Mit Brute-Force-Angriffen versuchen Hacker:innen, Zugang zu passwortgeschützten Webseiten, Webapplikationen, Netzwerken und Servern zu bekommen. Eine Brute-Force-Attacke ist eine Methode, um Passwörter und andere Zugangsdaten zu knacken.
In Kino- und Fernsehfilmen werden häufig noch nerdige, pubertierende Genies gezeigt, die durch Nachdenken und Intuition mit wenigen Versuchen ganz alleine auf systemöffnende Passwörter kommen. Echte Cyberkriminelle hingegen greifen dazu heute zu ganz anderen Methoden – wie beispielsweise Brute-Force-Angriffen.
Der Begriff „Brute Force“ bedeutet direkt übersetzt „brutale Gewalt“. Ein Brute-Force-Angriff (englisch: Brute Force Attack) zielt üblicherweise gegen eine Anwendung, einen Passwort-Hash oder ein verschlüsseltes Passwort. Das steckt dahinter.
Bei Brute-Force-Angriffen nutzen Cyberkriminelle Toolkits und Wörterlisten, um passende Zugangsdaten durch Ausprobieren herauszufinden. Hacker:innen können Passwortlisten der am häufigsten verwendeten Zugangsdaten und Lieblingspasswörter ohne Mühe aus IT-Security-Foren oder über das Darknet bekommen. Dabei leisten diese Listen nicht nur Cyberkriminellen gute Dienste, sondern sind auch die Basis zur Absicherung von Netzwerken durch IT-Sicherheitsexpert:innen und -Administrator:innen.
Führt diese Trial-and-Error-Methode („Versuch und Irrtum“) nicht zum Erfolg, setzen die Hackingtools unterschiedliche Buchstabenkombinationen ein, um zum Ziel zu gelangen. Nach dieser Methode wurden schon die Codes der Enigma-Rotor-Verschlüsselungsmaschine der deutschen Wehrmacht im 2. Weitkrieg geknackt, die damals als absolut sicher galt.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Brute-Force-Angriffe: Diese Gefahren können für Unternehmen entstehen
Spezielle Brute-Force-Software bedient sich meist bekannter und häufig verwendeter Zugangsdaten, um Cyberkriminellen Zugriff zu verschaffen. Besonders gefährlich sind schwache und wiederverwendete Passwörter: Sie ebnen bei Cyberangriffen den Weg zu jedem System. Die Mehrheit der Deutschen wählt schwache Passwörter, um sich online anzumelden. Zu diesem Ergebnis kommt eine Studie des E‑Mail-Anbieters Web.de von 2021. Absoluter Liebling unter den Passwörtern ist bis heute „123456“, gefolgt von „Passwort“.
Der leichtsinnige Umgang mit der Wahl eines Passwortes hat Folgen: Jede:r Fünfte ist bereits Opfer von Passwort-Diebstahl geworden, so die Studie. Ziel der Kriminellen ist es, persönliche Daten abzugreifen, um Zugang zu Onlinekonten und Netzwerk-Ressourcen zu erlangen. Hacker:innen nutzen diese häufig, um Phishing-Links oder Fake-Nachrichten zu verschicken und damit weitergehenden Schaden anzurichten.
Sichere Passwörter sollten mindestens 10 Zeichen lang sein, Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten und nicht lexikalisch durch Wörterbuchvergleiche zu ermitteln sein. Auch Teile des Usernamens sollten darin nicht vorkommen. Schwache Passwörter lassen sich auch automatisiert durch Tools wie Specops Password Auditor identifizieren. Damit verschaffen sich Systemadministrator:innen einen Überblick über passwortrelevante Schwachstellen im System und sorgen für Sicherheit im Unternehmensnetzwerk.
Viele User:innen nutzen für unterschiedliche Portale identische Passwörter. Es ist schon häufiger passiert, dass die Passwort-Datenbanken von Internetdiensten Opfer von Cyberkriminellen wurden. Tausende von eigentlich sicheren Passwörtern gerieten so in Umlauf. Ob das eigene Passwort im Internet kursiert, darüber geben diverse Security-Portale Auskunft.
Doch auch hier ist eine gewisse Skepsis angebracht: Keinesfalls sollten Sie jeder Webseite die Passwörter und Userkennungen zur Prüfung übermitteln. Zur Prüfung der eigenen Daten sollten nur vertrauenswürdige Seiten genutzt werden. Per Datenabgleich kontrollieren diese Portale, ob E-Mail-Adressen in Verbindung mit anderen persönlichen Daten schon einmal im Internet offengelegt wurden.
Die Universität Bonn betreibt beispielsweise den kostenlosen Infodienst Leak-Checker, über den Sie die unrechtmäßige Verwendung Ihrer E-Mail überprüfen lassen können. Eine ebenfalls vertrauenswürdige Webseite zum Check bietet das Hasso-Plattner-Institut an. Es betreibt den Service „Identity Leak Checker“. Dieser prüft auf Basis der E-Mail-Adresse, ob Identitätsdaten schon einmal im Zusammenhang mit Cyberangriffen ausspioniert wurden.
Bei einer Passwortlänge von 128 Bits gibt es bis zu 2^128 Kombinationen, die Brute-Force-Tools ausprobieren müssten.
Im schlimmsten Fall können Kriminelle mit einer funktionierenden Kombination aus E-Mail-Adresse und Passwort die komplette Identität der Opfer nutzen, um damit beispielsweise Straftaten zu begehen. Doch Identitätsdiebstahl ist nur eine mögliche Gefahr. Sobald sie funktionierende Zugangsdaten ermittelt haben, können Cyberkriminelle Zugriff auf alle Arten von Konten erhalten. Nicht selten ändern die Täter:innen direkt nach der erfolgreichen Brute-Force-Attacke die Zugangsdaten, um Zeit zu gewinnen und Gegenmaßnahmen zu erschweren.
Mehr Schutz vor Brute-Force-Angriffen durch Zwei-Faktor-Authentifizierung
Brute-Force-Attacken können unsichere Passwörter schnell ermitteln. Aber auch vermeintlich sichere Passwörter können kompromittiert und damit unsicher sein. Selbst das sicherste Passwort hilft wenig, wenn die Zugangsdaten beispielsweise durch Datenlecks in fremde Hände geraten sind.
Mit der so genannten Zwei-Faktor-Authentifizierung haben Hacker:innen selbst dann keine Chance auf Erfolg, wenn das Passwort bereits geknackt wurde. Die Zwei-Faktor-Authentifizierung ist eine ergänzende Sicherheitsmaßnahme zum Schutz von Berechtigungsverfahren und Konten der Benutzer:innen.
Auch im Falle eines gehackten Passworts bietet die Zwei-Faktor-Authentifizierung Schutz vor unberechtigtem Datenzugriff.
Zusätzlich zum Passwort ist dabei eine weitere Sicherheitskomponente einzugeben. Das kann beispielsweise ein PIN-Code oder eine andere Form von Schlüssel sein. Dieser Code wird beim Einloggen und der Nutzung des normalen Passwortes zusätzlich abgefragt und auf sicherem Weg übermittelt.
Dazu kann beispielsweise ein Code-Generator wie der Microsoft- oder Google Authenticator verwendet werden, die beide als App zur Verfügung stehen. Diese Codegeneratoren produzieren zu Zugangsseiten passende einmalige Schlüssel, deren Gültigkeit meist nach wenigen Sekunden erlischt. Eine weitere häufig genutzte Alternative sind Codegeneratoren, die den Schlüssel per SMS oder E-Mail übermitteln.
Häufig sind auch spezielle Hardware-Token oder Codegeneratoren in Verbindung mit Chipkarten im Einsatz. Im Ergebnis sorgen alle Systeme für mehr Sicherheit durch die 2-Faktor-Authentifizierung. Selbst wenn Unbefugte ein Passwort besitzen, ist es ohne den Zusatzcode unmöglich, auf die Systeme zuzugreifen.
Intrusion Detection Systeme gegen Brute-Force-Angriffe
Brute-Force-Attacken verursachen einen erhöhten Traffic und vermehrte Zugriffe auf die Log-in- und Authentifizierungsmechanismen. Intrusion Detection Systeme (IDS) sind darauf ausgelegt, Auffälligkeiten im Systemalltag zu erkennen und darauf zu reagieren. Entsprechend wirkungsvoll kann eine IDS-Absicherung des Unternehmensnetzes gegen Brute-Force-Aktivitäten sein.
Die Anwendung von Regelwerken auf Datenströme und Protokolle ermöglichen eine Charakterisierung aller möglicher Netzwerkangriffe. Ein IDS vergleicht diese Charakteristika im Netzwerk mit bekannten Mustern aus Angriffen oder Angriffsversuchen und leitet im Alarmfall dann Gegenmaßnahmen ein. Die Effektivität eines IDS steht und fällt mit der Qualität und Anzahl der eingesetzten Regelwerke.
Häufig nutzen Cyberkriminelle anonyme Proxy-Server, um Angriffe zu starten. In dem Fall ist die IP des angreifenden Systems nicht auslesbar. IDS sind in der Lage, solche Zugriffe zu erkennen und den Zugriff von anonymen Proxys automatisch zu sperren. Um Serverdienste stabil und sicher zu fahren, sollten Netzwerkadministrator:innen den Zugriff von anonymen Proxy-Servern nicht zulassen.
Es gibt netzwerkbasierte und hostbasierte ID-Systeme. Netzwerkbasierte IDS überwachen Datenströme in Netzwerken über mehrere Netzwerkknotenpunkte, um eine möglichst große Menge an relevanten Daten im gesamten Netz erfassen zu können. Hostbasierte IDS überwachen die Datenströme zu und aus einem Endgerät.
Die Stärke der netzwerkbasierten IDS ist die Überwachung des Traffics innerhalb des gesamten Netzwerks. Hostbasierte IDS schützen in erster Linie das System, auf dem sie installiert sind. Meistens werden beide Formen der Intrusion Detection Systeme zum umfassenden Schutz eingesetzt.
Brute-Force-Attacken: WordPress-Schutz durch Plug-ins
Ein beliebtes Opfer von Brute-Force-Angriffen sind WordPress-Seiten. Bei vielen Standardinstallationen ist die Log-in-Adresse für das Backend über „../wp-admin“ erreichbar und die Anzahl der möglichen Log-in-Versuche nicht limitiert. Bei solchen Installationen haben es Brute-Force-Attacken einfach, beliebig viele Passwörter zu testen, bis früher oder später die richtige Passphrase die Tür zum WordPress-Backend öffnet.
Abhilfe schaffen hier Plug-ins, die beispielsweise die Zahl der zulässigen Log-in-Versuche einschränken oder die Webadresse zum Aufruf des Backends verschlüsseln. Etwas mehr Schutz bietet das Plug-in Brute Protect, mit dem inzwischen tausende von WordPress-Seiten abgesichert sind. Es speichert die IPs der gescheiterten Log-in-Versuche in einer zentralen Liste. Diese IP-Liste dient wiederum als Blacklist für jede einzelne über Brute Protect geschützte WordPress-Installation.
Außerdem werden viele WordPress-Installationen genau wie andere Systeme auch durch die oben erwähnte Zwei-Faktor-Authentifizierung geschützt. Hier reicht das Erraten des Passworts allein nicht aus, um Zugang zu erlangen: Gleichzeitig müssen Angreifende Zugriff beispielsweise auf das E-Mail-Konto des betroffenen Accounts haben.
Brute-Force-Methode: Diese Hackingtools sollten Sie kennen
Cyberkriminelle nutzen Skripte oder Bots, um die Log-ins von Webseiten und Webapplikationen ins Visier zu nehmen. Dabei haben es die Angreifenden nicht nur auf Passwörter sondern auch auf Verschlüsselungs- oder API-Daten sowie SSH-Logins abgesehen. Die häufig dafür genutzte Brute-Force-Software kommt auch ganz legal im Bereich von Penetrationstests und IT-Security zum Einsatz und ist daher frei im Netz verfügbar.
Lookout: Die Sicherheitslösung für mobile Endgeräte
Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.
Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.
Die Kali-Linux-Distribution beispielsweise enthält schon in der Standardinstallation alle für Penetrationstests und digitale Forensik bekannten Linux-Programme. Häufig für Brute-Force-Attacken genutzte Tools sind beispielsweise:
Hashcat
Brutus
Medusa
THC Hydra
Ncrack
John the Ripper
Aircrack-ng
Rainbow
Viele dieser Programme sind in der Lage, Passwörter innerhalb weniger Sekunden zu entschlüsseln oder aufzudecken. Die Möglichkeiten der Tools gehen dabei über einfache Brute-Force-Attacken hinaus.
Brute-Force-Angriffe einfach unterscheiden
Um eine möglichst hohe Trefferquote beim Passwort-Cracken zu erzielen, nutzen Cyberkriminelle unterschiedliche Strategien. Grob lassen sich die Angriffe wie folgt unterteilen:
Einfache Angriffe: Die Angreifer:innen probieren verschiedene Passwörter aus und nutzen dafür frei zugängliche Informationen wie beispielsweise Daten aus dem Social-Media-Bereich oder von Homepages und Unternehmenswebseiten.
Wörterbuch-Angriffe: Bei den meisten Brute-Force-Angriffen kommen Wörterbuchlisten oder auch Listen mit den weltweit am häufigsten verwendeten Passwörtern zum Einsatz. Außerdem werden häufig Passwortdateien verwendet, deren Inhalte aus Datenlecks stammen.
Hybride Angriffe: Ein hybrider Angriff kombiniert die einfache und die Wörterbuch-Methode bei der Attacke. Häufig ergänzen Cyberkriminelle diese Informationen noch durch frei verfügbare persönliche Daten wie das Geburtsdatum, den Wohnort oder auch Vor- und Nachnamen und verwenden diese in Abwandlungen.
Reverse Attack (umgekehrter Brute-Force-Angriff): Bei dieser Methode benutzen die Angreifer:innen beliebte Passwörter wie „password“ oder „12345“ und versuchen, dazu passende Login-Namen zu erraten. Da immer noch viele Nutzer:innen auf eingängige aber unsichere Passwörter setzen und dazu häufig Standardeinstellungen wie „admin“, „test“ oder „dummy“ im Einsatz sind, ist der Erfolg dieser Methode erstaunlich hoch.
Credential Stuffing: Viele Nutzer:innen verwenden identische Passwörter auf unterschiedlichen Webseiten. Wenn durch einen Hack, Indiskretion oder Phishing diese Daten kompromittiert werden, öffnen sich damit auch für sämtliche andere Webseiten mit diesen Zugangsdaten die Pforten.
Vodafone Cyber-Security-Services
Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.
Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.
Brute-Force-Angriffe stellen eine reale Gefahr für Unternehmensnetzwerke, Webdienste und Server dar. Administrator:innen müssen sich mit dem Thema auseinandersetzen und rechtzeitig dafür sorgen, dass die Konten der Benutzer:innen optimal geschützt sind. Für Firmen beginnt die IT-Sicherheit bereits mit der IT-Ausstattung und reicht bis zur IT-Betreuung und -Schulung der Mitarbeitenden.
Dabei erreichen Sie das Extra an IT-Sicherheit für Ihr Unternehmen schon durch vergleichsweise einfache Maßnahmen: Sichere Passwörter, Zwei-Faktor-Authentifizierung, zusätzliche Absicherung von Standardsystemen wie WordPress durch Plugins und eine optimal eingestellte Firewall mit Intrusion Detection Systemen sind die passende Antwort auf die Bedrohung durch Brute-Force-Angriffe.
Jetzt anmelden: Vodafone Business UC mit RingCentral
Eine Telefonanlage ist die Grundlage Ihrer Unternehmenskommunikation. Finden Sie die passende Cloud-Telefonanlage für Ihr Unternehmen und profitieren Sie in Zukunft von effizienter Kommunikation. Im Vergleich zu einem klassischen Festnetz-Anschluss bietet eine cloud-basierte Telefonanlage (auch VoIP Telefonanlage genannt) maximale Flexibilität.
SOA: Serviceorientierte Architektur verstehen und richtig nutzen
Die serviceorientierte Architektur (SOA) ermöglicht es Unternehmen, maßgeschneiderte Produkte und Dienstleistungen effizient anzubieten, ohne sie jedes Mal von Grund auf neu programmieren zu müssen. Im Folgenden erfahren Sie, was genau SOA ist und wie dieser Ansatz von der Bestellung bis zur Abwicklung Ihre Geschäftsprozesse optimieren kann.
SOA kann als Schlüssel zur Bewältigung der wachsenden Komplexität in der heutigen Geschäftswelt kleiner und großer Unternehmen dienen. Wir bieten einen umfassenden Einblick in die serviceorientierte Architektur und zeigen, wie sie Unternehmen dabei unterstützt, effizienter zu arbeiten und sich den ständig ändernden Marktanforderungen anzupassen. Folgende Fragen stehen dabei im Fokus: Was ist (eine) SOA überhaupt? Welche Vorteile und Ziele hat dieser Ansatz? Welche Unterschiede bestehen zwischen SOA und Microservices? Wie kann SOA im unternehmerischen Alltag angewendet werden?
Microsoft 365 Business: Die Vorteile für Unternehmen gegenüber On-Premises-Lösungen
Effizient zusammenarbeiten, unterwegs produktiv sein, IT-Aufwand minimieren: Im digitalen Büro können Sie über unzählige Wege Informationen austauschen. Wer Zeit und Aufwand sparen möchte, ist gut damit beraten, alle Anwendungen zu verknüpfen und Daten zentral zu managen. Lösungen wie Microsoft 365 Business heben die Effizienz am digitalen Arbeitsplatz auf ein neues Level. Dass sich die vielen Vorteile von Microsoft 365 Business auch zu erheblichen Kosteneinsparungen summieren, zeigt eine Studie von Forrester Consulting. Erfahren Sie hier, warum sich der Umstieg von On-Premises-Produkten in die Cloud für Ihr Unternehmen lohnt.
Kommt Ihnen das bekannt vor? Sie arbeiten stundenlang an der vierten Version einer PowerPoint-Präsentation, schicken das „finale“ Werk per E-Mail an zehn Kolleg:innen, die Ihnen das Dokument jeweils mit neuen Kommentaren und unterschiedlichen Änderungen zurückschicken. Alternativ müssten Sie die Präsentation nacheinander an jede Person einzeln schicken und zwischendurch Änderungswünsche abarbeiten.
Diese zeit- und nervenraubende Endlosschleife bei der Arbeit mit On-Premises-Programmen, die lokal in einem Unternehmen und den dortigen Rechnern installiert und betrieben werden, gehört dank Cloud-Lösungen wie Microsoft 365 Business der Vergangenheit an. Das flexible All-in-One-Produkt liefert im Geschäftsalltag nicht nur mehr Effizienz und Produktivität, sondern auch erhebliche Kostenvorteile. Eine DSGVO-konforme Backup-Lösung gibt es ebenfalls.
Cloud-Vorteile richtig nutzen: Was heute alles möglich ist
Vom Nischenprodukt zur bevorzugten Lösung in nur wenigen Jahren: Business-Clouds sind in der Geschäftswelt längst zum IT-Standard geworden. Das gilt in Großunternehmen ebenso wie im Mittelstand. Dabei erweisen sich Großtrends wie Künstliche Intelligenz (KI), Big Data und Unified Messaging als zusätzliche Booster für die Cloud-Technologie. Wie Sie deren Potenzial auch für Ihr Unternehmen nutzen und die Kosten- und Produktivitätsvorteile von Cloud Computing voll ausreizen, erfahren Sie hier.
Rund die Hälfte aller deutschen Unternehmen nutzt inzwischen Cloud Computing. Weitere 30 Prozent planen den Einsatz oder diskutieren ihn derzeit firmenintern. Das hat eine aktuelle Umfrage des ifo-Institutes ergeben.
Dabei ist Cloud Computing keineswegs nur für Großunternehmen interessant. Auch unter den kleinen und mittleren Unternehmen haben inzwischen rund 40 Prozent zumindest Teile ihrer IT-Infrastruktur in eine Datenwolke ausgelagert. Gründe dafür sind nicht nur die handfesten Kostenvorteile. Dieser Artikel zeigt auf, wo die weiteren Vor- und Nachteile von Cloud Computing liegen und welche Branchen davon besonders profitieren.
14 Cloud-Anbieter im Vergleich: Kein Weg vorbei an Microsoft?
Laut einer Studie des Digital-Branchenverbands Bitkom nutzten bereits 84 Prozent der in 2022 befragten Firmen Cloud-Computing und weitere 13 Prozent planten den Einsatz. Beim Cloud-Computing lagern Unternehmen ihre Geschäftsdaten in die Cloud aus, anstatt teure Vor-Ort-Lösungen zu unterhalten. Vorteil: Unternehmen können das freiwerdende Kapital in ihre Produktivität investieren. Doch was genau bieten die Cloud-Speicher-Anbieter derzeit im Vergleich? Ist das Microsoft-Cloudsystem mit Sharepoint, OneDrive und Office-Anbindung tatsächlich für Unternehmen die einzig sinnvolle Lösung, oder sollten Sie doch auf einen anderen Anbieter setzen?
Viele Unternehmen und deren Mitarbeiter:innen benötigen heutzutage jederzeit und von jedem Ort aus Zugang zu Geschäfts- und Kundendaten. Anstatt diese wie früher auf lokalen Festplatten zu speichern, sorgt Onlinespeicher in der Cloud dafür, dass die Daten überall bereitstehen: am Arbeitsplatz in der Firma, im Homeoffice und auf Geschäftsreisen. Egal ob mit Desktopcomputer, Notebook, Tablet oder Smartphone – Sie können dank Cloud-Computing über viele Geräte auf die Daten zugreifen. KI-Unterstützte Assistenten wie der Microsoft 365 Copilot unterstützen Sie und Ihre Mitarbeiter:innen bei der Arbeit mit Cloud-Diensten wie etwa Microsoft 365. Die Bedienung selbst umfangreicher Cloud-Anwendungen wird dadurch komfortabel und intuitiv.
Hier erfahren Sie, welche die aktuell wichtigsten Anbieter von Business-Cloud-Speicher sind. Neben den internationalen Marktführern finden sich darunter viele einheimische Cloud-Speicher-Services. Unser Vergleich zeigt Ihnen die jeweiligen Stärken und Schwächen der Angebote auf und hilft Ihnen mit einer Checkliste dabei, den richtigen Anbieter für Ihr Unternehmen zu finden.