Man-in-the-Middle- und Schnüffeltechniken stellen für Einzelpersonen und Organisationen eine ernsthafte Bedrohung dar. Wer jedoch versteht, wie sie funktionieren, kann wirkungsvolle Maßnahmen ergreifen, um Attacken dieser Art zu verhindern.
Bei Sniffing- und Man-in-the-Middle-Angriffen weiß der Betroffene eigentlich nie, dass ein Verbrecher da ist, bis er Maßnahmen ergreift.
(Bild: somyuzu - stock.adobe.com)
Sniffing-Angriffe sind Aktivitäten, bei denen ein Hacker den Netzwerkverkehr abfängt und erfasst, um unbefugten Zugriff auf vertrauliche Daten zu erhalten. Diese Angriffe werden typischerweise mit speziellen Software-Tools durchgeführt. Häufige Ziele dieser Angriffe sind unverschlüsselte E-Mail-Nachrichten, Anmelde-Informationen und Finanz-Informationen. Zugriffe auf Netzwerkpakete können durch die Verbindung mit einem Switch oder Router in einem kabelgebundenen Netzwerk oder durch die Erfassung von Funksignalen bei drahtlosen Netzwerken erfolgen.
Arten von Sniffing-Angriffen
Im Folgenden sind die beiden häufigsten Arten von Sniffing-Angriffen aufgeführt:
Passives Sniffing: Ein Hacker fokussiert sich hauptsächlich darauf, den Netzwerkverkehr abzufangen und zu erfassen, ohne ihn aktiv zu verändern oder zu stören.
Aktives Sniffing: Der Angreifer fängt nicht nur den Netzwerkverkehr ab, sondern verändert auch die Pakete bzw. schleust sie weiter. Das heißt, die über das Netzwerk übertragenen Daten werden manipuliert, um möglicherweise komplexere Angriffe durchzuführen.
Sniffing-Angriffe verhindern
Es gibt viele Möglichkeiten, Netzwerke vor Sniffing-Angriffen zu schützen. Zu den wichtigsten Maßnahmen gehören:
Verschlüsselte Verbindungen: Verschlüsselungs-Protokolle wie HTTPS für das Surfen im Internet, Secure Shell (SSH) für Remote-Verbindungen, Secure Sockets Layer und Transport Layer Security (SSL/TLS) für E-Mail-Dienste und Virtual Private Networks-Verbindungen (VPN) sichern den Internetverkehr ab.
Sichere Netzwerke: Niemals vertrauliche Informationen über unverschlüsselte Verbindungen oder öffentliche WLAN-Netzwerke wie in Cafés oder an Flughäfen senden. Verwendung eines VPN beim Aufbau einer Verbindung zu öffentlichen Wi-Fi-Netzwerken.
Antiviren- und Firewall-Software: Alle Computer in einem Netzwerk müssen ausreichend mit Antiviren- und Firewall-Software geschützt sein.
Geräte und Software auf dem neuesten Stand: Regelmäßig Betriebssystem, Webbrowser und Anwendungen aktualisieren. Updates enthalten häufig Sicherheitspatches, die Schwachstellen beheben, die durch Sniffing-Angriffe kompromittiert werden können.
Bösartige E-Mails und Anhänge: Vorsicht beim Öffnen von E-Mail-Anhängen oder beim Klicken auf verdächtige Links, da diese meist dazu verwendet werden, Malware zu verbreiten bzw. das Sniffing zu erleichtern.
Zwei-Faktor-Authentifizierung (2FA): Die 2FA bietet eine zusätzliche Schutzebene, indem sie einen zweiten Verifizierungsschritt vorschreibt, beispielsweise einen eindeutigen Code, der zusammen mit dem Passwort an das Telefon gesendet wird.
Sniffer-Erkennungstools: Spezielle Software sucht ständig nach aktiven und sogar passiven Sniffing-Angriffen. Sie erkennt die meisten der Angriffe, bevor Admins alarmiert werden und den Hacker rauswerfen.
Man-in-the-Middle-Angriff (MITM)
MITM-Angriffe nutzen die Art und Weise aus, wie Daten zwischen einer Website und einem Gerät eines Users ausgetauscht werden. Dies kann über einen Computer, ein Telefon oder Tablet erfolgen. Eine MITM-Aktion läuft dann folgendermaßen ab: Wenn ein User eine Website besucht, sendet sein Gerät über einen Internet-Router eine Anweisung, die dann an den Server der Website weitergeleitet wird.
Der Server bestätigt die Anweisung, führt sie aus und sendet die Informationen über den Router an das Gerät des Users zurück. Mithilfe mehrerer Techniken kompromittieren MITM-Angreifer dann den Router und können so in Echtzeit Daten abfangen, die zwischen dem Computer des Opfers und dem Server übertragen werden.
Auf diese Weise hören Hacker quasi ab, welche Daten geteilt werden, und in manchen Fällen modifizieren sie die Interaktionen. Dazu gehört die Möglichkeit, User auf eine andere Website umzuleiten oder die Ziel-Webadresse zu fälschen.
Arten von MITM-Angriffen
MITM-Angriffe können viele Formen annehmen. Nachfolgende sind einige der häufigsten:
IP-Spoofing: Jedes Gerät, das eine Verbindung zum Internet herstellt, erfolgt über eine IP-Adresse, bei der es sich um eine Nummer handelt, die einem Gerät basierend auf einem physischen Standort zugewiesen wird. Per Spoofing einer IP-Adresse können Hacker bei einem User den Eindruck erwecken, dass er mit der Website oder Person interagiert, die er erreichen wollte.
ARP-Spoofing: ARP (Address Resolution Protocol) ist der Prozess, der es einer Netzwerk-Kommunikation ermöglicht, ein bestimmtes Gerät im Netzwerk zu erreichen. Dies geschieht durch die Übersetzung einer IP-Adresse in eine MAC-Adresse (Media Access Control) und umgekehrt. Hacker können diesen Prozess manipulieren, indem sie mithilfe gefälschter ARP-Nachrichten ihre MAC-Adresse mit der IP-Adresse ihres Ziels verknüpfen. Dadurch werden alle vom User an die Host-IP-Adresse gesendeten Daten stattdessen an den Hacker weitergeleitet.
DNS-Spoofing: Bei dieser Angriffsmethode, die auch als DNS-Cache-Poisoning bezeichnet wird, werden modifizierte DNS-Einträge (Domain Name Server) verwendet, um Datenverkehr an eine betrügerische Website zu leiten. Diese Websites ähneln in der Regel der echten Website, sodass der Besucher die Irreführung wahrscheinlich nicht bemerkt. Die Site fordert ihn dann auf, seine Anmeldedaten anzugeben, was dem Hacker die Möglichkeit gibt, seine Zugangsdaten abzugreifen.
HTTPS-Spoofing: Hacker erstellen ihre eigene Website, die täuschend ähnlich aussieht wie die, die der User erreichen möchte, jedoch mit einer etwas anderen URL. Bei einem Angriff wird der User auf die Website des Hackers weitergeleitet, wo wiederum seine Informationen abgegriffen werden. Angreifer tun dies im Allgemeinen, um Anmeldedaten für E-Mail- und Website-Konten zu stehlen, mit denen sie gezielte Angriffe wie Phishing-E-Mails starten können.
E-Mail-Hijacking: Hacker nehmen häufig E-Mails zwischen Banken und Kunden ins Visier, um die E-Mail-Adresse der Bank zu fälschen und ihnen eigene Anweisungen zu übermitteln. Dabei handelt es sich um eine List, mit der das Opfer dazu gebracht werden soll, wiederum seine Anmeldedaten und Zahlungskartendaten preiszugeben.
Abhören von WLAN: Anstatt eine Schwachstelle in einer bestehenden WLAN-Verbindung zu kompromittieren, könnten Hacker einen eigenen Internet-Hotspot einrichten und ihm einen unauffälligen Namen geben – etwa „Café Wi-Fi“. Sie müssen lediglich darauf warten, dass ein Opfer eine Verbindung herstellt, und können dann dessen Aktivitäten im Internet abhören.
Man-in-the-Middle-Angriffen (MITM) verhindern
Der beste Weg, um MITM-Angriffe zu stoppen, sind vorbeugende Maßnahmen. Dazu gehören folgende Maßnahmen:
WEP/WAP-Verschlüsselung: Ein optimierter Verschlüsselungs-Mechanismus an drahtlosen Zugangspunkten verhindert, dass Hacker allein durch ihre Nähe zu einem User-Netzwerk diesem beitreten können. Ein schwacher Mechanismus kann es einem Hacker ermöglichen, mit Brute-Force in ein Netzwerk einzudringen und Man-in-the-Middle-Angriffe zu starten.
Router-Anmelde-Informationen: Sicherstellung, dass der Standard-Router-Login geändert wurde. Nicht nur das WLAN-Passwort, sondern auch die Router-Anmeldedaten! Wenn ein Angreifer die Router-Anmeldedaten entdeckt, kann er den DNS-Server in einen bösartigen Server umwandeln.
Virtuelles privates Netzwerk (VPN): VPNs nutzen eine schlüsselbasierte Verschlüsselung, um ein Subnetz für eine sichere Kommunikation zu erstellen. Selbst wenn ein Hacker zufällig in ein gemeinsam genutztes Netzwerk eindringt, ist er auf diese Weise nicht in der Lage, den Datenverkehr im VPN zu entschlüsseln.
Endpunktsicherheit: Leistungsstarke Endpoint-Sicherheitssoftware implementieren, um sich vor Bedrohungen zu schützen.
Multi-Faktor-Authentifizierung: MFA ist eine Sicherheitsverbesserung, bei der nicht nur ein Benutzername sowie ein Passwort benötigt werden, sondern auch andere Formen der Verifizierung. Beispiele hierfür sind die Eingabe einer PIN (persönliche Identifikationsnummer) oder eines speziellen Codes, der per SMS an ein Mobiltelefon gesendet wird.
(ID:50033709)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a6/bb/a6bb2e9d4ee1fd213c1b36b2b559e04a/0122526988v1.jpeg "Ein DHCP-Server steht im Zentrum eines Angriffsszenarios, bedroht durch Rogue-DHCP-Server und Spoofing-Angriffe. Proaktive Schutzmaßnahmen wie DHCP-Snooping und regelmäßige Überwachung sind essenziell, um die Integrität des Netzwerks zu wahren. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/19/7b/197bd3fb6c052fb1560ba5bd2ad94413/0123842406v2.jpeg "Ein Downgrade-Angriff ist eine Cyberattacke, die durch provozierten Rückfall auf ältere, unsichere Protokoll- oder Software-Versionen die Ausnutzung von Schwachstellen ermöglicht. (Bild: gemeinfrei)")