Sicherheitsrisiken
In dieser interaktiven Lerneinheit lernst du die wichtigsten Sicherheitsrisiken im Zusammenhang mit ARP kennen, insbesondere ARP-Spoofing und dessen Gefahren für Netzwerke. Du verstehst, wie Angreifer ARP-basierte Attacken durchführen und welche konkreten Schutzmaßnahmen du in der Praxis dagegen einsetzen kannst.
Einführung
Ein Mitarbeiter arbeitet im Büro, öffnet wie gewohnt das CRM-System und ruft sensible Kundendaten ab. Im Hintergrund hat sich ein Dritter unbemerkt zwischen ihn und den Server geschaltet – kein Alarm, kein ungewöhnliches Verhalten. Der gesamte Datenverkehr läuft über den Angreifer. Passwörter, Dokumente, sogar aktive Sitzungen können so mitgelesen oder übernommen werden.

Solche Sicherheitslücken betreffen viele Netzwerke – und genau hier setzt ARP-Spoofing an.
Lernziele
Nach dieser Lerneinheit kannst du:
- erklären, wie ARP-Spoofing technisch funktioniert und warum es möglich ist.
- typische Ziele wie Datendiebstahl, Session-Hijacking oder MitM einordnen.
- Schutzmechanismen wie DAI, VLANs und ARP-Monitoring verständlich beschreiben.
- einschätzen, welche Maßnahmen sich in unterschiedlichen Netzwerkszenarien sinnvoll umsetzen lassen.
Überleitung
Solche Angriffe sind möglich, weil das ARP-Protokoll in lokalen Netzwerken nicht prüft, ob die Zuordnungen von IP- und MAC-Adressen echt sind. Angreifer nutzen genau diese Schwäche aus.
Doch was ist ARP-Spoofing genau?
Was ist ARP-Spoofing?
ARP-Spoofing (auch: ARP-Poisoning) ist eine Form des Man-in-the-Middle-Angriffs (MitM) in lokalen Netzwerken. Dabei sendet ein Angreifer gefälschte ARP-Nachrichten (Address Resolution Protocol), um sich als ein anderes Gerät im Netzwerk auszugeben. Ziel ist es, den Datenverkehr zwischen zwei legitimen Geräten (z. B. Client und Server) unbemerkt umzuleiten, zu überwachen oder zu manipulieren.
Hintergrund: Warum ist ARP-Spoofing möglich?
Das ARP-Protokoll, das IP-Adressen in MAC-Adressen übersetzt, enthält keine eingebauten Sicherheitsmechanismen. Es akzeptiert ARP-Antworten ohne Authentifizierung und ohne Anforderung. Diese Schwäche ermöglicht es Angreifern, sich durch gefälschte ARP-Pakete als ein anderes Gerät auszugeben.
Begriffsdefinitionen
- ARP (Address Resolution Protocol): Übersetzt IP-Adressen in MAC-Adressen innerhalb eines lokalen Netzwerks.
- MAC-Adresse: Eindeutige physikalische Adresse eines Netzwerkgeräts.
- DHCP-Snooping: Sicherheitsfunktion in Switches, die IP-MAC-Zuordnungen bei der DHCP-Kommunikation registriert.
- DAI (Dynamic ARP Inspection): Sicherheitsmechanismus, der ARP-Pakete mit bekannten IP-MAC-Zuordnungen abgleicht.
Angriffsszenario
Akteure im Beispielnetzwerk:
| Rolle | Gerät/IP-Adresse | Funktion |
|---|---|---|
| Benutzer A | 192.168.1.10 | Client, greift auf Intranet zu |
| Server B | 192.168.1.2 | Intranetserver des Unternehmens |
| Angreifer C | (beliebige IP/MAC) | Versucht, den Datenverkehr umzuleiten |
Ablauf des Angriffs:
-
Normale Kommunikation:
Benutzer A fragt per ARP: “Wer hat IP 192.168.1.2?”
Server B antwortet: “Ich bin 192.168.1.2 (MAC: XX:XX:XX…).” -
Angriffsvorbereitung:
Angreifer C überwacht das Netzwerk und erkennt ARP-Anfragen.

Angriffsszenario
-
Spoofing:
Angreifer C sendet ARP-Antworten:
– An A: “Ich (C) bin 192.168.1.2”
– An B: “Ich (C) bin 192.168.1.10” -
Datenverkehrsumleitung:
Beide Geräte aktualisieren ihre ARP-Tabellen mit den MAC-Adressen des Angreifers.
→ Der gesamte Datenverkehr läuft nun über C.

Angriffsszenario
- Manipulation:
Der Angreifer kann den Verkehr mitlesen, verändern oder speichern, bevor er ihn an die ursprünglichen Empfänger weiterleitet.

Überleitung
Du hast gesehen, wie ARP-Spoofing funktioniert und wie Angreifer darüber unbemerkt Datenverkehr umleiten. Doch was genau machen sie dann mit diesen Daten? Und wie kannst du dich schützen, wenn das Netzwerk angegriffen wird? Jetzt schauen wir uns an, welche konkreten Gefahren aus ARP-Spoofing entstehen – und mit welchen Maßnahmen du sie erkennen, begrenzen oder sogar verhindern kannst.
Gefahren
- Datendiebstahl: Abfangen vertraulicher Inhalte wie Passwörter oder Dokumente.
- Man-in-the-Middle (MitM): Manipulation laufender Kommunikation.
- Denial of Service (DoS) (möglich): Unterbrechung des Datenverkehrs, z. B. durch Paketverwerfen.
- Session-Hijacking: Übernahme aktiver Sitzungen in Web- oder Cloud-Diensten.
Schutzmaßnahmen
- Statische ARP-Tabellen: Manuelle Bindung von IP zu MAC, für kleine Netzwerke geeignet.
- ARP-Monitoring-Tools: z. B. arpwatch, zur Erkennung verdächtiger ARP-Aktivitäten.
- Netzwerksegmentierung: Begrenzung des Schadensradius durch VLANs.
- Dynamic ARP Inspection (DAI):
- Nur auf Switches mit aktivem DHCP-Snooping möglich.
- Prüft, ob ARP-Pakete mit einer vertrauenswürdigen IP-MAC-Zuordnung übereinstimmen.
- Verschlüsselung (VPN, HTTPS): Schutz der Inhalte selbst bei erfolgreichem MitM-Angriff.
Schutzmaßnahme im Fokus: Dynamic ARP Inspection (DAI)
Dynamic ARP Inspection (DAI) ist eine Sicherheitsfunktion, die in vielen professionellen Switches verfügbar ist. Sie schützt Netzwerke vor ARP-Spoofing, indem sie die Integrität von ARP-Anfragen und -Antworten überprüft, bevor diese in die ARP-Tabellen der Geräte übernommen werden.
Funktionsweise von DAI:
- Vertrauensbasis: DAI nutzt eine sogenannte Binding-Datenbank mit gültigen Zuordnungen von MAC- zu IP-Adressen. Diese Datenbank wird meist durch DHCP-Snooping aufgebaut.
- Prüfung: Eingehende ARP-Pakete werden gegen diese Tabelle geprüft. Stimmen die Informationen nicht überein, wird das Paket verworfen und ggf. ein Alarm ausgelöst.
- Einschränkung: DAI funktioniert nur, wenn DHCP-Snooping aktiviert ist oder die Zuordnungen manuell gepflegt werden.
Schutzmaßnahme im Fokus: Dynamic ARP Inspection (DAI)
Beispiel für den Ablauf:
- Gerät A fragt: “Wer hat IP 192.168.1.2?”
- Gerät C (Angreifer) antwortet: “Ich bin 192.168.1.2.”
- DAI prüft: Stimmt IP-MAC-Kombination mit der Binding-Tabelle überein?
- Ergebnis: Nein → Paket wird blockiert, Eintrag nicht in ARP-Tabelle übernommen.
Fazit: DAI ist eine effektive, aber voraussetzungsreiche Maßnahme. Für den Schutz großer Netzwerke ist es sinnvoll, DAI mit anderen Sicherheitsfunktionen wie Port-Security und VLANs zu kombinieren.
Zusammenfassung und Ausblick
ARP-Spoofing ist ein Angriff auf das Address Resolution Protocol (ARP). Dabei versendet ein Angreifer gefälschte ARP-Nachrichten, um den Datenverkehr zwischen zwei Geräten unbemerkt umzuleiten. Das Problem: ARP prüft nicht, ob eine Antwort echt ist – genau das macht den Angriff möglich.
Typische Ziele eines ARP-Spoofing-Angriffs sind:
- Datendiebstahl (z. B. Passwörter oder private Informationen auslesen)
- Session-Hijacking (Übernahme aktiver Verbindungen)
- Man-in-the-Middle-Angriffe (Verfälschung oder Mitschnitt der Kommunikation)
- Denial of Service (DoS) (gezielte Störung der Kommunikation)
Damit der Angriff erfolgreich ist, muss das Opfer die manipulierten ARP-Tabellen übernehmen. Schutzmaßnahmen setzen genau hier an:
- Statische ARP-Einträge: In kleinen Netzwerken wirksam, verhindern Änderungen durch ARP-Spoofing.
- Monitoring-Tools (z. B.
arpwatch): Erkennen verdächtige ARP-Aktivitäten und alarmieren Administratoren. - VLANs: Begrenzen die Reichweite des Angriffs durch Netzwerksegmentierung.
- Dynamic ARP Inspection (DAI): In professionellen Netzwerken besonders effektiv. DAI prüft eingehende ARP-Pakete gegen eine vertrauenswürdige IP-MAC-Tabelle, die durch DHCP-Snooping erzeugt wird. Stimmen die Angaben nicht überein, wird das Paket verworfen.
Zusätzlich schützt Ende-zu-Ende-Verschlüsselung die Daten auch dann, wenn der Angriff technisch gelingt:
- VPN (Virtual Private Network)
- HTTPS (HyperText Transfer Protocol Secure)