Einloggen
Eine Person tippt auf einem Laptop, über dem Bildschirm schwebt ein durchsichtiges Vorhängeschloss-Symbol – das Bild stellt einen Man-in-the-Middle-Cyber-Angriff dar.

Man-in-the-Middle-Angriff

Bei Man-in-the-Middle-Angriffen (MitM) wird die Kommunikation zwischen zwei Parteien mit böswilliger Absicht und ohne deren Wissen oder Zustimmung abgefangen. So können die Angreifenden das Gespräch belauschen und die zwischen den beiden Parteien ausgetauschten Informationen verändern oder stehlen.

24. April 2024 · 12 Min

Was ist ein Man-in-the-Middle-Angriff?

Stellen Sie sich vor, Sie unterhalten sich mit einem Freund in einer belebten Umgebung in der Annahme, Ihr Gespräch sei privat. Plötzlich hört jemand Ihr Gespräch heimlich mit und nutzt die Informationen später, um sie weiterzugeben oder um Sie damit zu erpressen. In etwa so kann man sich metaphorisch den Man-in-the-Middle-Angriff im Online-Bereich vorstellen, bei dem Cyberkriminelle Ihren digitalen Datenaustausch – von der E-Mail bis hin zum Chat – heimlich abfangen und Ihre Daten stehlen oder sie ohne Ihr Wissen manipulieren.

Obwohl sie auf den ersten Blick nicht sonderlich furchterregend klingen, sind Man-in-the-Middle-Angriffe – auch Attacker-in-the-Middle (AitM) – eine wachsende Bedrohung, die die Cyber-Resilienz von Unternehmen auf die Probe stellt. Bei einem massiven Cyberangriff auf ein israelisches Start-up fingen die Angreifenden geschickt eine Überweisung zwischen dem Unternehmen und einem asiatischen Anbieter ab, mit dem das Unternehmen Geschäfte machte. Durch die Infiltrierung der Kommunikationskanäle leiteten die Cyberkriminellen die Zahlung von 1 Million Dollar auf ein betrügerisches Konto um und täuschten so erfolgreich beide Parteien.

Im ersten Quartal des Jahres 2023 ist die Zahl der MitM-Angriffe im Vergleich zum gleichen Zeitraum des Vorjahres 2022 um 35 % gestiegen. Die Geschwindigkeit, mit der diese Bedrohungen zunehmen, unterstreicht, wie wichtig es ist, zu verstehen, wie Man-in-the-Middle-Angriffe funktionieren, welche MitM-Angriffe üblich sind und wie man diese neue Bedrohung erkennen und sich davor schützen kann.

Eine Frau arbeitet an einem Laptop, ein Mann an einem Smartphone. Beide wissen nichts von der maskierten Figur in der Mitte, die einen Hacker symbolisiert, der einen Man-in-the-Middle-Angriff durchführt und ihre Kommunikation abfängt.

Wie funktioniert ein Man-in-the-Middle-Angriff?

Bei typischen Online-Interaktionen treten zwei Parteien über verschiedene Wege miteinander in Kontakt. Dabei kann es sich um einen Computer handeln, der mit einer Webanwendung kommuniziert, um zwei E-Mail-Server, die Nachrichten austauschen, oder um Personen, die über Plattformen wie WhatsApp, Zoom oder Facebook Messenger miteinander kommunizieren. In den digitalen Schatten lauern jedoch auch Cyberkriminelle, die sich zwischen die ahnungslosen Parteien drängen und Techniken wie ARP- oder DNS-Spoofing einsetzen oder Netzwerkgeräte kompromittieren, um an die miteinander geteilten Informationen zu gelangen.

Sobald sich Cyberkriminelle in dieser verdeckten Position befinden, verbergen sie ihre Anwesenheit und lassen die Kommunikation scheinbar ungestört, während sie den Datenfluss kontrollieren. Sie können sich auch als eine der beiden Parteien ausgeben und so den Anschein erwecken, als würden beide Seiten direkt miteinander kommunizieren. Dank dieser unbemerkten Präsenz können sie alle Daten abfangen, die zwischen den Parteien ausgetauscht werden, wie E-Mails, Fotos, Nachrichten oder andere Datentypen, selbst wenn sie verschlüsselt sind.

Nachdem die Eindringlinge ihr Ziel erreicht haben, verlassen sie die gehackte Kommunikation, ohne sichtbare Spuren zu hinterlassen. Mit den gestohlenen Daten können sie böswillige Aktivitäten wie Finanzbetrug, Erpressung, Datenverletzung, Phishing-Angriffe oder andere schädliche Handlungen durchführen, die die Vertraulichkeit und Integrität Ihrer privaten Informationen gefährden.

Diagramm eines Man-in-the-Middle-Cyberangriffs, bei dem die Verbindung zwischen einem User und einer Webanwendung von einem Unbefugten abgefangen wird, der die Informationen über den Angreifer umleitet.

On-Path-Angriff und Man-in-the-Middle

In der Cybersicherheit werden die Begriffe „Man-in-the-Middle-Angriff“ (MitM) und „On-Path-Angriff“ oft synonym verwendet, obwohl es einige Unterschiede gibt. In beiden Fällen wird die Kommunikation zwischen zwei Parteien abgefangen und möglicherweise manipuliert. Der Unterschied liegt jedoch darin, wie sich die Angreifenden innerhalb des digitalen Netzes positionieren.

Bei On-Path-Angriffen sitzt die dritte – unbefugte – Partei bereits „auf dem Weg“ (on the path) des Datenflusses. Das kann beispielsweise derselbe Server sein, den die sendende und die empfangende Partei nutzen. So können die Daten auf direktem Weg abgefangen werden, ohne sie von ihrem vorgesehenen Weg abzuleiten. Im Gegensatz dazu müssen sich die Angreifenden bei MitM-Angriffen nicht unbedingt auf dem direkten Kommunikationsweg zwischen Opfer und Ziel befinden. In diesem Fall müssen die Angreifenden aktiv werden und das Opfer beispielsweise dazu verleiten, sich mit einem betrügerischen Wi-Fi-Netzwerk zu verbinden oder ARP-Spoofing einzusetzen, um sich selbst in den Datenstrom einzuschleusen. Wenn sie erst einmal drin sind, können MitM-Angreifende die zwischen den beiden Parteien übertragenen Daten unbemerkt abhören und manipulieren. Sie können verschiedene Protokolle und Netzwerkschichten angreifen, von verschlüsselten Sitzungen bis hin zu IP-basierter Kommunikation.

Kurz gesagt: On-Path-Angriffe sind MitM-Angriffe, aber nicht jeder MitM-Angriff ist auch ein On-Path-Angriff. On-Path-Angriffe stellen eine Untergruppe der breiteren MitM-Kategorie dar und zeichnen sich durch ihre leisere, passivere Natur und ihre strategische Platzierung entlang der Kommunikationsroute aus.

Gegenüberstellung der Konzepte Man-in-the-Middle-Angriff und On-Path-Angriff und deren Hauptmerkmale.

Arten von Man-in-the-Middle-Angriffen

Cyberkriminelle sind unglaublich erfinderisch und haben zahlreiche Methoden gefunden, um die Kommunikation zwischen zwei Parteien durch Man-in-the-Middle-Angriffe abzufangen oder zu verändern. Hier sind einige der Techniken, die sie häufig verwenden:

  • Session Hijacking: Hierbei schalten sich die Angreifenden zwischen den Computer des Opfers und den Webserver, indem sie entweder ein Wi-Fi-Netzwerk kompromittieren oder spezielle Software verwenden. Sie überwachen die ausgetauschten Daten. Wenn die Website keine sichere Verschlüsselung verwendet, können die Angreifenden diese Daten leicht lesen, einschließlich der Cookies, die eine Sitzungs-ID enthalten. Mit diesen erbeuteten Cookies können sich die Cyberkriminellen als das Opfer ausgeben und sich unberechtigten Zugriff auf die Webanwendung verschaffen, ohne einen Benutzernamen oder ein Passwort eingeben zu müssen.
  • ARP-Spoofing: ARP steht für „Address Resolution Protocol“. Mithilfe des ARP können Computer in einem lokalen Netzwerk gegenseitig die spezifische physische Adresse („Media-Access-Control-Adresse“ oder MAC) ermitteln. Beim ARP-Spoofing senden Angreifende gefälschte ARP-Pakete, um Computer dazu zu bringen, die MAC-Adresse der Angreifenden mit einer IP-Adresse zu verknüpfen, die eigentlich zu ihr passt. Auf diese Weise gehen die für einen Rechner bestimmten Daten an die Hackenden.
  • DNS-Spoofing: DNS steht für Domain Name System. Es ist wie ein Telefonbuch für das Internet, das Domain-Namen mit IP-Adressen abgleicht. Beim DNS-Spoofing wird dieses Abgleichsystem manipuliert. Ein Domain-Name wird auf eine andere IP-Adresse umgeleitet, in der Regel auf eine bösartige Website oder einen bösartigen Server. Während Sie also glauben, eine vertrauenswürdige Website zu besuchen, werden Sie in Wirklichkeit auf eine andere Website umgeleitet. Ziel ist es, die potenziellen Opfer zur Interaktion mit der gefälschten Website zu bewegen, auf der sie möglicherweise sensible Informationen preisgeben.
  • Angriffe auf SSL/TLS: SSL (Secure Sockets Layer) und TLS (Transport Layer Security) sind Protokolle, die die Daten zwischen Ihrem Webbrowser und dem Server verschlüsseln. Bei Angriffen dieser Art wird versucht, die Sicherheitsprotokolle – SSL oder seine aktualisierte Version, TSL – zu brechen oder zu umgehen, die die Kommunikation zwischen Ihrem Computer und dem Server schützen. So können die ausgetauschten Daten abgefangen oder verändert werden. Dies wird häufig durch das Ausnutzen von Schwachstellen in der SSL/TLS-Konfiguration, durch die Verwendung veralteter Versionen oder durch das Ausnutzen von Fehlkonfigurationen möglich.
  • Evil-Twin-Angriff: In einer digitalen Landschaft voller Wi-Fi-Hotspots lassen sich leicht betrügerische Netzwerke erstellen. Ahnungslose Nutzende stellen eine Verbindung zu diesen scheinbar authentischen Hotspots her und bieten Kriminellen damit unwissentlich die Möglichkeit, ihre Daten abzufangen und abzuhören.
  • URL-Spoofing: Bei dieser raffinierten Masche erstellt der Angreifer eine gefälschte Webseite, die einer vertrauenswürdigen Website täuschend ähnlich sieht. Die Nutzenden geben unwissentlich vertrauliche Informationen preis, weil sie glauben, mit einer legitimen Quelle zu interagieren.
  • Passwort-Sniffing: Beim Passwort-Sniffing überwachen Hackende den Netzwerkverkehr, oft innerhalb eines ungeschützten oder schlecht geschützten Netzwerks, um an Anmeldedaten zu gelangen. Die Angreifenden sammeln Datenpakete im Netzwerk (Packet-Sniffing) und suchen nach Anmeldedaten oder vertraulichen Informationen.
  • E-Mail-Hijacking: E-Mail-Hijacking im Rahmen eines Man-in-the-Middle-Angriffs liegt vor, wenn E-Mails zwischen zwei Parteien abgefangen oder verändert werden, ohne dass diese davon wissen. Die Angreifenden positionieren sich in der Mitte des E-Mail-Austauschs und können so die Nachrichten lesen, ändern oder umleiten. Das kann von beiden betroffenen Parteien unbemerkt bleiben.
Infobox zur Entstehung von Man-in-the-Middle-Angriffen.

Echte Fälle von Man-in-the-Middle-Angriffen

In den letzten Jahren ist es Hackenden gelungen, verschiedene Organisationen mit Hilfe von Man-in-the-Middle-Angriffen zu infiltrieren. Hier einige bemerkenswerte Fälle:

Zeitungsausschnitte über verschiedene reale Fälle von Man-in-the-Middle-Angriffen.

Office 365-Konten kompromittiert: 10.000 Firmen betroffen

Ein populäres Beispiel für einen Man-in-the-Middle-Angriff ist das Hacken von Office 365-Konten. Die bekannte Hackinggruppe Lapsus$ wendet häufig verschiedene Taktiken an, um sich unbefugten Zugang zu Netzwerken und Konten zu verschaffen. Im Jahr 2022 führten sie einen erfolgreichen Man-in-the-Middle-Angriff auf mehr als 10.000 Office 365-Konten durch, indem sie die Office 365-Startseite fälschten. Durch den Diebstahl von Anmeldedaten und Session Cookies konnte die Gruppe die MFA-Protokolle umgehen und sich unberechtigten Zugang zu den E-Mail-Konten der Opfer verschaffen, um von dort aus BEC-Kampagnen (Business Email Compromise) gegen andere Unternehmen durchzuführen. Es wurden keine größeren Schäden gemeldet, doch Microsoft hat diesen Fall zum Anlass genommen, einen Bericht darüber zu veröffentlichen, wie solche Angriffe typischerweise ablaufen und wie sich Unternehmen gegen sie schützen können.

Reddit-Phishing und MitM-Angriff

Bei einem Vorfall im Jahr 2023 wurde die beliebte Social-Media-Plattform Reddit Ziel eines sorgfältig ausgearbeiteten Phishing-Angriffs, der auf einen ihrer Mitarbeiter abzielte. Ein Phishing-Link, auf den dieser klickte, leitete ihn zu einer gefälschten, aber überzeugenden Nachbildung des Intranet-Portals von Reddit weiter. Dort gab er seine Zugangsdaten ein und übermittelte sie damit unwissentlich den Cyberkriminellen. Infolgedessen wurden die Kontaktdaten von Hunderten Reddit-Beschäftigten offen gelegt. Glücklicherweise erfolgte kein Zugriff auf die primären Produktionssysteme von Reddit, wo sich der Großteil der Daten befindet. Trotzdem war der Vorfall eine ernüchternde Erinnerung an die anhaltenden Schwachstellen und Herausforderungen bei der Aufrechterhaltung solider Cybersicherheitsmaßnahmen.

NATO-Dokumente durch Sicherheitslücke der portugiesischen Regierung offen gelegt

Im September 2022 war das Verteidigungsministerium der portugiesischen Regierung in eine Cybersicherheitsverletzung mit weitreichenden Folgen verwickelt. Diese Verletzung bestand in einem unautorisierten Datenleck von hochsensiblen NATO-Dokumenten, die im Dark Web zum Verkauf angeboten wurden – ein alarmierender Vorfall, der weit über die Landesgrenzen hinaus Besorgnis erregte. Im Laufe der Ermittlungen stellte sich heraus, dass die Sicherheitslücke auf unsichere Kommunikationskanäle zurückzuführen war, ein kritisches Versäumnis, das den Angreifenden den Zugriff auf die geheimen Informationen ermöglichte. Was diesen Angriff noch heimtückischer machte, war, dass er unbemerkt verlief – der Angriff geschah im Verborgenen, so wurden die Angreifenden nicht entdeckt, während sie die über den unsicheren Kanal ausgetauschten Daten abfingen.

Wie man einen Man-in-the-Middle-Angriff vermeidet

Zur Vermeidung eines Man-in-the-Middle-Angriffs (MITM) ist ein proaktiver Ansatz erforderlich. Dazu gehören die Stärkung der digitalen Abwehr und eine wachsame Grundhaltung. Es gibt viele Maßnahmen, die Einzelpersonen und Organisationen ergreifen können, um Man-in-the-Middle-Angriffe vorzubeugen, darunter folgende: 

  • Versuchen, HTTPS-Websites zu besuchen: Wenn Sie das Vorhängeschloss-Symbol im Browser oder „HTTPS“ in der Webadresse sehen, können Sie davon ausgehen, dass Sie sich auf einer seriösen Website befinden. Es ist zwar nicht hundertprozentig sicher, aber es ist eine Vertrauensbasis, die besonders wichtig ist, wenn Sie auf einer Website persönliche oder finanzielle Informationen preisgeben.
  • URL-Spoofing erkennen: Um eine gefälschte URL zu erkennen, suchen Sie nach der echten Domain. Manchmal ist es schwierig zu erkennen, ob es sich um eine legitime, aber komplexe oder um eine gefälschte URL handelt. Hier ein Tipp: Suchen Sie den ersten einzelnen Schrägstrich in der URL. Finden Sie den zweiten Punkt links davon. Die Domain ist das, was dazwischen steht. Stimmt diese nicht mit der Website überein, die Sie besuchen wollten, oder enthält sie Rechtschreibfehler, sollten Sie der Website nicht vertrauen. Dieses Bild aus unseren E-Learning-Modulen hilft Ihnen dabei, die verschiedenen Teile einer Adresszeile (URL) zu erkennen:
Bildschirm mit einer URL und den fünf Hauptbestandteilen, die man identifizieren muss, um URL-Spoofing zu erkennen.
  • Sichere Netzwerke verwenden: Überlegen Sie sorgfältig, mit welchen Netzwerken Sie sich verbinden. Wählen Sie sichere und vertrauenswürdige Netzwerke, wenn Sie auf sensible Informationen zugreifen oder finanzielle Transaktionen durchführen. Vermeiden Sie öffentliche Wi-Fi-Netzwerke, die häufig Ziel von MitM-Angriffen sind.
  • Starke Authentifizierung nutzen: Verwenden Sie Multi-Faktor-Authentifizierung (MFA) wann immer möglich. Das schafft eine zusätzliche Sicherheitsebene, da für den Zugriff mehr als nur ein Passwort erforderlich ist. MFA macht es Angreifern wesentlich schwerer, sich als Sie auszugeben.
  • Regelmäßige Software-Updates durchführen: Halten Sie Ihr Betriebssystem, Ihren Webbrowser und Ihre Sicherheitssoftware auf dem neuesten Stand. Software-Updates enthalten häufig Sicherheits-Patches, die zum Schutz vor MitM-Angriffen beitragen können.
  • Vorsicht vor E-Mail-Phishing: Seien Sie vorsichtig, wenn Sie auf Links klicken oder E-Mail-Anhänge herunterladen. MitM-Angriffe erfolgen oft über Phishing-E-Mails. Überprüfen Sie immer zuerst die Authentizität des Absenders und des Inhalts.
  • Virtuelle private Netzwerke (VPNs) verwenden: Verwenden Sie ein zuverlässiges VPN, insbesondere wenn Sie sich mit öffentlichen Wi-Fi-Netzwerken verbinden. VPNs verschlüsseln Ihren Datenverkehr und leiten ihn über sichere Server, wodurch es für MitM-Angreifer deutlich schwieriger wird, Ihre Daten abzufangen oder zu manipulieren.
  • Digitale Signaturen überprüfen: Achten Sie beim Herunterladen von Dateien oder Software-Updates darauf, dass sie vom rechtmäßigen Herausgeber digital signiert sind. Digitale Signaturen dienen der Authentifizierung und garantieren die Integrität des Inhalts.
  • Zertifikatswarnungen nachgehen: Wenn Sie eine Website besuchen, prüft Ihr Browser das SSL/TLS-Zertifikat der Website auf seine Gültigkeit. Wenn etwas nicht stimmt, erhalten Sie eine Warnung. Wenn Ihr Webbrowser oder E-Mail-Client unerwartete Warnungen oder Fehler im Zusammenhang mit Sicherheitszertifikaten anzeigt, sollten Sie die Quelle dieser Warnungen untersuchen, statt unbedacht fortzufahren. Die Meldungen können auf MitM-Angriffe oder kompromittierte Sicherheitszertifikate hinweisen. Diese Warnungen erscheinen in der Regel als Browser-Disclaimer mit dem Hinweis „Dies ist keine sichere Verbindung“ oder als Pop-up-Fenster bei E-Mail-Programmen.
  • End-User aufklären: Informieren Sie Ihre Mitarbeitenden über die Bedeutung des Sicherheitsbewusstseins in Ihrem Unternehmen. Ermutigen Sie sie, ungewöhnliches Netzwerkverhalten, Warnmeldungen oder Sicherheitsbedenken sofort zu melden, um eine kollektive Verteidigung gegen MitM-Bedrohungen zu fördern.

Sichere Kommunikation: So schützen Sie Ihr Unternehmen vor MitM-Angriffen

Heutzutage ist digitale Konnektivität ein integraler Bestandteil unseres Lebens – umso wichtiger, die Bedrohung durch Man-in-the-Middle-Angriffe (MitM) zu verstehen und auf deren Abwehr vorbereitet zu sein. Diese unsichtbaren Attacken geschehen im Verborgenen und zielen darauf ab, unsere sensiblen Daten und unsere Privatsphäre zu gefährden. Wenn wir nicht wachsam und vorbereitet sind, laufen wir Gefahr, Opfer dieser verdeckten Taktiken zu werden.

Die Schulung Ihrer Mitarbeitenden darin, solche Angriffe zu erkennen und zu verhindern, bevor sie stattfinden, ist immer der beste Schutz für Ihr Unternehmen. Unsere kurzweiligen E-Learning-Module sind so konzipiert, dass sie Ihre Mitarbeitenden effektiv ansprechen und schulen und gleichzeitig das Sicherheitsbewusstsein fördern. Sie bieten personalisierte, storybasierte Inhalte und enthalten Gamification-Elemente, um das Engagement zu erhöhen.

Awareness-Schulungen sind jedoch am effektivsten, wenn die Teilnehmenden das Gelernte in realen Situationen üben können. Im Rahmen einer sicheren und kontrollierten Umgebung imitieren die Phishing-Simulationen von SoSafe reale Angriffe und ermöglichen es Unternehmen, zu testen, wie ihre Mitarbeitenden mit verschiedenen Phishing-Taktiken wie URL-Spoofing umgehen, die typischerweise bei Man-in-the-Middle-Angriffen zum Einsatz kommen. So können Sie sich einen Überblick über das aktuelle Cyber-Sicherheitsniveau Ihres Unternehmens verschaffen und Ihre Sicherheitskultur stärken.

Unsere Fähigkeit, uns sicher in der digitalen Welt zu bewegen, hängt von unserer Wachsamkeit und davon ab, perfekt auf die ständig verändernde Bedrohung durch Cyber-Angriffe vorbereitet zu sein. Indem Sie Ihre Mitarbeitenden über die wachsenden digitalen Bedrohungen aufklären und robuste Cybersicherheitsmaßnahmen umsetzen, stärken Sie Ihre Verteidigungsfähigkeit, gewährleisten die Sicherheit Ihrer digitalen Interaktionen und bleiben vor lauernden Bedrohungen geschützt.

Bleiben Sie Cyberkriminellen immer einen Schritt voraus

Melden Sie sich für unseren Newsletter an, um die neuesten Beiträge zum Thema Informationssicherheit sowie News zu Events und Security-Ressourcen zu erhalten.
Immer up-to-date – immer sicher!

Newsletter visual

Product Premiere:
The Human Risk OS™

Gestalten Sie die Zukunft des Human Risk Managements

Wir laden Sie herzlich ein am 23. Mai mit uns die Zukunft des Human Risk Management zu gestalten! Nehmen Sie teil an unserem Brand Showcase & Product Launch zum Human Risk OS™ – live in Köln oder virtuell im Livestream!

Register now