Was ist ein Brute-Force-Angriff?

Brute-Force-Angriff: Was ist das und worum geht es?

Die Cyberkriminalität, die sich in vielen Fällen gegen Unternehmen richtet, wächst kontinuierlich. Unternehmen sehen sich daher zunehmend dem Risiko ausgesetzt, Opfer von erfolgreichen Cyberattacken zu werden, welchem mit geeigneten technischen und organisatorischen Maßnahmen begegnet werden sollte. Kriminelle können sich einer breiten Palette an möglichen „Werkzeugen“ bedienen, um Unternehmen anzugreifen. Ein mögliches Werkzeug in dieser Palette stellt der sogenannte Brute-Force-Angriff dar. Ein mögliches Ziel eines solchen Angriffs kann sein, Zugriff auf Benutzeraccounts der Mitarbeiter – welche mit einem Zugangsnamen und Passwort geschützt sind – zu erhalten.

Brute-Force-Angriff: Definition

Der Begriff „Brute-Force“ stammt aus dem englischen und bedeutet so viel wie „schiere Gewalt“. Dies beschreibt die Vorgehensweise eines solchen Angriffs gut. Bei dieser Art von Angriff probiert der Angreifer der Reihe nach verschiedene Passwörter aus, bis das richtige Kennwort „zufällig“ erraten wurde und somit der Zugriff auf das jeweilige IT-System möglich ist. Häufig werden Brute-Force Angriffe auch mit anderen Methoden kombiniert, um die Erfolgsaussichten zu erhöhen. Eine dieser Methoden, ist die so genannte „Dictionary attack“. Wie der Name bereits vermuten lässt, werden bei einem solchen Angriff vorwiegend Wörter aus einem Wörterbuch für das „Knacken“ des Passworts ausprobiert. Diese Methode zur Erhöhung der Erfolgsaussichten bei Brute-Force Angriffen ist aber nur dann effektiv, wenn simple Passwörter verwendet werden, in denen ganze Wörter enthalten sind. Sobald eine gewisse Komplexität der Kennwörter vorhanden ist, erweist sich die Dictionary attack als nutzlos.

Für Brute-Force Angriffe gibt es speziell dafür konfigurierte Systeme, die je nach Hardwareperformance und Anbindung durchaus mehrere Milliarden Passwörter pro Sekunde „ausprobieren“ können. Je komplexer das zu erratende Passwort ist, desto schwieriger stellt sich eine Brute-Force-Attacke dar, da dieser dann in der Regel länger dauert. Die Komplexität eines Kennwortes setzt sich zusammen aus der Zeichenanzahl und der verwendeten Kriterien-Anzahl (Groß- und Kleinbuchstaben, Sonderzeichen & Zahlen).

Die Angriffsmethode lässt sich auch auf weitere Gebiete, wie zum Beispiel der Verschlüsselung von Informationen ausdehnen. Hier wird bei einer Brute-Force-Attacke analog versucht, den entsprechenden Schlüssel zu erraten.

Brute-Force-Angriffe stellen eine reale Bedrohung für Ihr Unternehmen dar

Durch das Erraten von Benutzerzugängen erhalten Angreifer Zugriff auf unternehmensinterne Informationen wie Betriebs- und Geschäftsgeheimnisse und in der Regel auch auf personenbezogene Daten. Ein erfolgreicher Angriff bedeutet somit in den meisten Fällen auch einen meldepflichtigen Datenschutzverstoß.

Was können Angreifer mit den Zugangsdaten erreichen?

Sobald ein Angreifer Kenntnis von gültigen Zugangsdaten hat, kommt in den meisten Fällen eine weitere Taktik ins Spiel. Das so genannte „Credential Stuffing“. Bei dieser Methode geht der Angreifer davon aus, dass der betroffene Nutzer häufig die gleichen oder ähnliche / leicht abgewandelte Kennwörter in unterschiedlichen Systemen verwenden. Daher probiert der Angreifer die erfolgreich erratenen Zugangsdaten auch in diversen anderen gängigen Systemen aus.

In Unternehmen wird dies unter Umständen zum Problem, wenn keine geeigneten Maßnahmen ergriffen wurden.

Maßnahmen zum Schutz vor Brute-Force und Credential Stuffing Angriffen

Die verantwortliche Stelle ist gut beraten, geeignete Maßnahmen zum Schutz vor Brute-Force-Angriffen und Credential Stuffing zu ergreifen. Dafür eignen sich regelmäßig folgende Maßnahmen:

  • Sperrung der Zugänge nach einer bestimmten Anzahl von Fehleingaben (z.B. eine 5 Minuten Eingabesperre nach 3 Fehleingaben)
  • Grundsätzliche und sofortige Sperrung von Accounts ausgeschiedener Mitarbeiter & Dienstleister
  • Verbindliche organisatorische Anweisungen in Bezug auf die Wahl der Kennwörter in Form einer Passwortrichtlinie
  • Verbindliche Vorgaben zur Kennwortlänge (z.B. 12 Zeichen oder mehr)
    • Verbindliche Vorgaben zur Komplexität (z.B. 3 aus 4 Kriterien)
    • Verbot der Verwendung von Kennwörtern aus dem privaten Umfeld
    • Verbot zur Verwendung identischer & leicht abgewandelter Kennwörter in unterschiedlichen Systemen
  • Technische Umsetzung der Richtlinie, soweit möglich
  • Verwendung einer Zwei-Faktor-Authentifizierung
  • Login-Möglichkeiten auf das eigene Unternehmensnetzwerk begrenzen und Zugriffe von außen ausschließlich via VPN ermöglichen

Beachten Sie außerdem, dass das technische Erzwingen der Passwortrichtlinie (z.B. Eingrenzen der möglichen fehlerhaften Login-Versuche, zeitlich begrenzte Sperre des jeweiligen Accounts) essentiell ist, jedoch bei weitem kein Ersatz für eine schriftliche Passwortrichtlinie darstellt. Die Passwortrichtlinie ist in aller Regel unternehmensweit gültig und gilt somit auch für andere Systeme, die von Mitarbeitern genutzt, aber nicht durch die verantwortliche Stelle selbst administriert werden (kann). Die technische Umsetzung einer Passwortrichtlinie entzieht sich somit teilweise der Einflussnahme des Unternehmens, sodass es wichtig ist, die Mitarbeiter per dokumentierter Passwortrichtlinie selbst für die Einhaltung der Passwortvorgaben in die Pflicht zu nehmen.

Die Bedrohung durch Brute-Force-Angriffe ist nur eine von vielen weiteren Möglichkeiten, auf die Sie als verantwortliche Stelle mit geeigneten Maßnahmen reagieren sollten.

Wir von ENSECUR beraten Sie gerne. Nehmen Sie Kontakt mit uns auf!

Hilfreicher Link:

Verfasser: Steven Bösel, 06.10.2021, Update: 29.07.2022

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!