Mit Brute-Force-Angriffen versuchen Hacker:innen, Zugang zu passwortgeschützten Webseiten, Webapplikationen, Netzwerken und Servern zu bekommen. Eine Brute-Force-Attacke ist eine Methode, um Passwörter und andere Zugangsdaten zu knacken.
In Kino- und Fernsehfilmen werden häufig noch nerdige, pubertierende Genies gezeigt, die durch Nachdenken und Intuition mit wenigen Versuchen ganz alleine auf systemöffnende Passwörter kommen. Echte Cyberkriminelle hingegen greifen dazu heute zu ganz anderen Methoden – wie beispielsweise Brute-Force-Angriffen. Der Begriff „Brute Force“ bedeutet direkt übersetzt „brutale Gewalt“. Ein Brute-Force-Angriff (englisch: Brute Force Attack) zielt üblicherweise gegen eine Anwendung, einen Passwort-Hash oder ein verschlüsseltes Passwort. Das steckt dahinter.
Was ist ein Brute-Force-Angriff?
Bei Brute-Force-Angriffen nutzen Cyberkriminelle Toolkits und Wörterlisten, um passende Zugangsdaten durch Ausprobieren herauszufinden. Hacker:innen können Passwortlisten der am häufigsten verwendeten Zugangsdaten und Lieblingspasswörter ohne Mühe aus IT-Security-Foren oder über das Darknet bekommen. Dabei leisten diese Listen nicht nur Cyberkriminellen gute Dienste, sondern sind auch die Basis zur Absicherung von Netzwerken durch IT-Sicherheitsexpert:innen und -Administrator:innen.
Führt diese Trial-and-Error-Methode („Versuch und Irrtum“) nicht zum Erfolg, setzen die Hackingtools unterschiedliche Buchstabenkombinationen ein, um zum Ziel zu gelangen. Nach dieser Methode wurden schon die Codes der Enigma-Rotor-Verschlüsselungsmaschine der deutschen Wehrmacht im 2. Weitkrieg geknackt, die damals als absolut sicher galt.
Brute-Force-Angriffe: Diese Gefahren können für Unternehmen entstehen
Spezielle Brute-Force-Software bedient sich meist bekannter und häufig verwendeter Zugangsdaten, um Cyberkriminellen Zugriff zu verschaffen. Besonders gefährlich sind schwache und wiederverwendete Passwörter: Sie ebnen bei Cyberangriffen den Weg zu jedem System. Die Mehrheit der Deutschen wählt schwache Passwörter, um sich online anzumelden. Zu diesem Ergebnis kommt eine Studie des E‑Mail-Anbieters Web.de von 2021. Absoluter Liebling unter den Passwörtern ist bis heute „123456“, gefolgt von „Passwort“.
Der leichtsinnige Umgang mit der Wahl eines Passwortes hat Folgen: Jede:r Fünfte ist bereits Opfer von Passwort-Diebstahl geworden, so die Studie. Ziel der Kriminellen ist es, persönliche Daten abzugreifen, um Zugang zu Onlinekonten und Netzwerk-Ressourcen zu erlangen. Hacker:innen nutzen diese häufig, um Phishing-Links oder Fake-Nachrichten zu verschicken und damit weitergehenden Schaden anzurichten.
Sichere Passwörter sollten mindestens 10 Zeichen lang sein, Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten und nicht lexikalisch durch Wörterbuchvergleiche zu ermitteln sein. Auch Teile des Usernamens sollten darin nicht vorkommen. Schwache Passwörter lassen sich auch automatisiert durch Tools wie Specops Password Auditor identifizieren. Damit verschaffen sich Systemadministrator:innen einen Überblick über passwortrelevante Schwachstellen im System und sorgen für Sicherheit im Unternehmensnetzwerk.
Viele User:innen nutzen für unterschiedliche Portale identische Passwörter. Es ist schon häufiger passiert, dass die Passwort-Datenbanken von Internetdiensten Opfer von Cyberkriminellen wurden. Tausende von eigentlich sicheren Passwörtern gerieten so in Umlauf. Ob das eigene Passwort im Internet kursiert, darüber geben diverse Security-Portale Auskunft.
Doch auch hier ist eine gewisse Skepsis angebracht: Keinesfalls sollten Sie jeder Webseite die Passwörter und Userkennungen zur Prüfung übermitteln. Zur Prüfung der eigenen Daten sollten nur vertrauenswürdige Seiten genutzt werden. Per Datenabgleich kontrollieren diese Portale, ob E-Mail-Adressen in Verbindung mit anderen persönlichen Daten schon einmal im Internet offengelegt wurden.
Die Universität Bonn betreibt beispielsweise den kostenlosen Infodienst Leak-Checker, über den Sie die unrechtmäßige Verwendung Ihrer E-Mail überprüfen lassen können. Eine ebenfalls vertrauenswürdige Webseite zum Check bietet das Hasso-Plattner-Institut an. Es betreibt den Service „Identity Leak Checker“. Dieser prüft auf Basis der E-Mail-Adresse, ob Identitätsdaten schon einmal im Zusammenhang mit Cyberangriffen ausspioniert wurden.
m schlimmsten Fall können Kriminelle mit einer funktionierenden Kombination aus E-Mail-Adresse und Passwort die komplette Identität der Opfer nutzen, um damit beispielsweise Straftaten zu begehen. Doch Identitätsdiebstahl ist nur eine mögliche Gefahr. Sobald sie funktionierende Zugangsdaten ermittelt haben, können Cyberkriminelle Zugriff auf alle Arten von Konten erhalten. Nicht selten ändern die Täter:innen direkt nach der erfolgreichen Brute-Force-Attacke die Zugangsdaten, um Zeit zu gewinnen und Gegenmaßnahmen zu erschweren.
Mehr Schutz vor Brute-Force-Angriffen durch Zwei-Faktor-Authentifizierung
Brute-Force-Attacken können unsichere Passwörter schnell ermitteln. Aber auch vermeintlich sichere Passwörter können kompromittiert und damit unsicher sein. Selbst das sicherste Passwort hilft wenig, wenn die Zugangsdaten beispielsweise durch Datenlecks in fremde Hände geraten sind.
Mit der so genannten Zwei-Faktor-Authentifizierung haben Hacker:innen selbst dann keine Chance auf Erfolg, wenn das Passwort bereits geknackt wurde. Die Zwei-Faktor-Authentifizierung ist eine ergänzende Sicherheitsmaßnahme zum Schutz von Berechtigungsverfahren und Konten der Benutzer:innen.
Zusätzlich zum Passwort ist dabei eine weitere Sicherheitskomponente einzugeben. Das kann beispielsweise ein PIN-Code oder eine andere Form von Schlüssel sein. Dieser Code wird beim Einloggen und der Nutzung des normalen Passwortes zusätzlich abgefragt und auf sicherem Weg übermittelt.
Dazu kann beispielsweise ein Code-Generator wie der Microsoft- oder Google Authenticator verwendet werden, die beide als App zur Verfügung stehen. Diese Codegeneratoren produzieren zu Zugangsseiten passende einmalige Schlüssel, deren Gültigkeit meist nach wenigen Sekunden erlischt. Eine weitere häufig genutzte Alternative sind Codegeneratoren, die den Schlüssel per SMS oder E-Mail übermitteln. Häufig sind auch spezielle Hardware-Token oder Codegeneratoren in Verbindung mit Chipkarten im Einsatz. Im Ergebnis sorgen alle Systeme für mehr Sicherheit durch die 2-Faktor-Authentifizierung. Selbst wenn Unbefugte ein Passwort besitzen, ist es ohne den Zusatzcode unmöglich, auf die Systeme zuzugreifen.
Intrusion Detection Systeme gegen Brute-Force-Angriffe
Brute-Force-Attacken verursachen einen erhöhten Traffic und vermehrte Zugriffe auf die Log-in- und Authentifizierungsmechanismen. Intrusion Detection Systeme (IDS) sind darauf ausgelegt, Auffälligkeiten im Systemalltag zu erkennen und darauf zu reagieren. Entsprechend wirkungsvoll kann eine IDS-Absicherung des Unternehmensnetzes gegen Brute-Force-Aktivitäten sein.
Die Anwendung von Regelwerken auf Datenströme und Protokolle ermöglichen eine Charakterisierung aller möglicher Netzwerkangriffe. Ein IDS vergleicht diese Charakteristika im Netzwerk mit bekannten Mustern aus Angriffen oder Angriffsversuchen und leitet im Alarmfall dann Gegenmaßnahmen ein. Die Effektivität eines IDS steht und fällt mit der Qualität und Anzahl der eingesetzten Regelwerke.
Häufig nutzen Cyberkriminelle anonyme Proxy-Server, um Angriffe zu starten. In dem Fall ist die IP des angreifenden Systems nicht auslesbar. IDS sind in der Lage, solche Zugriffe zu erkennen und den Zugriff von anonymen Proxys automatisch zu sperren. Um Serverdienste stabil und sicher zu fahren, sollten Netzwerkadministrator:innen den Zugriff von anonymen Proxy-Servern nicht zulassen.
Es gibt netzwerkbasierte und hostbasierte ID-Systeme. Netzwerkbasierte IDS überwachen Datenströme in Netzwerken über mehrere Netzwerkknotenpunkte, um eine möglichst große Menge an relevanten Daten im gesamten Netz erfassen zu können. Hostbasierte IDS überwachen die Datenströme zu und aus einem Endgerät.
Die Stärke der netzwerkbasierten IDS ist die Überwachung des Traffics innerhalb des gesamten Netzwerks. Hostbasierte IDS schützen in erster Linie das System, auf dem sie installiert sind. Meistens werden beide Formen der Intrusion Detection Systeme zum umfassenden Schutz eingesetzt.
Brute-Force-Attacken: WordPress-Schutz durch Plug-ins
Ein beliebtes Opfer von Brute-Force-Angriffen sind WordPress-Seiten. Bei vielen Standardinstallationen ist die Log-in-Adresse für das Backend über „../wp-admin“ erreichbar und die Anzahl der möglichen Log-in-Versuche nicht limitiert. Bei solchen Installationen haben es Brute-Force-Attacken einfach, beliebig viele Passwörter zu testen, bis früher oder später die richtige Passphrase die Tür zum WordPress-Backend öffnet.
Abhilfe schaffen hier Plug-ins, die beispielsweise die Zahl der zulässigen Log-in-Versuche einschränken oder die Webadresse zum Aufruf des Backends verschlüsseln. Etwas mehr Schutz bietet das Plug-in Brute Protect, mit dem inzwischen tausende von WordPress-Seiten abgesichert sind. Es speichert die IPs der gescheiterten Log-in-Versuche in einer zentralen Liste. Diese IP-Liste dient wiederum als Blacklist für jede einzelne über Brute Protect geschützte WordPress-Installation. Außerdem werden viele WordPress-Installationen genau wie andere Systeme auch durch die oben erwähnte Zwei-Faktor-Authentifizierung geschützt. Hier reicht das Erraten des Passworts allein nicht aus, um Zugang zu erlangen: Gleichzeitig müssen Angreifende Zugriff beispielsweise auf das E-Mail-Konto des betroffenen Accounts haben.
Brute-Force-Methode: Diese Hackingtools sollten Sie kennen
Cyberkriminelle nutzen Skripte oder Bots, um die Log-ins von Webseiten und Webapplikationen ins Visier zu nehmen. Dabei haben es die Angreifenden nicht nur auf Passwörter sondern auch auf Verschlüsselungs- oder API-Daten sowie SSH-Logins abgesehen. Die häufig dafür genutzte Brute-Force-Software kommt auch ganz legal im Bereich von Penetrationstests und IT-Security zum Einsatz und ist daher frei im Netz verfügbar.
Die Kali-Linux-Distribution beispielsweise enthält schon in der Standardinstallation alle für Penetrationstests und digitale Forensik bekannten Linux-Programme. Häufig für Brute-Force-Attacken genutzte Tools sind beispielsweise:
- Hashcat
- Brutus
- Medusa
- THC Hydra
- Ncrack
- John the Ripper
- Aircrack-ng
- Rainbow
Viele dieser Programme sind in der Lage, Passwörter innerhalb weniger Sekunden zu entschlüsseln oder aufzudecken. Die Möglichkeiten der Tools gehen dabei über einfache Brute-Force-Attacken hinaus.
Brute-Force-Angriffe einfach unterscheiden
Um eine möglichst hohe Trefferquote beim Passwort-Cracken zu erzielen, nutzen Cyberkriminelle unterschiedliche Strategien. Grob lassen sich die Angriffe wie folgt unterteilen:
Einfache Angriffe: Die Angreifer:innen probieren verschiedene Passwörter aus und nutzen dafür frei zugängliche Informationen wie beispielsweise Daten aus dem Social-Media-Bereich oder von Homepages und Unternehmenswebseiten.
Wörterbuch-Angriffe: Bei den meisten Brute-Force-Angriffen kommen Wörterbuchlisten oder auch Listen mit den weltweit am häufigsten verwendeten Passwörtern zum Einsatz. Außerdem werden häufig Passwortdateien verwendet, deren Inhalte aus Datenlecks stammen.
Hybride Angriffe: Ein hybrider Angriff kombiniert die einfache und die Wörterbuch-Methode bei der Attacke. Häufig ergänzen Cyberkriminelle diese Informationen noch durch frei verfügbare persönliche Daten wie das Geburtsdatum, den Wohnort oder auch Vor- und Nachnamen und verwenden diese in Abwandlungen.
Reverse Attack (umgekehrter Brute-Force-Angriff): Bei dieser Methode benutzen die Angreifer:innen beliebte Passwörter wie „password“ oder „12345“ und versuchen, dazu passende Login-Namen zu erraten. Da immer noch viele Nutzer:innen auf eingängige aber unsichere Passwörter setzen und dazu häufig Standardeinstellungen wie „admin“, „test“ oder „dummy“ im Einsatz sind, ist der Erfolg dieser Methode erstaunlich hoch.
Credential Stuffing: Viele Nutzer:innen verwenden identische Passwörter auf unterschiedlichen Webseiten. Wenn durch einen Hack, Indiskretion oder Phishing diese Daten kompromittiert werden, öffnen sich damit auch für sämtliche andere Webseiten mit diesen Zugangsdaten die Pforten.
Brute-Force-Angriffe auf einen Blick
Brute-Force-Angriffe stellen eine reale Gefahr für Unternehmensnetzwerke, Webdienste und Server dar. Administrator:innen müssen sich mit dem Thema auseinandersetzen und rechtzeitig dafür sorgen, dass die Konten der Benutzer:innen optimal geschützt sind. Für Firmen beginnt die IT-Sicherheit bereits mit der IT-Ausstattung und reicht bis zur IT-Betreuung und -Schulung der Mitarbeitenden.
Dabei erreichen Sie das Extra an IT-Sicherheit für Ihr Unternehmen schon durch vergleichsweise einfache Maßnahmen: Sichere Passwörter, Zwei-Faktor-Authentifizierung, zusätzliche Absicherung von Standardsystemen wie WordPress durch Plugins und eine optimal eingestellte Firewall mit Intrusion Detection Systemen sind die passende Antwort auf die Bedrohung durch Brute-Force-Angriffe.
Quelle:
https://www.vodafone.de/business/featured/digitales-business/digitale-geschaeftsprozesse/brute-force-angriffe-so-koennen-sie-sich-schuetzen/