Projekt Hibiskus

StartBedrohungenMan-in-the-Middle

Bedrohungsszenario

Man-in-the-Middle-Angriffe

Vertraulichkeit Kommunikation abfangen und manipulieren
Was ist ein MITM-Angriff?
Bei einem Man-in-the-Middle-Angriff (MITM) schaltet sich ein Angreifer unbemerkt zwischen zwei kommunizierende Parteien. Er kann die Kommunikation mitlesen, verändern oder gefälschte Inhalte einschleusen – ohne dass Sender oder Empfänger dies bemerken. Das Gefährliche: Die Verbindung erscheint für beide Seiten völlig normal.

Angriffsformen im Überblick

Evil-Twin / WLAN-Spoofing

Angreifer betreiben einen gefälschten WLAN-Hotspot mit dem Namen eines legitimen Netzwerks (z.B. „Hotel-WiFi" oder „Starbucks"). Geräte verbinden sich automatisch, der gesamte Traffic läuft durch den Angreifer. Besonders gefährlich in Hotels, Cafés und auf Messen.

ARP-Spoofing

Im lokalen Netzwerk manipuliert der Angreifer die ARP-Tabellen anderer Geräte, sodass Datenpakete über seinen Rechner umgeleitet werden. Ermöglicht das Abfangen von Zugangsdaten und Session-Tokens im internen Netz.

SSL-Stripping

Der Angreifer degradiert eine HTTPS-Verbindung auf unverschlüsseltes HTTP, ohne dass der Nutzer es zunächst bemerkt. Zugangsdaten werden im Klartext übertragen und mitgelesen.

DNS-Spoofing

Gefälschte DNS-Antworten leiten den Nutzer auf eine manipulierte Website um – die Adresszeile zeigt die korrekte URL, der Server dahinter gehört dem Angreifer.

Erkennungsmerkmale

Zertifikatswarnungen

Browser-Warnungen über ungültige oder nicht vertrauenswürdige Zertifikate niemals ignorieren – sie können auf MITM-Angriffe hinweisen.

Fehlende HTTPS-Verbindung

Dienste, die normalerweise HTTPS nutzen, erscheinen plötzlich als HTTP – mögliches Zeichen für SSL-Stripping.

Unbekannte WLAN-Netze

Mehrere Netze mit gleichem Namen in der WLAN-Liste können auf einen Evil-Twin-Hotspot hinweisen.

Ungewöhnlich langsame Verbindungen

Merkliche Verzögerungen können entstehen, wenn Traffic über einen zusätzlichen Knoten umgeleitet wird.

Schutzmaßnahmen

Technisch

  • VPN für alle Verbindungen außerhalb des Firmennetzwerks verpflichtend einführen – verschlüsselt den gesamten Traffic
  • HSTS (HTTP Strict Transport Security) auf Unternehmenswebsites aktivieren – verhindert SSL-Stripping
  • Zertifikat-Pinning in eigenen Anwendungen einsetzen
  • Netzwerksegmentierung: Gäste-WLAN strikt vom Firmennetz trennen
  • 802.1X-Authentifizierung für Netzwerkzugang (nur autorisierte Geräte)
  • DNS-over-HTTPS (DoH) oder DNS-over-TLS (DoT) nutzen

Organisatorisch

  • Mitarbeiter schulen: Öffentliche WLAN-Netze grundsätzlich nicht ohne VPN nutzen
  • Richtlinie: Zertifikatswarnungen immer melden, niemals ignorieren oder wegklicken
  • Mobile-Device-Management (MDM) mit automatischer VPN-Erzwingung
  • Regelmäßige Überprüfung der WLAN-Infrastruktur auf unbekannte Zugangspunkte

Checkliste: MITM-Schutz

Weiterführende Ressourcen
BSI-Grundschutz zu Netzwerksicherheit: bsi.bund.de
OWASP Transport Layer Security Cheat Sheet: owasp.org
Wireshark (Netzwerkanalyse für Administratoren): wireshark.org