Spoofing ist ein Überbegriff für eine Angriffskategorie, bei der ein Angreifer sich als jemand anderes ausgibt. So wird beim E-Mail-Spoofing beispielsweise durch Angabe eines falschen E-Mail-Absenders eine andere Identität vorgegaukelt. Ähnlich funktioniert das IP-Spoofing, bei dem der Angreifer eine bereits existierende IP-Adresse verwendet, um seine wahre IP zu verschleiern.

Maskenspiele

Der Ablauf von Spoofing-Angriffen ist so unterschiedlich wie deren Anwendungsfälle. Für einen erfolgreichen Spoofing-Angriff ist es zuerst notwendig, an valide Informationen zu kommen. Für ein E-Mail-Spoofing zum Beispiel muss der Angreifer eine E-Mail-Adresse kennen, die real existiert und die er als seine eigene vorgeben möchte.

Auch beim IP-Spoofing muss der Angreifer vorher nach einer IP-Adresse suchen, die real existiert und die er annehmen möchte. Das erfordert unter Umständen viel Aufwand, da eine bessere Recherche den Erfolg des Angriffs enorm steigert. Die zweite Voraussetzung, damit ein solcher Angriff glückt, ist die Möglichkeit, diese Informationen überhaupt fälschen zu können. Ist es dem Angreifer beispielsweise nicht möglich, auf das Netzwerk des Opfers zuzugreifen, wird ein IP-Spoofing-Angriff auch nicht erfolgreich sein.

Hallo? Wer ist da?

Eine beispielhafte Spoofing-Methode stellt das DNS-Spoofing dar. Hierbei wird der Eintrag einer DNS-Tabelle eines Rechners oder eines DNS-Servers manipuliert, sodass das Opfer zwar die korrekte URL aufruft, aber eine falsche IP-Adresse zurückbekommt und damit auf die Webseite des Angreifers geleitet wird. Das ermöglicht weitere Angriffe wie zum Beispiel das Phishing.

Der Angriff des IP-Spoofings wurde bereits kurz eingeführt und basiert darauf, dass der Angreifer die IP-Adresse eines im Netzwerk existierenden Geräts übernimmt und damit als ebendieses auftritt. Wird nun ausschließlich die IP-Adresse des Geräts als Authentifizierungsmerkmal verwendet, ist es dem Angreifer möglich, sich als dieses Gerät zu präsentieren und in Folge dessen Daten zu stehlen oder Verbindungen zu belauschen. Alternativ lässt sich auch die MAC-Adresse spoofen, wodurch sich vor allem Netzwerkgeräte auf den unteren OSI-Schichten täuschen lassen.

Das sind nicht die Droiden, die Ihr sucht!

Risiken die durch Spoofing-Angriffe entstehen:

• Integrität: Wird in einem Netzwerk nur der Absender geprüft, aber nicht weiter validiert, so können Daten manipuliert, abgefangen oder versendet werden. Der mögliche Schaden ist sehr groß, denn im Zweifelsfall ist jedes Netzwerkgerät der Meinung korrekt zu funktionieren und meldet keinen Fehler.

• Vertraulichkeit: Je nach Angriff ist es möglich, dass vertrauliche Daten (sofern sie unverschlüsselt übertragen werden) durch den Angreifer abgefangen und erst danach an das „eigentliche" Ziel weitergeleitet werden. Sind diese Daten im Klartext oder nur schwach verschlüsselt (DES, RC4, …), kann der Angreifer die Daten mitlesen oder mit relativ wenig Aufwand entschlüsseln und kommt somit möglicherweise an Authentifizierungsdaten oder sonstige geheime Informationen.

• Verfügbarkeit: Durch einen geschickten Spoofing-Angriff ist es möglich, Datenpakte vor ihrem eigentlichen Zielort abzufangen und nicht weiterzuleiten. Damit ist eine Blockierung der eigentlichen Kommunikation möglich. Wird zum Beispiel die Abmelde-Information nicht zum Webserver weitergeleitet, bleibt die Session weiterhin geöffnet und kann vom Angreifer verwendet werden, obwohl das Opfer der Meinung ist, sich ausgeloggt zu haben.

Ausweispflicht!

Es existieren vielseitige Möglichkeiten, sein Unternehmen vor Spoofing-Angriffen zu schützen. Eine zuverlässige Integritätsprüfung einer Datenübertragung, beispielsweise durch Signaturen mit privaten Schlüsseln und Prüfsummen, deckt gefälschte Adressen schnell auf und ist deutlich verlässlicher als eine einfache Sichtprüfung. Jegliche Kommunikation sollte zudem verschlüsselt stattfinden. Durch die Wahl eines sicheren Algorithmus hat der Angreifer keine Chance, die mitgeschnittenen Daten auszuwerten. Dabei ist darauf zu achten, dass sichere Algorithmen nach dem aktuellen Stand der Technik verwendet werden.

Einige Spoofing-Angriffe basieren darauf, dass das Opfer die Fälschung nicht auf den ersten Blick erkennt, weil beispielsweise die angezeigte Absenderadresse manipuliert wurde. In so einem Fall ist der gesunde Menschenverstand häufig eine gute Hilfe, denn dass der vermeintliche Freund/Geschäftspartner/Kunde nun nach dem Passwort für den Login fragt oder einen gekürzten Link zu einem ominösen Video sendet, ist eher ungewöhnlich. In diesem Fall sollte man sich nicht auf die angezeigte E-Mail-Adresse verlassen.

 Zusammenfassung

Spoofing-Angriffe haben viele Facetten. Manche davon sind so komplex, dass sie nur schwer zu erkennen sind, da eigentlich alle Informationen gefälscht werden können, die nicht explizit überprüft werden. Die dadurch entstehenden Risiken sind vielseitig und können sowohl technischer als auch nicht-technischer Natur sein. Nichtsdestotrotz kann man schon durch einfache Maßnahmen ein gewisses Level an Sicherheit schaffen. Einige davon sind in den oben beschriebenen Absicherungsmaßnahmen aufgeführt.