Man-in-the-Middle-Angriffe: Techniken, Erkennung und Schutz
Man-in-the-Middle-Angriffe (MITM) positionieren einen Angreifer zwischen Kommunikationsparteien - lautlos, oft unsichtbar. Alle Techniken erklärt: ARP-Spoofing, SSL-Stripping, DNS-Spoofing, BGP-Hijacking, AiTM-Phishing.
Inhaltsverzeichnis (6 Abschnitte)
Ein Man-in-the-Middle-Angriff (MITM, auch: Adversary-in-the-Middle, AiTM) ist eine der ältesten und wirkungsvollsten Angriffstechniken der IT-Sicherheit. Der Angreifer schiebt sich unbemerkt in eine bestehende Kommunikationsverbindung und kann diese belauschen, manipulieren oder für eigene Zwecke missbrauchen. Das Tückische: Beide Kommunikationsparteien glauben, direkt miteinander zu sprechen.
Warum MITM-Angriffe so gefährlich sind
Verschlüsselung allein schützt nicht vor MITM-Angriffen, wenn die Authentifizierung der Gegenstelle fehlt oder umgangen wird. Ein Angreifer der in der Mitte sitzt, kann eigene Schlüssel präsentieren - und die verschlüsselte Verbindung läuft dann über ihn.
MITM ermöglicht:
- Abhören verschlüsselter Kommunikation (wenn Verschlüsselung aufgebrochen wird)
- Manipulation von Inhalten (gefälschte Banking-Seiten, manipulierte Software-Updates)
- Credential-Diebstahl (Anmeldedaten abfangen)
- Session-Hijacking (Sitzungs-Cookies stehlen und für eigene Anfragen nutzen)
- MFA-Bypass (Adversary-in-the-Middle-Phishing)
MITM-Techniken im Detail
ARP-Spoofing (LAN)
Funktionsweise: Das Address Resolution Protocol (ARP) verknüpft IP-Adressen mit MAC-Adressen im lokalen Netz - ohne Authentifizierung. Ein Angreifer sendet gefälschte ARP-Antworten und behauptet, die MAC-Adresse des Standard-Gateways zu besitzen. Alle anderen Geräte im Netz leiten ihren Traffic an den Angreifer weiter.
Normal: Opfer ──→ Router ──→ Internet
MITM: Opfer ──→ Angreifer ──→ Router ──→ InternetWerkzeuge: Arpspoof, Ettercap, Bettercap
Gegenmaßnahmen:
- Dynamic ARP Inspection (DAI) auf Switches
- 802.1X-Authentifizierung für LAN-Ports (nur autorisierte Geräte)
- TLS für alle Verbindungen (MITM-Position allein reicht dann nicht)
- Static ARP-Einträge für kritische Systeme
SSL-Stripping
Funktionsweise: Der Angreifer in der MITM-Position präsentiert dem Opfer eine unverschlüsselte HTTP-Verbindung, während er selbst eine HTTPS-Verbindung zum echten Server aufbaut. Das Opfer sieht keine Verschlüsselung, merkt den Angriff aber oft nicht - besonders wenn kein HSTS aktiv ist.
Opfer ──HTTP──→ Angreifer ──HTTPS──→ ServerGeschichte: SSL-Stripping wurde 2009 von Moxie Marlinspike auf der Black Hat Conference demonstriert und war jahrelang ein praktisches Angriffswerkzeug.
Gegenmaßnahmen:
- HSTS (HTTP Strict Transport Security): Browser erzwingen HTTPS für bekannte Domains
- HSTS Preloading: Domain in Browser-eingebettete HTTPS-Liste (stärkster Schutz)
- HSTS-Header:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
DNS-Spoofing / DNS-Cache-Poisoning
Funktionsweise: Der Angreifer fälscht DNS-Antworten und leitet die Domain-Auflösung auf eigene Server um. Besucher von bank.example.com landen auf einem gefälschten Server des Angreifers.
Angriffspfade:
- DNS-Cache-Poisoning: Einschleusen gefälschter Antworten in DNS-Resolver-Cache
- Rogue DHCP-Server: Angreifer verteilt eigenen DNS-Server über DHCP
- BGP-Hijacking (auf Routing-Ebene, führt zu DNS-Umleitungen)
- Pharming: Manipulation der lokalen Hosts-Datei auf dem Opfer-System (via Malware)
Gegenmaßnahmen:
- DNSSEC: Kryptographische Signierung von DNS-Antworten
- DNS over HTTPS (DoH) / DNS over TLS (DoT): Verschlüsselte DNS-Kommunikation
- DNS-Resolver mit guter Implementierung (Zufallsquellport, TXID-Randomisierung)
- Monitoring auf ungewöhnliche DNS-Auflösungen
Rogue Access Points (WLAN)
Funktionsweise: Ein Angreifer betreibt einen WLAN-Zugangspunkt mit demselben oder einem ähnlichen Namen (SSID) wie das legitime Netzwerk. Geräte verbinden sich automatisch oder werden durch stärkeres Signal angelockt. Der Angreifer sieht den gesamten Traffic.
Evil Twin Attack: Das Doppelgänger-WLAN mit identischer SSID und stärkerem Signal verdrängt den echten Access Point.
Captive Portal Attack: Gefälschtes Hotel/Café-WLAN mit Anmeldeseite, die Credentials abfischt.
Gegenmaßnahmen:
- 802.1X für Unternehmens-WLANs (nur authentifizierte Geräte)
- VPN auf allen Geräten auch im vertrauenswürdigen WLAN
- WLAN-IDS (erkennt Rogue Access Points)
- Keine automatische Verbindung zu bekannten SSID-Namen
- Certificate-Pinning in Unternehmens-Apps
BGP-Hijacking (Internet-Ebene)
Funktionsweise: Das Border Gateway Protocol (BGP) steuert das Internet-Routing - welche Netze über welche Wege erreichbar sind. Durch das Ankündigen falscher BGP-Routen können ganze IP-Adressbereiche auf eigene Server umgeleitet werden.
Prominente Beispiele:
- 2010: China Telecom leitet 15% des globalen Internet-Traffics für 18 Minuten über China um
- 2018: BGP-Hijacking gegen Amazon Route53 → DNS-Umleitungen für MyEtherWallet
- 2022: Mehrere BGP-Hijacking-Ereignisse gegen Kryptowährungs-Infrastruktur
Gegenmaßnahmen:
- RPKI (Resource Public Key Infrastructure): Kryptographische Validierung von BGP-Routen
- BGP-Monitoring-Dienste (BGPStream, ThousandEyes)
- DNSSEC schützt auch bei BGP-Hijacking die DNS-Integrität
SSL/TLS-Interception (Corporate MITM)
Interessanter Sonderfall: Unternehmen betreiben legitime MITM-Positionen zur Sicherheitsüberprüfung des ausgehenden verschlüsselten Traffics (Deep Packet Inspection).
Vorgehen: Die Unternehmens-Firewall (z.B. Palo Alto, Fortinet) entschlüsselt ausgehende HTTPS-Verbindungen, inspiziert den Inhalt auf Malware und Datenverlust, und stellt eine neue verschlüsselte Verbindung zum Zielserver her. Clients müssen dem Corporate-CA-Zertifikat vertrauen.
Datenschutz-Aspekte: In Deutschland ist SSL-Interception von Mitarbeiter-Kommunikation rechtlich komplex - Betriebsrat, Datenschutzbeauftragter und klare Richtlinien sind erforderlich.
Adversary-in-the-Middle-Phishing (AiTM) - die moderne Bedrohung
AiTM-Phishing ist die wichtigste MITM-Variante für 2024/2025 und umgeht Multi-Faktor-Authentifizierung:
Wie AiTM funktioniert:
- Opfer erhält Phishing-E-Mail mit Link zu “login.microsoftonline-support.com”
- Opfer gibt Credentials auf der Phishing-Seite ein
- Phishing-Server leitet Anfragen in Echtzeit an das echte login.microsoftonline.com weiter
- Wenn MFA-Challenge erscheint: Opfer gibt OTP ein → wird an echten Microsoft-Server weitergeleitet
- Microsoft authenticiert erfolgreich → Session-Cookie wird ausgestellt
- Phishing-Server hat das Session-Cookie → verwendet es ohne MFA erneut zu benötigen
Der Angreifer hat somit eine gültige Session, obwohl MFA aktiviert war.
Betroffene: Microsoft 365, Google Workspace, Okta, alle webbasierten SSO-Dienste.
Erkennungszeichen:
- Anmeldung von ungewöhnlichem Standort / IP-Adresse (kurz nach legitimer Anmeldung)
- Token aus Land X, normales Login aus Land Y (Impossible Travel)
- Ungewöhnliche API-Aktivität kurz nach Anmeldung
Schutz gegen AiTM:
- FIDO2/Passkeys: Hardware-Schlüssel oder Plattform-Authenticatoren sind phishing-resistent. FIDO2 bindet die Authentifizierung an die Domain - auf einer Phishing-Domain funktioniert der echte FIDO2-Key nicht.
- Conditional Access mit Token-Binding (Microsoft Entra ID)
- Anomalie-Erkennung: Identity Protection in Microsoft Entra, Google BeyondCorp
- Phishing-resistente MFA als Grundsatz für privilegierte Konten
MITM-Angriffe im Penetrationstest
MITM ist ein Standard-Werkzeug in Netzwerk-Penetrationstests (interner Test). Typisches Vorgehen:
# ARP-Spoofing mit Bettercap (Pentest-Tool)
# (NUR in autorisierten Testumgebungen!)
bettercap -iface eth0
» net.probe on
» set arp.spoof.targets 192.168.1.100
» arp.spoof on
» net.sniff onErkenntnisse aus MITM-Pentests:
- Klartext-Protokolle intern (HTTP, Telnet, FTP, LDAP ohne TLS)
- Fehlende Certificate Validation in Anwendungen
- Schwache WLAN-Konfigurationen
- LLMNR/NBT-NS-Schwachstellen (Windows-spezifisch, führt zu Credential-Capture)
Erkennungsmaßnahmen
Netzwerk-Monitoring:
- ARP-Tabellen-Überwachung: Änderungen der MAC-IP-Zuordnung → Alert
- Zertifikat-Monitoring: Wenn das SSL-Zertifikat für eine Domain sich ändert → Alert
- DNS-Auflösungs-Monitoring: Abweichungen von erwarteten IP-Adressen
- NDR/IDS: Signaturbasierte Erkennung bekannter MITM-Werkzeuge
Certificate Transparency: CT-Logs erlauben die Überwachung, ob für eigene Domains neue Zertifikate ausgestellt wurden. Dienste wie crt.sh oder Cert Spotter alertieren bei neuen Zertifikaten.
Honeypots: Strategisch platzierte Honeypot-Systeme mit eindeutigen Credentials - wenn diese Credentials irgendwo verwendet werden, ist ein MITM im Netz aktiv.
Zusammenfassung: Schutzmaßnahmen nach Angriffstyp
| Angriffstyp | Hauptschutzmaßnahme | Zusätzlich |
|---|---|---|
| ARP-Spoofing | DAI auf Switches | 802.1X, TLS |
| SSL-Stripping | HSTS Preloading | TLS everywhere |
| DNS-Spoofing | DNSSEC + DoH/DoT | Monitoring |
| Rogue AP | 802.1X (WPA3-Enterprise) | VPN, WIDS |
| BGP-Hijacking | RPKI | BGP-Monitoring |
| AiTM-Phishing | FIDO2/Passkeys | Conditional Access |
| TLS-Interception | Certificate Pinning | Anomalie-Erkennung |
Quellen & Referenzen
- [1] NIST - Man-in-the-Middle Attack Definition - NIST
- [2] Microsoft Security: AiTM Phishing Attacks - Microsoft Security
- [3] ENISA Threat Landscape 2024 - ENISA
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.
