Ein Downgrade-Angriff nutzt die Abwärtskompatibilität von Protokollen oder Software aus. Er provoziert einen Rückfall auf einen älteren, weniger sicheren Betriebsmodus. Dadurch werden beispielsweise Verschlüsselungs- oder Netzwerkprotokolle verwendet, die Schwachstellen besitzen und angreifbar sind.
Ein Downgrade-Angriff ist eine Cyberattacke, die durch provozierten Rückfall auf ältere, unsichere Protokoll- oder Software-Versionen die Ausnutzung von Schwachstellen ermöglicht.
Alternative Begriffe für Downgrade-Angriff sind Versions-Rollback-Angriff, Bidding-Down-Angriff oder Herabstufungsangriff. Bei einem Downgrade-Angriff handelt es sich um eine Angriffsmethode, die die Abwärtskompatibilität von Protokollen, Verschlüsselungsalgorithmen oder Software ausnutzt. Sie versetzt ein Protokoll, einen Algorithmus, eine Software oder ein System durch bestimmte Maßnahmen in einen älteren, weniger sicheren Betriebsmodus. Häufig wird sie im Zusammenhang mit Verschlüsselungsprotokollen verwendet.
Der Downgrade-Angriff sorgt dafür, dass nicht die aktuelle, sichere Version beispielsweise eines Verschlüsselungsverfahrens für eine Kommunikationsverbindung verwendet wird, sondern durch eine erzwungene Rückfalloption eine ältere, unsichere Version. Diese besitzt Schwachstellen und ist angreifbar. Unter Umständen lässt sich für den Anwender unbemerkt sogar der Aufbau einer vollständig unverschlüsselten Verbindung erzwingen. In beiden Fällen ist das eigentlich zu verwendende sichere Verschlüsselungsverfahren ausgehebelt und Cyberkriminelle erhalten unbefugten Zugriff auf sensible Daten, Anwendungen oder Systeme. Anfällig für Downgrade-Angriffe sind beispielsweise ältere Versionen des TLS-Protokolls (Transport Layer Security) wie TLS 1.0. Auch das Zurückversetzen von Systemen auf einen alten Software- oder Patch-Stand wird als Downgrade-Angriff bezeichnet. In diesem Fall wird ein Softwarestand erzwungen, der ausnutzbare Sicherheitslücken aufweist. Ausgeführt werden Downgrade-Angriffe häufig im Rahmen von sogenannten Man-in-the-Middle-Angriffen (MITM Attacks).
Die Folgen eines Downgrade-Angriffs können gravierend sein. Sie reichen von unberechtigtem Zugriff auf Systeme oder sensible Daten, über ungewollten Datenabfluss, Datenschutzverletzungen und Betriebsspionage bis zur kompletten Übernahme und Manipulation von IT-Umgebungen und ihren Daten.
Grundsätzlicher Ablauf eines Downgrade-Angriffs
In vielen Fällen zielt ein Downgrade-Angriff darauf ab, ein Protokoll oder ein System aus Kompatibilitätsgründen in einen Betriebsmodus zu versetzen, der eine unsichere oder angreifbare ältere Version eines Verschlüsselungsverfahrens einsetzt. Anfällig für diese Art von Angriffen sind grundsätzlich alle Protokolle oder Systeme, die eine Abwärtskompatibilität mit weniger sicheren Verschlüsselungsalgorithmen zulassen.
Um den gewünschten Rückfall auf ein weniger sicheres Verschlüsselungsverfahren zu erzwingen, muss ein Angreifer die Kommunikation zwischen zwei Systemen gezielt manipulieren. Da sich der Angreifer logisch quasi zwischen den zwei Kommunikationspartnern platziert, wird der Downgrade-Angriff häufig zur Kategorie der Man-in-the-Middle-Angriffe gezählt.
Gelingt es einem Angreifer, sich logisch in einem Kommunikationspfad zwischen Quelle und Ziel zu platzieren, kann er seine manipulativen Aktivitäten starten. Er fälscht beim Verbindungsaufbau oder Verhandlungsprozesses der beiden Kommunikationspartner Nachrichten, die sich zum Beispiel auf die Verwendung eines bestimmten Verschlüsselungsalgorithmus beziehen und Listen der unterstützten kryptografischen Protokolle oder Verschlüsselungsalgorithmen enthalten. So kann einem Kommunikationspartner durch das Hinzufügen, Entfernen oder Verändern von Nachrichten vorgespielt werden, dass die neuesten Versionen eines Verschlüsselungsalgorithmus von einem der Kommunikationspartner nicht unterstützt werden und daher eine ältere Version verwendet werden soll.
Hat der Angreifer durch das Entfernen aller sicheren Optionen in der Verhandlungsphase erfolgreich einen Rückfall auf eine ältere Version mit bekannten Schwachstellen provoziert, kann der eigentliche nachgelagerte Angriff starten. Der Angreifer nutzt die Schwachstelle der erzwungenen Version dafür aus, unbemerkt Zugriff auf die sicher verschlüsselt geglaubten Daten zu erhalten. Er kann Daten manipulieren, mitlesen oder stehlen. Im Fall von verschlüsselten Zugangsprotokollen erhält er unter Umständen sogar vollständigen Zugriff auf ein fremdes System und kann die Kontrolle über dieses übernehmen. Für den Anwender selbst bleibt es in der Regel unbemerkt, dass die Sicherheit einer Verbindung durch die Manipulation von Nachrichten entscheidend herabgesetzt wurde.
Die verschiedenen Kategorien von Downgrade-Angriffen
Ein Downgrade-Angriff muss sich nicht auf einen Rückfall eines Verschlüsselungsverfahrens beziehen. Grundsätzlich können drei Kategorien von Downgrade-Angriffen unterschieden werden. Diese drei Kategorien sind:
1. Downgrade eines Verschlüsselungsverfahrens oder des verwendeten Verschlüsselungsalgorithmus auf eine weniger sichere Version
2. Downgrade eines Netzwerkprotokolls und Verwendung einer weniger sicheren Protokollversion
3. Downgrade einer Software auf einen älteren Software- oder Patch-Stand mit ausnutzbaren Schwachstellen
Beispiele einiger bekannter Arten von Downgrade-Angriffen
Mittlerweile existieren viele verschiedene Arten von Downgrade-Angriffen und -Angriffsmethoden. Beispiele für bekannte Arten von Downgrade-Angriffen sind:
POODLE (Padding Oracle On Downgraded Legacy Encryption): Erzwungener Rückfall einer Client-Server-Verbindung auf die unsichere SSL-Version 3.0 anstatt einer sicheren TLS-Version
FREAK (Factoring RSA Export Keys): Ausnutzung einer Schwachstelle im RSA-Verschlüsselungsalgorithmus und erzwungener Downgrade auf eine schwächere Verschlüsselung
SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes): Erzwingen des Rückfalls von TLS- und SSL-Protokollen auf schwache Hash-Algorithmen wie MD5 oder SHA-1
BEAST (Browser Exploit Against SSL/TLS): Ausnutzung einer CBC-Schwachstelle (Cipher Block Chaining) der SSL- und TLS-Protokolle
Logjam: Kombination einer RSA-Schwachstelle und eines Fehlers im TLS-Protokoll und Ersetzen einer Diffie-Hellman-Schlüsselaustauschnachricht durch eine Version mit schwächeren Parametern
Typische Angriffsziele für Downgrade-Angriffe
Typische Angriffsziele für Downgrade-Angriffe sind verschlüsselte Client-Server-Verbindungen im World Wide Web, die für Internetanwendungen und -services wie Webbrowsing oder die E-Mail-Kommunikation verwendet werden. Im Fall von Webbrowsing zielen die Angriffe auf die verschlüsselten HTTPS-Verbindungen. Angreifer versuchen, die für die Verschlüsselung verwendete TLS-Version auf eine schwächere Version oder eine unsichere SSL-3.0-Version herabzusetzen. Die im vorigen Abschnitt genannte POODLE-Attacke ist eine typische Angriffsmethode dafür.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Downgrade-Angriffe auf die verschlüsselte E-Mail-Kommunikation zwischen einem Client und einem Server zielen zum Beispiel auf den zur verschlüsselten Übertragung von SMTP-Nachrichten verwendeten und für Herabstufungsangriffen anfälligen STARTTLS-Mechanismus.
Weitere typische Angriffsziele für Downgrade-Angriffe sind der über WPA-Protokollversionen verschlüsselte Datenaustausch zwischen WLAN-Geräten, verschlüsselte Verbindungen im Domain Name System (zum Beispiel per DNS-based Authentication of Named Entities - DANE und Domain Name System Security Extensions - DNSSEC) oder Betriebssysteme wie Windows, die auf einen älteren, unsicheren Patch-Stand mit unsicheren DLL-Dateien oder Treibern zurückgesetzt werden sollen.
Mögliche Maßnahmen zum Schutz vor Downgrade-Angriffen
Downgrade-Angriffe sind eine beliebte Angriffsmethode und stellen ein großes Risiko für IT-Systeme und den sicheren Datenaustausch dar. Umso wichtiger ist es, sich vor diesen Arten von Angriffen zu schützen. Eine Schutzmaßnahme ist es, aktuelle Protokollversionen und Konfigurationen zu verwenden, die keinen Rückfall auf unsichere, ältere Versionen erlauben. Server, Webbrowser, E-Mail-Clients, Betriebssysteme und andere Anwendungen und Systeme sollten immer mit dem aktuellen Softwarestand versorgt sein. Auch die verwendeten Verschlüsselungsprotokolle und -algorithmen sollten regelmäßig aktualisiert werden.
Eine unnötige Abwärtskompatibilität ist zu vermeiden, und unsichere Protokollversionen sollten gar nicht erst vorhanden sein oder angeboten werden. Die Verwendung von HTTPS für die Client-Server-Kommunikation sollte erzwungen werden. In vielen aktuellen Protokollversionen, beispielsweise in TLS, sind zudem entsprechende Schutzmechanismen vorgesehen, die verhindern, dass die Kommunikationsteilnehmer ein veraltetes Sicherheitsprotokoll aushandeln.
Da viele Downgrade-Angriffe als Man-in-the-Middle-Attacken ausgeführt werden, sind zudem Überwachungssysteme sinnvoll, die diese Art von Angriffsmethoden erkennen und aufspüren. Daher sollte der Netzwerkverkehr auf Aktivitäten überwacht werden, die auf Man-in-the-Middle-Aktivitäten hinweisen. Sinnvoll ist beispielsweise die Implementierung von Intrusion-Detection- und Intrusion-Prevention-Systemen (IDS/IPS).
Eine weitere präventive Schutzmaßnahme vor Downgrade-Angriffen ist die Sensibilisierung der Mitarbeiter und des Sicherheitspersonals für diese Art von Angriff. Es sollten Schulungen zur Erkennung und Verhinderung von Downgrade-Angriffen durchgeführt werden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/6b/cf/6bcf36871a8651e1b7b9d78c818cef92/0120277514v3.jpeg "Bei der „Windows Downdate“-Attacke nutzen Angreifer Windows-Update für Downgrade-Angriffe aus, um Systeme für Hacks verwundbar zu machen. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/88/7a88eb4e099e4d16d96926603f98ba8c/0122301051v1.jpeg "Die Sicherheitslücke CVE-2023-21563 wurde 2022 entdeckt und von Microsoft 2023 geschlossen. Nun kann sie mithilfe eines Downgrade-Angriffs wieder ausgenutzt werden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/b6/edb663b29e0f85e265c4ad5b5637e1d9/0126586841v2.jpeg "Ein Replay-Angriff ist eine Cyberangriffsmethode zur Vortäuschung einer fremden Identität, durch bösartige Wiedereinspielung einer legitimen Datenübertragung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c1/17/c117a56c5982733e6b7c941bfd9b0f9f/0126586830v2.jpeg "Pharming ist eine Form des Cyberbetrugs durch DNS-Manipulation, bei der Benutzerdaten durch Umleitung auf gefälschte Webseiten gestohlen werden. (Bild: gemeinfrei)")