Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Sie stimmen dem durch die weitere Nutzung der Website zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.

For English version click here.

Brute Force Angriff: Was ist das?

23.07.2020        Bedrohungslage
Brute Force Angriff: Was ist das?
iStock 1070743638

Im Bereich der IT-Sicherheit versteht man unter einem Brute Force Angriff (deutsch: rohe Gewalt) das Knacken eines Passworts durch das Berechnen und Ausprobieren tausender möglicher Varianten. Über den Versuch-und-Irrtum-Ansatz kann der Passwortschutz gebrochen werden.

Was macht einen Brute Force Angriff aus?

In der IT unterscheidet man grundsätzliche mehrere Wege, sich unerlaubt einen Zugriff zu einem System zu verschaffen: Cyberkriminelle nutzen Schwachstellen (Exploits) aus, um die  Passwort-Barriere zu umgehen , stehlen die Login-Daten legitimer Nutzer oder befeuern das System mit Passwortlisten (Brute Force Methode). Diese Listen werden automatisch berechnet oder illegal eingekauft und heruntergeladen

Für die ersteren beiden Varianten gilt: Erforderliches Wissen und nötiger Aufwand sind meist größer als bei Variante drei. Dagegen ist die Brute Force Attacke – wie der Name schon sagt – eine buchstäbliche Holzhammer-Methode. Die Zugriffsversuche erfolgen   automatisiert und können von wenigen Sekunden bis zu Tagen andauern. Dies hängt von der Rechenleistung des Computers und der Stärke des Passworts ab. Je schwächer das verwendete Passwort ist, desto größer sind die Erfolgsaussichten für Angreifer. 


Jetzt mit Zero Touch WAF von Link11 schützen


Wie funktioniert die Brute Force Methode?

Für die Brute Force Methode gibt es verschiedene Ansätze:

Passwortlisten vorhanden

Im Internet kursieren Listen mit gekaperten Zugangsdaten, meistens in speziellen Foren im Clearnet oder aber im Darknet. Etwa eine halbe Million Login-Daten von Geräten des belgischen Telekommunikationsunternehmen Telenet wurde im Frühjahr 2020 Opfer in einem Forum veröffentlicht. Solche Listen werden verkauft oder in manchen Fällen sogar als kostenloser Data Dump von Hackern publiziert. Verfügen die Angreifer über eine vorhandene Liste an möglichen Zugangsdaten, lassen sie diese einfach per Script an der Passwortschranke abfragen. 

Default Passwörter

Im „Idealfall“ für Cyber-Kriminelle müssen sie sich nicht mal die Mühe machen, einen Brute-Force-Angriff vorzubereiten. Die manuelle Eingabe von Standard-Systempasswörtern kann manchmal schon ausreichen. Diese werden werksseitig vergeben und sollten natürlich von Verwendern geändert werden. Einige Beispiele aus der Presse beweisen allerdings, dass selbst große Unternehmen diese Sicherheitslücke entgeht – mit schwerwiegenden Konsequenzen: Eine Sammelklage richtete sich gegen den US-Amerikanischen Kreditprüfer Equifax, nachdem Hacker mithilfe eines Default-Adminpassworts ins System gelangten und rund 150 Millionen Kundendatensätze von Konsumenten ergaunerten. Diese Fahrlässigkeit im Bereich der IT-Sicherheit kostete das Unternehmen neben dem Imageverlust 700 Millionen US-Dollar.

Bei vielen IoT-Geräten (z. B. Routern) auf dem Markt können eben diese Standard-Passwörter nicht verändert werden. Dadurch werden sie regelmäßig zur Zielscheibe von Botnetz-Attacken. 

Trial and error

Fangen Angreifer bei null an, nutzen sie das Prinzip der erschöpfenden Suche. Mithilfe eines Algorithmus werden Passwörter ausprobiert. Die Berechnung der Möglichkeiten funktioniert binnen Sekunden. Neben den häufigsten Passwörtern werden Wörterbuch-Angriffe unternommen. D. h. all bekannten Zeichenkombination, die im Duden o. ä. zu finden sind, werden zunächst durchprobiert. 

Hash-Funktion und Rainbow-Tabellen

Hat diese Methode keinen Erfolg, können mögliche Zeichenfolgen (Hashwerte) berechnet werden. Als Hashwerte bezeichnet man Passwörter, nachdem sie mithilfe eines Algorithmus (Hashfunktion) in eine verschlüsselte Zeichenfolge umgewandelt wurden. In dieser Form speichern Systeme Passwörter, damit sie nicht als Cleartext abrufbar sind. Jedes Mal, wenn sich ein Nutzer einloggt, wird die Passwort-Eingabe durch die Hashfunktion umgewandelt und mit dem gespeicherten Hashwert abgeglichen. Stimmen die beiden Werte überein, ist der Login erfolgreich. Bei einer Brute Force Attacke nutzen Cyberkriminelle genau diese Methode: Sie testen vordefinierte, häufige Hashwerte, die in so genannten Rainbow-Tabellen verfügbar sind. Dies verringert zumindest den Zeitaufwand.

Angriff mithilfe von Bad Bots

Der Traffic, der durch Bots im Internet entsteht, steigt kontinuierlich. Die bösartige Variante dieser Programme ist außerdem in der Lage, Brute Force Angriffe zu unternehmen. Um solche Bots zu steuern, sind schon lange keine Expertenkenntnisse mehr nötig. Auch spezielle Bad Bots werden als Dienstleistung angeboten.


Zur Bot Mitigation von Link11


Schwache Passwörter: Ein Alltagsproblem 

Ein Problem besteht für viele Internetnutzer darin, dass viele alltägliche Aufgaben über verschiedenste Online-Dienste abgewickelt werden – und das oftmals über mehrere Geräte hinweg, beruflich und privat. Ob Online-Shops, Versicherung, Bezahldienste, Zeitungsabo, E-Mails oder Autovermietung: Jede Registrierung verlangt eine Passwortvergabe. Wie also den Überblick über unzählige Zugänge behalten? Viele User verwenden genau aus diesem Grund ein einfaches Standardpasswort, das gar nicht oder nur leicht abgewandelt bei allen Logins zum Einsatz kommt. Gerade im E-Commerce ist diese Methode besonders gefährlich, denn Kunden hinterlegen bei den Anbietern neben ihren persönlichen Informationen auch Bezahldaten

Das Hasso-Plattner-Institut (HPI) veröffentlicht jährlich die beliebtesten Passwörter der Deutschen, um Verbraucher auf die Gefahr eines Passwortmissbrauchs hinzuweisen.

Top 20 Beliebteste Passwörter 2019

Rang Passwort
1123456
2123456789
312345678
41234567
5 password
6111111
71234567890
8123123
9000000
10abc123
11dragon
12iloveyou
13password1
14monkey
15qwertz123
16target123
17tinkle
18qwertz
191q2w3e4r
20222222


Quelle: HPI

Alle diese Passwörter sind für die Rechenleistung eines herkömmlichen Computers kein Hindernis: Mit der passenden Software können sie innerhalb weniger Sekunden geknackt werden. Aber selbst ohne Unterstützung einer Maschine könnte ein entschlossener Krimineller diese einfachen Kombinationen durch bloßes händisches Ausprobieren erraten. 

Passwort-Sicherheit verbessern

Wie bei vielen Worst-Case-Szenarios besteht ein grundsätzliches Problem: Die Wahrscheinlichkeit, dass ein Passwort gebrochen wird, ist für Otto Normalverbraucher eher gering. Wenn der Fall aber eintritt, kann der persönliche Schaden enorm groß sein. 

Tipps zur Verbesserung der Passwort-Sicherheit

  • Einzigartigkeit: Jedes Passwort nur einmalig verwenden
  • Länge: Mindestens 9 Zeichen nutzen - je willkürlicher gewählt, desto besser, kostenlose Passwort-Generatoren helfen beim Erstellen
  • Zufälligkeit: Zeichen aus jeder Klasse benutzen, falls möglich (d. h. Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen)
  • Neutralität: Wörter oder Zahlen mit persönlichem Bezug vermeiden (Familiennamen, Geburtsdaten etc.)
  • Updates: 
    • Wichtigste Passwörter regelmäßig ändern
    • Bestehende, schwache Passwörter ersetzen
  • Verwaltung: Professionelle Passwort-Manager speichern Ihre Passwörter sicher und übernehmen den Login automatisch

Verantwortung der Betreiber

Bei der Frage nach der Sicherheit vor Passwortknackern sind nicht nur die Nutzer selbst gefragt, sondern auch die Betreiber von Online-Diensten. Egal, ob E-Mail-Hoster, E-Commerce oder Social-Media-Plattform – User sollten auf einen ausreichenden Schutz achten und diesen einfordern.

Passwort-Formate

Nicht selten schreiben die Anmeldeformulare eines Online-Dienstes genau vor, wie das Passwort aussehen muss. Im Normalfall sollen diese Vorgaben den Nutzer zur Wahl eines stärkeren Passworts zwingen. Leider geht diese Idee aber in manchen Fällen nach hinten los: Ist die Zeichenzahl zum Beispiel auf 8 oder weniger Zeichen festgelegt, nötigt das System den Kunden letztlich dazu, ein Passwort mit nur geringer oder mittlerer Stärke zu wählen. 

Zusätzlicher Kennwortschutz

Es gibt für Betreiber weitere Möglichkeiten, Brute Force Angriffe zu erschweren. Zum Beispiel kann ein definiertes Ereignis eintreten, sobald eine bestimmte Anzahl von erfolglosen Login-Versuchen erreicht wurde:

  • Warnung: User wird per Mail auf erhöhte Anzahl gescheiterter Login-Versuche hingewiesen
  • Auszeit: 
    • User muss warten, bis ein neuer Login-Versuch möglich ist 
    • Variante: Auszeit-Intervalle werden länger, je mehr Versuche scheitern
  • Sperrung: Account wird nach bestimmter Anzahl gescheiterter Login-Versuche oder Auszeit-Intervallen gesperrt bis User den Account durch wieder freigibt

Diese Schranken bieten einen zusätzlichen Schutz vor Cyberkriminellen. Besonders in Kombination miteinander machen sie einen Brute Force Angriff im besten Fall uninteressant. 

Trotzdem funktionieren sie nicht als unüberwindbare Barriere im Kampf gegen professionelle Angreifer. Die Regeln, die definiert werden (z. B. eine Beschränkung der Anmeldeversuche auf 5, danach Sperrung) beziehen sich auf die Verwendung einer individuellen IP-Adresse. Wechselt die IP-Adresse, sind neue Anmeldeversuche möglich. Für Hacker in Kontrolle eines Botnetzes stellt diese Regel also kein starkes Hindernis dar.

Multi-Faktor-Identifizierung

Einige Systeme bieten eine erforderliche oder freiwillige Mehrfach-Authentifikation. Statt eines Passworts muss eine weitere Sicherheitsschranke überwunden werden, zum Beispiel: 

  • Persönliche Frage
  • CAPTCHA
  • Bilderrätsel
  • Zweite Passwortabfrage
  • Einmalkennwörter (TAN), die per App, SMS oder Transponder übermittelt werden. 

Nicht selten muss eine zweite Authentifikation über ein weiteres Gerät stattfinden, z. B. durch das Senden eines PINs an eine hinterlegte Mobiltelefonnummer. 

Brute Force Attacken auf Unternehmen

Für Unternehmen sieht die Risikokalkulation anders aus: Sie sind beliebte, strategische Ziele für Brute Force Angriffe und müssen sich daher besser absichern. Zwei-Faktor-Authentifizierung kombiniert mit einem strengem Berechtigungsmanagement kann dabei helfen, die Barrieren für Passwort-Knacker höher zu bauen.

Unternehmen können sich außerdem durch Schutzlösungen vor Passwortknackern absichern. Das Stichwort ist dabei Zero Trust (deutsch: Null Vertrauen). Dieser Ansatz im Bereich der Sicherheit bedeutet, dass keinem Client (innerhalb und außerhalb der eigenen Firewall) vertraut wird und Zugangsdaten kontinuierlich abgefragt werden. Weiterhin helfen Intrusion Detection Systeme dabei, die Sicherheit durch Warnungen zu erhöhen.


Über Link11 Zero Touch WAF informieren


Zahlen und Fakten zu Brute Force

In einer globalen Studie von NTT Security wurden die häufigsten Typen von Cyber-Attacken nach Branchen ermittelt. Brute Force Attacken waren mehrfach auf dem Siegertreppchen der größten Gefahren:

  • Technologie: Platz 2 (17 %)
  • Dienstleistungen: Platz 1 (42 %)
  • Bildung: Platz 1 (47 %)

Weiterhin fand die Studie, dass 12 % des bösartigen Datenverkehrs weltweit auf Brute Force Angriffe zurückzuführen ist. Die häufigsten Angriffsziele der Cyberkriminellen sind E-Mails, http-Formulare (Browser), Windows-Anwendungen und Dateiübertragungsprotokolle wie SSH/SFTP oder FTP. Eine Untersuchung von eset zeigte außerdem, dass während der globalen COVID-19-Pandemie vermehrt Remote Desktop Protokolle (RDP) attackiert wurden.



Quelle:

  • Global Threat Intelligence Report, NTT Security, 2019

Neueste Blogbeiträge

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Schlagwörter

Link11GmbH​

Folgen Sie Link11 auf Twitter