Was ist MAC-Spoofing?

Jedes Gerät, das mit einem Netzwerk verbunden ist, besitzt eine weltweit einmalige physikalische Identifikationsnummer: die Media-Access-Control-Adresse, kurz MAC. Diese Burned-in-Address (BIA) wird vom Hersteller quasi in die Hardware „eingebrannt“. Endnutzer haben keine Möglichkeit, die MAC-Adresse umzuschreiben. Möglich ist jedoch eine softwareseitige Maskierung. Man spricht in diesem Fall von MAC-Spoofing.

  • MAC-Adressen: Eindeutige Hardware-Adressen kennzeichnen Network-Interface-Controller (NIC) wie LAN-Karten oder WLAN-Adapter und dienen der Identifizierung von Endgeräten in lokalen Netzwerken. Jede MAC-Adresse umfasst 48 Bit, also 6 Byte, und wird nach folgendem Schema dargestellt: 00:81:41:fe:ad:7e. Die ersten 24 Bit codieren die vom Institute of Electrical and Electronics Engineers (IEEE) vergebene Herstellerkennung, die folgenden 24 Bit die vom Hersteller definierte Gerätenummer.
  • Spoofing: In der Netzwerkterminologie bezeichnet Spoofing (englisch für „Verschleierung“) verschiedene Methoden, die der Manipulation grundlegender Adressierungssysteme in Computernetzen dienen. Hacker nutzen dieses Angriffsmuster, um die eigene Identität zu verbergen oder eine andere zu imitieren. Beliebte Ziele für Spoofing-Attacken sind neben der MAC-Adresse das Internetprotokoll (IP), das Domain-Name-System (DNS) und die Adressauflösung via Address Resolution Protocol (ARP). Grundsätzlich lässt sich Spoofing als Lösungsstrategie zur Fehlerbehebung einsetzen. Meist steht jedoch die Infiltration fremder Systeme im Rahmen illegaler Netzaktivitäten im Vordergrund.

Gründe, die eigene MAC-Adresse zu verschleiern

Theoretisch lässt sich jedes Netzwerkgerät auf der Welt über seine MAC-Adresse identifizieren. Doch nicht jeder Nutzer wünscht sich diese Transparenz im Internet. Eine Motivation, die eigene MAC-Adresse zu verschleiern, ist der Schutz der Privatsphäre – z. B. in öffentlichen WLAN-Netzen. Diesem durchaus legitimen Einsatz des MAC-Spoofings stehen illegale Aktivitäten gegenüber, bei denen Nutzer ihre MAC-Adresse ändern, um Zugangsbeschränkungen und Sicherheitsmechanismen zu umgehen oder die Identität eines anderen Netzwerkgeräts zu imitieren.

Anonymisierung

Einige Internetnutzer ziehen es vor, die Identität ihres Endgeräts hinter einer falschen MAC-Adresse zu verstecken, um die eigene Privatsphäre zu schützen. Ein Grund dafür ist, dass MAC-Adressen in öffentlichen LAN- oder WLAN-Netzen in der Regel unverschlüsselt versendet werden. Jeder Netzwerkteilnehmer kann so nachvollziehen, welches Gerät im Netzwerk angemeldet ist, die jeweiligen Hardware-Adressen auslesen und diese auch für illegale Aktivitäten nutzen. Hacker nutzen diese Möglichkeit, um anonym zu surfen. In der Regel wird dabei die MAC-Adresse eines anderen Netzwerkgeräts imitiert, um dessen Berechtigungen auszunutzen und die Verantwortung für illegale Aktivitäten auf andere Nutzer abzuschieben.

Identitätsdiebstahl

Um IT-Systeme vor internen und externen Gefahren zu schützen, implementieren Administratoren mitunter Sicherheitsmechanismen, die den Zugang zum LAN auf autorisierte Geräte beschränken. Auf Netzebene bieten Kopplungselemente wie Ethernet-Switches via Port-Security die Möglichkeiten, den Datenverkehr im Netzwerk auf OSI-Layer 2 zu filtern. Dabei werden größere Netzwerke durch Switches in kleinere Segmente aufgeteilt.

Kommt es zu einem Verbindungsaufbau von einem Segment in ein anderes, überprüft das zwischengeschaltete Kopplungselement die MAC-Adresse des Absendergeräts und gleicht diese mit einer vom Administrator angelegten Whitelist ab. Handelt es sich um eine unbekannte Adresse, sperrt der Switch den jeweiligen Port und unterbindet den Kommunikationsversuch. Auch WLAN-Netze lassen sich durch MAC-Filter auf bekannte Netzwerkgeräte beschränken. MAC-Spoofing ermöglicht es Hackern jedoch, Sicherheitsvorkehrungen dieser Art zu umgehen.

Tatsächlich geht von MAC-Whitelists nur eine geringe Schutzwirkung aus. Um die Hardware-Adresse des eigenen Rechners hinter der eines autorisierten Netzwerkteilnehmers zu verbergen, bedarf es lediglich einer manuellen Konfiguration in den Netzwerkeinstellungen des jeweiligen Betriebssystems. Sowohl Linux als auch Mac OS X und Microsoft Windows gestatten es Nutzern, LAN-Verbindungen mit einer beliebigen MAC-Adresse aufzubauen. Hardware-Adressen von WLAN-Karten lassen sich unter Windows hingegen nicht ohne Weiteres manipulieren.

Lizenzbestimmungen

Mitunter werden Software-Anwendungen auf eine bestimmte Anzahl von Endgeräten beschränkt. Diese lassen sich nur auf Systemen ausführen, deren MAC-Adressen im Lizenzvertrag angegeben wurden. Muss eines dieser Geräte aufgrund von Hardware-Fehlern ausgetauscht werden, ist die Software-Nutzung mit dem neuen Gerät in der Regel nicht möglich. Einige Nutzer umgehen diese Restriktion, indem sie die neue Hardware-Adresse softwareseitig so umschreiben, dass sie derjenigen im Lizenzvertrag entspricht. Doch ein solches Vorgehen ist nicht zu empfehlen.

Ein Anbieter könnte diese Art des MAC-Spoofings als Erschleichung von Leistungen einstufen und rechtliche Schritte einleiten. Stattdessen sollten Lizenznehmer den jeweiligen Anbieter kontaktieren und die Möglichkeit eines Hardware-Austauschs erfragen. Kommt MAC-Spoofing zum Einsatz, um durch die Imitation eines autorisierten Endgeräts Zugang zu kostenpflichtigen Software-Anwendungen oder Onlinediensten zu erhalten, liegt in jedem Fall ein Rechtsverstoß vor.

Wie funktioniert MAC-Spoofing unter Windows?

Um eine MAC-Adresse zu verschleiern, rufen Sie lediglich die Netzwerk-Einstellungen über die Windows-Systemsteuerung auf und definieren softwareseitig eine neue Identifikationsnummer. Ihr Betriebssystem sendet Datenpakete anschließend mit der benutzerdefinierten MAC-Adresse ins lokale Netzwerk. Die folgende Schritt-für-Schritt-Anleitung zeigt ein MAC-Spoofing unter Windows 7. Die Konfiguration unter anderen Windows-Versionen folgt demselben Schema, kann im Detail jedoch abweichen.

Aktuelle MAC-Adresse ermitteln

Bevor Sie die MAC-Adresse Ihrer Netzwerkkarte softwareseitig anpassen, sollten Sie die vom Hersteller vergebene Adresse ermitteln und griffbereit halten. Dazu gehen Sie folgendermaßen vor:

Öffnen Sie das Windows-Menü mit einem Klick auf den Start-Button und geben Sie in die Windows-Suchleiste in der rechten unteren Ecke die Buchstabenfolge cmd ein. Als Suchergebnis schlägt Ihnen das Betriebssystem die Windows-Konsole cmd.exe vor.

Starten Sie das Programm durch einen Doppelklick auf den Programmnamen oder bestätigen Sie die Eingabe cmd mit der Entertaste. Es öffnet sich ein schwarzes Konsolenfenster: die Windows-Eingabeaufforderung.

Anweisungen werden in der Windows-Konsole in Form von Befehlen über die Tastatur eingegeben. Um die MAC-Adresse Ihrer Netzwerkkarte über die Konsole ausgeben zu lassen, tippen Sie den Befehl getmac in die durch einen blinkenden Unterstrich markierte Zeile der Eingabeaufforderung ein und bestätigen Sie mit der Entertaste.

Notieren Sie sich die Zeichenfolge, die im Konsolenfenster unter „Physikal. Adresse“ angezeigt wird. Es handelt sich um die vom Hersteller vergebene MAC-Adresse. Diese benötigen Sie, um die Konfiguration auf die Standardeinstellung zurückzusetzen.

MAC-Adresse in den Netzwerkeinstellungen ändern

Die Änderung der MAC-Adresse erfolgt unter Windows in den Netzwerkeinstellungen. Um dorthin zu gelangen, rufen Sie das Windows-Menü durch einen Klick auf den Start-Button auf. In der rechten Spalte finden Sie den Menüpunkt „Systemsteuerung“.

In der Windows-Systemsteuerung haben Sie die Möglichkeit, sämtliche Einstellungen für Ihren Computer anzupassen. Die Netzwerkeinstellungen des Systems finden Sie im Menüpunkt „Netzwerk und Internet“.

Es öffnet sich ein Untermenü mit drei Optionen. Klicken Sie auf „Netzwerk- und Freigabecenter“, um sich grundlegende Informationen zu Ihrem Netzwerk anzeigen zu lassen.

Das Fenster zeigt nun eine Gesamtübersicht aller Netzwerkverbindungen, mit denen Ihr Computer verbunden ist. Klicken sie auf den Menüpunkt „Adaptereinstellungen ändern“ in der linken Seitenleiste, um Einstellungen an der Netzwerkkarte vorzunehmen.

Wählen Sie in der Übersicht die Netzwerkkarte, die Sie konfigurieren möchten. Im Beispielsystem wird die LAN-Verbindung „Local Area Connection 2“ über die „Netzwerkkarte Intel(R) PRO/1000 MT Desktop Adapter“ hergestellt. Ein Doppelklick auf die gewünschte Verbindung öffnet ein Fenster mit Status-Informationen.

Klicken Sie auf die Schaltfläche „Eigenschaften“. Das Schutzschild-Icon zeigt Ihnen an, dass Sie Adaptereinstellungen nur mit Administrationsrechten vornehmen können. Arbeiten Sie in einem anderen Benutzerkonto, fragt das System ein Administratorenkennwort über die Benutzerkontensteuerung ab.

Besitzen sie die nötigen Zugangsrechte, öffnet sich ein weiteres Fenster, in dem die jeweilige Netzwerkkarte sowie Clients, Protokolle und Treiber der Verbindung aufgelistet werden. Klicken Sie auf die Schaltfläche „Konfigurieren“, um das Einstellungsmenü der Netzwerkkarte zu öffnen.

Es öffnet sich ein Fenster mit fünf Reitern. Klicken Sie auf „Erweitert“ und wählen Sie unter Eigenschaft „Locally Administered Address“ (Lokal verwaltete Adresse).

Bei der Locally Administered Address (LAA) handelt es sich um eine softwareseitig zugewiesene MAC-Adresse, die mit einer Netzwerkkarte verknüpft wird und so die vom Hersteller vergebene Adresse – auch Universally Administered Address (UAA) – ersetzt.

Um eine LAA zu definieren, setzen sie den Auswahlpunkt, der in der Standardeinstellung auf „Nicht vorhanden“ steht, bei „Wert“ und geben eine beliebige 12-stellige Zeichenfolge aus hexadezimalen Ziffern ein.

Sobald Sie Ihre Einstellungen mit einem Klick auf OK bestätigen, trennt Ihre Netzwerkkarte die Verbindung zum LAN und baut eine neue unter Verwendung der benutzerdefinierten LAA auf.

MAC-Adresse in der Registry ändern

Alternativ zu den Netzwerkeinstellungen haben Windowsnutzer die Möglichkeit, die MAC-Adresse softwareseitig in der Registry zu ändern. Dieses Vorgehen empfiehlt sich jedoch nur für erfahrene Anwender.

Um die Windows-Registry aufzurufen, geben Sie den Befehl regedit in die Suchleiste ein und starten den Registrierungs-Editor. Navigieren Sie anschließend in folgenden Eintrag:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}

Hier finden Sie finden Sie eine Reihe durchnummerierter Unterordner (0000, 0001, 0002 etc.). Durchsuchen Sie diese nach dem Ordner, dessen DriverDesc-Eintrag den Namen Ihrer Netzwerkkarte enthält. Findet sich in diesem Ordner ein Eintrag NetworkAddress, bearbeiten Sie diesen, indem Sie mit der rechten Maustaste auf den Eintrag klicken und im Kontextmenü die Funktion „Ändern“ auswählen. Geben Sie hier die gewünschte MAC-Adresse ein.

Ist kein entsprechender Eintrag vorhanden, erstellen Sie diesen mit dem Klickpfad Rechtsklick > „Neu“ > „Zeichenfolge“.

MAC-Spoofing-Software

Statt die Änderung der MAC-Adresse manuell über die Netzwerkeinstellungen oder die Windows-Registry vorzunehmen, können Nutzer zudem auf kostenlose Software-Lösungen wie Technitium MAC Address Changer oder Windows 7 MAC Address Changer zurückgreifen.

  • Der Technitium MAC Address Changer ermöglicht es Anwendern, Netzwerkkarten bequem über eine übersichtliche Benutzeroberfläche zu verwalten. Das Freeware-Tool bietet eine Übersicht aller Verbindungen, gibt die aktuellen MAC-Adressen der verwendeten Hardware aus und enthält eine Funktion, um diese per Knopfdruck zu ändern. Dabei wird sowohl die Originalkennung als auch die veränderte MAC-Adresse im Tool gespeichert. Ein integrierter Generator erzeugt auf Wunsch zufällig generierte Vorschläge. Technitium MAC Address Changer ist für Windows 7, 8 und 10 verfügbar und läuft mit 32-Bit- und 64-Bit-Versionen. Sobald Anwender Einstellungen im Software-Interface vornehmen, schreibt das Programm die entsprechenden Werte in die Windows-Registry. Der manuelle Eingriff entfällt und somit auch die Möglichkeit, durch falsche Einträge in die Konfigurationsdatenbank die Stabilität des Systems zu gefährden. Alle Einstellungen lassen sich durch den Button „Restore Original“ jederzeit wieder in den Ausgangszustand zurücksetzen.
  • Der Win7 MAC Address Changer läuft anders als der Name vermuten lässt auch auf Windows Vista sowie auf Windows 8. Die Freeware-Software bietet ein ähnliches Funktionsspektrum wie der Technitium MAC Address Changer. Das MAC-Spoofing erfolgt in vier Schritten: Wahl der Netzwerkkarte, Wahl des Betriebssystems, Wahl der gewünschten MAC-Adresse, Bestätigung der Einstellungen über den Change-Button. Auch der Win7 MAC Address Changer unterstützt Anwender durch einen Randomize-Button. Die Schaltfläche „Reset to Default“ stellt die Standardeinstellungen wieder her.

Genau wie beim manuellen MAC-Spoofing gilt auch bei der Verwendung der vorgestellten Programme, dass die physikalische Adresse nicht geändert wird. Das Betriebssystem täuscht lediglich vor, dass es sich bei der benutzerdefinierten Locally Administered Address um die Universally Administered Address handelt.