Was sind Brute-Force-Angriffe?

Und wie funktioniert eine Brute-Force-Attacke in der Praxis?

Ein Brute-Force-Angriff ist eine Trial-and-Error-Methode, die dazu dient, Informationen, wie beispielsweise Passwörter oder sonstige Zugangscodes in Erfahrung zu bringen. Dabei werden durch den Angreifer unter Zuhilfenahme einer entsprechenden Software eine Vielzahl möglicher Zeichenkombinationen ausprobiert, mit dem Ziel, die gewünschte Zeichenabfolge herauszufinden, um sich so illegal Zugriff auf sensible, zum Teil verschlüsselte Daten, zu verschaffen.

Warum Brute-Force-Angriffe eine Gefahr sind

Theoretisch lässt sich durch einen Brute-Force-Angriff jede Zeichenfolge herausfinden, wobei es hier natürlich darauf ankommt, wie gut die Ausprägung des vorgeschalteten Sicherheitskonzepts ist. Gemeint sind diesbezüglich gewisse Zugangsbeschränkungen, welche beispielsweise die Anzahl der Eingaben reglementieren. Bei fehlerhaften Logins ist ebenfalls denkbar, weitere Eingaben für einen bestimmten Zeitraum zu verweigern.

Hierbei ist der Hintergrund, dass Brute-Force-Attacken ohne die dargelegten Sicherheitsmechanismen, deutlich schneller umgesetzt werden können. Zwei Faktoren, die im Prinzip über den Erfolg eines Angriffs dieser Art entscheiden, sind die zeitliche Komponente sowie die zum Angriff genutzten Hardwarekomponenten, die für die Geschwindigkeit der Angriffsmethode von nicht zu unterschätzender Bedeutung sind.

Diese – von einigen Experten – als redundant bezeichnete Angriffsmethode gelangt bei Kriminellen im Internet aber auch heute noch zunehmend zur Anwendung. Dies gilt insbesondere für Angriffe auf FTP-Hosts, Ports sowie Clients mit einer aktiven Freigabefunktion für den Remote Desktop. Dabei kann eine förmliche Angriffsflut in automatisierter Form initiiert werden. Vom Angreifer selbst sind lediglich die Randbedingungen, in Form von Parametern festzulegen.

Auch die Passwortlänge entscheidet über den Erfolg von Brute-Force-Angriffen

Die Schwachstelle liegt in der Passwortlänge begründet. Die meisten Nutzer sind bei der Wahl ihrer Passwortkombination schlichtweg unachtsam. Dies gilt insbesondere für die Festlegung von Passwörtern für den Remote-Zugriff. Hier werden oftmals – aus welchen Gründen auch immer – oberflächliche sowie gleichsam einfache Zeichenkombinationen in Form von Namen, Geburtsdaten oder Aneinanderreihungen von Tastaturkürzeln gewählt. Anwender, die so vorgehen, setzen sich einem nicht zu unterschätzenden Sicherheitsrisiko aus. Insbesondere kurze Passwortkombinationen von einer vier- bis sechsstelligen Zeichenlänge sind davon besonders betroffen.

Hierzu ein Beispiel: Mitarbeiter A wählt der Einfachheit halber als Passwort für den Remote-Desktop-Zugriff eine vierstellige Zeichenfolge aus, die lediglich aus Kleinbuchstaben besteht. Angreifer X ist bekannt, dass in dem Unternehmen, wo Mitarbeiter A angestellt ist, die Sicherheitsvorkehrungen nur geringfügig ausgeprägt sind. Aus diesem Grund entscheidet sich der Angreifer dafür, alle Buchstabenkombination in kleinen Lettern mit einer Länge von vier Zeichen zu prüfen, um an das Passwort des Mitarbeiters A zu gelangen.

Die sich daraus ergebenen Varianten belaufen sich auf 456.976, was mathematisch gesehen 26^4 entspricht. Durch eine leistungsstarke Hardware gelangt Angreifer X bei Setzung der richtigen Parameter in seiner Brute-Force-Software in wenigen Sekunden an das Passwort des Mitarbeiters A. Wurde dieser Schritt erfolgreich umgesetzt, hat der Angreifer nun die volle Kontrolle über das System.

Dieses Beispiel verdeutlicht die Relevanz der Passwortlänge, die ein jeder User unbedingt berücksichtigen sollte. Denn mit zunehmender Passwortlänge, erhöht sich ebenfalls die Zeit, die zum Entschlüsseln der Passwortkombination durch die Software des Angreifers aufgebracht werden muss. Gleiches gilt für die zusätzliche Verwendung von großen und kleinen Lettern sowie Zahlen und Sonderzeichen. Es erscheint daher ratsam, Passwortschlüssel zu verwenden, die über 32 Stellen verfügen. Gängig sind beispielsweise Längen von 256 und 512 Bit. Hier liegt der Schwierigkeitsgrad auf Seiten des Angreifers deutlich höher als es bei einer Zeichenfolge kürzerer Länge der Fall ist.

5 effektive Tipps zum Schutz vor Brute-Force-Angriffen

s

1. Eingabe von Fehlfunktionen begrenzen

Brute-Force-Angriffen kann sehr effektiv entgegengetreten werden, indem Sie den Angreifer in seinem Handeln einschränken und ausbremsen. Wie bereits ausgeführt, erfolgen Angriffe dieser Form immer nach dem gleichen Schema. Jedoch ist hierbei anzuführen, dass eine Vielzahl der Brute-Force-Angriffe durch ganz einfache Vorkehrungsmaßnahmen eingedämmt werden könnten.

Gemeint ist hier beispielsweise ein Absicherungsmodus, der bei einer hohen Anzahl falsch eingegebener Zugangscodes, den jeweiligen Account des Users sperrt. Hier empfiehlt sich eine Koppelung der Sperre an eine sukzessive Verlängerung des Zeitintervalls. Dabei reagieren Sie vor allem auf die stetig steigende Leistungsfähigkeit von Rechnerkapazitäten, welche selbstverständlich auch von Cyberkriminellen genutzt werden.

Diese sind dadurch in der Lage, bei mäßig geschützten Systemen, über Angriffe, Kennwörter innerhalb weniger Minuten oder sogar Sekunden erfolgreich herauszubekommen. Die Einrichtung einer Sperre führt in Bezug auf die Brute-Force-Angriffe zu einer deutlichen Verzögerung. Eine Blockierung der Angriffsversuche im Ganzen ist nicht möglich.

Doch nicht immer handelt es sich bei diesem Weg um eine sinnvolle Maßnahme. Denn leichtfertig hervorgerufene Sperrungen von Benutzerkonten sind in Bezug auf die Freigabe mit einem gewissen Mehraufwand in der Administration eines Unternehmensnetzwerks verbunden. Hier gilt es, einen Mittelweg auszuloten und festzustellen, ob diese Vorgehensweise in Bezug auf die Absicherung zur eigenen Infrastruktur des Unternehmens passend erscheint.

2. Verwendung starker Passwortkombinationen

Simpel dagegen erscheint die Option, bereits im Vorfeld starke Zugangscodes für die Benutzerkonten zu erstellen, die durch eine gewisse Komplexität in der Zusammensetzung gekennzeichnet sind. Als Grundregel gilt im Allgemeinen, dass es sich bei dem Zugangscode um keine Wortkombinationenen handeln sollte, die im Rechtschreibwörterbuch, wie beispielsweise dem Duden, verzeichnet sind. Dies beugt in erster Linie den sogenannten Dictionary-Attacks vor, die bei einem Brute-Force-Angriff auf der nacheinander ablaufenden Abarbeitung einer Wortliste basieren.

3. Alternativen zu herkömmlichen Passwörtern

Eine weitere Möglichkeit, Brute-Force-Angriffe einzudämmen, besteht darin, ganz auf Zugangscodes in Form von Passwörtern zu verzichten. Denkbar ist hier z.B. als Alternative die Verwendung von Token oder OTPs. Die Vorgehensweise der sogenannten One-Time-Passwörter verhindert Replay-Attacken komplett. Hierbei täuschen Angreifer nämlich eine fremde Identität vor. Im weiteren Sinn bedeutet das jedoch, dass jede nachrangige Authentifizierung die Generierung eines zusätzlichen OTPs erfordert.

4. Mehrwege-Authentifizierung

Bei der Token-Lösung handelt es sich die um Zwei-Faktor-Authentifizierung, auch 2FA genannt. Diese Sicherheitsmaßnahme dürfte einigen aus dem Bereich der Transaktionen bei Banken ein Begriff sein. Neben dem herkömmlichen Login wird beispielsweise zur Tätigung einer Überweisung eine weitere Sicherheitsstufe hinzugeschaltet. Dies kann in Form eines SMS-Überweisungscodes per Smartphone oder eines mTAN-Generators erfolgen. Denkbar ist ebenfalls ein Turing-Test, der Aufschluss darüber gibt, ob es sich um eine menschliche oder computergesteuerte Eingabe handelt. Diese Form der Absicherung ist auch als Captcha bekannt.

5. Abstrahierung von Standard-Strukturen

Bezieht sich die Absicherung beispielsweise auf einen Login-Bereich eines aufgesetzten CMS, sollte darauf geachtet werden, vom Hersteller vorgegebene Verzeichnisstrukturen nicht zu übernehmen, sondern zu individualisieren. Dies sorgt dafür, dass Angreifer Verzeichnispfade für den Adminbereich nicht sofort finden. Ebenfalls denkbar ist, den Zugriff auf den jeweiligen Adminbereich nur für im Vorhinein festgelegte IP-Adressen freizugeben. Weiterhin empfiehlt es sich, auch außerhalb von einem CMS die Individualisierung von Benutzernamen vorzunehmen. Anmeldenamen, wie beispielsweise „User“ oder „Admin“, sollten generell vermieden werden.

Mehr zum Thema IT-Sicherheit in unserem Blog

Das Zeitalter der Informationen: Was macht Ihre Daten so wertvoll?

Das Zeitalter der Informationen: Was macht Ihre Daten so wertvoll?

Wissen Sie eigentlich Ihren „Datenwert“? Bei einem Datenleck in den Systemen großer Unternehmen ist oftmals von Schäden in Milliardenhöhe die Rede. Daten zählen sogar mittlerweile zu den wertvollsten Ressourcen der Welt. Ein Kalkulator, worüber Nutzer einen pauschalen Wert ihrer Daten errechnen können, vermittelt jedoch einen ganz anderen Eindruck: Demnach bleibt der „Preis“ für die Informationen der User immer unter einem Dollar. Doch warum ist das so und lässt sich der Wert von diesem „Rohstoff“ überhaupt konkret bestimmen?

Weiterführende Informationen

Bei Attacken, basierend auf Brute-Force, handelt es sich prinzipiell zwar um ein unkonventionelles sowie redundantes Angriffsmuster; jedoch kommen sie bei Cyberkriminellen in der Praxis auch heute noch zur Anwendung. Hintergründig wird bei einem Brute-Force-Angriff versucht, die durch den User oder Admin verursachten Sicherheitslücken im Passwort-Management auszunutzen.
Wer als Unternehmen den grundlegenden Sicherheitsempfehlungen folgt, hat bereits eine erste Basis für den Schutz vor externen Angriffen geschaffen. Ergänzend wird jedoch dringend angeraten, zusätzlich ein professionelles Tool für Datensicherheit einzubinden.
Hat Ihnen unser Beitrag aus der Wissensdatenbank zum Thema Brute-Force-Angriffe gefallen? Dann gelangen Sie hier zur Übersichtsseite unserer Wissensdatenbank. Dort erfahren Sie mehr über Themen, wie DDoS-Attacken, Cryptolocker Virus, Phishing, Brute-Force-Angriffe, GoBD, Cyber Kill Chain und Ransomware Kill Chain.