Unternehmen

Man-in-the-Middle: Angreifer unter dem Radar!

04.04.2022 - Wenn Sie die Einfallstore zu Ihrem Unternehmensnetz nicht rechtzeitig absperren, kommt früher oder später ein Identitätsdieb! Digitale Identitätsdaten stehen bei Internetkriminellen hoch im Kurs - sei es, um sie auf den illegalen Schwarzmärkten im Dark Web zu veräußern, oder um sie für die eigenen betrügerischen Machenschaften zu missbrauchen. Eine beliebte und erfolgversprechende Angriffsstrategie, um in den Besitz jener hochsensiblen und lukrativen Informationen zu kommen, sind Man-in-the-Middle-Attacken. In unserem heutigen Blogbeitrag verraten wir Ihnen, was Man-in-the-Middle-Attacken sind, wie sie funktionieren und wie Sie sich und Ihr Unternehmen vor ihnen schützen können.

Sehr geehrte Leserinnen und Leser,

auf der dunklen Flanke des Internets hat sich ein florierender Schwarzmarkt rund um gestohlene Identitätsdaten etabliert. Mit dem Ziel, in den Besitz jener gefragten Informationen zu gelangen, werden unterschiedliche Angriffstechniken angewendet. Eine beliebte und zeitgleich erfolgversprechende Angriffsstrategie ist die Man-in-the-Middle-Attacke. Was sich genau hier verbirgt und wie Sie sich und ein Unternehmen vor diesen schützen können, verkünden wir Ihnen in den nachfolgenden Kapiteln.

Digitale Identitätsdaten liegen bei Internetkriminellen hoch im Fokus der Begierde - entweder um sie auf den illegalen Plattformen im dunklen Netz zu verkaufen, oder um sie für die eigenen betrügerischen Finessen zu nutzen. Kein Zufall also, dass laufend mehr Bedrohungsakteure ihnen mit ungeheurem Aufwand - und in einigen Fällen sogar in großer Manier auflauern.

Just in den vergangenen Jahren wurden zum Beispiel im Zuge einer Vielzahl großangelegter Internetangriffe auf namhafte Betriebe mehrere Millionen Identitätsdaten erbeutet und offengelegt. Unter diesen unter anderem T-Mobile, Facebook, LinkedIn, das rote Kreuz und Lufthansa.

Um in den Besitz dieser gefragten Daten zu gelangen, greifen Bedrohungsakteure auf ein Repertoire neuer, allerdings auch älterer Angriffsmethoden zurück wie Man-in-the-Middle, auch bekannt als Janusangriff oder Mittelsmannangriff.

Wie laufen Man-in-the-Middle-Angriffe ab?

Bei Man-in-the-Middle handelt es sich um eine wichtige Angriffsstrategie, bei der ein Bedrohungsakteur unbemerkt die Datenkommunikation zweier oder auch mehrerer Kommunikationspartner infiltriert. Dabei bringt er sich in eine Position, bei welcher jeglicher Datentraffic über die privaten Systeme geschleust wird, wodurch er in der Lage ist, exklusive Identitätsdaten aufzuhalten, mitzulesen oder etwa gar zu verfälschen.

Damit eine Man-in-the-Middle-Attacke gelingt, ist es wichtig, dass ebenjener Bedrohungsakteur unentdeckt verweilt. Zu diesem Zweck positioniert er sich selbst oder eine schädliche Software zunächst zwischen sein Opfer sowie die Internetressource, welche von dessen Opfer genutzt wird, wie zum Beispiel dem E-Mail-Account. Anschließend gibt dieser sich bei seinem Opfer oder der Ressource als der eigentliche Kommunikationsbeteiligte aus.

Durch die Positionierung ist sein Bedrohungsakteur in der Lage, jegliche Datenkommunikation zwischen dem Opfer sowie der Internetressource einzusehen sowie zu seinen Gunsten zu manipulieren, um weitere verbotene Aktionen zu starten, zum Beispiel das Fälschen von Handelstransaktionen oder das Stehlen von geistigem Besitz.

Häufige Arten der Man-in-the-Middle-Attacke!

Im Verlauf der letzten Jahre haben die Bedrohungsakteure verschiedene Möglichkeiten für Man-in-the-Middle-Attacken entwickelt. Abhängig vom Anwendungsbereich kommen verschiedene Angriffsvarianten sowie Angriffsmethoden zum Einsatz. Am meist genutzten sind:

Evil-Hotspot/Rogue Access Point: Bei dieser Angriffsvariante richten Bedrohungsakteure ihren WLAN-Zugangspunkt, sprich Hotspot, in einem publiken WLAN-Netzwerk ein, um in der Nähe befindliche Endgeräte dafür zu verführen, deren Domäne beizutreten. Verknüpft sich ein Angestellter mit dem angeblichen offenen WLAN, wären jene Bedrohungsakteure in der Position sämtliche Datenkommunikation einzusehen sowie zu manipulieren.

Ausnutzung von Schwachstellen eines WLAN-Routers: Bei der Angriffsmethode nutzen die Bedrohungsakteure solch eine Schwachstelle in dem „echten“ Router aus, mit dem Ziel, die Datenkommunikation zwischen dem Router und einem Benutzer „abzuhören“. Im Gegenteil zum Evil-Hotspot verspricht diese Methode einen besseren Erfolg, da über einen längeren Zeitraum eine deutlich größere Menge kostbarer Identitätsdaten ausgelesen werden können.

Man-in-the-Browser-Attacke: Bei dieser Angriffsvariante wird Schadsoftware im Browser des Internetnutzers oder etwa Angestellten angebracht. Diese Angriffsmethode funktioniert am besten, sobald diese genutzte Software des entsprechenden Rechners auf keinen Fall auf dem aktuellsten Level wäre und dementsprechend Sicherheitslücken aufweist. Außerdem werden bei der Angriffsform Browser-Plug-Ins genutzt, da sie jene Datenkommunikation zwischen dem infiltrierten Nutzer und dessen besuchten Internetseiten aufzeichnet.

DHCP-basierte Angriffe/DHCP-Spoofing: Bei DHCP-basierten Angriffen geben sich die Bedrohungsakteure im Rahmen eines LANs als DHCP-Server aus. Dadurch können sie die Zuteilung von IP-Adressen steuern, beliebige Standardgateways und DNS-Server einpflegen und so die Datenkommunikation auf die eigenen Systeme umadressieren, um diese abzuhören oder zu manipulieren. Dies nennt man ebenso DHCP-Spoofing. Unerlässlich für den Triumph dieses Angriffs ist es, dass sich ebenjener Bedrohungsakteur im gleichen LAN befindet, wie sein Angriffsziel.

ARP-Cache-Poisoning: Bei dieser Angriffsmethode setzen Bedrohungsakteure an der Zuordnung von der MAC-Adresse zur lokalen IP an. Hierzu faken diese die ARP-Tabellen, mit dem Ziel, den Computer als WLAN-Access-Point zu verkaufen. Ist ein ARP-Spoofing gelungen, können Bedrohungsakteure den kompletten ausgehenden Datenverkehr ausspionieren oder aufnehmen, bevor dieser an das echte Gateway weitergeleitet wird. Selbst hier ist es für den Triumph des Angriffs grundlegend, dass sich der Bedrohungsakteur und Opfer im gleichen Netzwerk aufhalten.

DNS-basierte Angriffe: Bei einer DNS-basierten Man-in-the-Middle-Attacke, werden vorhandene Eintragungen im Cache eines DNS-Servers manipuliert. Ziel hier ist es, dass ebenjener DNS-Server mit fehlerhaften, definierten Zieladressen reagiert. So kann ein Opfer unbemerkt auf eine willkürliche, möglicherweise manipulierte Website umgeleitet werden. Erfolgreich ist ein derartiger Angriff durch ein Ausnutzen von Sicherheitslücken älterer DNS-Server.

Wie können Mitarbeiter vor Man-in-the-Middle-Attacken geschützt werden?

Eines vorab: Ohne die richtigen Schritte kann es mühsam sein, Man-in-the-Middle-Attacken zu erkennen. In vielen Situationen kommt für eine lange Dauer nicht einmal auf, dass eine Datenkommunikation mitgelesen wird, sofern keine offensichtliche Täuschung sehr präsenter Nachrichteninhalte stattfindet. Aus diesem Grund werden Man-in-the-Middle-Angriffe erst dann wahrgenommen, wenn es schon zu spät ist.

Da Man-in-the-Middle-Attacken enorme Probleme verursachen können, sollten diese im Optimalfall von Anfang an unterbunden oder aber abgewehrt werden. Ein zuverlässiger Schutz lässt sich an dieser Stelle nur durch die Kombination verschiedener IT-Schutzmaßnahmen erzielen.

Dazu zählen zum Beispiel:
• starke WEP/WPA-Verschlüsselung auf diesen Zugriffspunkten
• sichere Verschlüsselung sowie Anmeldeinformationen auf den Routern
• eine Verwendung von virtuellen privaten Netzwerken
• eine Verwendung von HTTPS als Kommunikationsprotokoll bzw. die Verschlüsselung mit SSL / TLS
• eine Identitätsüberprüfung anhand mehrerer Aspekte
• die Verwendung sicherer Passwörter
• die Anwendung unsicherer LAN- und WLAN-Verbindungen vermeiden
• Systeme, Tools, Software und Browser immer auf einem aktuellen Stand haben
• bekannte Sicherheitslücken entfernen
• gängige Strategien gegen Phishing respektieren

Schützen Sie Ihre digitale Identität!

Identitätsdiebstahl wie auch Identitätsmissbrauch kann mittlerweile jeden berühren! Aber mit etwas Augenmerk und den passenden Schutzmaßnahmen sollten Internetangriffe wie Man-in-the-Middle von vornherein vermieden oder abgewehrt werden.

Wollen auch Sie die digitalen Identitäten wie auch geschäftskritischen Assets mit den besten Praktiken vor raffinierten Man-in-the-Middle-Attacken beschützen? Oder haben Sie noch weitere Fragen zum Thema? Kontaktieren Sie uns gerne!

Sie wollen immer auf dem Laufenden bleiben?
Jetzt Newsletter abonnieren.

Kundenhotline & Kontakt

Unsere Kundenhotline ist Ihre zentrale Anlaufstelle für Ihre Anfragen oder Bestellungen.
Sie können uns zu den aufgeführten Zeiten unter folgender Rufnummer erreichen:

02302-2896999Montag bis Donnerstag von 08:00 bis 17:00 Uhr,
Freitag von 08:00 bis 15:00 Uhr

Kontaktformular Adresse & Öffnungszeiten

Maria Forsch Kundenbetreuerin

Unsere Partner & Programme

Onlinetermin buchen