Man in the Middle Angriff

Was ist ein Man in the Middle Angriff?

Ein Man in the Middle Angriff (zu deutsch: Mann in der Mitte) kommt in vielen Varianten und Formen vor, denen jedoch stets dasselbe Prinzip zugrunde liegt: dem der „stillen Post“.

Die Kommunikation zwischen zwei Teilnehmern wird über einen dritten, unbekannten oder vermeintlich vertrauenswürdigen Teilnehmer geführt, der die gesendeten Informationen zwischen ihnen abfängt, weiterleitet und verändert, sofern es ihm nützt.

In Anlehnung an dieses Prinzip fungieren Proxys, VPNs und Firewalls, die Deep Packet Inspection anwenden, gleichfalls als Man in the Middle – auch wenn hier zum Schutz der Nutzer.

Mann der tausend Gesichter

Ein Man in the Middle Angriff kann sowohl in internen Netzwerken, dem Internet, wie auch allen Formen von Funknetzen erfolgen.

Man in the Middle Angriffe sind vor allem zeitbasierte Angriffe. Je länger sie betrieben werden können, desto erfolgreicher und desaströser sind ihre Auswirkungen.

Die Ziele des Angriffs

Häufigstes Ziel ist das Erlangen persönlicher Informationen, wie Benutzernamen, Passwörter, Pins oder Hashes für Zugänge oder Identitätsdiebstahl. Diese Informationen können auch in Form von Nachrichtenverläufen oder Telefonmitschnitten erlangt werden. Aber auch die Verteilung von Malware ist gängig.

Wie funktioniert ein Man in the Middle Angriff?

In internen Netzwerken kann ein Man in the Middle Angriff z. B. unter Ausnutzung von NBTNS (NetBIOS Name Services) oder LLMNR (Link-Local Multicast Name Resolution) erfolgen, indem die MAC-Adresse des Angreifers mit der IP-Adresse eines anderen Host verknüpft wird (dem sogenannten Spoofing).

Im Zuge der fortschreitenden Verbreitung von IPv6 kann sich ein Angreifer auch als Router auf Basis von IPv6 in einem eigentlich nur IPv4 basierend Netzwerk den anderen Geräten anbieten und so an sensible Daten zu kommen.

Ein Angreifer könnte auch den DNS Cache manipulieren (DNS Poisining), um so seine Opfer auf gefälschte Webseiten zu lotsen oder über einen Proxy um im Anschluss etwa Clickjacking zu betreiben.

Eine Kundenberatung?
Optimiere mit uns Deinen Datenschutz!
Jetzt Anfragen

Man in the Middle Angriff im WiFi-Netz

Bei WiFi-Netzen können Man in the Middle Angriffe teilweise ohne größeren Aufwand durchgeführt werden.

Ein Angreifer muss nur einen freien WLAN-Hotspot aufspannen und auf den Faktor Mensch setzen bzw. auf die automatische Verbindungsfunktion der Geräte.

Aber auch abseits des Faktors Mensch und des Automatismus kann ein Man in the Middle Angriff durch einen Evil Twin beziehungsweise Rogue Access Point erfolgen. Indem der Angreifer einen legitimen Access Point durch das Ausstrahlen der gleichen SSID (Service Set Identifier) imitiert, werden sich Geräte, für die sein Signal das Stärkere ist, bei ihm einwählen.

Bereits am anderen Access Point eingewählte Geräte kann der Angreifer durch das Fluten der Geräte oder des legitimen Access Points mit Deauthentication-Frames dazu bringen, sich an seinem Evil Twin anzumelden.

Die Verteidigung vor einem Angriff

Eine einzelne Verteidigung gegen Man in the Middle Angriffe gibt es nicht, sondern nur verschiedene Bausteine, die Administratoren und Nutzer zu einem Mosaik zusammensetzen können, um dem Angriff so wenig Angriffsfläche wie möglich zu bieten und den Aufwand für den Angreifer so hoch wie möglich zu setzen.
Du hattest einen Man in the Middle?
Wir beraten Dich gerne.
Jetzt Anfragen
ANDERE BEITRÄGE

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.