Angriffe per Man-in-the-Middle (MITM): Leitfaden und Tipps zur Abwehr 

Stellen Sie sich vor, Sie sind für die Netzwerksicherheit Ihrer Organisation verantwortlich und plötzlich fällt Ihnen ein ungewöhnliches Muster im Datenverkehr auf: durch einen Server fließen Datenpakete, die dort gar nicht sein dürften. Möglicherweise werden Sie gerade Zeuge eines Angriffs nach der Methode Man-in-the-Middle (MITM), bei dem ein Gegner heimlich Daten zwischen vertrauenswürdigen Endpunkten abfängt und manipuliert.  

Wir erklären Ihnen alles, was Sie über MITM-Angriffe wissen müssen, und auch, wie Hacker sich und die Techniken, die sie nutzen, um Kommunikation mitzuhören oder zu verfälschen, in Position bringen. Vor allem aber werden wir einige praktische Tipps geben, wie Sie solche heimtückischen Bedrohungen entdecken und abwehren können. 

Was ist ein Angriff per Man-in-the-Middle (MITM)? 

Ein Angriff per Man-in-the-middle (MITM) ist eine Form des Cybereingriffs, bei dem der Gegner sich verdeckt zwischen zwei miteinander kommunizierende Parteien drängt (z. B. den Browser eines Nutzers und einen Webserver). Weder die eine noch die andere Seite wird bemerken, dass der Kommunikationskanal kompromittiert wurde und er von dieser Position aus die ausgetauschten Daten abgreift, weiterleitet oder verändert. Indem er Schwachstellen ausnutzt, etwa gefälschte ARP-Pakete an ein lokales Netzwerk sendet (ARP-Spoofing), falsche Daten in DNS-Caches einschleust (DNS-Cache-Poisoning) oder bösartige WLAN-Zugangspunkte einrichtet, leitet der Angreifer Datenverkehr durch sein eigenes System um, während er den Parteien an beiden Enden vorgaukelt, er wäre jeweils der andere Kommunikationspartner.

Was sind die Risiken eines Man-in-the-Middle-Angriffs?

Ist er einmal in Position, kann der MITM passiv Nutzerzugangsdaten abgreifen, auch temporäre Cookies sowie sensible Nutzdaten, oder sich aktiv ans Fälschen machen. Er kann bösartigen Code einschleusen, Transaktionen ändern oder heruntergeladene Daten umleiten, wobei oft Techniken wie die Unterbrechung einer HTTPS-Verbindung und Umleitung auf eine HTTP-Verbindung (TLS-Stripping) oder gefälschte Zertifikate genutzt werden, um die Verschlüsselung zu umgehen. Ein erfolgreicher MITM-Angriff macht eine sichere Verbindung praktisch zu einem transparenten Kanal für Spionage und Manipulation.

Das heißt, vertrauliche Informationen wie Anmeldedaten, finanzielle Transaktionen, geistiges Eigentum oder persönlich identifizierbare Informationen (PII) können still und leise abgeführt oder verändert werden. Angreifer können bösartige Nutzdaten einspeisen (wie etwa gefälschte Softwareaktualisierungen oder Schadsoftware), wo legitime Datenströme vermutet werden. Diese können zu größeren Netzwerkinfektionen führen und sich lateral in der Infrastruktur der Organisation verbreiten.

Wie läuft ein Man-in-the-Middle-Angriff ab?

1. Ausforschung und Zielidentifikation
   Der Angreifer identifiziert zunächst das Netzwerksegment oder den Kommunikationskanal, der kompromittiert werden soll. Dabei kommt oft passives Durchsuchen des Netzwerks zum Einsatz (z. B. mittels Werkzeugen wie Nmap oder Wireshark), um aktive Computer, offene Ports oder Dienste in Ausführung zu erkennen. Zum Beispiel legt der Angreifer eine Karte von IP-Adress-Zuweisungen an und legt fest, welche Rechner oder untergeordneten Netze den größten Wert haben (z. B. ein Gateway, also eine Netzwerkverbindung, ein DNS-Server oder ein hochwertiger Client-Arbeitsplatz).
2. Zugang zum Kommunikationspfad herstellen
   Um sich zwischen zwei Endpunkten aufzubauen – sagen wir, Host A (das Opfer) und Host B (der legitime Server) –, muss der Angreifer das Netzwerk manipulieren, sodass der Datenverkehr durch seinen Rechner läuft. Zu den gebräuchlichsten Techniken gehören:
   • Das Senden gefälschter ARP-Pakete an ein lokales Netzwerk (ARP-Spoofing/-Poisoning): Der Angreifer sendet in einem lokalen Ethernet oder LAN gefälschte ARP-Meldungen sowohl an Host A als auch an das Gateway und bindet so seine eigene MAC-Adresse an die IP-Adresse des Gateways (gegenüber Host A) und umgekehrt (gegenüber dem Gateway). Infolgedessen wird Datenverkehr von Host A an das Gateway (und eingehende Antworten) zunächst an den Angreifer weitergeleitet. Werkzeuge wie Etterscap oder Arpspoof automatisieren dies, indem sie immer wieder aufs Neue gefälschte ARP-Meldungen senden, um den quasi vergifteten Status aufrechtzuerhalten.
   • Einschleusen gefälschter Daten in DNS-Caches (DNS-Cache-Poisoning): Gelingt es dem Angreifer, einen DNS-Resolver-Cache zu kompromittieren oder manipulierte DNS-Anworten einzuschleusen, können sie dafür sorgen, dass Host A eine IP-Adresse unter der Kontrolle des Angreifers für „legitimate.example.com“ hält. Sobald Host A eine Verbindung herstellt, geht der Datenverkehr an den Rechner des Angreifers anstelle des echten Servers.
   • Schädlicher Zugangspunkt (Evil Twin): In einer WLAN-Umgebung konfiguriert der Angreifer einen WLAN-Zuganspunkt mit derselben SSID und denselben Sicherheitseinstellungen wie ein legitimer Hotspot, quasi ein böser Zwilling (Evil Twin). Wenn sich ein Client einwählt, wird die AP des Angreifers zum Gateway und der gesamte HTTP/S-Verkehr fließt durch die Infrastruktur des Angreifers.
3. Herstellung beidseitigen Datenverkehrs
   Nachdem Datenpakete erfolgreich abgezweigt wurden, muss der Angreifer uneingeschränkten Datenfluss in beide Richtungen sicherstellen, damit keiner der beiden Endpunkte den Verlust von Paketen oder ungewöhnliche Verzögerungszeiten bemerkt. Üblicherweise lässt der Rechner des Angreifers IP-Weiterleitung und Paket-Weiterleitung zwischen Host A und Host B in Echtzeit ablaufen. Wenn Schutz durch Verschlüsselung im Einsatz ist, muss der Angreifer sich auch mit TLS oder anderer temporärer Verschlüsselung auseinandersetzen:
   • TLS/SSL-Herabstufung (z. B. SSL-Stripping): Wenn das Opfer „http://example.com” eingibt, antwortet der Server oft mit einer 301/302- Umleitung auf „https://example.com”. Ein MITM-Werkzeug bricht diese Umleitung ab und überschreibt sie, um den Client auf HTTP zu halten. Der Angreifer verbindet sich dann an des Opfers Stelle über HTTPS mit dem echten Server, entschlüsselt Antworten und schickt sie über HTTP an das Opfer weiter. Beispiele beinhalten die Nutzung von Sslstrip oder individuelle Proxy-Skripte.
   • Fälschung von Zertifikaten oder gefälschte Zertifierungsstelle: Kann der Angreifer den Client dazu verleiten, einem Zertifikat von einer bösartigen Zertifizierungsstelle zu vertrauen (zum Beispiel per Social Engineering oder durch das Ausnutzen einer laxen Zertifikatvalidierung), generiert er im Handumdrehen ein gefälschtes Serverzertifikat, präsentiert es Host A, entschlüsselt eingehenden Datenverkehr und verschlüsselt ihn dann wieder für Host B, entweder mit einem legitimen Zertifikat (wenn er eins durch eine kompromittierte Zertifizierungsstelle erhalten kann) oder über eine echte Zertifizierungstelle unter seiner Kontrolle.
4. Datenabgriff und Manipulation
   Nachdem nun der Datenverkehr durch das System des Angreifers fließt, hat er die Wahl zwischen passivem oder aktivem Modus:
   • Passiver Abgriff: Einfach Datenpakete abfangen (z. B. Anmeldedaten, temporäre Cookies, API-Tokens, PII) ohne Änderungen. Werkzeuge wie Wireshark oder Tcpdump können HTTP Post-Texte oder TLS-entschlüsselte Nutzdaten protokollieren, wenn Probleme mit Zertifikaten umgangen sind. Der Angreifer würde nach bestimmten Mustern filtern wollen – wie Parametern des Anmeldeformulars („username=…&password=…“), JSON-Web-Tokens in Kopfzeilen oder Daten von Finanztransaktionen –, um sensible Informationen herauszusieben.
   • Aktive Fälschung: Inhalt während des Transits modifizieren. Zum Beispiel:
     • JavaScript in HTTP-Antworten einschleusen, um Tastenanschläge aufzuzeichnen oder Cookies mit document.cookie abzufangen.
     • Transaktionsdetails verändern (z. B. den Betrag einer Banküberweisung oder die Nummer des Zielkontos ändern), bevor sie an den echten Server weitergeleitet werden.
     • Eine legitime Softwareaktualisierung durch einen mit einem Trojaner versehene, ausführbare Datei ersetzen, indem die URL zum Herunterladen abgefangen und auf bösartige Nutzdaten auf dem Server des Angreifers umgeleitet wird.
5. Tarnung und Beständigkeit aufrechterhalten
   Um Entdeckung zu entgehen, muss der Angreifer Anomalien minimieren:
   • Zeitliche Anpassungen: Minimale Verzögerung einstellen, idealerweise unter der Jittertoleranz des Netzwerks, sodass die Muster des Datenverkehrs normal erscheinen.
   • ARP-Bereinigung: In Szenarien mit ARP-Poisoning regelmäßig manipulierte Eingaben wiederholen (alle paar Minuten), anstatt das Netzwerk beständig mit ARP-Antworten zu fluten, da dies Einbruchserkennungssysteme (Intrusion Detection Systems, IDS) alarmieren kann.
   • Unterdrückung der Warnungen vor Zertifikaten: Wenn ein gefälschtes Zertifikat im Einsatz ist, konfiguriert der Angreifer oft die Proxy so, dass Zertifikatwarnungen in angepeilten Browsern automatisch weitergeklickt oder unterdrückt werden, um sicherzugehen, dass Nutzer den roten Hinweis „Nicht vertrauenswürdiges Zertifikat” niemals zu Gesicht bekommen.
   • Löschen von Logeinträgen: Der Angreifer würde auf kompromittierten, zwischengeschalteten Systemen (z. B. ein lokaler Router oder NAT-Gateway) relevante Logeinträge löschen oder Zeitstempel modifizieren wollen, um sich in normale Auditing-Muster einzufügen.
6. Ausschwenken und laterales Ausschwärmen
   Wenn das Opfer eines MITM-Angriffs gültige Anmeldedaten für Ressourcen mit Zugangsbegrenzung hat (wie einen privilegierten Account als Systemadministrator), kann der Angreifer abgegriffene Anmeldedaten nutzen, um in weitere Rechner, Server oder Cloud-Umgebungen einzuloggen. Einmal im System, können Angreifer Hintereingänge einbauen, weitere missbräuchliche Hochstufungen von Berechtigungen einrichten oder sich im gesamten Netzwerk ausbreiten, womit sie ihren Fuß bei weit mehr in der Tür haben als nur beim Kommunikationskanal.
7. Bereinigung und Exit-Strategie
   Ein Angreifer, der weiß, was er tut, wird einen Plan für einen sauberen Abbruch und Rückzug haben:
   • ARP-Tabellen wiederherstellen (bei ARP-Spoofing): Korrekte ARP-Antworten senden, um legitime MAC-IP-Verbindungen wiederherzustellen, was Verdachtsanlässe reduziert, nachdem sich das Angriffsfenster geschlossen hat.
   • Falsche DNS-Einträge entfernen: Vergiftete Einträge aus DNS-Caches entfernen oder gefälschte Resolver-Konfigurationen zurücksetzen, um normales Namensauflösungsverhalten wiederherzustellen.
   • Logeinträge und Artefakte löschen: Dateien aus dem Paketabfang, Proxy-Logeinträge und sonstige temporäre Dateien, die auf zwischengeschalteten Systemen entstanden sind, löschen. Auf dem Rechner des Angreifers (wenn eine Jumpbox) Festplattensektoren zerstören oder überschreiben, die gesammelte Anmeldedaten oder Nutzdaten beinhalten.
   • Bösartige Zertifikate widerrufen (wenn zutreffend): Wenn eine kompromittierte Zertifizierungsstelle oder ein falsches Zertifikat benutzt wurde, würde der Angreifer es widerrufen oder ungültig machen wollen, um in einer späteren forensischen Analyse Korrelation zu vermeiden.
8. Ex-post-Entdeckungsvermeidung
   Noch nachdem er den Tatort verlassen hat, kann der Angreifer schlafende „Schnüffelagenten” (z. B. kleine Skripte zum Abfangen von Datenpaketen) an nachlässig überwachten Endpunkten hinterlassen, die programmiert sind, regelmäßig neue Daten zu entziehen. Er kann zudem Rückruf-Domains einrichten, die nur dann reagieren, wenn Ziele von hohem Wert kommunizieren, was das Volumen des bösartigen Datenverkehrs herabsetzt und die Wahrscheinlichkeit der Entdeckung reduziert.

Anzeichen auf einen MITM-Angriff, auf die Sie achten sollten

• Ungewöhnlicher ARP-Verkehr: Ein Anstieg grundloser ARP-Antworten oder mehrere Hosts, die dieselbe IP/MAC-Verbindung angeben.
• TLS-Handschlag-Anomalien: Ungereimtheiten in der Zertifikatkette, unstimmige Hashes öffentlicher Schlüssel oder ein Serverzertifikat, das nicht zum erwarteten Fingerabdruck der Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) passt.
• Muster von Herabstufungen von HTTPS zu HTTP: Wiederholte HTTP-Umleitungen ohne richtigen Wechsel auf TLS, besonders wenn die ursprüngliche Anfrage strenge Transportsicherheit beinhaltete.
• Verdächtige DNS-Antworten: Mehrere Hosts erhalten DNS-Antworten für High-Profile-Domains mit unerwarteten IP-Adressen.
• Verzögerungspitzen bei kritischen Datenflüssen: Obwohl ein MITM versucht, getarnt zu bleiben, können selbst kleinste Verzögerungszuwächse von Netzwerkleistungsüberwachung entdeckt werden, wenn diese richtig kalibriert ist.

Was ist mit einem Angriff per Browser-in-the-Middle (BITM)?  Was ist daran anders?

Ein Angriff per „Browser-in-the-middle“ unterscheidet sich von einem konventionellen MITM auf Netzwerkebene, weil der Gegner nicht den Datenverkehr im Netz abgreift. Stattdessen wird er direkt in die Browser-Umgebung des Opfers eindringen oder diese kompromittieren. Zum Beispiel kann eine bösartige Browsererweiterung oder ein eingeschleustes JavaScript sich in die HTTP(S)-APIs des Browsers einklinken, sowohl vor als auch nach der Verschlüsselung, und es dem Angreifer erlauben, Anfragen und Antworten in Klartext zu sehen und zu modifizieren.

Anders als in einem ARP- oder DNS-Spoofing-Fall, wo der Angreifer den Netzwerkpfad manipuliert, setzt der Browser-in-the-middle-Ansatz im Browserprozess selbst an: er sieht Formulardaten, bevor sie über TLS verschlüsselt werden, und kann Seiteninhalte verfälschen oder Nutzdaten einschleusen, um IDS/IPS-Signaturen auszulösen, und das ganz ohne Anomalien bei Zertifikaten oder Netzwerk. Kurz gesagt, die Vertrauensgrenze wird am Endpunkt der Kommunikation durchbrochen. Wenn die Integrität des Browsers unterminiert wird, kann SSL/TLS Daten nicht schützen, was die Entdeckung zu einer viel größeren Herausforderung macht, da der Datenverkehr legitim scheint, sobald er auf das Netzwerk trifft.

Welche Schritte können Organisationen unternehmen, um sich dagegen zu verteidigen?

Organisationen können eine mehrschichtige Verteidigungsstrategie einsetzen, um das Risiko von Angriffen per Man-in-the-Middle (MITM) und Browser‐in‐the‐Middle (BITM) wesentlich herabzusetzen. Dies sind die wichtigsten Schritte, die Sie in Erwägung ziehen sollten:

1. Setzen Sie strenge Passworthygiene durch: Machen Sie Passphrasen von wenigstens 16 Zeichen zum erforderlichen Standard (z. B. drei unzusammenhängende Wörter). Machen Sie es zur Pflicht, dass pro Account ein einzigartiges Passwort gilt, ohne Wiederbenutzung bei anderen Diensten. Sie können zudem die Nutzung eines Passwortmanagers, der Anmeldedaten generiert und speichert, befürworten. Die Einrichtung eines individuellen Wörterbuchs, das Wörter in Zusammenhang mit Ihrem Unternehmen/Ihrer Branche blockiert, wird ebenso empfohlen.

2. Suchen Sie Ihr Active Directory nach kompromittierten Anmeldedaten ab: Nutzen Sie eine Lösung von dritter Seite wie Specops Password Policy, die Ihr Active Directory kontinuierlich nach Nutzern mit entwendeten Anmeldedaten abtastet. Jeder, der ein kompromittiertes Passwort nutzt, wird zu einer Passwortzurücksetzung gezwungen.

3. Setzen Sie Multi-Faktor-Authentifizierung (MFA) durch: Machen Sie MFA zum verpflichtenden Standard, auf VPNs, Fernzugangsportalen, Administratorkonsolen, Cloud-basierten Diensten und jedem System, das sensible Daten enthält (z. B., Finanzen, HR-Systeme). Nutzen Sie Phishing-resistente Faktoren, wo immer möglich – wenn Ihr MFA-Anbieter nicht damit dient, ist es klüger, eine andere Lösung wie Specops Secure Access in Erwägung zu ziehen.

4. Schutz für Netzwerk & Kanäle

• Unterhalten Sie strenge TLS-Konfigurationen (schaffen Sie TLS 1.0/1.1 ab, setzen Sie starke Schlüssel durch)
• Nutzen Sie DNSSEC-Validierung auf Resolvern, um Cache-Poisoning zu vereiteln.
• Setzen Sie dynamische ARP-Inspektion und DHCP-Überwachung an Switches ein, um ARP-Spoofing abzuwehren.
• Überwachen Sie die Fingerabdrücke von Zertifikaten (z. B. mittels kleiner CT-Überwachungsdienste), sodass jedes unerwartete Zertifikat für Ihre Domains einen Alarm auslöst.
• Legen Sie Basislinien für Netzwerkverzögerung und ARP/DNS-Verhalten fest; setzen Sie rote Flaggen bei plötzlichen Anomalien, die nahelegen, dass jemand Ihren Datenverkehr abfängt.

5. Aufrüstung an Endpunkt und Browser

• Begrenzen Sie Browsererweiterungen mittels einer zugelassenen Whitelist und legen Sie eine Richtlinie zur Sicherheit von Inhalten (Content Security Policy, CSP) auf internen Webanwendungen fest, um eingeschleuste Skripte zu vermeiden.
• Lassen Sie einen Dienst zur Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR) laufen, um verdächtige DLL-Injektionen oder unautorisierte lokale Proxies zu entdecken.

6. Vorbereitung auf die Vorfallsreaktion

• Halten Sie ständig aktualisierte Playbooks für die Isolierung vermuteter MITM-Vorfälle bereit (z. B. kompromittierte Zertifikate widerrufen, DNS-Einträge zurücksetzen, schädliche WLAN-APs isolieren).
• Gewährleisten Sie, dass Log-Aufzeichnungen (Switch-ARP-Tabellen, DNS-Anfrage-Aufzeichnungen, AD-Passwortzurücksetzungsfälle) im Interesse schnellstmöglicher Untersuchung zentral gesammelt und zeitlich synchronisiert sind.

Verstärken Sie die Sicherheit Ihres Active Directory noch heute

Indem Sie den Fokus auf starke, einzigartige Passphrasen legen, das AD aktiv nach entwendeten Anmeldedaten durchsuchen und MFA überall dort durchsetzen, wo es wichtig ist, eliminieren Sie den bequemsten Zugang für Angreifer, die aus entwendeten Daten Nutzen ziehen wollen. Specops Password Policy verstärkt die eigenen Passwortmechanismen Ihres Active Directory, indem es einen Echtzeit-Check verankert, sowohl gegen den allgemeinen Zustrom entwendeter Passwörter als auch jede von Ihnen individuell konfigurierten Bann‐Listen.

Da es sich mittels eines federleichten Passwortfilters direkt bei Ihrem Domain Controller einfügt, fängt es riskante Passwörter ab und blockiert sie im Moment der Generierung – was Angreifer davon abhält, aufgedeckte Anmeldedaten zu ihrem Vorteil zu nutzen. Mit detaillierten, OU-basierten Richtlinienobjekten, zentralisierten Berichtsübersichten und Integrationspunkten für MFA sowie Self-Service-Passwortzurücksetzungen (SSPR) bietet es Ihnen bei geringen Gemeinkosten eine umfassende Methode zur Sicherstellung, dass niemand in Ihrer Organisation schwache oder entwendete Passwörter wiederverwendet oder wählt. Sichern Sie sich eine kostenlose und auf Sie zugeschnittene Demo.