Ein Brute-Force-Angriff ist das kryptologische Äquivalent zum Öffnen einer Tür, bei dem man jeden Schlüssel an seinem Schlüsselbund ausprobiert, um schliesslich den richtigen zu finden.

Es ist eine einfache, aber zuverlässige Taktik, um sich unbefugten Zugang zu individuellen Konten und den Netzwerken von Unternehmen zu verschaffen. Hacker nutzen diese simple, aber tückische Vorgehensweise, um Hintertüren im System zu installieren, Daten an sich zu reissen, oder um sich vertrauenswürdige Informationen anzueignen.

Brute-Force-Angriffe gibt es schon so lange, wie es Passwörter gibt. Sie sind nicht nur nach wie vor beliebt, sondern nehmen aufgrund der immer stärker werdenden Digitalisierung von Arbeitsplätzen auch zu.

Was genau ein Brute-Force-Angriff ist, wie er funktioniert und wie du dich und dein Unternehmen davor schützen kannst, erfährst du hier in diesem Blogartikel.

Was ist ein Brute-Force-Angriff?

Eine Brute-Force-Attack ist eine Angriffstechnik auf IT-Systeme und private Konten. Hier versuchen sich Hacker durch die Ermittlung von Passwörtern Zugang zu Accounts oder Daten zu verschaffen, um diese zu ihren eigenen Zwecken zu nutzen.

Übersetzt kann das ganze werden mit „Rohe Gewalt“ und zeigt damit die Strategie, die hinter diesem Hackerangriff steckt: nämlich pure Härte beim Knacken des Passworts.

Indem die Hacker alle Möglichkeiten eines Passworts oder Benutzernamens prüfen und gnadenlos verschiedene Zeichenfolgen zufällig ausprobieren, gelingt es ihnen, Systeme zu übernehmen, lahmzulegen oder gar ganz zu löschen. Gezielte Angriffe können auch mit Datenklau enden und besonders bei Unternehmen oder wichtigen Einrichtungen, wie dem Gesundheitssystem, für grosse Probleme sorgen.

Doch natürlich kann jeder Hackerangriff durch die richtigen Massnahmen verhindert werden. Dazu später mehr.

Wie funktionieren Brute-Force-Angriffe?

Jeder Hacker, der etwas von sich hält, nutzt natürlich gewisse Tools, die ihm bei seinem Angriff auf Systeme, Konten und Datenspeicher von Nutzen sind. Verschiedene in der Cyberkriminalität gängige Programme, wie Brutus, Hydra oder Medusa arbeiten auf leistungsstarken Rechner- und Computersystemen, die meist eine große Anzahl an Auszählungen in kurzer Zeit durchführen können. Dies wiederum führt dazu, dass der Eindringling eine gewaltige Menge an Passwortkombinationen binnen einiger Minuten ermitteln kann.

Die Erfolgsbilanz hängt ganz davon ab, wie komplex das zu knackende Passwort beziehungsweise der zu ermittelnde Benutzername ist und welche Informationen darüber bereits bekannt sind. Ist etwa das letzte Digit einer vierstelligen Bankkonto-PIN dem Hacker bereits bekannt, so schränkt dies die Anzahl der möglichen Passwortkombinationen gewaltig ein. Deshalb die PIN-Eingabe am Automaten immer mit der Hand verdecken!

Über welche Informationen der Hacker bereits verfügt, beziehungsweise wie dieser vorgeht, zeigt ausserdem, welche Variante des Brute-Force-Angriffes genutzt wird.

Das sind die verschiedenen Arten von Brute-Force-Angriffen

Brutale Attacke – Brute-Force-Angriffe und wie du dich vor ihnen schützt 1. Simple Brute-Force-Attack

Dies ist wohl die einfachste und simpelste Methode, die ein Hacker benutzt, um sich Zugang zum System zu verschaffen. Bei der „Simple Brute-Force-Attack“ wird jede Passwort-Kombination nach und nach ausprobiert, bis die richtige gefunden wurde. Bei dieser Vorgehensweise sind weder Benutzername noch irgendwelche weiteren Informationen bekannt, weshalb diese Art des Angriffs auch sehr aufwändig und oftmals erfolglos ist. Auch wenn der Hacker keine spezielle Prozedur nutzt, so kann ihm dennoch ein starkes und modernes Rechnersystem die nötige Abhilfe schaffen und das gewünschte Kennwort schneller ermitteln.

2. Dictionary-Attack

Ja, du hast richtig gelesen. Die „Dictionary-Attack“ hat tatsächlich etwas mit einem Wörterbuch zu tun. Genauer gesagt, mit bestimmten Hilfsmitteln, die der Hacker zum Knacken von Passwörtern verwendet.

Eines der grundlegendsten Tools hierzu ist das ungekürzte Wörterbuch, welches der Eindringling von seinem Computersystem durchlaufen lässt. So kann er einzelne Wörter herausfinden, die mit Teilen des Passworts übereinstimmen. Dies ist natürlich meist dann von Vorteil, wenn die dazugehörige Zahlenkombination bereits bekannt ist.

Weitere Hilfsmittel sind unter anderem sogenannte schwarze Listen, auf denen Passwörter und Benutzernamen verzeichnet sind, die bereits aus einem Datenleck durch vergangene Hacks gewonnen wurden. Indem der Hacker auf diese Informationen zugreift und die Listen sukzessiv abarbeitet, kann er sich bereits wichtige Elemente der Log-in-Daten aneignen und damit seine Chancen auf einen erfolgreichen Angriff erhöhen.

3. Reverse Brute-Force-Attack

Wie der Name schon sagt, handelt es sich hierbei um eine umgekehrte Variation der Simple Brute-Force-Attack. Anstatt dass der Angreifer mit einem Benutzernamen beginnt und diesen mit Passwörtern vergleicht, beginnt ein Reverse Brute-Force-Angriff damit, dass der Hacker das Passwort bereits kennt und den Benutzernamen ermittelt.

Diese Vorgehensweise hat zur Grundlage, dass der Hacker durch das Durchkauen von Passwortlisten oder durch Ausprobieren bereits im Besitz des richtigen Schlüsselwortes ist. Ist das der Fall, so gleicht der Eindringling das gefundene Passwort mit mehreren möglichen Benutzernamen oder verschlüsselten Dateien ab, bis schliesslich die richtige Kombination gefunden ist. Das bedeutet, dass das Passwort auch hier durch das Trial-Error-Prinzip erraten wird.

4. Credential Stuffing

Bei „Credential Stuffing Angriffen“ werden bekannte Paare von Benutzernamen und Passwörtern verwendet, die durch in der Zeit bereits zurückliegende Datenlecks bekannt geworden sind. Hacker geben diese Kombinationen von Log-in-Daten auf verschiedenen Webseiten und Systemen ein, um Konten zu finden, die sie infiltrieren können. Da du als Internetnutzer vermutlich auch oft dieselbe E-Mail oder denselben Benutzernamen und dasselbe Passwort auf mehreren Websites verwendest, kann ein solcher Angriff dazu führen, dass mehrere deiner Konten gleichzeitig geknackt werden. Das Hauptproblem dabei ist, dass alle Kontoinformationen, die durch ein solches Informationsleck ans Licht gekommen sind, im Dark-Web zur späteren Verwendung gespeichert oder verkauft werden.

5. Hybrid Brute-Force-Attack

Hybrid steht für eine Mischform aus einer „Dictionary Attack“ und einer „Simple Brute-Force Attack“. Es beginnt damit, dass der Hacker den Benutzernamen bereits kennt und dann einen Wörterbuch-Suchangriff startet, um eine passende Log-in-Kombination für das anvisierte Konto zu ermitteln. Dazu werden die Methoden aus der „Simple Brute-Force-Attack“ genutzt, was heisst, dass der Hacker mit einer Liste möglicher Wörter beginnt und dann mit Zeichen, Buchstaben und Zahlen regelrecht experimentiert, um das richtige Passwort zu finden. Diese Vorgehensweise ist besonders beliebt bei Hackern, da die Erfolgschance eines Hybrid-Angriffs sehr hoch ist und zudem schneller als andere Varianten zum gewünschten Zugang führt.

Auch wenn all diese Methoden des Brute-Force-Angriffes auf den ersten Blick ziemlich unvermeidbar und unausweichlich scheinen, so gibt es dennoch ein paar Massnahmen, die dich vor solchen Angriffen schützen können.

So schützt du dich gegen Brute-Force-Angriffe

Schutz gegen Brute-Force-Angriffe bietet zum einen ein gut gewähltes Passwort, das aus mindestens 10 Zeichen besteht – am besten eine komplexe Kombination aus Zahlen, Buchstaben und Sonderzeichen. In der IT-Sprache nennen wir so etwas auch ganz gerne „Masterpasswort“. Nutze zudem keine bekannten Wortkombinationen oder einzelne Wörter, die man einfach so im Duden vorfinden könnte, denn das würde die Gefahr eines Dictionary-Angriffs erheblich erhöhen.

Ausserdem solltest du auf jeder Webseite verschiedene Log-in-Daten wählen, sodass bei einem Übergriff nicht gleich alle anderen Accounts kompromittiert werden. Wer die automatische Passwort-Speicherfunktion auf dem Handy, die nur durch den eigenen Fingerabdruck für den Nutzer zugänglich ist, noch nicht besitzt, kann sich mit einer traditionelleren Version Abhilfe schaffen: Stift und Papier. Noch besser wäre natürlich die Nutzung eines Passwort-Safe (z.B. LastPass), der mit einem extrem sicheren Passwort und Multifaktor-Authentifizierung geschützt ist. Diese Lösung bietet sich vor allem für jene an, die sich nicht für jeden Zugang ein eigenes Passwort merken möchten.

Eine weitere Möglichkeit, um Brute-Force-Angriffe abzuwehren, ist es, eine Alternative zu normalen Log-in-Verfahren zu wählen. Hierzu bietet sich die 2-Faktor-Authentifizierung besonders gut an, da diese dank ihrer zusätzlichen Sicherheitsstufe eine der wirksamsten Schutztechniken gegen Hacker darstellt.

Da diese Schutzmassnahmen meist jedoch nicht genug sind, um ein ganzes Unternehmen zu schützen, ist es stets hilfreich, einen kompetenten IT-Experten zurate zu ziehen. Bei rockIT helfen wir dir dabei, ausreichend Schutz für deine Daten zu schaffen und die Sicherheit deiner Server zu optimieren. Solltest du also eine Frage zum Thema IT-Sicherheit oder Brute-Force-Angriffe haben, so schreibe uns einfach eine E-Mail oder melde dich bei uns. Wir freuen uns auf deine Nachricht!