Brute-Force-Angriff

Worum geht es?

Die Cyberkriminalität, die sich in vielen Fällen gegen Unternehmen richtet, wächst kontinuierlich. Unternehmen sehen sich daher zunehmend einem Risiko ausgesetzt, dem mit geeigneten technischen und organisatorischen Maßnahmen begegnet werden sollte. Die Kriminellen andererseits können sich einer breiten Palette an möglichen „Werkzeugen“ bedienen, um Unternehmen anzugreifen. Ein mögliches Werkzeug in dieser Palette stellt der sogenannte Brute-Force-Angriff dar. Ein Ziel eines solchen Angriffs kann es sein, Zugriff auf Benutzeraccounts der Mitarbeiter – welche mit einem Zugangsnamen und Passwort geschützt sind – zu erhalten.

Der Begriff „Brute-Force“ stammt aus dem englischen und bedeutet so viel wie „schiere Gewalt“. Dies beschreibt die Vorgehensweise eines solchen Angriffs gut. Bei dieser Art von Angriff probiert der Angreifer der Reihe nach verschiedene Passwörter aus, bis das richtige Kennwort „zufällig“ erraten wurde und somit der Zugriff auf das jeweilige IT-System möglich ist. Für diese Art von Angriff gibt es speziell dafür konfigurierte Systeme, die je nach Hardwareperformance und Anbindung durchaus mehrere Milliarden Passwörter pro Sekunde „ausprobieren“ können. Je komplexer das zu erratende Passwort ist, desto schwieriger stellt sich ein Brute-Force-Angriff dar, denn desto länger dauert ein erfolgreicher Angriff dadurch in der Regel. Die Komplexität eines Kennwortes setzt sich zusammen aus der Zeichenanzahl und der verwendeten Kriterien-Anzahl (Groß- und Kleinbuchstaben, Sonderzeichen & Zahlen).

Die Angriffsmethode lässt sich auch auf weitere Gebiete, wie zum Beispiel der Verschlüsselung von Informationen ausdehnen. Hier wird bei einem Brute-Force-Angriff analog versucht, den entsprechenden Schlüssel zu erraten.

Brute-Force-Angriffe stellen eine reale Bedrohung für Ihr Unternehmen dar

Durch das Erraten von Benutzerzugängen erhalten Angreifer Zugriff auf unternehmensinterne Informationen wie Betriebs- und Geschäftsgeheimnisse und in der Regel auch auf personenbezogene Daten. Ein erfolgreicher Angriff bedeutet somit in den meisten Fällen auch einen meldepflichtigen Datenschutzverstoß.

Die verantwortliche Stelle ist daher gut beraten, geeignete Maßnahmen zum Schutz vor Brute-Force-Angriffen zu ergreifen. Dafür eignen sich regelmäßig folgende Maßnahmen:

  • Sperrung der Zugänge nach einer bestimmten Zahl von Fehleingaben
  • Vorschriften für eine geeignete und technisch erzwungene Passwortkomplexität
  • Flankierende organisatorische Hinweise in Form einer Passwortrichtlinie
  • Verwendung einer Zwei-Faktor-Authentifizierung
  • Login-Möglichkeiten auf das eigene Unternehmensnetzwerk begrenzen und Zugriffe von außen ausschließlich via VPN ermöglichen

Die Bedrohung durch Brute-Force-Angriffe ist nur eine von vielen weiteren Möglichkeiten, auf die Sie als verantwortliche Stelle mit geeigneten Maßnahmen reagieren sollten.

Wir von ENSECUR beraten Sie gerne. Nehmen Sie Kontakt mit uns auf!

Hilfreicher Link:

Verfasser: Steven Bösel, 06.10.2021

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!