zertifikats nicht anerkennt, schließen Sie die Seite sofort, und fragen Sie beim Anbieter des betreffenden Dienstes nach. Geben Sie auf gar keinen Fall irgendwelche Zugangsdaten ein! Zur Überprüfung des SSL-Zertifikats suchen Sie in der oberen linken Ecke Ihres Browser-Fensters nach der Angabe "https" in Grün. Diese bedeutet, dass die Verbindung verschlüsselt ist und Ihre Daten geschützt sind.

Nicht jeder Man-in-the-Middle hat böse Absichten

Nachdem wir Ihnen jetzt einen gehörigen Schrecken eingejagt haben, wollen wir aber auch die positive Seite dieser Technik nicht verschweigen, denn solche Verfahren können Sie auch zu Ihrer eigenen Sicherheit einsetzen.

Da immer mehr bösartige Websites und immer mehr Malware inzwischen mit sicherer Kommunikation (https) betrieben werden, sodass Daten entwendet und Antivirenprogramme so getäuscht werden, dass sie den kriminellen Datenverkehr nicht erkennen können, arbeiten einige Sicherheitslösungen mit SSL-Proxies. Das sind Module, die den SSL/TLS-Datenverkehr entschlüsseln, auf Schadsoftware untersuchen und dann wieder verschlüsseln, bevor sie ihn an sein Ziel weiterleiten. Einige Kindersicherungslösungen gehen ebenfalls diesen Weg, um sicherzustellen, dass die verschlüsselten Unterhaltungen Ihrer Kinder keine besorgniserregenden Inhalte aufweisen.

Wie können Sie sich schützen?

Da es keinen absolut sichere Methode zum Erkennen dieser Angriffe gibt, ist es besser, von vornherein auf Nummer Sicher zu gehen. Achten Sie darauf, dass Sie nur https- und keine http-Verbindungen nutzen. überprüfen Sie ganz genau, ob ein SSL-Zertifikat nicht schon abgelaufen ist und ob es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Meiden Sie frei zugängliche VPN-Netze und Proxy-Server. ändern Sie außerdem in regelmäßigen Abständen Ihre Passwörter, und verwenden Sie früher einmal gebrauchte nie wieder. Wählen Sie sich nicht in verdächtige öffentliche Netze ein, und seien Sie auch beim WLAN im Hotel misstrauisch. Vermeiden Sie es unbedingt, irgendetwas zu installieren oder herunterzuladen, wenn Sie über ein solches Netz mit dem Internet verbunden sind. Wenn es wirklich nicht anders geht und Sie eine Verbindung zu einem vermeintlich unsicheren Netz herstellen müssen, nehmen Sie auf keinen Fall irgendwelche Zahlungen vor, und melden Sie sich nicht bei Ihren Konten in sozialen Medien oder bei Ihrem E-Mail-Provider an.

Der Oktober ist der Monat der Cybersicherheit. Hier finden Sie unsere 12 Artikel zum ABC der Cybersicherheit sowie 5 Bonusartikel zu Android-Bedrohungen.