Management in the Middle (MitM):
Hoe Jouw Security Wordt Gecompromitteerd door Je Eigen Leidinggevenden

In de wereld van cybersecurity kennen we de klassieke Man in the Middle (MitM) aanval: een scenario waarin een kwaadwillende zich tussen twee partijen plaatst en heimelijk communicatie onderschept of manipuleert. Maar er bestaat een veel gevaarlijkere variant die in vrijwel iedere organisatie voorkomt: de Management in the Middle (MitM) aanval.

Hoe Werkt een Management in the Middle Aanval?

Bij een klassieke MitM-aanval zit een aanvaller tussen een gebruiker en een dienst, zoals een website of API. Bij Management in the Middle werkt het net zo, maar dan met een excellente manager die zich tussen security-teams en hun daadwerkelijke werk plaatst. Dit leidt tot:

  • Besluitvorming met volledige afwezigheid van technische kennis – Security-teams krijgen opgelegd dat legacy-systemen "gewoon veilig moeten worden gemaakt," liefst zonder budget.
  • Compliance-over-security-beleid – Als er een vinkje gezet kan worden, is de security opgelost. Wachtwoorden van 123456 mogen nog steeds, zolang MFA “optioneel verplicht” is.
  • Meetings over meetings over meetings – In plaats van kwetsbaarheden te patchen, wordt er eindeloos gesproken over de roadmap waarin staat dat er ooit misschien gepatcht zou kunnen worden.

Detectie van een Management in the Middle aanval

Wil je testen of jouw organisatie geïnfecteerd is met een MitM-aanval? Kijk of je deze symptomen herkent:

  • Risk Acceptance wordt ingezet als primaire mitigatie voor alle high-risk kwetsbaarheden.
  • ✅ Alle securitymaatregelen worden vertraagd door een beslissingsketen van minimaal vijf lagen management.
  • ✅ Security krijgt minder budget dan de catering, maar wordt wél als topprioriteit genoemd in de kwartaalmeeting.
  • ✅ Er is een policy die zegt dat security "ieders verantwoordelijkheid" is, maar niemand krijgt tijd om eraan te werken.
  • ✅ De CISO praat alleen over frameworks en maturity levels, maar weet niet wat een CVE is.

Hoe Bestrijd Je Management in the Middle?

Een echte MitM-aanval kun je mitigeren met encryptie en certificaatvalidatie. Helaas werkt dat niet bij Management in the Middle. Mogelijke oplossingen:

  1. Zero Trust, maar dan voor management – Vertrouw geen enkel besluit totdat het bewezen effectief is.
  2. Security Theater vervangen door Security Reality – Geen posters met "We Take Security Seriously," maar echte maatregelen.
  3. Technical Debt aflossen in plaats van nieuwe buzzwords kopen – Security lost zich niet op met het implementeren van nog een compliance-framework.
  4. Een security-team direct laten rapporteren aan de directie – Maar alleen als de directie ook daadwerkelijk iets snapt van security.

Conclusie

Management in the Middle is een serieuze dreiging voor organisaties. Niet omdat het kwaadwillend is, maar omdat het structureel security frustreert en innovatie blokkeert. Als je het gevoel hebt dat je meer bezig bent met interne meetings dan met echte security, is de kans groot dat jouw organisatie slachtoffer is van een Management in the Middle-aanval.

Wil je écht veilige systemen? Omzeil de managers en patch die servers.