Was ist ein Brute-Force-Angriff ?

Ein Brute-Force-Angriff (auch als Brute-Force-Cracking bezeichnet) ist unter den Cyberangriffen das Äquivalent zu dem Versuch, alle Schlüssel an einem Schlüsselring auszuprobieren und letztlich den richtigen zu finden. 5 % aller bestätigten Datenschutzverletzungen...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Ein Brute-Force-Angriff (auch als Brute-Force-Cracking bezeichnet) ist unter den Cyberangriffen das Äquivalent zu dem Versuch, alle Schlüssel an einem Schlüsselring auszuprobieren und letztlich den richtigen zu finden. 5 % aller bestätigten Datenschutzverletzungen im Jahr 2017 basierten auf Brute-Force-Angriffen.

Brute-Force-Angriffe sind einfach und „zuverlässig“. Die Angreifer lassen einen Computer die Arbeit verrichten – zum Beispiel unterschiedliche Kombinationen aus Benutzernamen und Passwörtern auszuprobieren – bis er eine funktionierende Kombination findet. Einen laufenden Brute-Force-Angriff abzufangen und zu neutralisieren ist das beste Gegenmittel: Wenn ein Angreifer erst einmal Zugang zum Netzwerk erlangt hat, ist er viel schwerer zu fangen.

Arten von Brute-Force-Angriffen

Die einfachste Form eines Brute-Force-Angriffs ist ein Wörterbuch-Angriff, bei dem der Angreifer sich durch ein Wörterbuch möglicher Passwörter arbeitet und alle ausprobiert. Wörterbuch-Angriffe beginnen, mit einigen Annahmen, bei üblichen Passwörter, die aus der Liste eines Wörterbuchs erraten werden sollen. Diese Angriffe sind tendenziell etwas veraltet, weil es neuere und effektivere Techniken gibt.

Aktuelle Computer, die in den letzten 10 Jahre hergestellt worden sind, können mit Brute Force ein achtstelliges alphanumerisches Passwort – mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen – in etwa zwei Stunden cracken. Computer sind so schnell, dass sie mit Bruce Force einen schwachen Verschlüsselungs-Hash in wenigen Monaten entschlüsseln können. Diese Arten von Brute-Force-Angriffen werden als Exhaustive Key Search bezeichnet, bei denen der Computer jede mögliche Kombination aus allen möglichen Zeichen ausprobiert, um die richtige Kombination zu finden.

Das Recycling von Anmeldeinformationen ist eine andere Art des Brute-Force-Angriffs, bei dem Benutzernamen und Passwörter aus anderen Datenschutzverletzungen für den Versuch genutzt werden, in andere Systeme einzubrechen.

Der umgekehrte Brute-Force-Angriff verwendet ein übliches Passwort wie „Passwort“ und versucht dann, über Brute Force einen Benutzernamen zu diesem Passwort zu finden. Weil „Passwort“ zu den am weitesten verbreiteten Passwörtern auch im Jahr 2017 (!) zählte, ist diese Technik erfolgreicher, als man annehmen könnte.

Beweggründe von Brute-Force-Angriffen

Brute-Force-Angriff

Brute-Force-Angriffe finden in den Frühphasen der Cyber-Kill-Chain statt, üblicherweise während der Auskundschaftung und Infiltration. Angreifer benötigen einen Zugang oder Eingangspunkt für ihr Ziel, und Brute-Force-Techniken bieten dafür eine Methode, die nach dem Start nur wenig Aufwand erfordert. Sobald die Angreifer Zugang zum Netzwerk erlangt haben, können Sie mit Brute-Force-Techniken ihre Berechtigungen erweitern oder Angriffe zur Verschlüsselungsabwertung laufen lassen.

Angreifer verwenden Brute-Force-Angriffe auch für die Suche nach verborgenen Webseiten. Verborgene Webseiten sind Webseiten, die zwar live im Internet stehen, aber mit keinen anderen Seiten verlinkt sind. Mit einem Brute-Force-Angriff werden unterschiedliche Adressen ausprobiert, um eine gültige Webseite zu finden, die sich für einen Exploit nutzen lassen könnte. Dinge, etwa eine Software-Sicherheitslücke im Code, die zur Infiltration ausgenutzt werden könnten– oder eine Webpage, die für jedermann offen zugängliche Benutzernamen und Passwörter enthält.

Mit einem Brute-Force-Angriff ist nur wenig Finesse verbunden, so dass Angreifer automatisch mehrere Angriffe parallel laufen lassen können, um ihre Chance auf ein (für sie) positives Ergebnis zu vergrößern.

Wie man sich gegen Brute-Force-Angriffe schützt

Brute-Force-Angriffe

Ein Brute-Force-Angriff braucht Zeit. Einige Angriffe können Wochen oder Monate dauern, bis sie etwas Brauchbares liefern. Die meisten Abwehrmechanismen gegen Brute-Force-Angriffe sind mit einer Verlängerung der für einen Erfolg erforderlichen Zeit über technisch realisierbare Spannen hinaus verbunden. Diese Methode ist aber nicht die einzige Verteidigungsmöglichkeit.

  • Erhöhen der Passwortlänge: Mehr Zeichen bedeuten mehr Zeitaufwand für das Cracken mit Brute Force.
  • Erhöhen der Passwortkomplexität: Mehr Optionen für alle Zeichen steigern ebenfalls den Zeitaufwand für das Cracken mit Brute Force.
  • Begrenzung der Anmeldeversuche: Bei Brute-Force-Angriffen wird ein Zähler für fehlgeschlagene Anmeldungsversuche hochgesetzt – eine gute Verteidigung gegen Brute-Force-Angriffe ist es, Benutzer nach einigen fehlgeschlagenen Versuchen zu sperren, was einen laufenden Brute-Force-Angriff im Keim erstickt.
  • Einführen von Captchas: Captcha ist ein übliches System, um auf Websites sicherzustellen, dass ein Mensch wirklich ein Mensch ist, und kann laufende Brut-Force-Angriffe stoppen.
  • Verwenden von Multi-Faktor-Authentifizierung: Mit Multi-Faktor-Authentifizierung wird eine zweite Sicherheitsebene für jeden Anmeldungsversuch hinzugefügt, was eine menschliche Interaktion erforderlich macht und damit einen Erfolg von Brute-Force-Angriffen verhindern kann.

Der aktive Weg, Brute-Force-Angriffen zu stoppen, beginnt mit Überwachung. Varonis überwacht Aktivitäten im Active Directory und VPN-Verkehr, um laufende Brute-Force-Angriffe zu erkennen. Wir haben Bedrohungsmodelle, die das Sperrverhalten überwachen (das häufig ein Anzeichen für einen aktuellen Brute-Force-Angriff bietet), Bedrohungsmodelle zur Erkennung potenzieller Credential-Stuffing-Versuche und weitere – die alle darauf ausgelegt sind, Brute-Force-Angriffe zu erkennen und zu beenden, bevor der Angriff eskalieren kann.

Es ist besser, einen laufenden Angriff zu erkennen und aktiv zu beenden, als darauf zu hoffen, dass Passwörter nicht zu überwinden sind. Sobald Sie den Angriff entdeckt und gestoppt haben, können Sie sogar IP-Adressen auf eine schwarze Liste setzen, um weitere Angriffe von demselben Computer zu verhindern.

Sind Sie bereit, Brute-Force-Angriffen vorzubeugen? Sichern Sie sich eine 1:1-Demo, um zu erfahren, wie Varonis Angriffe erkennt, damit Sie Angreifer in Zukunft aktiv stoppen können.

What should I do now?

Below are three ways you can continue your journey to reduce data risk at your company:

1

Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

2

See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

3

Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

5-wege,-um-active-directory-mit-varonis-zu-schützen
5 Wege, um Active Directory mit Varonis zu schützen
Die schnellste Methode, in ein Netzwerk einzudringen, nutzt das Active Directory (AD) – es ist der Schlüssel zum gesamten Königreich. Wenn Sie auf einen Server zugreifen wollen, müssen Sie im AD...
(rbac)-rollenbasierte-zugriffskontrolle-:-was-ist-das-und-warum-implementieren?
(RBAC) Rollenbasierte Zugriffskontrolle : Was ist das und warum implementieren?
Kann ein gestohlenes Passwort der Schlüssel zum ganzen Königreich sein? Nun, es stellt sich heraus, dass bei 81% der Datenschutzverletzungen im Jahr 2017 gestohlene oder schwache Passwörter verwendet wurden, um...
das-recht-auf-vergessenwerden-:-eine-erklärung
Das Recht auf Vergessenwerden : Eine Erklärung
Das „Recht auf Vergessenwerden“ ist ein Schlüsselelement der neuen EU-Datenschutz-Grundverordnung (DSGVO) – das Konzept ist aber schon etwa fünf Jahre älter als die aktuelle Gesetzgebung. Es umfasst das Recht der...
wirtschaftsschutz-im-digitalen-zeitalter
WIRTSCHAFTSSCHUTZ IM DIGITALEN ZEITALTER
BITKOM-STUDIE VOM JULI 2016 Schadensbegrenzung ergänzt Prävention, das ist einer der wichtigen Schlüsse, den die Autoren der Bitcom-Studie unter dem Titel „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz im digitalen Zeitalter“...