Brute-Force-Angriffe

Was Sie über Hacker-Gewaltakte wissen müssen

29.06.2020
Von  und
Dan schreibt für unsere US-Schwesterpublikation CSO Online.


Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
Brute-Force-Angriffe sind dank des krisenbedingten Remote-Work-Shifts wieder im Kommen. Wir sagen Ihnen, was Sie über die digitalen Gewalttaten krimineller Hacker wissen müssen – und wie Sie sie vermeiden können.
Die altgediente Brute-Force-Brechstange erfreut sich in COVID-19-Zeiten unter kriminellen Hackern wieder steigender Beliebtheit. Wir sagen Ihnen, was Sie über die digitalen Gewaltakte wissen müssen - und wie Sie sich bestmöglich davor schützen können.
Die altgediente Brute-Force-Brechstange erfreut sich in COVID-19-Zeiten unter kriminellen Hackern wieder steigender Beliebtheit. Wir sagen Ihnen, was Sie über die digitalen Gewaltakte wissen müssen - und wie Sie sich bestmöglich davor schützen können.
Foto: Grzegorz Zdziarski - shutterstock.com

Homeoffice und Remote Work liegen "dank" der Coronavirus-Pandemie schwer im Trend. Manche Unternehmen erwägen sogar inzwischen, ihre Mitarbeiter in Zukunft gar nicht mehr ins Office beordern zu wollen. Das wirft insbesondere in Sachen IT Security zahlreiche Herausforderungen auf - beziehungsweise eröffnet kriminellen Hackern völlig neue Möglichkeiten.

Dabei erfreuen sich Brute-Force-Attacken wieder steigender Beliebtheit, um Login-Daten, beziehungsweise Passwörter für Privat- wie Unternehmens-Accounts abzugreifen. Lesen Sie, was Brute-Force-Angriffe auszeichnet, wie die Kompromittierungs-Methode funktioniert und was Sie tun können, um sich bestmöglich gegen diese digitalen Gewaltakte abzusichern.

Brute Force - Definition

Bei einer Brute-Force-Attacke versucht ein Angreifer durch wiederholte und systematische Eingabe verschiedener Usernamen und Passwörter Login-Daten zu "erraten". Zur Umsetzung dieses äußerst simplen, aber Ressourcen-intensiven Angriffs nach dem Trial-and-Error-Prinzip kommen für gewöhnlich Automatisierungs-Tools, Skripte oder Bots zum Einsatz, die sich so lange an allen möglichen Kombinationen von Usernamen und Passwörtern versuchen, bis ihnen Zugang gewährt wird.

"Es handelt sich um eine althergebrachte Angriffsmethode, die aber immer noch effektiv und bei Hackern beliebt ist", weiß David Emm, Principal Security Researcher bei Kaspersky. "Brute-Force-Angriffe werden oft genutzt, um Devices in Remote-Netzwerken zu kompromittieren und persönliche Daten wie Passwörter, Benutzernamen und PINs zu stehlen."

Das bedeutet auch: Je stärker das Passwort und die Verschlüsselung der Daten, umso mehr Rechenleistung ist auf Seiten der Cyberkriminellen erforderlich. Unternehmen können also die Effektivität von Brute-Force-Attacken mit den richtigen Mitteln so weit reduzieren, dass eine erfolgreiche Kompromittierung für die Angreifer nahezu unmöglich wird.

Brute-Force-Angriffsarten

Geht es um Brute-Force-Attacken, unterscheidet man zwischen den folgenden Angriffsarten:

  • Traditionelle Brute-Force-Attacken: Hierbei versuchen sich die Angreifer an allen möglichen Kombinationen von Login-Daten.

  • Reverse Brute Force: Eine kleine Anzahl von gängigen Passwörtern wird mit vielen verschiedenen Accounts kombiniert.

  • Credential Stuffing: Hierbei werden anderweitig gestohlene Login-Informationen eingesetzt, um diverse weitere Services oder Applikationen zu kompromittieren.

  • Dictionary-Attacken: Hierbei dienen Wörterbücher oder Listen mit gestohlenen Passwörtern den Angreifern als Kompromittierungs-Quelle.

  • Rainbow-Table-Angriffe: Mit Hilfe von vorberechneten Dictionaries oder Plaintext-Passwörtern (und den korrespondierenden Hash-Werten) versuchen die Angreifer die Hash-Funktion umzudrehen.

Brute-Force-Attacken - Funktionsweise

Wie bereits erwähnt bringen kriminelle Hacker im Rahmen von Brute-Force-Angriffen für gewöhnlich Skripte oder Bots zum Einsatz, die Webseiten oder Applikations-Logins ins Visier nehmen. Dabei haben es die Angreifer nicht nur auf Passwörter, sondern auch auf Verschlüsselungs- oder API-Daten sowie SSH-Logins abgesehen.

"Verläuft eine solche Attacke erfolgreich, hat der Angreifer Remote-Zugriff auf den Zielrechner im Netzwerk", erklärt Security-Experte Emm. "Das Ziel der Kriminellen ist es, persönliche Daten abzugreifen um Zugang zu Onlinekonten und Netzwerk-Ressourcen zu erlangen. Diese können dann wiederum genutzt werden, um Phishing-Links oder Fake-Nachrichten zu verschicken - oder werden schlicht über dunkle Kanäle zum Kauf angeboten."

Hilfestellung leisten kriminellen Hackern dabei zahlreiche Automatisierungs-Tools, die auch zu legitimen Zwecken - etwa im Rahmen von Penetration-Tests - zum Einsatz kommen. Einige der bekanntesten Brute-Force-Werkzeuge sind etwa:

  • Hashcat

  • Brutus

  • Medusa

  • THC Hydra

  • Ncrack

  • John the Ripper

  • Aircrack-ng

  • Rainbow

"Viele dieser Tools sind in der Lage, ein einzelnes Passwort innerhalb von Sekunden aufzudecken", weiß Emm. Die Programme funktionierten dabei unabhängig vom Protokoll - egal ob nun FTP, MySQL, SMPT oder Telnet - und ermöglichten den Cyberkriminellen unter anderem, WLAN-Modems zu kompromittieren oder verschlüsselte Passwörter in geschützten Bereichen auszulesen, so der Experte weiter.

Der Erfolgsfaktor einer Brute-Force-Attacke wird an der Zeit gemessen, die es braucht, um erfolgreich ein Passwort zu cracken. Mit zunehmender Passwortlänge steigt auch der Zeitrahmen: Laut dem Security-Anbieter Cloudflare würde es circa neun Minuten dauern, ein siebenstelliges Passwort zu knacken - bei 15 Millionen Versuchen pro Sekunde. Ein Passwort mit 13 Zeichen wäre in 350.000 Jahren geknackt. Die Verschlüsselungsmethode die zur Anwendung kommt, spielt daher ebenfalls eine tragende Rolle für die Passwortsicherheit: Bei einer 128-Bit-Verschlüsselung gibt es 2128 verschiedene Kombinationen - während ein Angreifer bei einer Verschlüsselung mit 256-Bit bereits 2256 mögliche Kombinationen testen muss. Das würde beim derzeitigen Stand der Technologie mehrere Billionen Jahre dauern. Selbst Angreifer, die sich die Rechenleistung von dedizierten GPUs zu Nutze machen, um Ihre kriminellen Methoden zu beschleunigen, kann mit möglichst komplexen Passwörtern und starker Verschlüsselung ein Knüppel zwischen die Beine geworfen werden.

"Wie IBM berichtet, ist es allerdings durchaus Usus unter Cyberkriminellen, dieselben Systeme über Monate oder gar Jahre Tag für Tag aufs Neue ins Visier zu nehmen", weiß Emm.

Remote Work als Brute-Force-Treiber

Laut des Verizon Data Breach Report stehen weniger als 20 Prozent der Datenlecks in kleinen und mittleren Betrieben mit Brute Force in Verbindung - im Fall von großen Unternehmen weniger als 10 Prozent. Diese Werte bewegten sich in den Jahren 2018 und 2019 auf ähnlichem Niveau, allerdings könnte die Coronavirus-Pandemie hier für eine nachhaltige Veränderung gesorgt haben, wie Kaspersky-Researcher Emm meint: "Der im Zuge der Krise vielerorts stattfindende Shift hin zu Remote Work hatte und hat dirkete Auswirkungen auf die Cyber-Bedrohungslandschaft. Die kriminellen Hacker wussten ganz genau, dass damit die Zahl der schlecht abgesicherten Remote-Desktop-Protocol-Server rasant steigt und haben ihre Attacken entsprechend hochgefahren. Es ist nicht damit zu rechnen, dass sich das in naher Zukunft ändern wird - im Gegenteil".

Brute-Force-Angriffe - das können Sie tun

Auch wenn der Security-Spezialist von Kaspersky ein düsteres Bild für die Zukunft zeichnet und es keine einhundertprozentige Absicherung gegen Brute-Force-Angriffe gibt: Unternehmen können mit Hilfe einiger Maßnahmen dafür sorgen, dass die Passwort-Cracking-Versuche von Cyberkriminellen so viele Ressourcen und so viel Zeit wie nur möglich fressen. Die folgenden Maßnahmen machen Ihr Unternehmen zu einem weit weniger attraktiven Brute-Force-Ziel:

  • Nutzen Sie möglichst lange, komplexe Passwörter und eine starke Verschlüsselungsmethode (idealerweise 256-Bit)

  • Speichern Sie Passwörter nur im Hash-Format und legen Sie diese idealerweise in einer separaten Datenbank ab

  • Sorgen Sie dafür, dass Ihre Passwort-Richtlinien zeitgemäß ausgestaltet sind und kommunizieren Sie diese entsprechend an Ihre Mitarbeiter

  • Begrenzen Sie die möglichen Login-Versuche innerhalb eines definierten Zeitrahmens oder veranlassen Sie einen Passwort-Reset nach einer besteimmten Anzahl von Login-Fehlversuchen

  • Begrenzen Sie den Zeitrahmen für die Authentifizierung von Passwörtern

  • Setzen Sie Captchas ein

  • Nutzen Sie Multi-Faktor-Authentifizierung wo möglich

  • Erwägen Sie den Einsatz von Passwort-Managern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.