Ein Replay-Angriff ist eine Cyberangriffsmethode, bei der eine legitime Datenübertragung aufgezeichnet und verzögert erneut eingespielt wird. Ziel ist es, eine fremde Identität vorzutäuschen oder Aktionen erneut ausazulösen. Mithilfe von Sicherheitsmaßnahmen wie Nonces lassen sich Replay-Angriffe verhindern.
Ein Replay-Angriff ist eine Cyberangriffsmethode zur Vortäuschung einer fremden Identität, durch bösartige Wiedereinspielung einer legitimen Datenübertragung.
Ein Replay-Angriff ist eine Cyberangriffsmethode. Sie wird auch als Angriff durch Wiedereinspielung oder Wiedereinspielungsangriff bezeichnet. Die Angreifer fangen bei dieser Methode eine gültige, legitime Datenübertragung zwischen zwei Kommunikationspartnern ab, zeichnen sie auf und spielen sie zu einem späteren Zeitpunkt zu böswilligen Zwecken wieder ein. Bei den wiedereingespielten Daten kann es sich um Anmeldeinformationen, Authentifizierungssequenzen, Transaktionsdaten oder andere Arten von Informationen handeln, die sich für Angriffe ausnutzen lassen.
Ohne entsprechende Gegenmaßnahmen sind Replay-Angriffe sehr gefährlich, da Angreifer ohne Kenntnis von Zugangsdaten eine fremde Identität vortäuschen oder Aktionen erneut auslösen können. Der eigentliche Inhalt der wiedereingespielten Datenübertragung muss dem Angreifer nicht bekannt sein. Die Inhalte können nach wie vor korrekt verschlüsselt sein. Für das angegriffene System sehen die wiederholten Daten ohne technische Maßnahmen gegen eine Wiedereinspielung, zum Beispiel Nonces, Zeitstempel, Sequenznummern und andere, wie gültige Daten oder Aktionen aus. Der Schutz vor Replay-Angriffen ist daher ein unverzichtbarer Bestandteil sicherer Kommunikations- und Authentifizierungsprotokolle.
Cyberkriminelle führen Replay-Angriffe im Netzwerkbereich beispielsweise bei der Authentifizierung gegenüber einem System, bei der Steuerung von IoT-Geräten oder bei Transaktionen im Online-Banking aus. Auch drahtlose Datenübertragungen und Kommunikationsprotokolle, wie sie für die Kommunikation mit drahtlosen Schlüssel- und Zugangssystemen verwendet werden, können anfällig gegenüber Replay-Attacken sein.
Wie ist der prinzipielle Ablauf eines Replay-Angriffs?
Technisch können Replay-Angriffe unterschiedlich ablaufen. Der prinzipielle Ablauf eines Replay-Angriffs ist aber immer gleich und kann in diesen vier grundlegenden Schritten beschrieben werden:
1. Ein Angreifer verschafft sich Zugriff auf die Kommunikation zwischen zwei Kommunikationspartnern (zum Beispiel zwischen einem Client und einem Server), indem er nicht an sich adressierte Datenpakete mitliest oder sich als Man-in-the-Middle in einem Datenübertragungssystem platziert.
2. Der Angreifer zeichnet die zwischen den Kommunikationspartnern ausgetauschten Daten auf und speichert sie in unveränderter Form zwischen.
3. Zu einem späteren Zeitpunkt sendet der Angreifer die aufgezeichneten Daten mit den Authentifizierungsinformationen oder anderen vertrauenswürdigen Daten erneut an das Zielsystem. Der Angreifer benötigt kein exaktes Wissen über den Inhalt der wiederholten Daten und muss diese nicht entschlüsseln.
4. Das Zielsystem erkennt nicht, dass es sich um wiederholte Nachrichten handelt. Es hält die wiedereingespielte Datenübertragung für gültig und gewährt dem Angreifer Zugang zu Ressourcen oder führt eine bestimmte Aktion erneut aus.
Wie lassen sich die beiden Begriffe Replay-Angriff und Man-in-the-Middle-Angriff voneinander abgrenzen?
Die Angriffsmethoden Man-in-the-Middle-Angriff und Replay-Angriff sind beides Formen von Cyberangriffen, die auf dem Abfangen der Kommunikation zwischen zwei Parteien basieren. Der Replay-Angriff wird teils auch als eine einfachere Variante oder Unterform eines Man-in-the-Middle-Angriffs bezeichnet. Trotz der Überschneidungen der beiden Begriffe, können die Cyberangriffsmethoden hinsichtlich ihres Ablaufs, ihrer Ziele und ihrer eingesetzten Verfahren voneinander abgegrenzt werden.
Ein Replay-Angriff fängt eine Datenübertragung ab und wiederholt die zuvor legitim übertragenen Daten verzögert, ohne Veränderung beziehungsweise mit nur minimalen Veränderungen. Was die eigentlichen Inhalte der wiedereingespielten Daten angeht, verhält sich ein Replay-Angreifer passiv. Ein Man-in-the-Middle-Angriff hingegen ist in der Regel komplexer. Auch hier fängt der Angreifer die Kommunikation zweier Parteien ab. Anschließend wird er aber aktiv und greift in den Kommunikationsprozess ein, indem er die abgefangenen Daten verändert. Diese manipulierten Daten können in Echtzeit, noch während der gerade stattfindenden Kommunikation, an das Quell- oder Zielsystem ausgespielt werden. Der Angreifer klinkt sich aktiv in die Kommunikation der beiden Parteien ein, liest Daten in Echtzeit mit und kann Daten einfügen oder verändern und so die Kommunikation steuern oder die ausgetauschten Nachrichten für seine Zwecke manipulieren.
Welche Ziele verfolgen die Angreifer mit einem Angriff durch Wiedereinspielung?
Ziel eines Replay-Angriffs ist es, durch das Abfangen und Wiedereinspielen eines gültigen Datenaustauschs dem angegriffenen System eine legitime Kommunikation vorzuspielen und es dadurch zu täuschen. Die Angreifer möchten sich gegenüber dem Zielsystem, zum Beispiel durch die erneute Nutzung eines Session-Tokens, authentifizieren und Zugriff auf bestimmte Ressourcen oder Daten erhalten. Ziel eines Replay-Angriffs kann es auch sein, sensible Transaktionen wie Überweisungen zu wiederholen und vom angegriffenen System erneut ausführen zu lassen. Cyberkriminelle setzen Replay-Angriffe auch ein, um Systeme durch wiederholte Anfragen oder Befehle gezielt zu stören und ihre Verfügbarkeit negativ zu beeinflussen. Im Umfeld von drahtlosen Zugangssystemen, beispielsweise von RFID-Systemen oder schlüssellosen Fahrzeug-Systemen, werden die im Rahmen eines Replay-Angriffs abgefangenen und wiedereingespielten Funkdaten genutzt, um unbefugt Zugang zu erhalten oder Sicherheitsmechanismen wie Türen zu öffnen.
Welche Maßnahmen gibt es zum Schutz vor Replay-Angriffen?
Gelingt es einem Angreifer, Zugriff auf die Kommunikation zweier Parteien zu erhalten und die ausgetauschten Nachrichten aufzuzeichnen, lässt sich ohne geeignete Schutzmaßnahmen durch einfaches erneutes Einspielen und Wiederholen des abgefangenen Datenaustauschs großer Schaden anrichten. Angreifer erhalten unberechtigt Zugang zu Ressourcen oder führen Aktionen erneut aus. Besonders gefährlich kann das sein, da es in öffentlichen Netzwerken wie dem Internet, aber auch in geschlossenen Netzen oft gar nicht möglich ist, dass die Kommunikationsdaten anderer Netzwerkteilnehmer verborgen bleiben. Selbst wenn die Kommunikation vollständig verschlüsselt erfolgt und andere Netzwerkteilnehmer keine Kenntnis über die Inhalte der Nachrichten haben, lassen sich diese für Replay-Angriffe missbrauchen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Aufgrund des großen Missbrauchspotenzials und der einfachen Durchführbarkeit von Replay-Angriffen gehört der Schutz vor dieser Art von Angriff zu den essenziellen Bestandteilen sicherer Kommunikations- und Authentifizierungsprotokolle. Es müssen entsprechende technische Maßnahmen definiert und ergriffen werden, um das Wiedereinspielen von Datenübertragungen zuverlässig zu erkennen und wiederholte Nachrichten abzuweisen. Um dies zu realisieren, gibt es verschiedene Schutzmechanismen. In modernen Protokollen wie TLS/SSL, IPsec oder Kerberos sind meist mehrere dieser Schutzmechanismen standardmäßig implementiert.
Eine häufig genutzte Schutzmaßnahme ist die Verwendung einer sogenannten Nonce. Eine Nonce ist eine einmalig generierte zufällige Zeichenfolge, die jeweils nur ein einziges Mal für einen bestimmten Zweck verwendet werden darf. Wiederholt ein Angreifer bei einem Replay-Angriff eine alte, bereits benutzte Nonce, erkennt dies das Zielsystem und weist die Nachricht ab.
Eine weitere Schutzmaßnahme ist das Einfügen von Zeitstempeln in den Datenaustausch. Bei jeder eintreffenden Nachricht wird geprüft, ob der Zeitstempel innerhalb eines zugelassenen Zeitfensters liegt. Die bei einem Replay-Angriff verzögert eingespielten Daten enthalten alte Zeitstempel und können identifiziert werden.
Viele Kommunikationsprotokolle verwenden zudem Sequenznummern und versehen Nachrichten mit fortlaufenden Nummern. Die Kommunikationspartner akzeptieren nur Nachrichten mit korrekten, fortlaufenden Nummern. Wiederholt gesendete Daten eines Replay-Angriffs werden anhand der Sequenznummern identifiziert und abgewiesen.
Die Verwendung von Einmalpasswörtern (OTPs) und Sitzungs-Token kann gegenüber Replay-Angriffen ebenfalls hilfreich sein. Die Passwörter oder Token gelten jeweils nur für eine Anmeldung oder Sitzung beziehungsweise nur für einen begrenzten Zeitraum oder eine bestimmte Anzahl von Transaktionen. Durch Replay-Angriffe wiederholte Token oder Passwörter haben keine Gültigkeit mehr.
Weitere Maßnahmen zum Schutz vor Replay-Angriffen sind:
Challenge-Response-Verfahren mit für jede Authentifizierungsanfrage individuell zu lösenden Herausforderungen (Challenges)
Überprüfung der Integrität und Authentizität jeder Nachricht und ihres Absenders beispielsweise durch sogenannte Message Authentication Codes (MACs)
Nutzung der Mehrfaktor-Authentifizierung mit der Kombination mehrerer unabhängiger Merkmale (beispielsweise Passwort und Hardware-Token) für eine gültige Authentifizierung
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/92/d0/92d08e5e495417a7fc8c99452562ecc7/0124941398v2.jpeg "DDoS-Angriffe gehören zu den zerstörerischsten Arten von Cyberangriffen, die ein Unternehmen erleben kann. (Bild: © Bartek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f3/0d/f30d924428ca0b55fa0d5480b916bcab/0122393722v1.jpeg "Im Net::OAuth::Client, der speziell für die Programmiersprache Perl entwickelt worden ist, findet sich eine kritische Sicherheitslücke. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351d4b937d1f9dc0224fa277a3a74de/0118466557.jpeg "Bei Sniffing- und Man-in-the-Middle-Angriffen weiß der Betroffene eigentlich nie, dass ein Verbrecher da ist, bis er Maßnahmen ergreift. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/45/534585498a8288adb130f8a358648bd5/0114514708.jpeg "Multi-Faktor-Authentifizierung soll authentifizierungsbasierte Angriffe wirksam abwehren. Doch sie hat ihre Schwächen, denn sie erfordert immer noch eine menschliche Interaktion, sodass die Gefahr besteht, dass sich Angreifer in den Authentifizierungsprozess einschalten. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/69/7269d6030ca13ba6c8d50670db2a6728/0126359392v2.jpeg "Passkeys sind eine sichere Alternative, um den Schutz vor Phishing-Angriffen zu erhöhen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7f/d4/7fd474d367ac3323af07a7d316314348/0125924474v1.jpeg "Mit der Nextcloud-App „Passwords“ lassen sich Kennwörter sicher speichern, verschlüsseln und mit anderen Nutzern teilen – inklusive 2FA, QR-Code-Freigabe und Versionsverlauf. (Bild: © vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/79/7979624f016e7e6caa1e5ca39184c625/0127749320v2.jpeg "KI verändert die Angriffstaktiken: Gezielte Phishing-Mails und manipulierte OAuth-Anmeldungen ermöglichen den Zugriff auf Microsoft-365- und Azure-Konten. (Bild: © Art_spiral - stock.adobe.com)")