Als Man-in-the-Middle-Angriff (MITM) bezeichnet man jene Form eines Cyberangriffs, bei der sich ein Angreifer unbemerkt zwischen zwei kommunizierende Parteien – etwa einen Nutzer und einen Server – schaltet, um Nachrichten abzuhören/mitzulesen, zu manipulieren und weiterzuleiten. Dabei verhält sich der Angreifer wie ein unsichtbarer Knotenpunkt im Netzwerk: Er empfängt eingehende Nachrichten, liest sie mit, ändert sie gegebenenfalls und sendet sie in veränderter (oder auch originaler) Form an den eigentlichen Empfänger weiter. Das Gemeine daran: Für den Nutzer und den Server bleibt der Kommunikationsfluss scheinbar intakt, während sensible Informationen wie Passwörter, Kreditkartendaten oder interne Geschäftsdaten kompromittiert werden.
Es gibt verschiedene Methoden, die Cyberkriminelle einsetzen, um einen MITM-Angriff durchzuführen. Eine gängige und sehr beliebte Technik ist das Abfangen von unverschlüsselten Verbindungen. Wenn Daten ungeschützt über ein Netzwerk übertragen werden, beispielsweise über ein öffentliches WLAN, können Angreifer diese relativ einfach abfangen. Leicht erhältliche Tools zur Netzwerküberwachung ermöglichen es ihnen dann, den Datenverkehr unbemerkt mitzulesen und sensible Informationen im Klartext zu erfassen. Gleichzeitig ist es ihm auch möglich, weitere Schadsoftware ins Unternehmensnetzwerk einzubringen.
Eine große Gefahr stellen aber nicht nur öffentlich zugängliche WLAN-Netzwerke, sondern auch fehlerhaft konfigurierte Proxy-Server dar. Auch DNS-Spoofing (Domain Name System Spoofing) kann für MITM-Angriffe missbraucht werden. Dabei manipuliert der Angreifer die so genannte DNS-Auflösung, sodass eine Anfrage für eine legitime Website auf eine gefälschte, vom Angreifer kontrollierte Seite umgeleitet wird. Gibt der Benutzer auf dieser (gefälschten) Seite dann seine Zugangsdaten ein, gelangen diese direkt in die Hände des Angreifers.
Etwas gefinkelter – und daher auch seltener – ist das ARP-Spoofing (Address Resolution Protocol Spoofing). Hierbei manipuliert der Angreifer die Zuordnung von IP-Adressen zu MAC-Adressen in einem lokalen Netzwerk. Dadurch werden Datenpakete, die eigentlich an ein bestimmtes Ziel gerichtet sind, fälschlicherweise an den Angreifer umgeleitet.
Ein effektiver Schutz gegen Man-in-the-Middle-Angriffe beruht auf konsequenter Ende-zu-Ende-Verschlüsselung, bei der Kommunikationspartner ihre Schlüssel über SSL/TLS oder moderne Protokolle wie DNS over HTTPS (DoH) und HTTP/2 austauschen und verifizieren. Auch die Implementierung von Netzwerksegmentierung (siehe Zero Trust) kann die Auswirkungen eines erfolgreichen MITM-Angriffs begrenzen, indem die laterale Bewegung des Angreifers innerhalb des Netzwerks erschwert wird.
Darüber hinaus spielen starke Authentifizierungsverfahren, insbesondere die Multi-Faktor-Authentifizierung (MFA), eine wichtige Rolle, um unbefugten Zugriff zu verhindern. Selbst wenn die direkten Anmeldeinformationen abgefangen werden besteht durch die Zwei- oder Mehrfaktor-Authentifizierung ein zusätzlicher Schutzwall. Ebenso ist die Sensibilisierung der Mitarbeiter für die Gefahren von unsicheren Netzwerken und verdächtigen Anfragen ein wesentlicher Bestandteil einer umfassenden Sicherheitsstrategie. Regelmäßige Schulungen können helfen, das Bewusstsein für potenzielle Bedrohungen zu schärfen und Mitarbeiter in die Lage zu versetzen, verdächtige Aktivitäten frühzeitig zu erkennen.
