Man-in-the-Middle und Replay-Angriffe
Du logst dich im Café-WLAN in dein Online-Banking ein – die Seite sieht normal aus, du siehst das Schloss-Symbol. Trotzdem kann jemand im selben Netzwerk alles mitlesen, wenn die Verbindung nicht ordentlich abgesichert ist. Man-in-the-Middle (MitM)-Angriffe schalten sich unbemerkt zwischen zwei kommunizierende Parteien und können Daten lesen, verändern oder einschleusen. Der Replay-Angriff ist eine verwandte Methode, die abgefangene Kommunikation wiederverwendet.
1) Man-in-the-Middle – so funktioniert es
Beim MitM-Angriff täuscht der Angreifer beiden Kommunikationspartnern vor, die jeweils andere Seite zu sein. Alice denkt, sie kommuniziert mit Bob – tatsächlich kommuniziert sie mit dem Angreifer, der wiederum mit Bob kommuniziert. Alice und Bob merken nichts, der Angreifer kann alles mitlesen und verändern.
2) MitM-Techniken
| Technik | Wie es funktioniert | Schutz |
|---|---|---|
| ARP-Spoofing | Gefälschte ARP-Antworten leiten Netzwerkverkehr um | Dynamic ARP Inspection, VPN im WLAN |
| DNS-Spoofing | Gefälschte DNS-Antworten leiten auf falsche IPs | DNSSEC, DoH (DNS over HTTPS) |
| SSL-Stripping | HTTPS-Verbindung wird auf HTTP degradiert | HSTS (HTTP Strict Transport Security), Zertifikate prüfen |
| Evil Twin | Gefälschter WLAN-Hotspot mit echtem Namen | VPN, nur bekannte Netzwerke nutzen, 802.1X |
| BGP-Hijacking | Falsche Routing-Informationen lenken Internetverkehr um | RPKI (Resource Public Key Infrastructure) |
3) Replay-Angriff
Ein Replay-Angriff ist konzeptionell einfach: Der Angreifer fängt eine legitime Kommunikation ab (z.B. eine Authentifizierungssequenz) und sendet diese später erneut. Der Empfänger denkt, die Nachricht kommt wieder vom legitimen Sender – und gewährt Zugang oder führt die Aktion aus.
Beispiel: Ein Mitarbeiter authentifiziert sich an einem System. Der Angreifer zeichnet die Authentifizierungspakete auf. Später schickt er dieselben Pakete und erhält ebenfalls Zugang – ohne das Passwort zu kennen.
Schutz gegen Replay-Angriffe durch: Timestamps (Anfragen älter als X Sekunden werden abgelehnt), Nonces (einmalige, zufällige Werte in jeder Anfrage), Session-Tokens (jede Sitzung hat einen einmaligen Token) und Challenge-Response-Verfahren. Moderne Protokolle wie TLS und Kerberos sind inhärent gegen Replay-Angriffe geschützt.
Zusammenfassung
MitM-Angriffe schalten den Angreifer unbemerkt zwischen zwei Kommunikationspartner – durch ARP-Spoofing, DNS-Spoofing, Evil-Twin-WLAN oder SSL-Stripping. Sie verletzen Vertraulichkeit und Integrität. Schutz: HTTPS mit HSTS, VPN, Zertifikatsprüfung, DNSSEC. Replay-Angriffe missbrauchen abgefangene Kommunikation durch erneutes Senden – geschützt durch Timestamps, Nonces und Session-Tokens. Verschlüsselung allein schützt nicht vor Replay – Zeitstempel und Einmaligkeit der Nachrichten sind essenziell. Mehr zur Verschlüsselung in Verschlüsselung & Kryptografie.