Tippende Finger auf einer Notebook-Tastatur. Auf dem Display sind Codezahlen und der Schriftzug ACCESS DENIED zu sehen.
Security

Brute-Force-Angriffe: So können Sie sich schützen

Mit Brute-Force-Angriffen versuchen Hacker:innen, Zugang zu passwortgeschützten Webseiten, Webapplikationen, Netzwerken und Servern zu bekommen. Eine Brute-Force-Attacke ist eine Methode, um Passwörter und andere Zugangsdaten zu knacken.

In Kino- und Fernsehfilmen werden häufig noch nerdige, pubertierende Genies gezeigt, die durch Nachdenken und Intuition mit wenigen Versuchen ganz alleine auf systemöffnende Passwörter kommen. Echte Cyberkriminelle hingegen greifen dazu heute zu ganz anderen Methoden – wie beispielsweise Brute-Force-Angriffen.

Der Begriff „Brute Force“ bedeutet direkt übersetzt „brutale Gewalt“. Ein Brute-Force-Angriff (englisch: Brute Force Attack) zielt üblicherweise gegen eine Anwendung, einen Passwort-Hash oder ein verschlüsseltes Passwort. Das steckt dahinter.

Inhaltsverzeichnis

Was ist ein Brute-Force-Angriff?

Bei Brute-Force-Angriffen nutzen Cyberkriminelle Toolkits und Wörterlisten, um passende Zugangsdaten durch Ausprobieren herauszufinden. Hacker:innen können Passwortlisten der am häufigsten verwendeten Zugangsdaten und Lieblingspasswörter ohne Mühe aus IT-Security-Foren oder über das Darknet bekommen. Dabei leisten diese Listen nicht nur Cyberkriminellen gute Dienste, sondern sind auch die Basis zur Absicherung von Netzwerken durch IT-Sicherheitsexpert:innen und -Administrator:innen.
Führt diese Trial-and-Error-Methode („Versuch und Irrtum“) nicht zum Erfolg, setzen die Hackingtools unterschiedliche Buchstabenkombinationen ein, um zum Ziel zu gelangen. Nach dieser Methode wurden schon die Codes der Enigma-Rotor-Verschlüsselungsmaschine der deutschen Wehrmacht im 2. Weitkrieg geknackt, die damals als absolut sicher galt.
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Brute-Force-Angriffe: Diese Gefahren können für Unternehmen entstehen

Spezielle Brute-Force-Software bedient sich meist bekannter und häufig verwendeter Zugangsdaten, um Cyberkriminellen Zugriff zu verschaffen. Besonders gefährlich sind schwache und wiederverwendete Passwörter: Sie ebnen bei Cyberangriffen den Weg zu jedem System. Die Mehrheit der Deutschen wählt schwache Passwörter, um sich online anzumelden. Zu diesem Ergebnis kommt eine Studie des E‑Mail-Anbieters Web.de von 2021. Absoluter Liebling unter den Passwörtern ist bis heute „123456“, gefolgt von „Passwort“.
Der leichtsinnige Umgang mit der Wahl eines Passwortes hat Folgen: Jede:r Fünfte ist bereits Opfer von Passwort-Diebstahl geworden, so die Studie. Ziel der Kriminellen ist es, persönliche Daten abzugreifen, um Zugang zu Onlinekonten und Netzwerk-Ressourcen zu erlangen. Hacker:innen nutzen diese häufig, um Phishing-Links oder Fake-Nachrichten zu verschicken und damit weitergehenden Schaden anzurichten.
Sichere Passwörter sollten mindestens 10 Zeichen lang sein, Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten und nicht lexikalisch durch Wörterbuchvergleiche zu ermitteln sein. Auch Teile des Usernamens sollten darin nicht vorkommen. Schwache Passwörter lassen sich auch automatisiert durch Tools wie Specops Password Auditor identifizieren. Damit verschaffen sich Systemadministrator:innen einen Überblick über passwortrelevante Schwachstellen im System und sorgen für Sicherheit im Unternehmensnetzwerk.
Viele User:innen nutzen für unterschiedliche Portale identische Passwörter. Es ist schon häufiger passiert, dass die Passwort-Datenbanken von Internetdiensten Opfer von Cyberkriminellen wurden. Tausende von eigentlich sicheren Passwörtern gerieten so in Umlauf. Ob das eigene Passwort im Internet kursiert, darüber geben diverse Security-Portale Auskunft.
Doch auch hier ist eine gewisse Skepsis angebracht: Keinesfalls sollten Sie jeder Webseite die Passwörter und Userkennungen zur Prüfung übermitteln. Zur Prüfung der eigenen Daten sollten nur vertrauenswürdige Seiten genutzt werden. Per Datenabgleich kontrollieren diese Portale, ob E-Mail-Adressen in Verbindung mit anderen persönlichen Daten schon einmal im Internet offengelegt wurden.
Die Universität Bonn betreibt beispielsweise den kostenlosen Infodienst Leak-Checker, über den Sie die unrechtmäßige Verwendung Ihrer E-Mail überprüfen lassen können. Eine ebenfalls vertrauenswürdige Webseite zum Check bietet das Hasso-Plattner-Institut an. Es betreibt den Service „Identity Leak Checker“. Dieser prüft auf Basis der E-Mail-Adresse, ob Identitätsdaten schon einmal im Zusammenhang mit Cyberangriffen ausspioniert wurden.
Infografik zum Ablauf einer Brute-Force-Attacke mit Symbolen für Angreifer:innen, Rechner, Anmeldeversuche und Zielrechner.
Bei einer Passwortlänge von 128 Bits gibt es bis zu 2^128 Kombinationen, die Brute-Force-Tools ausprobieren müssten.
Im schlimmsten Fall können Kriminelle mit einer funktionierenden Kombination aus E-Mail-Adresse und Passwort die komplette Identität der Opfer nutzen, um damit beispielsweise Straftaten zu begehen. Doch Identitätsdiebstahl ist nur eine mögliche Gefahr. Sobald sie funktionierende Zugangsdaten ermittelt haben, können Cyberkriminelle Zugriff auf alle Arten von Konten erhalten. Nicht selten ändern die Täter:innen direkt nach der erfolgreichen Brute-Force-Attacke die Zugangsdaten, um Zeit zu gewinnen und Gegenmaßnahmen zu erschweren.

Mehr Schutz vor Brute-Force-Angriffen durch Zwei-Faktor-Authentifizierung

Brute-Force-Attacken können unsichere Passwörter schnell ermitteln. Aber auch vermeintlich sichere Passwörter können kompromittiert und damit unsicher sein. Selbst das sicherste Passwort hilft wenig, wenn die Zugangsdaten beispielsweise durch Datenlecks in fremde Hände geraten sind.
Mit der so genannten Zwei-Faktor-Authentifizierung haben Hacker:innen selbst dann keine Chance auf Erfolg, wenn das Passwort bereits geknackt wurde. Die Zwei-Faktor-Authentifizierung ist eine ergänzende Sicherheitsmaßnahme zum Schutz von Berechtigungsverfahren und Konten der Benutzer:innen.
Infografik zum Ablauf einer durch Zwei-Faktor-Authentifizierung geschützten Zugangs mit Symbolen für User, Server und Daten
Auch im Falle eines gehackten Passworts bietet die Zwei-Faktor-Authentifizierung Schutz vor unberechtigtem Datenzugriff.
Zusätzlich zum Passwort ist dabei eine weitere Sicherheitskomponente einzugeben. Das kann beispielsweise ein PIN-Code oder eine andere Form von Schlüssel sein. Dieser Code wird beim Einloggen und der Nutzung des normalen Passwortes zusätzlich abgefragt und auf sicherem Weg übermittelt.
Dazu kann beispielsweise ein Code-Generator wie der Microsoft- oder Google Authenticator verwendet werden, die beide als App zur Verfügung stehen. Diese Codegeneratoren produzieren zu Zugangsseiten passende einmalige Schlüssel, deren Gültigkeit meist nach wenigen Sekunden erlischt. Eine weitere häufig genutzte Alternative sind Codegeneratoren, die den Schlüssel per SMS oder E-Mail übermitteln.
Häufig sind auch spezielle Hardware-Token oder Codegeneratoren in Verbindung mit Chipkarten im Einsatz. Im Ergebnis sorgen alle Systeme für mehr Sicherheit durch die 2-Faktor-Authentifizierung. Selbst wenn Unbefugte ein Passwort besitzen, ist es ohne den Zusatzcode unmöglich, auf die Systeme zuzugreifen.

Intrusion Detection Systeme gegen Brute-Force-Angriffe

Brute-Force-Attacken verursachen einen erhöhten Traffic und vermehrte Zugriffe auf die Log-in- und Authentifizierungsmechanismen. Intrusion Detection Systeme (IDS) sind darauf ausgelegt, Auffälligkeiten im Systemalltag zu erkennen und darauf zu reagieren. Entsprechend wirkungsvoll kann eine IDS-Absicherung des Unternehmensnetzes gegen Brute-Force-Aktivitäten sein.
Die Anwendung von Regelwerken auf Datenströme und Protokolle ermöglichen eine Charakterisierung aller möglicher Netzwerkangriffe. Ein IDS vergleicht diese Charakteristika im Netzwerk mit bekannten Mustern aus Angriffen oder Angriffsversuchen und leitet im Alarmfall dann Gegenmaßnahmen ein. Die Effektivität eines IDS steht und fällt mit der Qualität und Anzahl der eingesetzten Regelwerke.
Häufig nutzen Cyberkriminelle anonyme Proxy-Server, um Angriffe zu starten. In dem Fall ist die IP des angreifenden Systems nicht auslesbar. IDS sind in der Lage, solche Zugriffe zu erkennen und den Zugriff von anonymen Proxys automatisch zu sperren. Um Serverdienste stabil und sicher zu fahren, sollten Netzwerkadministrator:innen den Zugriff von anonymen Proxy-Servern nicht zulassen.
Es gibt netzwerkbasierte und hostbasierte ID-Systeme. Netzwerkbasierte IDS überwachen Datenströme in Netzwerken über mehrere Netzwerkknotenpunkte, um eine möglichst große Menge an relevanten Daten im gesamten Netz erfassen zu können. Hostbasierte IDS überwachen die Datenströme zu und aus einem Endgerät.
Die Stärke der netzwerkbasierten IDS ist die Überwachung des Traffics innerhalb des gesamten Netzwerks. Hostbasierte IDS schützen in erster Linie das System, auf dem sie installiert sind. Meistens werden beide Formen der Intrusion Detection Systeme zum umfassenden Schutz eingesetzt.

Brute-Force-Attacken: WordPress-Schutz durch Plug-ins

Ein beliebtes Opfer von Brute-Force-Angriffen sind WordPress-Seiten. Bei vielen Standardinstallationen ist die Log-in-Adresse für das Backend über „../wp-admin“ erreichbar und die Anzahl der möglichen Log-in-Versuche nicht limitiert. Bei solchen Installationen haben es Brute-Force-Attacken einfach, beliebig viele Passwörter zu testen, bis früher oder später die richtige Passphrase die Tür zum WordPress-Backend öffnet.
Abhilfe schaffen hier Plug-ins, die beispielsweise die Zahl der zulässigen Log-in-Versuche einschränken oder die Webadresse zum Aufruf des Backends verschlüsseln. Etwas mehr Schutz bietet das Plug-in Brute Protect, mit dem inzwischen tausende von WordPress-Seiten abgesichert sind. Es speichert die IPs der gescheiterten Log-in-Versuche in einer zentralen Liste. Diese IP-Liste dient wiederum als Blacklist für jede einzelne über Brute Protect geschützte WordPress-Installation.
Außerdem werden viele WordPress-Installationen genau wie andere Systeme auch durch die oben erwähnte Zwei-Faktor-Authentifizierung geschützt. Hier reicht das Erraten des Passworts allein nicht aus, um Zugang zu erlangen: Gleichzeitig müssen Angreifende Zugriff beispielsweise auf das E-Mail-Konto des betroffenen Accounts haben.

Brute-Force-Methode: Diese Hackingtools sollten Sie kennen

Cyberkriminelle nutzen Skripte oder Bots, um die Log-ins von Webseiten und Webapplikationen ins Visier zu nehmen. Dabei haben es die Angreifenden nicht nur auf Passwörter sondern auch auf Verschlüsselungs- oder API-Daten sowie SSH-Logins abgesehen. Die häufig dafür genutzte Brute-Force-Software kommt auch ganz legal im Bereich von Penetrationstests und IT-Security zum Einsatz und ist daher frei im Netz verfügbar.
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.

Die Kali-Linux-Distribution beispielsweise enthält schon in der Standardinstallation alle für Penetrationstests und digitale Forensik bekannten Linux-Programme. Häufig für Brute-Force-Attacken genutzte Tools sind beispielsweise:
  • Hashcat
  • Brutus
  • Medusa
  • THC Hydra
  • Ncrack
  • John the Ripper
  • Aircrack-ng
  • Rainbow
Viele dieser Programme sind in der Lage, Passwörter innerhalb weniger Sekunden zu entschlüsseln oder aufzudecken. Die Möglichkeiten der Tools gehen dabei über einfache Brute-Force-Attacken hinaus.

Brute-Force-Angriffe einfach unterscheiden

Um eine möglichst hohe Trefferquote beim Passwort-Cracken zu erzielen, nutzen Cyberkriminelle unterschiedliche Strategien. Grob lassen sich die Angriffe wie folgt unterteilen:
Einfache Angriffe: Die Angreifer:innen probieren verschiedene Passwörter aus und nutzen dafür frei zugängliche Informationen wie beispielsweise Daten aus dem Social-Media-Bereich oder von Homepages und Unternehmenswebseiten.
Wörterbuch-Angriffe: Bei den meisten Brute-Force-Angriffen kommen Wörterbuchlisten oder auch Listen mit den weltweit am häufigsten verwendeten Passwörtern zum Einsatz. Außerdem werden häufig Passwortdateien verwendet, deren Inhalte aus Datenlecks stammen.
Hybride Angriffe: Ein hybrider Angriff kombiniert die einfache und die Wörterbuch-Methode bei der Attacke. Häufig ergänzen Cyberkriminelle diese Informationen noch durch frei verfügbare persönliche Daten wie das Geburtsdatum, den Wohnort oder auch Vor- und Nachnamen und verwenden diese in Abwandlungen.
Reverse Attack (umgekehrter Brute-Force-Angriff): Bei dieser Methode benutzen die Angreifer:innen beliebte Passwörter wie „password“ oder „12345“ und versuchen, dazu passende Login-Namen zu erraten. Da immer noch viele Nutzer:innen auf eingängige aber unsichere Passwörter setzen und dazu häufig Standardeinstellungen wie „admin“, „test“ oder „dummy“ im Einsatz sind, ist der Erfolg dieser Methode erstaunlich hoch.
Credential Stuffing: Viele Nutzer:innen verwenden identische Passwörter auf unterschiedlichen Webseiten. Wenn durch einen Hack, Indiskretion oder Phishing diese Daten kompromittiert werden, öffnen sich damit auch für sämtliche andere Webseiten mit diesen Zugangsdaten die Pforten.
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Brute-Force-Angriffe auf einen Blick

Brute-Force-Angriffe stellen eine reale Gefahr für Unternehmensnetzwerke, Webdienste und Server dar. Administrator:innen müssen sich mit dem Thema auseinandersetzen und rechtzeitig dafür sorgen, dass die Konten der Benutzer:innen optimal geschützt sind. Für Firmen beginnt die IT-Sicherheit bereits mit der IT-Ausstattung und reicht bis zur IT-Betreuung und -Schulung der Mitarbeitenden.
Dabei erreichen Sie das Extra an IT-Sicherheit für Ihr Unternehmen schon durch vergleichsweise einfache Maßnahmen: Sichere Passwörter, Zwei-Faktor-Authentifizierung, zusätzliche Absicherung von Standardsystemen wie WordPress durch Plugins und eine optimal eingestellte Firewall mit Intrusion Detection Systemen sind die passende Antwort auf die Bedrohung durch Brute-Force-Angriffe.
Das könnte Sie auch interessieren:
Digitalisierung
Ein Mann und eine Frau stehen hinter einem Fenster und schauen gemeinsam auf ein Tablet

Microsoft 365 Business: Die Vorteile für Unternehmen gegenüber On-Premises-Lösungen

Effizient zusammenarbeiten, unterwegs produktiv sein, IT-Aufwand minimieren: Im digitalen Büro können Sie über unzählige Wege Informationen austauschen. Wer Zeit und Aufwand sparen möchte, ist gut damit beraten, alle Anwendungen zu verknüpfen und Daten zentral zu managen. Lösungen wie Microsoft 365 Business heben die Effizienz am digitalen Arbeitsplatz auf ein neues Level. Dass sich die vielen Vorteile von Microsoft 365 Business auch zu erheblichen Kosteneinsparungen summieren, zeigt eine Studie von Forrester Consulting. Erfahren Sie hier, warum sich der Umstieg von On-Premises-Produkten in die Cloud für Ihr Unternehmen lohnt. Kommt Ihnen das bekannt vor? Sie arbeiten stundenlang an der vierten Version einer PowerPoint-Präsentation, schicken das „finale“ Werk per E-Mail an zehn Kolleg:innen, die Ihnen das Dokument jeweils mit neuen Kommentaren und unterschiedlichen Änderungen zurückschicken. Alternativ müssten Sie die Präsentation nacheinander an jede Person einzeln schicken und zwischendurch Änderungswünsche abarbeiten. Diese zeit- und nervenraubende Endlosschleife bei der Arbeit mit On-Premises-Programmen, die lokal in einem Unternehmen und den dortigen Rechnern installiert und betrieben werden, gehört dank Cloud-Lösungen wie Microsoft 365 Business der Vergangenheit an. Das flexible All-in-One-Produkt liefert im Geschäftsalltag nicht nur mehr Effizienz und Produktivität, sondern auch erhebliche Kostenvorteile. Eine DSGVO-konforme Backup-Lösung gibt es ebenfalls.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

0800 505 4512

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort