Cyberspionage
Manipulativer Mittelsmann
Mit MITM oder Mittelsmannangriff wird eine Methode bezeichnet, bei der sich ein Hacker in den Datenverkehr zweier Kommunikationspartner einklinkt und beiden Parteien weismacht, sie hätten es mit der jeweils anderen zu tun. Angriffsmethoden und Gegenmaßnahmen im Fokus.
Man-in-the-Middle (MITM)-Angriffe sind eine Form der Cyberspionage, die sich sowohl gegen Privatpersonen als auch gegen Unternehmen richten kann. Im Grunde unterscheidet sich die digitale Kommunikation nicht allzu sehr von der Weitergabe von Notizen in einem Klassenzimmer, nur dass es eine ganze Menge davon gibt. Benutzer kommunizieren mit Servern und anderen Benutzern, indem sie diese Notizen weitergeben. Bei einem Man-in-the-Middle-Angriff sitzt ein Angreifer zwischen Sender und Empfänger und nutzt diese Aufzeichnungen und die Kommunikation, um einen Cyberangriff durchzuführen. Das Opfer hat dabei keine Ahnung, dass seine Kommunikation von einem „Mann in der Mitte“ belauscht wird und bemerkt dies oft erst, wenn es viel zu spät ist und die Informationen bereits kompromittiert wurden.
MITM-Angriffe können dabei auf viele unterschiedliche Weisen ablaufen, von IP-, DNS- oder HTTPS-Spoofing bis hin zu SSL/E-Mail-Hijacking oder dem Abhören von WiFi. Und dank des Internets kann der Eindringling im Grunde überall sein. Eine übliche Variante besteht darin, dass ein Angreifer einen gefälschten WiFi-Zugangspunkt erstellt und Benutzer zur Verbindung lockt. Ein mögliches Szenario ist: Man befindet sich in einem Flughafenterminal und sieht ein WiFi-Netzwerk namens „Free Airport WiFi“. Statt einer vertrauenswürdigen Quelle, die vom Flughafen betrieben wird, könnte es sich um einen neuen, bösartigen Access Point handeln, der von einem Gerät in einem Rucksack in der Nähe betrieben wird. Viele Personen würden sich ohne weiteres Zutun verbinden. Mit der Folge, dass Hacker möglicherweise auf die E-Mail-Anmeldung der Opfer, ihre Bankdaten und vieles mehr zugreifen könnten, da die Angreifer die Kommunikation zwischen den Nutzern und dem übrigen Internet ausspähen.
Auch Multi-Faktor-Authentifizierung schützt nur bedingt
Wie die meisten anderen Angriffstechniken, entwickelt sich auch diese ständig weiter. Hacker sind stets auf der Suche nach neuen Wegen, um (verbesserte) Sicherheitstechniken zu überwinden und Nutzer zu überrumpeln. So konnte das Varonis Incident Response-Team einen deutlichen Anstieg bei Angriffen feststellen, bei denen die Multi-Faktor-Authentifizierung von Office-365-Nutzern ausgehebelt wurde. Dabei werden sie durch Phishing-Mails auf eine gefälschte Office-365-Anmeldeseite gelockt, auf der die Angreifer die für den Datenzugriff verwendeten Anmeldeinformationen ausspionieren und sogar die Zwei-Faktor-Authentifizierung durch den Einsatz einfacher Tools durchbrechen können. Versierte Angreifer können auf diese Weise Zugang zu Systemen und Daten sowohl in der Cloud als auch im Rechenzentrum erhalten, ohne dass die Ausgespähten davon eine Ahnung haben. So können Cyberkriminelle die Zugangsdaten eines Nutzers kapern und sie dazu benutzen, um Zugang zu Daten zu erhalten, die nicht einmal weitergegeben werden. Um auf das Klassenzimmer-Beispiel zurückzukommen: Es ist wie bei einem Mitschüler, der eine weitergegebene Notiz liest und dann das Gelernte nutzt, um Zugriff auf alle Daten im Notizbuch zu erhalten – ohne, dass man es je aus der Hand gegeben hätte.
Auf den Angriff vorbereitet sein
Wie können Nutzer nun aber ihre persönlichen Daten schützen? Wie so oft spielen auch hier Schulungen und ein gewisses Cyber-Bewusstsein eine entscheidende Rolle. Es hilft, ein VPN zu verwenden, öffentliches WiFi zu meiden und zu überprüfen, ob die Websites, bei denen man sich anmeldet, legitim sind, indem man sicherstellt, dass man sichere HTTPS-Verbindungen verwendet.
Und trotz aller Vorsichtsmaßnahmen sollten sich Nutzer und Unternehmen darauf einstellen, dass ein solcher Angriff erfolgreich sein kann beziehungsweise irgendwann sein wird. Auf diesen Fall muss man sich vorbereiten, das heißt, man muss seine Daten schützen, auch vor Angreifern, die den Perimeter überwunden haben. Wenn man weiß, welches Verhalten für Benutzer, Geräte und Daten normal ist, ist es viel wahrscheinlicher, dass man auch diese Art von Angriffen erkennt, sobald sie passieren. Möglicherweise meldet sich ein Benutzer von einem neuen Standort oder Gerät aus um drei Uhr morgens an. Oder vielleicht greift ein Mitarbeiter plötzlich auf Daten zu, die er noch nie genutzt hat: All dies können Warnsignale sein, insbesondere wenn es sich dabei um sensible Daten handelt.
Nicht nur angesichts des Fachkräftemangels gibt es nicht genug Augen, um alles manuell zu überwachen. Sicherheitsverantwortliche müssen Technologien nutzen, um die Daten im Auge zu behalten. Und aufgrund der schieren Menge an sensiblen Daten, die in Unternehmen gespeichert sind – laut dem Datenrisiko-Report von Varonis sind dies durchschnittlich 534.465 Dateien –, führt hier kein Weg an Automation vorbei. Intelligente Analyse des Nutzerverhaltens (UBA) kann dabei helfen, abnormales Verhalten zu identifizieren und zu stoppen. Auch strenge Zugriffskontrollen sind nützlich: Man sollte sicherstellen, dass nicht zu viele Akteure Zugriff auf die Daten haben, da jede dieser Personen ein potenzielles Ziel für Angreifer darstellt.
Klaus Nemelka ist Technical Evangelist bei Varonis Systems
Lesen Sie mehr zum Thema
