{"id":905,"date":"2013-04-10T09:22:35","date_gmt":"2013-04-10T09:22:35","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=905"},"modified":"2019-11-22T12:45:48","modified_gmt":"2019-11-22T10:45:48","slug":"was-ist-eine-man-in-the-middle-attacke","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/was-ist-eine-man-in-the-middle-attacke\/905\/","title":{"rendered":"Was ist ein Man-in-the-Middle-Angriff?"},"content":{"rendered":"<p>Das Ziel der meisten <strong>Cyberkriminellen<\/strong> \u2013 unabh\u00e4ngig davon, wie sie es erreichen wollen \u2013, ist, die Daten der Anwender zu stehlen. Das kann in kleinen, diskreten Attacken auf individuelle Anwender passieren, oder in gro\u00df angelegten Kompromittierungen bekannter Webseiten oder von Finanzdatenbanken. Die Methoden wechseln, doch das Ziel ist immer das gleiche. In den meisten F\u00e4llen, versuchen die Angreifer zun\u00e4chst,ein Schadprogramm auf dem Computer des Anwenders zu installieren, denn das ist die k\u00fcrzeste Verbindung zwischen ihnen und Ihren Daten. Wenn das aus irgendeinem Grund aber nicht m\u00f6glich ist, kommt die ebenfalls sehr beliebte <a href=\"https:\/\/threatpost.com\/en_us\/blogs\/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">Man-in-the-Middle-Attack<\/a> zum Einsatz. Wie der Name schon andeutet, platziert bei diesem Angriff der Hacker sich selbst \u2013 oder sein<strong> sch\u00e4dliches Tool<\/strong> \u2013 zwischen dem Opfer und der aufgerufenen Ressource, etwa einer Bank-Webseite oder einem E-Mail-Konto. Diese Attacken k\u00f6nnen sehr effektiv sein und sind oft schwer zu entdecken, vor allem f\u00fcr Anwender, die das Gefahrenpotential dieser Angriffsart nicht kennen.<\/p>\n<p><b>Man-in-the-Middle-Attacke: Definition<\/b><\/p>\n<p>Das Konzept hinter der <strong>MITM-Attacke<\/strong> ist erstaunlich einfach und ist nicht auf die Computersicherheit oder Online-Bereiche beschr\u00e4nkt. In seiner einfachsten Form braucht sich der Angreifer nur zwischen zwei Parteien zu schalten, die miteinander kommunizieren, und muss dann nur die gesendeten Nachrichten abh\u00f6ren und sich zumindest als eine der beiden Parteien ausgeben. In der realen Welt kann so ein Angreifer zum Beispiel gef\u00e4lschte Rechnungen an ein Opfer senden und dann einfach die von ihm zur\u00fcckgeschickten Schecks abfangen. In der Online-Welt sind die Angriffe etwas komplexer, die Grundlagen sind aber die gleichen. Der Angreifer schaltet sich zwischen sein Opfer und eine Ressource ein, die das Opfer versucht zu erreichen. Um erfolgreich zu sein, muss dabei die Anwesenheit des Angreifers sowohl f\u00fcr das Opfer als auch f\u00fcr die andere Ressource unentdeckt bleiben.<\/p>\n<p><b>MITM-Attacken: Varianten<\/b><\/p>\n<p>Bei den \u00fcblichsten MITM-Attacken nutzt der Angreifer einen WLAN-Router, \u00fcber den er sich in die Kommunikation des Opfers einschaltet. Das kann geschehen, indem der Angreifer einen <strong>sch\u00e4dlichen Router<\/strong> einrichtet, der sich als legitimer Router ausgibt, oder indem er eine Sicherheitsl\u00fccke in einem bestehenden Router ausnutzt, um den Zugriff des Anwenders auf den Router zu kontrollieren. Beim ersten Szenario kann der Angreifer seinen Laptop oder ein anderes drahtloses Ger\u00e4t so konfigurieren, dass es wie ein WLAN-Hotspot funktioniert, und dem Hotspot einen Namen geben, der in \u00f6ffentlichen Bereichen, etwa auf Flugh\u00e4fen oder in Caf\u00e9s, h\u00e4ufig benutzt wird. Wenn sich dann Anwender mit dem \u201eRouter\u201c verbinden, um Webseiten \u2013 oft auch vertrauliche Seiten wie Online-Banking-Portale oder Online-Shops \u2013 aufzurufen, kann der Angreifer die Login-Daten stehlen. Beim zweiten Beispiel identifiziert ein Angreifer eine <strong><span style=\"text-decoration: underline\">Schwachstelle in der Konfiguration oder der Verschl\u00fcsselung<\/span><\/strong> eines legitimen WLAN-Routers, und nutzt diese Sicherheitsl\u00fccke, um die Kommunikation zwischen dem Anwender und dem Router abzuh\u00f6ren. Diese Technik ist die kompliziertere, kann aber auch effektiver sein, wenn der Angreifer es schafft, den Zugang zum kompromittierten Router f\u00fcr Stunden oder Tage aufrecht zu erhalten. Das gibt ihm die M\u00f6glichkeit, still und heimlich die Online-Sitzungen des Opfers abzuh\u00f6ren, obwohl der Anwender glaubt, er sei dabei gut gesichert \u2013 wie etwa bei der Kommunikation mit einem Firmen-Mail-Server. Damit kann der Angreifer eine gro\u00dfe Menge vertraulicher Daten stehlen.<\/p>\n<p>Eine aktuelle Variante der MITM-Attack ist als <strong>Man-in-the-Browser-Attacke<\/strong> bekannt. In diesem Szenario nutzt der Angreifer eine von verschiedenen Methoden, um <strong>Schadcode<\/strong> auf dem Opfercomputer zu installieren, die innerhalb des Browsers laufen. Diese Schadprogramme nehmen dann im Hintergrund die Daten auf, die zwischen dem Browser und verschiedenen Ziel-Webseiten \u2013 die der Angreifer direkt in der Malware festlgelegt hat \u2013 hin und her geschickt werden. Diese Variante wurde in den letzten Jahren immer popul\u00e4rer. Sie erlaubt es den Angreifern, eine gro\u00dfe Gruppe von Opfern anzugreifen, ohne daf\u00fcr in der N\u00e4he der Opfercomputer sein zu m\u00fcssen.<\/p>\n<p><b>Verteidigung<\/b><\/p>\n<p>Es gibt mehrere effektive Verteidigungsm\u00f6glichkeiten gegen MITM-Attacken, allerdings sind fast alle davon auf Seite von Router oder Server, und geben dem Anwender keine M\u00f6glichkeit, die <strong>Sicherheit einer Transaktion<\/strong> zu kontrollieren. Solch eine Verteidigungsm\u00f6glichkeit ist das Verwenden einer starken Verschl\u00fcsselung zwischen Client und Server. In diesem Fall kann der Server sich selbst durch ein digitales Zertifikat authentifizieren. Client und Server k\u00f6nnen anschlie\u00dfend einen verschl\u00fcsselten Kanal aufbauen, \u00fcber den vertrauliche Daten gesendet werden. Daf\u00fcr muss der Server aber eine Verschl\u00fcsselung erm\u00f6glichen. Auf der anderen Seite k\u00f6nnen Anwender sich selbst vor derartigen <strong>Cyberangriffen<\/strong> sch\u00fctzen, indem sie niemals eine Verbindung zu offenen WLAN-Routern aufbauen oder zumindest Browser-Plugins wie <a href=\"https:\/\/www.eff.org\/https-everywhere\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">HTTPS Everywhere<\/a> oder <a href=\"http:\/\/forcetls.sidstamm.com\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">ForceTLS<\/a> verwenden, die \u2013 wenn m\u00f6glich \u2013 eine sichere Verbindung aufbauen. Allerdings hat auch jede dieser Verteidigungsm\u00f6glichkeiten ihre Grenzen: Es wurden bereits Angriffe wie <a href=\"https:\/\/threatpost.com\/en_us\/blogs\/how-render-ssl-useless-081810\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">SSLStrip<\/a> oder SSLSniff demonstriert, die die Sicherheit von verschl\u00fcsselten SSL-Verbindungen aufheben k\u00f6nnen.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das Ziel der meisten Cyberkriminellen \u2013 unabh\u00e4ngig davon, wie sie es erreichen wollen \u2013, ist, die Daten der Anwender zu stehlen. Das kann in kleinen, diskreten Attacken auf individuelle Anwender<\/p>\n","protected":false},"author":32,"featured_media":906,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[10],"tags":[254,63,370,369,371],"class_list":{"0":"post-905","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"tag-datendiebstahl","9":"tag-hacker","10":"tag-man-in-the-browser","11":"tag-man-in-the-middle","12":"tag-ssl"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/was-ist-eine-man-in-the-middle-attacke\/905\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/datendiebstahl\/","name":"Datendiebstahl"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/905","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=905"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/905\/revisions"}],"predecessor-version":[{"id":21515,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/905\/revisions\/21515"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/906"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=905"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=905"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=905"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}