Eine Frau hält ihren Laptop und versucht sich einzuloggen

Brute-Force-Angriff

Mit Brute-Force-Attacken versuchen Hacker, Zugriff auf ein System oder einen Account zu erlangen. Dazu nutzen sie oft automatisierte Brute-Forcing-Software, die systematisch verschiedene Passwortkombinationen testet.

Zurück zum Glossar

Was ist ein Brute-Force-Angriff?

Im Bereich der Informationssicherheit versteht man unter einem Brute-Force-Angriff eine Hacking-Methode, bei der automatisierte Software eingesetzt wird, um die korrekte Kombination aus Zeichen in Passwörtern und anderen Zugangsdaten zu ermitteln und so auf Systeme oder Konten zuzugreifen. Diese Angriffsmethode ist zwar zeit- und ressourcenintensiv, führt Cyberkriminelle aber vor allem im Falle schwacher Passwörter und unzureichend gesicherter Konten oft zum Erfolg.

Die Pandemie und damit verbundene neue Arbeitsmodelle wie Hybrid und Remote Work führten in den letzten Jahren zu einem Anstieg an Brute-Force-Attacken. Insbesondere das Jahr 2021 war dahingehend ein schwieriges Jahr, denn es kam zu mehreren solcher großflächigen Attacken – beispielsweise Angriffe auf Microsoft Exchange Server. Dabei erlangten Cyberkriminelle vollen Zugriff auf E-Mails und Passwörter, Administratorrechte und Geräte von mehr als 250.000 Servern mehrerer öffentlicher Einrichtungen weltweit, unter anderem der Europäischen Bankenaufsichtsbehörde und des norwegischen Parlaments.

Laut einer 2022 von Google Cloud durchgeführten Studie ist Brute Force der häufigste Angriffsvektor gegen Cloud-Anbieter, wobei schwache oder standardisierte Passwörter die größte Schwachstelle darstellen. Hinzu kommt, dass durch Innovationen im Bereich der KI heute selbst die komplexesten Passwörter in Sekundenschnelle geknackt werden können. Das macht zusätzliche Schutzmaßnahmen, wie starke Passwortrichtlinien, fortschrittliche Erkennungssysteme und Multi-Faktor-Authentifizierung unumgänglich, um das Risiko für Brute-Force-Angriffe zu reduzieren.

Laptop mit zerbrochenem Bildschirm als Symbol für einen Brute-Force-Angriff

Arten von Brute-Force-Angriffen

Mit verschiedenen Brute-Force-Strategien umgehen Cyberkriminelle Sicherheitssysteme und führen ihre Angriffe in vielen Fällen unbemerkt aus. Bei den meisten Brute-Force-Attacken kommt spezielle Brute-Forcing-Software zum Einsatz, die es ermöglicht, schnell und effizient unzählige Kombinationen aus Benutzername und Passwort zu testen und so Schwachstellen aufzuspüren und in Systeme einzudringen. Im Gegenteil zu manuellen Brute-Force-Angriffen kann beim Einsatz solcher Software – ganz zum Vorteil der Cyberkriminellen – menschliches Versagen ausgeschlossen werden. Darüber hinaus können die Angreifenden so gleich mehrere Organisationen oder Personen ins Visier nehmen. Das sind die häufigsten Brute-Force-Methoden:

Infografik zu den unterschiedlichen Arten von Brute-Force-Angriffen
  • Traditioneller Brute-Force-Angriff: Mittels Hacking-Software werden so lange beliebige Kombinationen von Zeichen durchgespielt, bis das zum Nutzernamen passende Kennwort dabei ist.
  • Wörterbuchangriff: Bei dieser Methode testet eine automatisierte Software die am häufigsten genutzten Begriffe und Ausdrücke aus einem Wörterbuch, um so das korrekte Passwort aufzuspüren. Deshalb sollte man für Passwörter stets beliebige Wortkombinationen oder Fantasiebegriffe verwenden, die den Angreifenden unbekannt, für den User aber leicht zu merken sind.
  • Hybrider Brute-Force-Angriff: Diese Angriffsmethode kombiniert die vorherigen zwei Methoden – die traditionelle Brute-Force-Attacke und den Wörterbuchangriff. Dabei setzen Cyberkriminelle ausgeklügelte Hacking-Software ein, die sowohl Wörterbücher als auch beliebige Zeichenkombinationen heranzieht, um Passwörter zu ermitteln.
  • Credential Stuffing: Dabei geben Angreifende zuvor gehackte Anmeldedaten in derselben Kombination auf verschiedenen Webseiten ein, bis sie Erfolg haben. Deshalb sollte man für alle Konten unterschiedliche Zugangsdaten verwenden. So sind nicht gleich alle Accounts betroffen, sobald einer gehackt wird.
  • Password Spraying: Password Spraying ist auch als „Reverse-Brute-Force-Attacke“ bekannt und funktioniert – wie der Name bereits verrät – genau andersherum als traditionelle Brute-Force-Angriffe. Während bei der traditionellen Methode viele Passwörter für denselben Benutzernamen ausprobiert werden, werden beim Password Spraying hingegen nur die geläufigsten Standardpasswörter genutzt und mit einer Vielzahl an Benutzernamen kombiniert, bis ein Treffer dabei ist.
  • Rainbow-Table-Angriff: Bei einem Rainbow-Table-Angriff nutzen die Angreifenden eine sogenannte Rainbow-Hash-Tabelle mit vorberechneten Hashwerten und den zugehörigen Passwörtern. Die Hashwerte basieren auf einem mathematischen Algorithmus, der ein Passwort in eine randomisierte Abfolge von Buchstaben und Zahlen umwandelt. Angreifende erhalten eine Kopie der gehashten Passwörter aus dem System, das sie knacken wollen, und gleichen diese mit den Hashwerten der Rainbow-Tabelle ab. Finden sie denselben Hashwert in der Tabelle, können sie das zugehörige Passwort einsehen und dieses nutzen, um in den Account einzudringen.

Die Folgen von Brute-Force-Angriffen

Von unautorisiertem Zugriff über finanzielle Verluste bis hin zum Identitätsdiebstahl und zur Verbreitung von Malware: Vor den zerstörerischen Folgen von Brute-Force-Angriffen sind weder Organisationen noch Einzelpersonen sicher.

Bei Angriffen auf Organisationen werden meist einzelne Mitarbeitende ins Visier genommen, anstatt auf die Organisation als Ganzes abzuzielen. Oft haben erfolgreiche Brute-Force-Angriffe katastrophale Folgen, die von Geldeinbußen über gesetzliche Haftung und Rufschädigung bis hin zum Vertrauensverlust bei den Kunden reichen können:

  1. Nicht autorisierter Zugriff
    Sobald Angreifende ein System infiltrieren, haben sie Zugriff auf E-Mails, Social-Media-Konten und finanzielle Informationen, die sie danach zur Manipulation, zum Datendiebstahl, zur Verbreitung von Malware und für andere betrügerische Aktivitäten einsetzen können. Wenn Einzelpersonen darüber hinaus dasselbe Passwort für mehrere Accounts nutzen, können die Angreifenden auch auf diese zugreifen.
  2. Finanzielle Verluste  
    Eine erfolgreiche Brute-Force-Attacke kann für Organisationen und einzelne Personen den Diebstahl von sensiblen Finanzdaten zur Folge haben. Solche Daten ermöglichen Cyberkriminellen, die Bankkonten oder Krypto-Wallets der Betroffenen zu leeren, nicht autorisierte Käufe auf Websites durchzuführen oder Lösegeld für die Freigabe der gehackten Konten oder die Rückgabe der gestohlenen Daten zu verlangen – wie der Angriff auf T-Mobile 2021 auf drastische Art verdeutlichte. Nach dem unerlaubten Zugriff auf die Unternehmenssysteme standen die personenbezogenen Daten von mehr als 76 Millionen T-Mobile-Usern in einem Cybercrime-Forum zum Verkauf. Als Folge erlitt T-Mobile einen finanziellen Verlust von 350 Millionen US-Dollar in Form von Abwicklungsgebühren und Gerichtskosten für die Klagen, die die knapp 2 Millionen betroffenen Kundinnen und Kunden eingereicht hatten. 
  3. Identitätsdiebstahl
    Oft haben es Angreifende bei Brute-Force-Attacken auf persönliche Daten, wie Namen, E-Mail-Adressen, den Wohnsitz, Sozialversicherungsnummern und Kreditkartendaten abgesehen. Diese nutzen sie später für ihre betrügerischen Zwecke: Sie fordern Lösegeld, erpressen Einzelpersonen, betreiben Cyber-Stalking, schädigen bewusst den Ruf ihrer Opfer und mehr. Als Konsequenz verlieren die Opfer an Kreditwürdigkeit und leiden unter rechtlichen Nachwirkungen, von denen sie sich oft nur langsam wieder erholen. 
  4. Verbreitung von Malware
    Dringen Angreifende in ein System ein, erhalten sie Zugang zu Kontaktverzeichnissen und Geräten, die sie wiederum nutzen können, um Malware, Ransomware oder andere schädliche Software im System zu verbreiten. So können sie über ein gehacktes E-Mail-Konto beispielsweise Spam-Mails und schädliche Anhänge versenden oder Geräte und Systeme einem Botnet hinzufügen, das die Malware auf weitere Systeme der Organisation verbreitet. Auf diese Weise erhalten sie Zugriff auf die Systeme ihrer Zielperson und können sich weitere Zugangsdaten oder andere wertvolle Informationen beschaffen.
  5. Diebstahl geistigen Eigentums
    In manchen Fällen stehlen Angreifende wertvolles geistiges Eigentum, wie Geschäftsgeheimnisse, unternehmenseigene Informationen oder Forschungsdaten, um sich damit einen Wettbewerbsvorteil zu verschaffen. Der Verlust interner Informationen kann Organisationen in ihrer Marktposition schwächen, während ihre Wettbewerber von gestohlenen Innovationen profitieren oder Produkte, Prozesse oder dergleichen replizieren.
  6. Schädigung des Rufs
    Mangelnde Security-Maßnahmen können zu Brute-Force-Angriffen führen, die der Marke und dem Ruf einer Organisation langfristig schaden können – insbesondere, wenn persönliche Daten betroffen sind. Der Vertrauensverlust bei Kunden, Partnern und sogar Konkurrenten kann dem Geschäft schaden, Partnerschaften zerstören und finanzielle Einbußen nach sich ziehen. Laut einem Bericht von Forbes Insights kann ein IT-Systemausfall (zum Beispiel ausgelöst durch einen Cyber-Zwischenfall) den Ruf einer Organisation so stark schädigen wie kein anderer Zwischenfall. Die Rufschädigung hält oft weit über die Wiederherstellung des Betriebs hinaus und in manchen Fällen sogar noch jahrelang danach an.  
  7. Rechtliche und regulatorische Folgen
    Datenschutzverletzungen oder die Nichteinhaltung der Datenschutzvorschriften können für Organisationen rechtliche und regulatorische Folgen nach sich ziehen. Brute-Force-Angriffe können zum Beispiel einen Verstoß gegen den Cybersecurity-Act der EU, die DSGVO (Datenschutz-Grundverordnung) oder den Health Insurance Portability and Accountability Act (HIPAA) bedeuten. 
  8. Geschäftsunterbrechungen
    Erfolgreiche Brute-Force-Angriffe können Systemausfälle und Betriebsunterbrechungen verursachen und wichtige Dienste lahmlegen. Die Folge: Produktivitätseinbußen und mit der Wiederherstellung verbundene Kosten. Während der Recovery-Phase können zudem hohe Opportunitätskosten entstehen – darunter der Verlust von Kontakten, E-Mails, und das Verpassen von Verkäufen, Vertragsabschlüssen und Investitionen, zu denen es ohne den Brute-Force-Angriff gekommen wäre. 

Brute-Force-Arsenal: Die beliebtesten Tools Cyberkrimineller

Je nachdem, welche Ziele sie verfolgen, kommen bei Brute-Force-Angriffen verschiedene Tools einzeln oder in Kombination zum Einsatz. Diese Tools basieren meist auf ausgeklügelter, leistungsfähiger Software, die Benutzernamen und Passwörter knacken und die Schwachstellen eines Systems gezielt ausnutzen kann.

Nur wenn Organisationen wissen, wie und mit welchen Tools Cyberkriminelle bei Brute-Force-Angriffen vorgehen, können sie ihre Konten und Systeme gezielt vor solchen Attacken schützen. Die folgenden Tools kommen bei Brute-Force-Angriffen am häufigsten zum Einsatz:

Laptop umringt von den Logos der geläufigsten Brute-Force-Tools
  • ​​​​​​​​​Aircrack-ng: Ein kostenloses Wifi-Cracking-Tool, das basierend auf einem Wörterbuch der häufigsten Passwörter Drahtlosnetzwerke hackt. Der Erfolg dieses Tools hängt vor allem vom genutzten Wörterbuch ab. Je besser und effektiver dieses ist, desto höher ist das Risiko, dass Cyberkriminelle in das System eindringen.
  • Rainbow Crack: Ein weiteres beliebtes Angriffstool zur Erstellung vorberechneter Rainbow-Tabellen, die das Knacken von Passwörtern beschleunigen. Die Rainbow-Tabellen enthalten eine Liste von Passwort-Hashwerten, die in einer Datenbank mehrere Reduktionsstufen durchlaufen und dabei nach und nach in kleinere Komponenten zerlegt werden.
  • L0phtCrack: Dieses Tool ist bei Windows-Passwörtern besonders effektiv. Um in Konten einzudringen, nutzt es eine Kombination verschiedener Methoden, wie Wörterbücher, Rainbow-Tabellen, Scheduling, Netzwerküberwachung, die Hash-Extraktion von 64-Bit-Systemen und Multiprozessor-Algorithmen.
  • Hashcat: Ein ausgeklügeltes Brute-Force-Hacking-Tool, das auf modernsten Algorithmen basiert und Passwörter durch traditionelle Brute-Force-Angriffe, Wörterbuchangriffe und hybride Angriffe knackt. Es unterstützt verschiedene Hashing-Algorithmen wie LM-Hashes, die SHA-Familie, Unix Crypt Format, MySQL, MD4, MD5 und Cisco PIX.
  • Ncrack: Ein extrem schnelles Cracking-Tool zum Testen von Netzwerkgeräten und -Hosts, über die Angreifende auf das Netzwerk zugreifen und schwache Passwörter knacken. Das Tool nutzt eine Liste an Benutzernamen und Passwörtern in unterschiedlichen Kombinationen, die manuell erstellt oder aus Passwortdatenbanken und -lecks bezogen werden. Das Tool testet jede Kombination am Zielnetzwerk, bis es auf einen Treffer stößt. Es unterstützt zahlreiche Protokolle, wie SSH, RDP, FTP, Telnet, HTTP(S), WordPress, POP3(S), IMAP und mehr.
  • THC Hydra: Eines der beliebtesten Brute-Force-Tools, mit dem Cyberkriminelle Login-Seiten und Anmeldedaten knacken. Es basiert auf Wörterbüchern und Wörterlisten und testet systematisch jeden Benutzernamen und jedes Passwort auf der Ziel-Website. Je nach Antwortcode und Meldung, das es vom System erhält, interpretiert das Tool einen Angriff als erfolgreich oder erfolglos. Es kann Passwörter verschiedener Protokolle knacken, darunter FTP, HTTP, HTTPS, IMAP, MS-SQL, MySQL, PostgreSQL und mehr.
  • Ophcrack: Eine weitere effektive Methode zum Hacken von Passwörtern von Windows-Systemen. Dieses Tool nutzt Rainbow-Tabellen um Passwörter zu knacken, die kürzer als 14 Zeichen sind und nur aus alphanumerischen Zeichen bestehen.
  • John the Ripper: Dieses Tool verwenden Sicherheitsverantwortliche, um die Sicherheit eines Passworts zu testen. Dabei wird auf eine Liste mit häufig genutzten Passwörtern, Wörterbucheinträgen und Variationen zurückgegriffen. Es ist zudem in der Lage, durch das Hinzufügen von Zahlen und Sonderzeichen weitere Variationen zu generieren und somit die Chancen eines Treffers zu steigern. Zum Knacken von Passwörtern kann John the Ripper auch den zur Verschlüsselung des Passworts genutzten Hashing-Algorithmus erkennen und dann anhand von Rainbow-Tabellen die Hashwerte mit den Passwörtern abgleichen.

Wie schnell können Hacker Passwörter knacken?

Wie schnell ein Passwort geknackt werden kann, hängt von Länge und Komplexität des Passworts, der zur Speicherung genutzten Verschlüsselungsalgorithmen und welche Tools und Ressourcen den Angreifenden zur Verfügung stehen, ab. Der Zeitraum kann so zwischen wenigen Sekunden oder auch Milliarden von Jahren variieren.

Komplexität des Passworts

Einfache, kurze Passwörter, die nur Zahlen oder Buchstaben enthalten, sind am schnellsten zu knacken. Bei Passwörtern, die vielfältige Zeichen, wie Zahlen, Groß- und Kleinbuchstaben und auch Symbole enthalten, kann es hingegen Monate oder Jahre dauern. Bereits gehackte Passwörter sollte man deshalb auf keinen Fall noch einmal verwenden, denn damit macht man sich für Hacker zum leichten Opfer.

Aufgrund technologischer Entwicklungen stehen Cyberkriminellen heute fortschrittliche Tools zur Verfügung, die das Knacken von Passwörtern stark beschleunigen. Das Ermitteln eines Passworts mit zehn Zeichen – darunter Zahlen, Groß- und Kleinbuchstaben und Symbole – dauerte 2022 noch etwa fünf Monate. 2023 brauchen Hacker für dasselbe Passwort nur noch zwei Wochen. Dies verdeutlicht die rasante Geschwindigkeit, mit der sich Hacking-Tools weiterentwickeln, und wie wichtig es für Organisationen und Einzelpersonen zum Schutz ihrer Accounts und Systeme ist, über die neuesten Cybersecurity-Trends auf dem Laufenden zu bleiben.

Tabelle zeigt den Zeitaufwand, den Hacker benötigen, um über Brute Force Passwörter zu knacken, basierend auf ihrer Komplexität
Dieses Diagramm zeigt, wie lange Hacker basierend auf Passwortlänge und -komplexität benötigen, um dieses über Brute Force zu knacken. Sind Passwörter unzureichend komplex, können sie unter Umständen augenblicklich geknackt werden (siehe lila Bereich). Je länger und höher der Komplexitätsgrad, desto schwieriger wird das Hacken des Passworts. Der Zeitaufwand dafür kann bei einem sicheren Passwort so bis zu Milliarden oder Billionen von Jahren betragen (siehe grüner Bereich).  

Algorithmus zur Passwortverschlüsselung

Ein weiterer Faktor, der entscheidet, wie einfach (oder schwierig) ein System zu knacken ist, ist der Verschlüsselungsalgorithmus der Passwörter. Bei der Passwortverschlüsselung werden die einzelnen Zeichen eines Passworts in Hashwerte konvertiert und in einer Datenbank gespeichert. Sollten Angreifende Zugriff darauf erlangen, wird ihnen lediglich eine beliebige Folge an Zahlen und Buchstaben angezeigt.

Wie komplex die Aneinanderreihung von Zahlen und Buchstaben ist – und folglich wie leicht sie geknackt werden können – hängt vom verwendeten Verschlüsselungsalgorithmus ab. Neuere und stärkere Verschlüsselungsalgorithmen, wie bcrypt und scrypt, sind deutlich weniger schnell zu entschlüsseln als ältere, schwächere Algorithmen, wie MD5 und SHA1.

Tools der Angreifenden

Zu guter Letzt bestimmen auch die Tools der Angreifenden darüber, wie schnell sie Passwörter knacken können. Starke Computer und GPUs können den Vorgang zum Beispiel deutlich beschleunigen. Die jüngsten technologischen Innovationen und der verstärkte Einsatz von KI-Tools in der Cyber-Bedrohungslage haben dazu beigetragen, dass Cyberkriminelle heute deutlich weniger Ressourcen benötigen, um Passwörter zu knacken und in Systeme einzudringen.

Als eines der beliebtesten KI-Tools gilt auch ChatGPT als äußerst effektiv zur Vorbereitung von Brute-Force-Attacken. Mit Hilfe seiner Spracherstellungsfähigkeiten können Angreifende Kombinationen aus möglichen Benutzernamen und Passwörtern erstellen und für ihre Brute-Force-Angriffe nutzen. Das Tool kann die Zeit, die zum Knacken eines Passworts nötig ist, deutlich verkürzen. Oft sind Passwörter sofort oder innerhalb weniger Sekunden entschlüsselt. So würde das Knacken des zuvor erwähnten Passworts mit zehn Zeichen bestehend aus Zahlen, Groß- und Kleinbuchstaben und Symbolen unter Einsatz von ChatGPT nur noch eine Stunde dauern.

Die am häufigsten genutzten Passwörter

Wenn wir bedenken, dass Cyberkriminelle mittlerweile ausgefeilte Hacking-Methoden anwenden, die selbst die kompliziertesten Passwörter knacken können, sollte klar werden, dass wir niemals simple oder einfach zu erratende Passwörter nutzen sollten. Organisationen wie auch Einzelpersonen tun gut daran, einzigartige und möglichst komplexe Passwörter zu verwenden.

Eine Studie von NordPass zeigt, dass die am häufigsten genutzten Passwörter in Deutschland 2022 „123456“, „password“ und „123456789“ waren. Solche Passwörter fallen uns zwar schnell ein und sind leicht zu merken – genauso leicht lassen sie sich jedoch bei Brute-Force-Angriffen knacken, innerhalb von Sekunden. Hinzu kommt, dass viele Personen frei zugängliche Informationen als Teil ihres Passworts nutzen. Das können Geburtstage, der Name des Haustiers, Jahrestage oder ihre Adressen sein. Diese Informationen sind leicht zu erraten und durch Wörterbuch-basierte Brute-Force-Angriffe schnell zu knacken. Davon abgesehen, können Cyberkriminelle viele der Informationen auch in den sozialen Medien finden, sodass Hacker mit ein wenig Recherche deutlich weniger Kombinationen durchprobieren müssen, bis sie auf einen Treffer stoßen.

Liste der zehn häufigsten Passwörter in Deutschland 2022

So vermeiden Sie Brute-Force-Angriffe

Brute-Force-Hacking kann zeit- und ressourcenintensiv sein. Die Folgen eines erfolgreichen Angriffs sind für Privatpersonen wie auch Organisationen jedoch weitreichend. Umso wichtiger ist es, effektive Security-Protokolle im Einsatz zu haben. Die beste Methode zur Vermeidung von Brute-Force-Angriffen sind starke Sicherheitsgewohnheiten – dazu gehören die Nutzung komplexer, einmaliger Passwörter, der Einsatz von Multi-Faktor-Authentifizierung, die Limitierung von Anmeldeversuchen, das Monitoring und Logging von Prozessen, die Nutzung von CAPTCHAs und IP-Blocklists.

​​​​Nutzen Sie starke Passwörter

Die folgenden Tipps helfen sowohl Organisationen als auch Einzelpersonen, starke und zuverlässige Passwörter zu erstellen. Halten Sie diese Tipps ein, sinkt das Risiko eines erfolgreichen Brute-Force-Angriffs und sensible Daten und Assets sind weniger angreifbar:

  • Nutzen Sie dasselbe Passwort nicht für mehrere Accounts: Dasselbe oder sehr ähnliche Passwörter zu nutzen, schwächt die Sicherheit beider Accounts. Haben die Angreifenden erst einmal einen Account gehackt, können sie so direkt auch auf weitere Accounts zugreifen und noch mehr Schaden an Ihren Daten und Systemen anrichten. Vermeiden Sie deshalb auch, Ihre Passwörter von anderen Passwörtern herzuleiten.
  • Verwenden Sie keine einfach zu erratenden Passwörter: Vermeiden Sie bei der Erstellung Ihrer Passwörter geläufige Begriffe und Ausdrücke, personenbezogene Daten, Zeichenfolgen oder sich wiederholende Zeichen und kurze Passwörter einzubauen, die bei Brute-Force-Angriffen leichter erraten werden können. Idealerweise sollte ein Passwort mindestens zwölf Zeichen lang sein und aus einer Kombination von Buchstaben, Zahlen und Symbolen bestehen. Vermeiden Sie Begriffe aus dem Wörterbuch, da diese wahrscheinlich bei Wörterbuchangriffen getestet werden.
  • Erstellen Sie individuelle Richtlinien für komplexe Passwörter: Die stärksten Passwörter sind solche, die Sie sich selbst leicht merken können, aber welche für andere Personen scheinbar keinen Sinn ergeben. Um solche einzigartigen Aneinanderreihungen von Schriftzeichen zu erhalten, können Sie zum Beispiel „Nacht“ durch „N8“ ersetzen. Lassen Sie die Vokale oder andere Buchstaben enthaltener Wörter weg oder ersetzen Sie durch Symbole. Alternativ können Sie Zitate, Songtexte und Redensarten nutzen und in sichere Passwörter umwandeln: Nutzen Sie bei jedem Wort des gewählten Texts nur den ersten Buchstaben und steigern Sie die Komplexität des Passworts zusätzlich, indem sie Zahlen und Sonderzeichen anhängen.
  • Nutzen Sie einen Passwortmanager: Ein Passwortmanager hilft Ihnen, für jeden Account lange, komplexe Passwörter zu erstellen und diese sicher auf Ihrem Handy, Tablet oder Computer zu speichern. Sie müssen sich nur ein einziges Master-Passwort merken, mit dem sie auf alle gespeicherten Passwörter zugreifen können. Alternativ können Sie meistens auch eine biometrische Authentifizierungsmethode nutzen.

Was Passwortrichtlinien für Unternehmen betrifft, ist es wichtig, diese nach Zugriffsrechten und entsprechend auch verschiedenen Sicherheitsstufen zu unterscheiden. In der folgenden Tabelle finden Sie in einer Richtlinie festgehaltene Passwortanforderungen, je nach Typ und Anwendungszweck des Passworts: 

Standardpasswörter

LängeMindestens 12 Zeichen
Komplexität1 Großbuchstabe, 1 Kleinbuchstabe, 1 Sonderzeichen, 1 Zahl
Max. GültigkeitLäuft nicht ab

Passwörter für privilegierte Zugangsrechte

LängeMindestens 16 Zeichen
KomplexitätMindestens: 1 Großbuchstabe, 1 Kleinbuchstabe, 1 Sonderzeichen, 1 Zahl 
Max. GültigkeitLäuft nicht ab

Passwörter in einem Passwortmanager

LängeMindestens 24 Zeichen
KomplexitätMindestens: 1 Großbuchstabe, 1 Kleinbuchstabe, 1 Sonderzeichen, 1 Zahl
Max. GültigkeitLäuft nicht ab

​​​​Nutzen Sie Multi-Faktor-Authentifizierung (MFA)

Multi-Faktor-Authentifizierung ist eine zusätzliche Sicherheitsmaßnahme, bei der User ihre Identität auf mehrere Arten bestätigen müssen. Meistens sind dabei zwei verschiedene Faktoren involviert: eine Information, die der User kennen muss (wie ein Passwort oder eine PIN), und eine Sache, die er besitzt (wie ein Smartphone, Sicherheits-Token oder biometrische Daten, wie Fingerabdruck oder Face-ID). Erst, nachdem der User beide Elemente erfolgreich bestätigt hat, erhält er Zugriff auf das Konto. Diese​​​​ zusätzliche Sicherheitsebene verhindert, dass Cyberkriminelle auf Konten zugreifen können, selbst wenn sie das Passwort geknackt haben.

Viele Organisationen nutzen zum Schutz vor Brute-Force-Angriffen MFA, um so das Sicherheitsrisiko effektiv zu reduzieren. Dennoch haben Hacker bereits Wege gefunden, die Multi-Faktor-Authentifizierung zu umgehen: Sie fordern ein neues Passwort an, nutzen Authentifizierungs-Token von Drittseiten oder zuvor generierte Token, senden Phishing-Mails an den jeweiligen Kontoinhaber oder wenden Brute-Force-Methoden gegen den Authentifizierungscode an. Auch durch Methoden wie MFA-Fatigue können Angreifende die Zielperson dazu bewegen, ihre Identität zu bestätigen. Dabei werden der Posteingang, das Handy und andere Geräte des Opfers so lange mit MFA-Anfragen überflutet, bis dieses sie bestätigt. Doch wenn Sie sich dieser Strategien bewusst sind, können Sie vermeiden, ihnen zum Opfer zu fallen.

Begrenzen Sie mögliche Anmeldeversuche

Das Einschränken der Anmeldeversuche ist eine effektive Methode zum Schutz vor Brute-Force-Attacken, da bei der Authentifizierung eine gewisse Anzahl an Anmeldeversuchen nicht überschritten werden kann. Wenn alle zulässigen Versuche fehlschlagen, wird der Zugang für den User automatisch blockiert. Je häufiger die Authentifizierung fehlschlägt, desto länger wird der User aus dem System ausgesperrt. Dies hält Angreifende davon ab, Passwörter per Trial-and-Error zu knacken, da sie nicht die Möglichkeit haben, in kurzer Zeit alle möglichen Kombinationen zu testen.

Monitoring und Logging

Durch Monitoring können Einzelpersonen und Organisationen außergewöhnliche Aktivitäten überwachen und feststellen, beispielsweise auffällig viele fehlgeschlagene Login-Versuche in kurzer Zeit. Zudem wird erkannt, wenn nicht autorisierte Mitarbeitende versuchen, auf sensible Informationen zuzugreifen.

Logging ermöglicht die Aufzeichnung und Erkennung von User-IDs, IP-Adressen, Datum und Uhrzeit und wie viele Anmeldeversuche fehlgeschlagen sind. Anhand dieser Informationen können Organisationen später Muster analysieren und mögliche Bedrohungen erkennen. Sollte es trotz allem zu einem Sicherheitszwischenfall kommen, bieten die Logs bei der forensischen Analyse wertvolle Einblicke.

Viele SIEM-Systeme (Security Information and Event Management) bieten die Möglichkeit, den Monitoring- und Logging-Vorgang zu automatisieren, sodass es für Organisationen leichter ist, verdächtige Aktivitäten und Abweichungen zu identifizieren.

Nutzen Sie CAPTCHA

Automatisierte Brute-Force-Angriffe führen deutlich seltener zum Erfolg, wenn User vor dem Einloggen ein CAPTCHA ausfüllen müssen. Bei einem CAPTCHA handelt es sich um eine visuelle oder auditive Aufgabe, die überprüfen soll, ob gerade ein Mensch oder eine Maschine versucht, sich einzuloggen. Bei den meisten Brute-Force-Angriffen kommt automatisierte Software zum Einsatz, die CAPTCHAs nicht passieren kann. Wenn Organisationen sicherstellen möchten, dass nur autorisierte User auf ihre Systeme zugreifen, sind CAPTCHAs ein effektives Tool.

Nutzen Sie eine IP-Blocklist

Eine IP-Blocklist – auch IP-Denylist genannt – enthält verdächtige E-Mail-Adressen, die als mögliche Bedrohung erkannt wurden. Für alle IP-Adressen auf der Blocklist wird der gesamte Traffic blockiert.

Zur Implementierung von IP-Blocklists haben Organisationen verschiedene Möglichkeiten, wie Firewall-Regeln, Intrusion Detection und Prevention Systeme (IDPS) oder Web Application Firewalls (WAF). Doch leider haben auch IP-Blocklists ihre Schwachstellen, da Angreifende mittels Proxyserver oder Botnet ihre IP-Adresse verschleiern und so nicht von der Blocklist erkannt werden können. Falls Ihre Organisation eine Blocklist nutzt, stellen Sie sicher, dass sie regelmäßig aktualisiert wird – ob manuell oder automatisch.

Aktualisieren Sie Software und Firmware

Nicht aktuelle Software und Firmware bietet Hackern Schwachstellen, über die sie per Brute Force in Systeme eindringen können. Durch regelmäßige Software- und Firmware-Updates können Sie mögliche Schwachstellen schließen und sind in Sachen Security stets auf dem neuesten Stand. Gleichzeitig halten Sie Angreifende fern, die bei ihren Attacken auf abgelaufene oder nicht unterstützte Protokolle oder Algorithmen setzen.

Infobox über die Sicherheit von Biometrie-Tools

Brute-Force-Angriffe vermeiden: So können sich Organisationen schützen

In der digitalen Welt von heute liegen Brute-Force-Attacken wie ein bedrohlicher Schatten über Organisationen jeder Größe und Branche. Deshalb ist es unerlässlich, zu wissen, was ein Brute-Force-Angriff ist, welche Faktoren dabei eine Rolle spielen und wie sich Organisationen davor schützen können.

Da Cyberkriminelle ihre Angriffstaktiken ständig optimieren, reichen technologische Schutzmaßnahmen allein bei Brute-Force-Attacken nicht mehr aus. Weitere proaktive Maßnahmen vonseiten der Organisationen sind gefragt, um das Risiko zu verringern. Dazu gehört, starke Sicherheitsrichtlinien zu implementieren, die Security-Maßnahmen regelmäßig zu aktualisieren sowie Awareness-Training zur Sensibilisierung der Mitarbeitenden einzusetzen. Mitarbeitenden müssen zudem die richtigen Tools zur Verfügung stehen, um starke Passwörter erstellen und die Sicherheitsmaßnahmen zum Schutz der Unternehmenskonten, -daten und -systeme konsequent befolgen zu können.

SoSafe stellt umfassende Trainingsoptionen für Organisationen und Einzelpersonen bereit, die erfahren möchten, wie sie ihre Konten und Systeme besser schützen können. Mittels praxisnaher Übungen, realistischer Simulationen und interaktiver Lerneinheiten geben wir Mitarbeitenden Tools und Techniken an die Hand, die sie im Arbeitsalltag – aber auch im Privatleben – direkt anwenden können, um ihre Sicherheit und die ihrer Organisation zu steigern.

Bleiben Sie Cyberkriminellen immer einen Schritt voraus

Melden Sie sich für unseren Newsletter an, um die neuesten Beiträge zum Thema Informationssicherheit sowie News zu Events und Security-Ressourcen zu erhalten.
Immer up-to-date – immer sicher!

Newsletter visual

Wie sicher sind Sie vor Phishing-Angriffen? Testen Sie unsere Phishing-Simulation.

Jetzt Demo anfragen