2015 hat eine Gruppe von Cyberkriminellen in Belgien insgesamt 6 Millionen € erbeutet, indem sie sich durch mittelständische und große europäische Unternehmen hackten. Die Hacker verschafften sich Zugang zu den E-Mail-Konten der betroffenen Unternehmen und benutzten die Accounts dann um Zahlungsaufforderungen zu übernehmen. Laut der offiziellen Pressemitteilung von Europol waren Malware- und Social-Engineering-Techniken der Modus operandi. Mit dem Zugriff auf die Konten war es den Hackern gleichzeitig möglich, die Kommunikation zu überwachen, Zahlungsforderungen zu erkennen und zu übernehmen. Diese beeindruckende Demonstration ist ein Paradebeispiel für einen Man-in-the-Middle-Angriff. Tatsache ist, dass jedes Unternehmen leicht eines dieser europäischen Unternehmen hätte sein können.
Was ist ein Man-in-the-Middle (MITM) -Angriff?
Ein MITM-Angriff liegt vor, wenn die Kommunikation zwischen zwei Systemen von einer außenstehenden Partei abgefangen wird. Das kann bei jeder Form von Online-Kommunikation, egal ob über E-Mail, Social Media, Web etc., passieren. Dabei belauschen Hacker nicht nur private Konversationen. Vielmehr sind sämtliche auf dem betreffenden Gerät befindliche Informationen von Interesse.
Lässt man alle technischen Einzelheiten beiseite, kann man das Konzept eines MITM-Angriffs in einem simplen Szenario beschreiben. Versetzen wir uns wieder in vergangene Tage zurück, in eine Zeit als Snail Mail noch weitverbreitet war. Kevin schreibt einen Brief an Jacqueline, in dem er seine Liebe für sie ausdrückt, nachdem er jahrelang mit seinen Gefühlen hinter dem Berg gehalten hatte. Er schickt den Brief ab und dieser landet bei einem neugierigen Briefträger. Er öffnet ihn und entschließt sich, den Brief spaßeshalber umzuschreiben, bevor er ihn an Jacqueline ausliefert. Das führt dann leider dazu, dass Jacqueline Kevin für den Rest ihres Lebens hasst, nachdem "Kevin" sie nicht eben schmeichelhaft beschrieben hatte.
Ein aktuelles Beispiel wäre ein Hacker, der zwischen Ihnen (und Ihrem Browser) und der Website sitzt, die Sie gerade besuchen. Er fängt alle Daten ab, die Sie an die Website senden und speichert sie, das sind beispielsweise die Anmeldeinformationen oder finanzielle Transaktionsdaten.
Wie funktioniert ein Man-in-the-Middle-Angriff?
Im Laufe der Jahre haben Hacker verschiedene Möglichkeiten für MITM-Angriffe entwickelt. Dazu kommt, dass es inzwischen relativ billig geworden ist, Hacking Tools online zu kaufen. Das zeigt wie einfach es geworden ist, ein Unternehmen zu hacken, wenn man bereit ist ein wenig zu investieren. Hier stellen wir einige gängige Typen von MITM-Angriffen vor. Solche, denen man im Unternehmensumfeld am ehesten begegnet.
Email Hijacking
Ähnlich wie im geschilderten Fall richtet sich diese Taktik primär gegen die E-Mail-Konten großer Unternehmen. Vor allem gegen solche aus der Finanzwirtschaft. Sobald der Hacker Zugang zu wichtigen Konten hat, überwacht er die Transaktionen sorgfältig, um seinen Angriff später möglichst überzeugend zu gestalten. Er wartet beispielsweise auf ein Szenario, in dem der Kunde Geld überweist. Dann antwortet der Hacker, indem er die E-Mail-Adresse des Unternehmens fälscht, und die Bankverbindung des Unternehmens gegen seine eigene austauscht. Der Kunde geht davon aus, dass er das Geld an das betreffende Unternehmen sendet, in Wirklichkeit landet es direkt beim Angreifer.
Es werden aber nicht nur große Unternehmen Opfer dieser Art von Angriffen. In ene ganz ähnliche Situation geriet der Londoner Paul Lupton. Nachdem er sein Haus verkauft hatte, schickte er seine Kontodaten an seinen Anwalt, um den Erlös von über 333.000 € zu beanspruchen. Was er nicht wusste war, dass Hacker sich Zugang zu seinen E-Mails verschafft hatten und die Kommunikation bereits überwachten. Diese Gelegenheit ließen sie natürlich nicht ungenutzt verstreichen und schickten im Namen von Lupton schnell eine weitere E-Mail an den Anwalt. Darin wurde der Anwalt gebeten die erste E-Mail zu ignorieren und das Geld auf ein anderes Konto (im Besitz der Hacker) zu überweisen. Der Transfer ging auch tatsächlich auf dem Konto der Hacker ein, aber glücklicherweise erkannte Lupton schnell, was passiert war und konnte den Großteil der Gelder retten. Die meisten Angriffe nehmen leider kein so glückliches Ende.
Lauschangriff auf’s WLAN
Die meisten MITM-Angriffe profitieren von WLAN-Verbindungen. So richten Hacker beispielsweise eine WLAN-Verbindung mit einem legitim klingenden Namen ein. Alles, was der Angreifer tun muss, ist darauf zu warten, dass das Opfer sich verbindet. Dann kann er sofort auf das betreffende Gerät zugreifen. Alternativ kann der Angreifer einen gefälschten WLAN-Knoten erstellen, getarnt als legitimer WLAN-Zugangspunkt, um die persönlichen Daten von jedem, der eine Verbindung herstellt, zu stehlen.
Session Hijacking
Wenn Sie sich auf einer Website einloggen, wird eine Verbindung zwischen Ihrem Computer und der Website hergestellt. Hacker hijacken solche Sessions mit verschiedenen Methoden. Zum Beispiel indem sie Browser-Cookies stehlen. Cookies speichern kleine Datenmengen, die das Browsen grundsätzlich bequemer machen sollen. Das können Ihre Online-Aktivitäten, Anmeldeinformationen, vorausgefüllte Formulare und in einigen Fällen, der Standort sein. Gerät ein Hacker an die Log-in-Cookies, kann er sich problemlos selbst einloggen und die Identität übernehmen.
Wie lassen sich Netzwerke vor diesen Angriffen schützen?
MITM-Angriffe sind keine ganz triviale Angelegenheit. Das heißt aber nicht, dass man sie nicht verhindern kann. PKI ist eine der Technologien mit deren Hilfe man sich besser vor solchen Angriffen schützen kann.
S/MIME
Secure/Multipurpose Internet Mail Extensions oder kurz S/MIME verschlüsselt E-Mails im Speicher oder im Transit, um zu gewährleisten, dass nur die tatsächlich dafür vorgesehenen Empfänger sie lesen können und für Hacker kein Raum bleibt sich einzuschleichen und Nachrichten zu ändern.
S/MIME erlaubt zusätzlich E-Mails mit einem digitalen Zertifikat zu signieren, das für jede Person eindeutig ist. Es bindet die virtuelle Identität an die entsprechende E-Mail. Der Empfänger kann so sicher sein, dass die erhaltene E-Mail, tatsächlich von Ihnen stammt (im Gegensatz zu einem Hacker, der auf Ihren Mail-Server zugreift).
Es ist unmittelbar einsichtig, dass diese Methode beim obigen Europol-Beispiel hilfreich gewesen wäre. Obwohl die Hacker auf die Mail-Server des Unternehmens zugreifen konnten, hätten sie auch Zugang zu den privaten Schlüsseln der Mitarbeiter haben müssen. Und diese Schlüssel sind in aller Regel an einem anderen Ort sicher abgespeichert. Digitale Signaturen als Standard einzuführen und die Nutzer zu schulen nur signierten Nachrichten zu vertrauen, trägt dazu bei legitime E-Mails von gefälschten zu unterscheiden.
Zertifikatbasierte Authentifizierung
Hacker wird es immer geben. Aber eine Sache kann man tun. Zertifikatbasierte Authentifizierung macht es einem Hacker praktisch unmöglich in Systeme einzudringen (z. B. WLAN-Netzwerke, E-Mail-Systeme, interne Netzewerke), So können nur die Endpunkte auf Systeme und Netzwerke zugreifen, die über korrekt konfigurierte Zertifikate verfügen. Zertifikate sind benutzerfreundlich (es muss keine zusätzliche Hardware gemanagt werden oder es ist keine groß angelegte Benutzerschulung nötig). Die eigentliche Bereitstellung kann man automatisieren. Das unterstützt die IT-Abteilung und bremst Hacker an dieser Stelle erst Mal aus.
Was ist HTTP-Interception?
HTTP ist das gängigste Internetprotokoll. Die meisten der Dinge, die wir online tun, sind auf HTTP implementiert, vom üblichen Web-Browsing bis zum Instant Messaging. Leider ist die HTTP-Kommunikation ungeschützt und relativ leicht abzufangen. Das macht sie zu einem vorrangigen Ziel für MITM-Angriffe. Wie schon erwähnt, kann ein Angreifer sich zwischen Nutzer und Website schalten, und so die Kommunikation abhören. Das gilt zum Beispiel für alle Daten, die ein Nutzer an die Website schickt. Davon mitbekommen tut er nichts.
Wie verhindert man HTTP Interception?
SSL/TLS-Zertifikate
Wer auf seiner Website immer noch das anfälligere HTTP-Protokoll verwendet, sollte dringend über SSL/TLS-Zertifikate auf das sicherere HTTPS-Protokoll aufrüsten. Ein TLS-Zertifikat aktiviert das HTTPS-Protokoll. Es ermöglicht eine verschlüsselte, sichere Verbindung zwischen dem Server und den Rechnern bestehender und potenzieller Kunden.
Mit einem Organization Validated (OV) oder Extended Validation (EV) Zertifikat lassen sich auch Domain-Namen mit der Unternehmensidentität verbinden. EV-Zertifikate bringen Identitätsinformationen in eine prominente Position: Der Firmenname wird direkt in der URL-Leiste angezeigt. Eine Methode, die dazu beiträgt bei Kunden mehr Vertrauen zu schaffen, dass sie sich auf einer legitimen Unternehmenswebseite befinden.
System- und Serverkonfigurationen
Auf diesen Lorbeeren sollte man sich erwiesenermaßen aber nicht zu lange ausruhen. Wenn TLS funktioniert, sollte man es konfigurieren und dabei darauf achten, dass die Website keinen gemischten Inhalt oder ein Seitenelement enthält, das noch über ein HTTP-Protokoll lädt (z. B. Fotos, Scripts, Widgets). Sonst bleibt für potenzielle Hackerangriffe eine Hintertür offen. Ebenso hat es sich praktisch bewährt alle Links, die von anderen Seiten einbezogen werden, über HTTPS laufen zu lassen. Anmeldeformulare sollten ebenfalls mittels HTTPS-geschützt werden, um das Hijacken von Anmeldeinformationen zu vermeiden. Mozilla macht hier einen guten Job und verhindert, dass Benutzer Formulare unter HTTP ausfüllen: Der Browser zeigt den Warnhinweis "unsichere Verbindung" und ein durchgestrichenes Schlosssymbol. Alle in einer Website enthaltenen Hyperlinks sollten ebenfalls auf das HTTPS-Protokoll zurückgreifen.
Zusätzlich sollten Sie sicherstellen, dass die Server korrekt konfiguriert sind (z. B. gemäß aktuellen Best Practices für Protokolle, Algorithmen, etc.). SSL2-, SSL3- und TLS1-Protokolle sollten deaktiviert sein. Nur TLS 1.1 und 1.2 sollten aktiviert sein. Es gibt etliche weitere Konfigurationselemente zu berücksichtigen. Und nicht zuletzt ändern sich empfohlene Best Practices, wenn wieder neue Schwachstellen aufgedeckt werden. GlobalSigns SSL Server Test ist ein leicht zu bedienendes und gründliches Tool, um sicherzustellen, dass ein Server richtig konfiguriert ist.
HSTS gegenüber HTTPS
Wie oben diskutiert, haben Hacker Wege gefunden, TLS zu umgehen. Auch wenn man beispielsweise eine HTTPS-Verbindung anfordert (z. B. über die Eingabe https://www.example.com eingeben), können Hacker die Anforderung in HTTP ändern, sodass der Nutzer zu http://www.example.com geht und die verschlüsselte Verbindung verhindert wird. Die Implementierung von HTTP Strict Transport Security oder HSTS trägt dazu bei, diese Art von Angriffen zu verhindern. Diese Web-Server-Richtlinie zwingt jeden Webbrowser oder App, eine Verbindung zu HTTPS herzustellen und alle Inhalte zu blockieren, die HTTP verwenden. HSTS verhindert zusätzlich, dass Hacker Daten aus Browser-Cookies extrahieren und verhindert so Session Hijacking.
Haben Sie weitere Fragen zu Man-in-the-Middle-Angriffen? Senden Sie uns Ihre Fragen und Vorschläge über das Kommentarfeld. Und hier erfahren Sie mehr dazu, wie Man-in-the-Middle-Angriffe das Internet of Things beeinflussen.