Man-in-the-Middle-Angriff: Schutz vor Datenklau und Session-Hijacking

Ein Opfer-Laptop kommuniziert mit einem Server, aber ein dritter Laptop (Man-in-the-middle-Attacke) fängt die Daten ab.

Geschrieben von

Rolf Fuhrmann

Veröffentlicht am

28. Apr. 2026

Inhaltsverzeichnis

Ein Man-in-the-middle-Angriff wird dann kritisch, wenn ein Dritter unbemerkt zwischen zwei Kommunikationspartnern sitzt und Daten nicht nur mitliest, sondern bei Bedarf auch verändert. Ich zeige hier, wie diese Technik funktioniert, wo sie im Alltag besonders häufig auftaucht und welche Gegenmaßnahmen in Web-Infrastruktur, Login-Strecken und Unternehmensnetzen wirklich helfen. Gerade bei Anmeldungen, Zahlungsprozessen und Admin-Zugängen ist saubere Transportverschlüsselung nur der erste Schritt.

Die wichtigsten Punkte zu MITM-Risiken und Schutz

  • Der Angreifer sitzt zwischen Client und Server und kann Verkehr lesen, umleiten oder verändern.
  • Besonders riskant sind unverschlüsseltes HTTP, unsaubere Zertifikatsprüfung und Phishing-Proxy-Angriffe.
  • Typische Eintrittspunkte sind öffentliches WLAN, kompromittierte Router, interne Netze und Login-Seiten mit schwacher MFA.
  • Warnsignale sind Zertifikatsfehler, ungewöhnliche Weiterleitungen, wiederholte MFA-Abfragen und abrupte Sessionabbrüche.
  • Wirksam schützen TLS 1.2/1.3, HSTS, Passkeys/FIDO2, aktuelle Systeme und saubere Session-Logik.

Was ein Man-in-the-middle-Angriff wirklich ist

Ein Man-in-the-middle-Angriff ist kein reines Mitlesen. Der Angreifer sitzt in der Kommunikationskette, gibt sich gegenüber beiden Seiten als legitimer Gegenpart aus und kann deshalb Datenpakete abfangen, verändern oder neu zusammensetzen. Ich halte die Unterscheidung zu einfachem Sniffing für wichtig: Beim Sniffing hört jemand nur zu, beim MITM kann er aktiv eingreifen.

Das wird vor allem dort gefährlich, wo Nachrichten Anmeldedaten, Session-Cookies, Zahlungsdaten oder interne API-Requests enthalten. Ein einziger kompromittierter Login kann reichen, um später ganze Sitzungen zu übernehmen oder Transaktionen umzulenken. Genau deshalb ist dieser Angriffstyp für Webdienste und Infrastruktur so relevant.

Ein Angreifer im Zentrum (man in the middle attacke) versucht, die Verbindung zwischen einem Computer und Servern zu stören.

So läuft der Angriff technisch ab

Damit der Angriff funktioniert, braucht der Täter zuerst eine Position auf dem Übertragungsweg. Das gelingt etwa über ein falsches WLAN, ARP-Spoofing im lokalen Netz, manipulierte DNS-Antworten oder einen kompromittierten Router beziehungsweise Proxy. ARP-Spoofing bedeutet dabei, dass im internen Netz falsche Zuordnungen vorgespielt werden, damit Verkehr über den Angreifer läuft.

Bei unverschlüsseltem HTTP ist das trivial: Der Inhalt liegt im Klartext vor und kann direkt gelesen oder geändert werden. Bei HTTPS wird es anspruchsvoller, aber nicht unmöglich. Dann versucht der Angreifer meist, zwei getrennte TLS-Verbindungen aufzubauen, also eine zum Opfer und eine zum Zielserver. Genau an dieser Stelle entscheidet die Zertifikatsprüfung, ob der Betrug auffällt oder nicht.

Besonders relevant sind heute Phishing-Proxy-Konstruktionen. Dabei landet der Nutzer scheinbar auf der echten Login-Seite, tatsächlich läuft die Eingabe aber über einen Zwischenserver des Angreifers. Einmalcodes und sogar manche MFA-Workflows werden dadurch in Echtzeit abgegriffen, wenn die Methode nicht phishing-resistent ist. Darum ist die Frage nicht nur, ob verschlüsselt wird, sondern auch, wie stark die Identität der Gegenstelle geprüft wird.

Wo das Risiko im Alltag am höchsten ist

Im Alltag sehe ich vor allem fünf Szenarien, in denen das Risiko steigt. Wichtig ist dabei nicht Panik, sondern das Verständnis für den schwächsten Punkt im Ablauf.

Szenario Typischer Einstieg Warum es riskant ist
Öffentliches WLAN Rogue Access Point oder manipuliertes Captive Portal Der Nutzer vertraut einem Netz, das er nicht kontrolliert, und klickt Warnungen schneller weg.
Heimrouter Schwaches Admin-Passwort oder alte Firmware DNS- oder Weiterleitungsmanipulation kann legitime Ziele auf falsche Seiten umbiegen.
Internes LAN Infizierter Rechner oder böswilliger Insider Lokaler Verkehr lässt sich über ARP-Spoofing oder Proxy-Umleitung umleiten.
Phishing-Proxy Gefälschte Login-Seite im Echtzeit-Relay Passwörter, Cookies und Einmalcodes landen direkt beim Angreifer.
Gemischte Web-App HTTP-Restpunkte oder Mixed Content Ein einzelner unsicherer Pfad kann den Schutz des restlichen Systems aushebeln.

Das gemeinsame Muster ist simpel: Wo die Identität des Netzes oder der Gegenstelle nicht sauber verifiziert wird, bekommt der Angreifer Spielraum. In meiner Praxis sind es selten die spektakulären Zero-Days, sondern eher die kleinen Vertrauenslücken, die solche Angriffe tragfähig machen. Wer diese Risikofelder kennt, erkennt Warnsignale schneller.

Woran du einen Angriff erkennst

Ein sauberer MITM-Angriff ist oft schwer direkt zu sehen. Trotzdem gibt es Warnzeichen, die ich ernst nehmen würde: Zertifikatswarnungen, plötzlich andere Domains oder Subdomains, unerwartete Weiterleitungen auf Login-Seiten, wiederholte MFA-Anfragen, Sitzungen, die ohne Grund ablaufen, oder Transaktionen, deren Inhalte sich leicht verändert anfühlen.

  • Der Browser meldet ein ungültiges oder unerwartetes Zertifikat.
  • Die URL weicht minimal von der echten Domain ab, etwa durch einen zusätzlichen Bindestrich oder eine andere Endung.
  • Du wirst auf eine Login-Seite geleitet, obwohl du den Dienst bereits offen hattest.
  • Einmalcodes oder Push-Bestätigungen erscheinen, obwohl du keinen Login gestartet hast.
  • Die Sitzung bricht ohne erkennbaren Grund ab oder verlangt ungewöhnlich oft eine erneute Anmeldung.

Das Entscheidende: Viele Angriffe bleiben still. Kein Warnsymbol bedeutet nicht, dass alles sauber ist. Wenn etwas nicht zum gewohnten Ablauf passt, breche ich lieber einmal zu früh ab als einmal zu spät. Von dort ist der Schritt zu den Schutzmaßnahmen kurz.

Wie du dich wirksam schützt

Wirksam wird Schutz erst, wenn mehrere Ebenen zusammenarbeiten. Ich würde ihn immer in drei Schichten denken: Transport, Identität und Endgerät.

Maßnahme Warum sie hilft Wo die Grenze liegt
TLS 1.2/1.3 und HTTPS-only Verhindert, dass Inhalte im Klartext übertragen oder leicht umgeleitet werden. Hilft nur dann sauber, wenn es keinen HTTP-Fallback gibt.
HSTS Zwingt den Browser auf HTTPS und blockiert viele Click-through-Angriffe. Muss fehlerfrei ausgerollt werden, sonst sperrt man sich selbst aus.
Passkeys und FIDO2 Machen Phishing-Proxy und abgefangene Einmalcodes deutlich schwieriger. Erfordert saubere Wiederherstellungsprozesse und gute Nutzerführung.
Updates für Browser, OS und Router Schließen bekannte Schwachstellen und Umleitungswege. Ist kein Ersatz für starke Authentisierung.
VPN auf fremden Netzen Schützt den Transport auf untrusted WLANs. Schützt nicht vor einer falschen Zielseite oder einem kompromittierten Gerät.

Für Privatnutzer

  • Ignoriere Zertifikatswarnungen nie, auch nicht bei vermeintlich vertrauten Seiten.
  • Nutze auf fremden Netzen für Banking, Mail und wichtige Logins bevorzugt mobile Daten.
  • Aktiviere Passkeys oder eine phishing-resistente MFA-Variante, sobald der Dienst sie anbietet.
  • Halte Browser, Betriebssystem und Router-Firmware aktuell.
  • Prüfe nach Auffälligkeiten den Router-Adminzugang und die DNS-Einstellungen.

Lesen Sie auch: Gefährliche Website erkennen - Schutz vor Malware & Phishing

Für Unternehmen

  • HTTP konsequent auf HTTPS umleiten und HSTS nur dann einsetzen, wenn wirklich alle Subdomains mitziehen.
  • Für Admin-Oberflächen und interne APIs starke Authentisierung, segmentierte Netze und saubere Zertifikatsrotation vorsehen.
  • Login- und TLS-Fehler loggen, damit verdächtige Muster sichtbar werden.
  • Captive-Portals, Proxy-Zwischenstationen und Mixed-Content-Reste in Tests explizit prüfen.
  • Wo möglich FIDO2 oder Passkeys statt OTP einsetzen, weil sie das Abgreifen von Einmalcodes deutlich erschweren.

Für Webdienste selbst wird das noch konkreter, weil dort schon kleine Nachlässigkeiten große Wirkung haben können.

Was ich bei Webdiensten zuerst absichere

Bei Webdiensten prüfe ich zuerst nicht das Design, sondern den Verbindungsweg. Ein einziger HTTP-Restpunkt, ein geladenes Asset über HTTP oder eine lockere Zertifikatsprüfung reicht aus, um den Schutz spürbar zu schwächen. Sauber ist eine Anwendung erst dann, wenn der gesamte Pfad HTTPS-only bleibt.

  • Mixed Content vermeiden: alle Skripte, Bilder und APIs über HTTPS laden.
  • Cookies mit Secure, HttpOnly und SameSite absichern.
  • Session-Laufzeiten kurz halten und sensible Aktionen erneut bestätigen lassen.
  • Admin-Zugänge stärker schützen als normale Nutzerkonten.
  • HSTS erst dann produktiv scharf schalten, wenn der gesamte Rollout sauber getestet ist.
  • In Staging mit Proxy-Tests prüfen, wie sich die App bei Umleitungs- und Zertifikatsfehlern verhält.

Ich teste lieber den Fehlerfall als nur den Idealfall, weil sich genau dort viele Schwachstellen zeigen. Und selbst wenn der Transport sauber ist, bleibt noch ein Restproblem, das oft übersehen wird: die Sitzung selbst.

Warum Session-Diebstahl oft der eigentliche Schaden ist

Der eigentliche Schaden entsteht oft nicht im Moment des Mitlesens, sondern danach. Wenn ein Angreifer Session-Cookies, Refresh-Tokens oder API-Schlüssel abgreift, braucht er das Passwort nicht einmal mehr. Er übernimmt einfach eine bestehende Identität, bis die Sitzung ungültig wird.

  • Sitzungen nach Verdacht sofort beenden und Tokens rotieren.
  • Passwort und MFA nicht nur ändern, sondern den kompletten Zugriffspfad prüfen.
  • Weiterleitungsregeln im E-Mail-Konto, gespeicherte Geräte und vertrauenswürdige Browser kontrollieren.
  • Bei internen Diensten Zertifikate, DNS-Einträge und Proxy-Konfigurationen auf Manipulation prüfen.
  • Wenn möglich, auf phishing-resistente Anmeldung und kurze Session-Laufzeiten umstellen.

Wenn ich die Lage auf einen Satz verdichten müsste, dann so: Ein Man-in-the-middle-Angriff wird nicht nur durch Verschlüsselung abgewehrt, sondern durch die Kombination aus sauberem Transport, starker Identität und einem Endgerät, dem du trauen kannst. Wer diese drei Ebenen sauber hält, nimmt dem Angreifer den größten Teil seiner Angriffsfläche.

Häufig gestellte Fragen

Ein MITM-Angriff ist, wenn ein Angreifer sich unbemerkt zwischen zwei Kommunikationspartner schaltet. Er kann Daten nicht nur mitlesen, sondern auch verändern oder umleiten, indem er sich als legitimer Gegenpart ausgibt. Dies ist gefährlicher als einfaches Sniffing, da der Angreifer aktiv eingreifen kann.

Warnsignale sind Zertifikatswarnungen im Browser, minimale Abweichungen in der URL, unerwartete Weiterleitungen auf Login-Seiten, wiederholte MFA-Anfragen ohne eigenen Login-Versuch oder plötzliche Session-Abbrüche. Nehmen Sie ungewöhnliche Verhaltensweisen ernst und brechen Sie im Zweifel ab.

Wichtige Maßnahmen umfassen die konsequente Nutzung von TLS 1.2/1.3 und HTTPS-only (mit HSTS), phishing-resistente Authentifizierung wie Passkeys/FIDO2, regelmäßige Updates von Systemen und Routern sowie die Nutzung eines VPN in öffentlichen WLANs. Auch die Absicherung von Cookies und kurze Session-Laufzeiten sind entscheidend.

Passkeys und FIDO2 sind phishing-resistent, da sie kryptografisch an die spezifische Domain gebunden sind. Selbst wenn ein Angreifer eine gefälschte Login-Seite über einen Proxy schaltet, kann der Passkey nicht auf dieser falschen Domain verwendet werden, was das Abfangen von Zugangsdaten oder Einmalcodes verhindert.

Öffentliche WLANs bergen ein erhöhtes MITM-Risiko, da Angreifer leicht manipulierte Access Points oder Captive Portals einrichten können. Hier ist es ratsam, für sensible Transaktionen mobile Daten zu nutzen oder ein vertrauenswürdiges VPN zu verwenden, um den Datenverkehr zu verschlüsseln und abzusichern.

Artikel bewerten

Bewertung: 0.00 Stimmenanzahl: 0

Tags:

man in the middle attacke man-in-the-middle-angriff verhindern mitm-schutzmaßnahmen man-in-the-middle-angriff erkennen phishing-proxy-angriffe abwehren sicherheit vor session-hijacking

Beitrag teilen

Rolf Fuhrmann

Rolf Fuhrmann

Mein Name ist Rolf Fuhrmann und ich habe über 12 Jahre Erfahrung im Bereich IT-Infrastruktur, Web-Technologien und Sicherheit. Schon früh entwickelte ich eine Begeisterung für die digitale Welt und die Herausforderungen, die sie mit sich bringt. Besonders fasziniert mich die Schnittstelle zwischen Technologie und Sicherheit, da ich oft beobachte, wie wichtig ein durchdachter Umgang mit Daten und Systemen ist. In meinen Beiträgen möchte ich komplexe Themen verständlich aufbereiten und aktuelle Trends beleuchten. Dabei lege ich großen Wert auf sorgfältige Recherche und den Vergleich verschiedener Informationsquellen, um meinen Lesern präzise und nützliche Inhalte zu bieten. Ich freue mich darauf, mein Wissen und meine Perspektiven mit Ihnen zu teilen und gemeinsam die spannende Welt der IT und Sicherheit zu erkunden.

Kommentar schreiben