Passwörter sind ein wichtiger, aber oft auch wirklich lästiger Bestandteil des Unternehmensalltags. Für jede Software sollten wir uns neue, komplizierte Wort-Zahl-Kombinationen ausdenken, die wir im besten Fall auch noch auswendig im Kopf behalten.
Wie wichtig Passwörter sind, ist jedoch leicht zu unterschätzen. Denn geben Sie sich dabei nicht konsequent Mühe, können Hacker und Hackerinnen binnen Sekunden mit Brute-Force-Attacken in Ihre Systeme eindringen.
Was ist Brute Force?
Die Brute-Force-Methode kommt in verschiedenen Bereichen zum Einsatz, zum Beispiel in der Kryptologie und in der Informatik. Sie wird unter anderem angewendet, um verschlüsselte Systeme zu knacken. Der Begriff „Brute Force" stammt aus dem Englischen und bedeutet übersetzt „rohe Gewalt".
Was ist eine Brute-Force-Attacke?
Bei einem Brute-Force-Angriff, „Brute Force Attack“ auf Englisch, versuchen die Angreifenden, sich mit der Brute-Force-Methode Zugang zu einem System, zum Beispiel zu einer Software oder einer Datenbank, zu verschaffen. Das Passwort „erraten“ sie meist, indem sie ein oder mehrere Brute Force Tools einsetzen.
Die Dauer des Brute-Force-Angriffs ist dabei abhängig vom bestehenden Schutz Ihres Systems. Bei einem einfachen Passwort kann die Attacke innerhalb weniger Sekunden erfolgreich sein, bei einem gut schützenden Passwort kann der Brute-Force-Angriff jedoch auch mehrere Tage dauern.
Wie funktioniert Brute Force?
Codes, Schlüssel oder Passwörter zu entschlüsseln ist eine große Herausforderung. Eine, die Hackende bei Brute-Force-Angriffen mit der Trial-&-Error-Methode angehen – also Ausprobieren und Erraten. Es werden unzählige Kombinationen von Buchstaben und Zahlen durchgespielt, um die richtige Lösung zu finden.
In der Informationstechnologie gibt es zwei Gruppen, die auf Brute Force setzen. Das sind zum einen Menschen wie Hacker und Hackerinnen, die in Systeme eindringen, um beispielsweise Daten zu stehlen. Zum anderen wenden IT-Security-Spezialisten und -Spezialistinnen die Brute-Force-Methode an, um Schwachstellen in IT-Systemen zu finden.
Um so viele potenzielle Passwörter wie möglich innerhalb kürzester Zeit durchprobieren zu können, nutzen viele Cyberkriminelle Tools für ihre Brute-Force-Attacken. Dazu zählen beispielsweise Brutus, Medusa, THC Hydra, John the Ripper und BruteX.
Welche Arten von Brute-Force-Angriffen gibt es?
Um Passwörter mit Brute Force zu knacken, gibt es verschiedene Methoden und Maßnahmen. Die gängigsten Arten dabei sind traditionelle Brute-Force-Angriffe, Reverse-Brute-Force-Attacken, Wörterbuchangriffe und Credential Recycling.
Traditionelle Brute-Force-Angriffe
Wenn Angreifer oder Angreiferinnen keine Anhaltspunkte haben, wie das Passwort auch nur ansatzweise lauten könnte, starten sie einen traditionellen Brute-Force-Angriff.
Hierbei probieren sich sowohl IT-Security-Spezialisten (auch White Hat Hackende genannt), als auch Cyberkriminelle (auch Black Hat Hackende genannt), mit ihren Brute Force Tools durch alle möglichen Zeichenkombinationen durch, bis sie die richtige gefunden haben.
Wörterbuchangriffe
Da viele User und Userinnen Namen oder Begriffe als Passwort nutzen, versuchen die Angreifenden häufig als ersten Angriff, die Passwörter mithilfe von Wörterbüchern zu finden. Dazu nutzen sie Brute Force Tools, die die Lexika in Sekundenschnelle durchgehen und jedes Wort darin als Passwort ausprobieren.
Reverse-Brute-Force-Angriffe
Bei Reverse-Brute-Force-Attacken liegt den Angreifenden statt des Nutzernamens das Passwort vor. Statt Zugang zu einem bestimmten Account zu bekommen, suchen sie somit statt dem richtigen Passwort den richtigen Anmeldenamen, um Zugang zum gewünschten System zu erlangen.
Credential Recycling
Um Credential Recycling handelt es sich, wenn die Hacker und Hackerinnen in vorherigen Attacken bereits Anmeldedaten und Passwort-Kombinationen erbeutet haben und versuchen, mithilfe dieser in weitere Systeme und Tools einzudringen.
Gefahren von Brute-Force-Angriffen
Erlangen Angreifer und Angreiferinnen den Zugang zu einem System, kann das fatale Folgen haben – besonders im Unternehmenskontext. In Unternehmensdatenbanken befindet sich eine Vielzahl wichtiger Daten, wie sensible Kundendaten oder Geschäftsgeheimnisse. Diese können die Kriminellen erbeuten und weiterverkaufen. Genauso können sie Festplatten und Server verschlüsseln, um Lösegeld zu erpressen.
Was das Ziel der Attacke auch ist, der meist schwerwiegendste Verlust für Ihr Unternehmen ist dabei das Vertrauen Ihrer Kundschaft. Das Bewusstsein über Datensicherheit in Internet ist bei Konsumierenden in den letzten Jahrzehnten immer weiter gestiegen und Ihre Kundschaft vertraut darauf, dass Sie diese zuverlässig gewährleisten. Enttäuschen Sie diese Erwartung, schadet das dem Ruf Ihres Unternehmens gewaltig.
Schutz vor Brute-Force-Attacken: Was hilft?
Glücklicherweise gibt es einige Wege, um Cyberkriminellen den Zugang zu Ihren Unternehmensdaten zu erschweren.
- Lang, kompliziert und einzigartig: Der Einsatz von sicheren Passwörtern ist das A und O, um die Dauer von Brute-Force-Angriffe zu verlängern und die Attacken so zu vereiteln.
Das heißt: Die Zugangsschlüssel sollten möglichst lang und kompliziert ausfallen. Am besten verwenden Sie Kombinationen aus großen und kleinen Buchstaben, Ziffern und Sonderzeichen. Auch wichtig: Verwenden Sie ein Passwort niemals mehrfach, auch wenn es bequem scheint!
- Zwei-Faktor-/Multifaktor-Authentifizierung: Die Authentifizierung eines Logins über weitere Systeme erhöht die Sicherheit Ihrer Daten erheblich. Eine häufig verwendete Version der Zwei-Faktor-Authentifizierung ist beispielsweise die Bestätigung des Logins über einen Code, welcher Ihnen per SMS zugesendet wird. Die entsprechende Handynummer geben Sie dabei bei der Registrierung an.
- Captchas: „Ich bin kein Roboter“-Felder, die bestätigt werden müssen und die meist zugehörigen „Wählen Sie alle Bilder, auf denen X zu sehen ist“-Suchspiele mögen zwar oft Zeit und Nerven kosten, sie schützen Ihre Accounts jedoch gleichzeitig effektiv gegen softwaregestützte Brute-Force-Angriffe.
- Begrenzte Login-Versuche: Indem Sie nur eine kleine Anzahl an Passwort-Eingabeversuchen innerhalb einer bestimmten Zeit erlauben, zwingen Sie Brute-Force-Angreifende dazu, häufige und regelmäßige Pausen bei ihrem Ratespiel einzulegen. Besonders Brute Force Tools werden damit effektiv ausgebremst.
- IP-Adressen sperren: Schließen Sie IP-Adressen aus, die dubios erscheinen oder nachweisbar aus kritischen Bereichen stammen. So können die Hackenden Ihre Versuche teils gar nicht erst beginnen.
Brute Force und das Passwort-Thema
Cyberkriminellen gelingen ihre Angriffe häufig nur, weil sie über rohe Gewalt versuchen, Zugang zu IT-Systemen zu erlangen. Neben technischen Maßnahmen müssen Sie daher auch mit Menschenverstand für Schutz vor Brute Force sorgen. Verbannen Sie simple Passwörter wie “123456” oder “Schatz” und überlegen Sie sich für jeden Account einen individuellen, langen und unlogischen Schlüssel.
Was gerne vergessen wird: Jedes Zeichen mehr hilft wirklich! So gibt es zum Beispiel für ein Passwort mit zehn bunt gemischten Zeichen 839.299.365.868.340.200 Kombinationsmöglichkeiten. Wenn Sie nun noch die Kombinationsmöglichkeiten mit dem Alphabet und eventuellen Sonderzeichen hinzunehmen, wird Ihr Passwort selbst für gute Hackende und deren Tools zur Herausforderung!
Titelbild: seksan Mongkhonkhamsao / iStock / Getty Images Plus