Man in the Middle Attacke

Von einer Man in the Middle-Attacke (zu Deutsch: Mann in der Mitte-Angriff, kurz MITM-Attack) redet man, wenn eine Kommunikation von einer dazwischengeschalteten Einheit (Mensch oder Computer) belauscht oder manipuliert wird mit dem Ansinnen, Geheimnisse abzufangen oder Daten zu fälschen und damit unbemerkt zu bleiben.

Das kann auf vielfältige Art und Weise geschehen. Die einfachste Art ist es wohl, Funkverkehr mitzuhören. Wenn man die Funkfrequenz kennt und die Datenübertragung unverschlüsselt ist, hat man als Angreifer (Man in the Middle) so gut wie keinen Aufwand und es besteht so gut wie keine Gefahr, entdeckt zu werden. Aber man kann sich auch schon einen Man in the Middle-Angriff im Altertum vorstellen. Zum Beispiel, wenn man einen berittenen Boten abfängt, und einen Brief unbemerkt austauscht. Oder gar den Boten selbst. Doch schon damals wusste man um die Möglichkeit eines solchen Angriffes und sorgte dafür, dass Sender und Empfänger die Identität des Boten kannte. Zudem versiegelte man die Briefe mit Siegelwachs und einzigartigem Siegelring-Abdruck, damit der Empfänger erkennen konnte, wenn der Brief unterwegs unberechtigt geöffnet worden ist.

Ein klassisches Beispiel für eine Man in the Middle Attacke bietet die Geschichte aus dem 16. Jahrhundert um Maria Stuart, ehemals Königin von Schottland und Frankreich , die verschlüsselt kommunizierte, um einen Anschlag auf Elisabeth, Königin von England zu planen, was auch als Babington Verschwörung bekannt wurde.

Dabei ließ Walsingham, Kryptograf unter Elisabeth, nach Knacken der Geheimschrift Marias deren Briefe öffnen, Kopien anfertigen und mit gefälschtem Siegel wieder verschließen, bevor er sie durch Gifford wieder bei Maria abgeben ließ. So hatte er sich in die Kommunikation zwischengeschaltet und konnte Maria Stuart weismachen, sie würden mit ihresgleichen kommunizieren, bekam aber in Wahrheit eine Falle von Walsingham gestellt, als er eine Antwort austauschte. In diese Falle tappte Maria Stuart prompt, konnte des Hochverrats überführt werden und verlor als Folge wortwörtlich ihren Kopf.

Ein weiteres Beispiel ist das Belauschen einer Telefonkommunikation. Hier müsste man die Leitung (zumindest bei alten Verfahren) kurz trennen und ein Gerät dazwischenschalten, dass die Signale (Sprache) vom Sender abgreift und zweimal dupliziert, einmal wieder zum Empfänger und ein zweites Mal für den Angreifer, der dann unbefugt und unbemerkt zuhören kann, vielleicht einmal von einem kurzen Knacken in der Leitung abgesehen.

In modernen Netzwerken ist auch ein Man in the Middle-Angriff möglich. In älteren lokalen Netzwerk mit Hub statt Switch werden Daten an jede Empfangsstelle gesendet. Hier muss sich ein Man in the Middle nur an eine freie LAN-Steckdose anstöpseln, um den gesamten Netzwerkverkehr mithören zu können. Um dies zu verhindern, benötigt es eine Authentifizierung, die nicht jeden beliebigen Benutzer ins Netzwerk lässt.

Aber auch in modernen Netzwerken gibt es Hacking-Methoden wie ARP-Spoofing (auch als ARP Request Poisoning bezeichnet), die gefälschten ARP-Pakete senden mit dem Ziel, die ARP-Tabellen in einem Netzwerk so zu verändern, dass anschließend der Datenverkehr zwischen zwei Systemen in einem Rechnernetz abgehört werden können. Das Vorspielen eines falschen DHCP-Servers, der IP-Adressen im Netzwerk dynamisch vergibt und auch die Gateway-IP nach draußen ins Internet seinen Clients mitteilt, wäre eine weitere Methode, mit dem man Internetverkehr zu einem manipulierten Server (eben unter der mitgeteilten IP-Adresse) mitliest und erst dann in das Internet weiterleitet.

Auch für WLAN existieren Angriffsvektoren. Und weil WLAN ein funkbasiertes Netzwerk ist, ist nicht einmal physikalisches Zugriff auf das Netzwerk oder eine LAN-Netzwerkdose notwendig. Hier kann bei unverschlüsselter Kommunikation ein direktes Abhören der gefunkten Pakete möglich. Und für alte Protokolle wie WEP gibt es Angriffsvektoren, die in erstaunlich kurzer Zeit die verwendeten Schlüssel offen legen, mit denen der Netzverkehr verschlüsselt ist, sodass der MITM die Daten wieder mitlesen kann.

Eine Ebene höher geht das DNS Cache Poisoning oder das Hacken der Konfigurationsdateien auf einem DNS-Server oder das Manipulieren der lokalen Hosts-Datei, alle mit dem Ziel, bei Eingabe eines Domain-Namens, zum Beispiel für eine Web-Verbindung, die IP-Adresse eines eigenen Gerätes für die abgefragte Domains mitzuteilen statt der wirklichen. Der Internet-Traffic wird dann zuerst zum MITM-Server geleitet, der diese an den wirklichen Server weiterleiten und dann die Antwort dessen wieder zurück an den eigentlich Absender der Internet-Anfrage. Auch so kann ein MITM mithören und Daten abfangen, um sie zu missbrauchen.

Statt Siegelwachs und Siegelring aus dem Altertum benutzt man heute zur Sicherung der Kommunikation kryptografische Protokolle und Zertifikate, die sicherstellen, dass der Absender auch der wahre legitime Absender und der Empfänger auch der wahre legitime Empfänger ist. Aber natürlich können auch wieder diese Protokolle und Zertifikate angegriffen werden, insbesondere dann, wenn ein Server-Administrator seine Private Keys nicht richtig unter Verschluss hält.

Gleichzeitig kann es Programmierfehler in der Software, die die Protokolle abbilden, geben, die ausgenutzt werden können und die Sicherheit so zerstören. Ein Beispiel dafür ist der Heartbleed Bug, der in älteren Versionen der sehr populären Open-Source-Bibliothek OpenSSL zu finden war, inzwischen in neueren Version aber natürlich bereinigt ist.

Eine weitere Maßnahme gegen Man in the Middle-Angriffe kann die Sicherung über einen zweiten Kanal, meisten Zwei-Faktor-Authentifizierung genannt, sein. Dabei wird über einen zweiten Kanal eine weitere Authentifizierung verlangt. Beim Onlinebanking, dass beispielsweise gerade im Browser des Desktops läuft, wird zusätzlich eine PIN oder ein Fingerabdruck über das Smartphone angefordert, sodass auf zwei unterschiedliche Arten und zwei unterschiedlichen Geräten sichergestellt werden kann, dass es sich um den legitimen Absender handelt.

Oder es wird zusätzlich zu einem Passwort, dass im Browser eingegeben wurde, eine Sicherheitszahl über e-mail verschickt, die zudem eingegeben werden muss. Der zweite Kanal ist hier die e-mail neben dem ersten, dem Webbrowser.
Auch die inzwischen nicht mehr eingesetzten TAN (für Transaktionsnummer)-Listen sind ein Mittel zur Zwei-Faktor-Authentifizierung gewesen. Für jede wichtigere Transaktion musste dafür eine auf Papier gedruckte, zufällig ausgewählte TAN-Nr. eingegeben werden.

Wirkliche Sicherheit, dass eine Kommunikation nicht abgehört und verfälscht werden kann, bietet allerdings nur die Quantenkryptografie, bei der quantenmechanische Effekte ausgenutzt werden, die auf physikalischer Ebene sicherstellen, dass eine Man in the Middle-Attacke sofort auffallen würde. Diese ist aber zurzeit noch sehr kostspielig.

Quellen, Literaturverweise und weiterführende Links