So verstehen Sie MitM-Angriffe und ihre Risiken
Herauszufinden, wie Ihr Gerät über Netzwerke mit anderen kommuniziert, kann ziemlich verwirrend sein – insbesondere, wenn etwas schiefgeht oder Sie sicherstellen möchten, dass Ihre Daten wirklich sicher sind. Die Grundlagen sind einfach: Stellen Sie eine Verbindung per Kabel her, wenn es in der Nähe ist, oder nutzen Sie WLAN oder ein kabelgebundenes Ethernet. Aber sobald Sie mit dem Internet und all den Zwischenhändlern (wie Proxys, VPNs oder sogar betrügerischen Hotspots) zu tun haben, ist die Sache eine ganz andere Geschichte. Es geht nicht nur darum, sich einzuklinken; es geht darum zu wissen, wer zuhört und wie Sie das Schnüffeln verhindern können.
Verschlüsselung ist hier der eigentliche Trick – eine Art Geheimcode, der Ihre Nachrichten vor neugierigen Blicken schützt. Doch die Kriminellen warten nicht einfach ab; manche versuchen, sich selbst in die Konversation einzumischen und geben sich als Sie oder der Server aus. Hier kommen Man-in-the-Middle-Angriffe (kurz MitM) ins Spiel. Sie können mithören, die gesendeten Nachrichten manipulieren oder sogar Ihren Browser täuschen, sodass er denkt, alles sei normal, obwohl das nicht der Fall ist. Der Trick dabei? Diese Angriffe können passiv sein – sie hören nur zu – oder aktiv, indem sie sich in Ihre Verbindung einmischen und so tun, als sei alles in Ordnung, während sie heimlich Daten abfangen.
Das Setup
Damit ein MitM funktioniert, muss sich der Angreifer grundsätzlich in Ihren Kommunikationspfad einschleichen. Eine gängige Methode, auch wenn sie ziemlich offensichtlich ist, ist die Verbindung zu einem beliebigen kostenlosen WLAN-Hotspot – Sie wissen schon, diese Cafés oder Flughäfen, die einfach so „kostenloses WLAN“ anbieten. Ich weiß nicht, warum das so oft funktioniert, aber diese Netzwerke sind oft nicht ausreichend gesichert, was sie zu einem Hotspot für Angreifer macht, die einen gefälschten Zugangspunkt einrichten und darauf warten, dass sich jemand verbindet. Das ist für sie superleicht, aber Sie wären überrascht, wie viele Leute sich einfach gedankenlos darauf einloggen.
Eine andere Möglichkeit besteht darin, Ihr Gerät dazu zu bringen, einen Proxy zu verwenden oder es so zu konfigurieren, dass es einen bestimmten bösartigen Server akzeptiert. Wenn es ihnen beispielsweise gelingt, Ihr Gerät dazu zu bringen, ihren Rechner als Proxy zu verwenden, können sie Ihren gesamten Datenverkehr einsehen – so, als würden sie ein Gespräch belauschen, indem sie direkt neben Ihnen sitzen. Und natürlich könnte Ihr ISP theoretisch mit von der Partie sein, insbesondere wenn er bösartig ist oder kompromittiert wurde. Die Verwendung eines VPN soll Ihren Datenverkehr verbergen, aber vergessen Sie nicht: Ihr VPN-Anbieter wird zu Ihrem neuen ISP und damit zu demjenigen, der Zugriff auf Ihre Daten erhält. Die Wahl eines vertrauenswürdigen Anbieters ist entscheidend, sonst könnten Sie nur ein Problem gegen ein anderes austauschen.
Passives MitM
Dies ist die hinterhältigste Methode. Der Angreifer „lauscht“ einfach Ihren verschlüsselten Datenverkehr, ohne ihn zu manipulieren, Informationen zu sammeln oder Muster zu erkennen. Verschlüsselung ist hier eine große Hilfe, denn ohne sie wäre alles klar ersichtlich. Aber selbst mit Verschlüsselung kann er, wenn er mittendrin sitzt, Metadaten oder, wenn Sie nicht aufpassen, unverschlüsselte Daten abgreifen. Denken Sie daran: Passiv bedeutet nicht harmlos, aber es ist weniger bösartig, als aktiv mit Ihren Daten zu hantieren.
Aktives MitM
Dies ist das aggressivere Szenario. Hier greift der Angreifer aktiv ein – er fungiert als Vermittler und vermittelt „sichere“ Verbindungen zwischen Ihnen und der Website. Theoretisch sollte SSL/TLS dieses Problem weitgehend verhindern, da Websites HTTPS und von vertrauenswürdigen Stammzertifizierungsstellen signierte Zertifikate verwenden, die im vertrauenswürdigen Zertifikatsspeicher Ihres Geräts gespeichert sind. Wenn alles richtig eingerichtet ist, warnt Sie Ihr Browser, wenn etwas verdächtig ist – das ist das Warn-Popup über ungültige oder nicht vertrauenswürdige Zertifikate.
Wenn das Zertifikat nicht gültig ist – beispielsweise weil es abgelaufen oder nicht ordnungsgemäß signiert ist –, warnt Sie der Browser. Aber Vorsicht: Manche Angreifer versuchen, Benutzer dazu zu bringen, ihre ungültigen Zertifikate zu akzeptieren. Oftmals, indem sie Sie dazu verleiten, ein schädliches Stammzertifikat in Ihrem vertrauenswürdigen Speicher zu installieren. Sobald dies geschieht, ist Ihre Abwehr praktisch gebrochen, da sich der Angreifer ohne Fragen als jede von Ihnen besuchte Website ausgeben kann.
Und das ist das Merkwürdige: Manchmal klicken Nutzer trotz dieser Warnungen einfach auf „Risiko akzeptieren“ und fahren fort. So erhalten sie vollen Zugriff auf Ihre vermeintlich „sichere“ Verbindung. Die Verschlüsselung schützt dann nur den Teil zwischen dem Angreifer und Ihrem Gerät – nicht den gesamten Weg zum echten Server. Das ist so, als würde man jemandem vertrauen, der sich als jemand anderes ausgibt, was den ganzen Zweck von HTTPS zunichtemacht.
Das weniger digitale Beispiel
Um es einfacher zu machen, denken Sie an das Versenden eines Briefes per Schneckenpost. Die Post ist wie das Internet – sie sendet Ihre Nachricht weiter. Aber der Postbote? Er ist der MitM – er kann Ihren Brief öffnen, lesen oder sogar austauschen, wenn er will. Sie gehen davon aus, dass alles sicher ist, weil der Brief versiegelt ist, aber wenn der Zusteller böswillig ist oder kompromittiert wird, ist das Spiel vorbei. Kryptografie hilft hier, z. B.indem Sie Ihren Brief unterschreiben, um zu beweisen, dass er tatsächlich von Ihnen stammt, sodass Sie wissen, ob jemand ihn manipuliert hat.
Eine Änderung Ihrer Kommunikationsgewohnheiten – beispielsweise der Wechsel von E-Mail zu verschlüsselten Messaging-Apps – kann den entscheidenden Unterschied machen. Und nicht nur der Wechsel, sondern die Wahl vertrauenswürdiger Netzwerke und Dienste. Denn die beste Verteidigung besteht letztlich darin, Angreifern keinen einfachen Zugang zu ermöglichen.
Zusammenfassung
MitM-Angriffe sind real und können blitzschnell passieren – insbesondere in ungesicherten WLANs oder wenn Zertifikatswarnungen ignoriert werden. Verschlüsselung hält die meisten Angreifer fern, aber nur, wenn die Einrichtung korrekt erfolgt und Benutzer auf Warnsignale achten. Außerdem ist es immer ratsam, bei der Nutzung von Netzwerken und Diensten vorsichtig zu sein. Manchmal reicht es schon, die Schwachstellen zu kennen und zu vermeiden.