Foto: Grzegorz Zdziarski - shutterstock.com
Homeoffice und Remote Work liegen seit der Pandemie schwer im Trend. Manche Unternehmen erwägen, ihre Mitarbeiter in Zukunft gar nicht mehr ins Office beordern zu wollen. Das wirft insbesondere in Sachen IT Security zahlreiche Herausforderungen auf - beziehungsweise eröffnet kriminellen Hackern völlig neue Möglichkeiten.
Dabei erfreuen sich Brute-Force-Attacken wieder steigender Beliebtheit, um Login-Daten, beziehungsweise Passwörter für Privat- wie Unternehmens-Accounts abzugreifen. Lesen Sie, was Brute-Force-Angriffe auszeichnet, wie die Kompromittierungs-Methode funktioniert und was Sie tun können, um sich bestmöglich gegen diese digitalen Gewaltakte abzusichern.
Brute Force - Definition
Bei einer Brute-Force-Attacke versucht ein Angreifer durch wiederholte und systematische Eingabe verschiedener Usernamen und Passwörter Login-Daten zu "erraten". Zur Umsetzung dieses äußerst simplen, aber Ressourcen-intensiven Angriffs nach dem Trial-and-Error-Prinzip kommen für gewöhnlich Automatisierungs-Tools, Skripte oder Bots zum Einsatz, die sich so lange an allen möglichen Kombinationen von Usernamen und Passwörtern versuchen, bis ihnen Zugang gewährt wird.
"Es handelt sich um eine althergebrachte Angriffsmethode, die aber immer noch effektiv und bei Hackern beliebt ist", weiß David Emm, Principal Security Researcher bei Kaspersky. "Brute-Force-Angriffe werden oft genutzt, um Devices in Remote-Netzwerken zu kompromittieren und persönliche Daten wie Passwörter, Benutzernamen und PINs zu stehlen."
Das bedeutet auch: Je stärker das Passwort und die Verschlüsselung der Daten, umso mehr Rechenleistung ist auf Seiten der Cyberkriminellen erforderlich. Unternehmen können also die Effektivität von Brute-Force-Attacken mit den richtigen Mitteln so weit reduzieren, dass eine erfolgreiche Kompromittierung für die Angreifer nahezu unmöglich wird.
Brute-Force-Angriffsarten
Geht es um Brute-Force-Attacken, unterscheidet man zwischen den folgenden Angriffsarten:
Traditionelle Brute-Force-Attacken: Hierbei versuchen sich die Angreifer an allen möglichen Kombinationen von Login-Daten.
Reverse Brute Force: Eine kleine Anzahl von gängigen Passwörtern wird mit vielen verschiedenen Accounts kombiniert.
Credential Stuffing: Hierbei werden anderweitig gestohlene Login-Informationen eingesetzt, um diverse weitere Services oder Applikationen zu kompromittieren.
Dictionary-Attacken: Hierbei dienen Wörterbücher oder Listen mit gestohlenen Passwörtern den Angreifern als Kompromittierungs-Quelle.
Rainbow-Table-Angriffe: Mit Hilfe von vorberechneten Dictionaries oder Plaintext-Passwörtern (und den korrespondierenden Hash-Werten) versuchen die Angreifer die Hash-Funktion umzudrehen.
Brute-Force-Attacken - Funktionsweise
Wie bereits erwähnt bringen kriminelle Hacker im Rahmen von Brute-Force-Angriffen für gewöhnlich Skripte oder Bots zum Einsatz, die Webseiten oder Applikations-Logins ins Visier nehmen. Dabei haben es die Angreifer nicht nur auf Passwörter, sondern auch auf Verschlüsselungs- oder API-Daten sowie SSH-Logins abgesehen.
"Verläuft eine solche Attacke erfolgreich, hat der Angreifer Remote-Zugriff auf den Zielrechner im Netzwerk", erklärt Security-Experte Emm. "Das Ziel der Kriminellen ist es, persönliche Daten abzugreifen um Zugang zu Onlinekonten und Netzwerk-Ressourcen zu erlangen. Diese können dann wiederum genutzt werden, um Phishing-Links oder Fake-Nachrichten zu verschicken - oder werden schlicht über dunkle Kanäle zum Kauf angeboten."
Hilfestellung leisten kriminellen Hackern dabei zahlreiche Automatisierungs-Tools, die auch zu legitimen Zwecken - etwa im Rahmen von Penetration-Tests - zum Einsatz kommen. Einige der bekanntesten Brute-Force-Werkzeuge sind etwa:
Brutus
Medusa
THC Hydra
Ncrack
John the Ripper
Aircrack-ng
Rainbow
"Viele dieser Tools sind in der Lage, ein einzelnes Passwort innerhalb von Sekunden aufzudecken", weiß Emm. Die Programme funktionierten dabei unabhängig vom Protokoll - egal ob nun FTP, MySQL, SMPT oder Telnet - und ermöglichten den Cyberkriminellen unter anderem, WLAN-Modems zu kompromittieren oder verschlüsselte Passwörter in geschützten Bereichen auszulesen, so der Experte weiter.
Der Erfolgsfaktor einer Brute-Force-Attacke wird an der Zeit gemessen, die es braucht, um erfolgreich ein Passwort zu cracken. Mit zunehmender Passwortlänge steigt auch der Zeitrahmen: Laut dem Security-Anbieter Cloudflare würde es circa neun Minuten dauern, ein siebenstelliges Passwort zu knacken - bei 15 Millionen Versuchen pro Sekunde. Ein Passwort mit 13 Zeichen wäre in 350.000 Jahren geknackt. Die Verschlüsselungsmethode die zur Anwendung kommt, spielt daher ebenfalls eine tragende Rolle für die Passwortsicherheit: Bei einer 128-Bit-Verschlüsselung gibt es 2128 verschiedene Kombinationen - während ein Angreifer bei einer Verschlüsselung mit 256-Bit bereits 2256 mögliche Kombinationen testen muss. Das würde beim derzeitigen Stand der Technologie mehrere Billionen Jahre dauern. Selbst Angreifer, die sich die Rechenleistung von dedizierten GPUs zu Nutze machen, um Ihre kriminellen Methoden zu beschleunigen, kann mit möglichst komplexen Passwörtern und starker Verschlüsselung ein Knüppel zwischen die Beine geworfen werden.
"Wie IBM berichtet, ist es allerdings durchaus Usus unter Cyberkriminellen, dieselben Systeme über Monate oder gar Jahre Tag für Tag aufs Neue ins Visier zu nehmen", weiß Emm. Laut des Verizon Data Breach Report stehen weniger als 20 Prozent der Datenlecks in kleinen und mittleren Betrieben mit Brute Force in Verbindung - im Fall von großen Unternehmen weniger als 10 Prozent. Diese Werte bewegten sich in den Jahren 2018 und 2019 auf ähnlichem Niveau, allerdings könnte die Coronavirus-Pandemie hier für eine nachhaltige Veränderung gesorgt haben, wie Kaspersky-Researcher Emm meint: "Der im Zuge der Krise vielerorts stattfindende Shift hin zu Remote Work hatte und hat dirkete Auswirkungen auf die Cyber-Bedrohungslandschaft. Die kriminellen Hacker wussten ganz genau, dass damit die Zahl der schlecht abgesicherten Remote-Desktop-Protocol-Server rasant steigt und haben ihre Attacken entsprechend hochgefahren. Es ist nicht damit zu rechnen, dass sich das in naher Zukunft ändern wird - im Gegenteil".
Brute-Force-Angriffe - Beispiele
Bei einer großangelegten Brute-Force-Attacke auf die (zu Alibaba gehörende) chinesische E-Commerce-Webseite Taobao im Jahr 2015 wurden mehr als 20 Millionen Benutzerkonten mit Brute-Froce-Methoden kompromittiert.
Das britische Parlament geriet 2017 ins Visier von Cyberkriminellen. Mit Brute-Force-Methoden konnten die Hacker knapp 100 E-Mail-Konten von Parlamentsangehörigen knacken.
Auch die schottischen Parlamentarier haben Erfahrung mit Brute Force. Im August 2017 versuchten Angreifer ihr Glück. Laut eigener Aussage fahre die Regierungsinstitution jedoch zuverlässige Cybersicherheits-Maßnahmen, weswegen die Attacke früh erkannt wurde. Eine Kompromittierung fand demnach nicht statt.
Erfolgreich waren Hacker hingegen bei einem Brute-Force-Angriff auf das Parlament von Nordirland im Jahr 2018. Das dortige IT Security Team wies alle Mitarbeiter an, ihre Passwörter zu ändern, nachdem einzelne E-Mail-Konten von Abgeordneten kompromittiert wurden.
Ad Guard ist ein populärer Anbieter von Werbeblockern und musste 2018 seine Nutzer auffordern, ihr Passwort zu ändern. Der Grund: Im Rahmen einer Brute-Force-Attacke hatten sich kriminelle Hacker Zugang zu Nutzerkonten verschafft.
Die britische Großbank HSBC musste 2018 einen Brute-Force-Angriff auf Online-Konten eingestehen, bei dem zwar keine Vermögenswerte, aber persönliche Daten von Kunden abgegriffen wurden.
Auch die Airline Cathay Pacific Airways wurde zum Opfer einer Brute-Force-Attacke. In der Konsequenz wurde die Fluggesellschaft 2020 von der britischen Datenschutzbehörde zu einer Strafe von circa 630.000 Dollar verdonnert, weil die Kundendaten nicht ausreichend geschützt worden seien.
Brute-Force-Attacken - das können Sie tun
Auch wenn der Security-Spezialist von Kaspersky ein düsteres Bild für die Zukunft zeichnet und es keine einhundertprozentige Absicherung gegen Brute-Force-Angriffe gibt: Unternehmen können mit Hilfe einiger Maßnahmen dafür sorgen, dass die Passwort-Cracking-Versuche von Cyberkriminellen so viele Ressourcen und so viel Zeit wie nur möglich fressen. Die folgenden Maßnahmen machen Ihr Unternehmen zu einem weit weniger attraktiven Brute-Force-Ziel:
nutzen Sie möglichst lange, komplexe Passwörter und eine starke Verschlüsselungsmethode (idealerweise 256-Bit);
speichern Sie Passwörter nur im Hash-Format und legen Sie diese idealerweise in einer separaten Datenbank ab;
sorgen Sie dafür, dass Ihre Passwort-Richtlinien zeitgemäß ausgestaltet sind und kommunizieren Sie diese entsprechend an Ihre Mitarbeiter;
begrenzen Sie die möglichen Login-Versuche innerhalb eines definierten Zeitrahmens oder veranlassen Sie einen Passwort-Reset nach einer besteimmten Anzahl von Login-Fehlversuchen;
begrenzen Sie den Zeitrahmen für die Authentifizierung von Passwörtern;
setzen Sie Captchas ein;
nutzen Sie Multi-Faktor-Authentifizierung wo möglich;
erwägen Sie den Einsatz von Passwort-Managern;
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.