Bundesamt für Sicherheit in der Informationstechnik

G 5.143 Man-in-the-Middle-Angriff

Ziel bei einem Man-in-the-Middle-Angriff ist es, sich unbemerkt in eine Kommunikation zwischen zwei oder mehr Partnern einzuschleichen, beispielsweise um Informationen mitzulesen oder zu manipulieren. Hierbei begibt sich der Angreifer "in die Mitte" der Kommunikation, indem er sich gegenüber dem Sender als Empfänger und gegenüber dem Empfänger als Sender ausgibt. Als erstes leitet der Angreifer eine Verbindungsanfrage des Senders zu sich um. Im nächsten Schritt baut der Angreifer eine Verbindung zu dem eigentlichen Empfänger der Nachricht auf. Wenn ihm das gelingt, kann der Angreifer unter Umständen alle Informationen, die der Sender an den vermeintlichen Empfänger sendet, einsehen oder manipulieren, bevor er sie an den richtigen Empfänger weiterleitet. Auf die Antworten des Empfängers kann der Angreifer wiederum ebenfalls zugreifen, wenn nicht entsprechende Schutzmechanismen wirksam sind.

Der für den Angreifer schwierigste Teil eines Man-in-the-Middle-Angriffs ist häufig, den Verbindungsaufbau auf sich umzuleiten. Durch entsprechende Verfahren, wie Spoofing oder DNS -Manipulationen, kann dieser Angriff eingeleitet werden.

Sogar eine verschlüsselte Verbindung schützt nicht immer vor Man-in-the-Middle-Angriffen. Wird die Identität der Kommunikationspartner gefälscht oder nicht geprüft, könnte jeweils eine verschlüsselte Verbindung vom Sender zum Angreifer und vom Angreifer zum Empfänger aufgebaut werden. Da der Angreifer jeweils der Endpunkt der einzelnen Verbindungen ist, kann er in diesem Fall die Informationen entschlüsseln, einsehen und verändern, bevor er sie wieder verschlüsselt und weitersendet.

Eine spezielle Form eines Man-in-the-Middle-Angriffs ist das sogenannte Malicious Morphing. Der Angreifer modifiziert dabei den Inhalt oder die Struktur einer Nachricht und kann so beim Service-Provider sowohl die Integrität von Daten als auch die Funktionsweise von Systemkomponenten gefährden, zum Beispiel durch einen Denial-of-Service-Angriff.

Beispiele:

  • Einem Angreifer gelingt es durch DNS -Spoofing, einige Nameserver so zu manipulieren, dass bei DNS -Abfragen statt der IP -Adresse einer bestimmten Bank die IP -Adresse seines Rechners zurückgegeben wird. Ein Benutzer möchte daraufhin eine Verbindung zum Webserver der Bank aufbauen, um Homebanking zu nutzen. Um für den Verbindungsaufbau die IP -Adresse des Webservers zu ermitteln, sendet der Rechner des Benutzers eine Anfrage mit dem Rechnernamen der Bank an den DNS -Server, der aber mit der gefälschten IP -Adresse des Angreifers antwortet. Daraufhin baut der Benutzer aufgrund der gefälschten IP -Adresse eine HTTPS -Verbindung zum Rechner des Angreifers auf. Der Browser zeigt zwar Warnhinweise an, dass das SSL -Zertifikat ungültig ist, der Benutzer ignoriert diese Hinweise jedoch, da er sie nicht versteht. Als Folge wird der Benutzer auf den Webserver des Angreifers umgeleitet. Der Angreifer baut daraufhin eine verschlüsselte https-Verbindung zur Bank auf. Alle Transaktionen, die der Benutzer in der anschließenden Web-Session durchführt, kann der Angreifer einsehen und manipulieren.
  • Um Man-in-the-Middle-Attacken in einem WLAN durchzuführen, könnten zusätzliche Access Points in das WLAN eingeschleust werden ("Cloning" oder "Evil Twin"). Wenn ein solcher Access Point einem in der Nähe befindlichen WLAN -Client eine stärkere Sendeleistung anbietet als der echte Access Point, wird der Client diesen als Basisstation benutzen, falls keine beidseitige Authentisierung erzwungen wird.

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK