Was ist ein Brute-Force-Angriff und wie kann man ihn verhindern?

Device hacking the computer through internet
Klicken Sie hier für eine kurze Zusammenfassung
Was ist ein Brute-Force-Angriff? Ein kurzer Überblick

Ein Brute-Force-Angriff ist ein Versuch, einen Benutzernamen oder ein Passwort per Versuch und Irrtum zu erraten. Brute-Force-Software nutzt Tausende, wenn nicht Millionen von Zeichenkombinationen, um sich bei einem Dienst anzumelden. Einige Brute-Force-Angriffe sind noch komplexer. Sie verwenden alte, gehackte Anmeldedaten als Grundlage für den Brute-Force-Versuch.

Um sich vor dieser Art von Angriffen zu schützen, sollten Sie Folgendes tun:

  1. Verwenden Sie längere und komplexere Passwörter.
  2. Richten Sie eine Multi-Faktor-Authentifizierung ein.
  3. Abonnieren Sie einen Passwort-Manager. Wir empfehlen 1Password. Die Software ist sicher und kostengünstig.
1Password

Wenn Sie mehr darüber erfahren möchten, wie Brute-Force-Angriffe funktionieren und wie Sie sich schützen können, lesen Sie unseren vollständigen Artikel unten.

Haben Sie sich jemals gefragt, wie Hacker an die Passwörter von ahnungslosen Opfern gelangen? Nicht immer werden dabei die Sicherheitslücken einer großen Plattform ausgenutzt. Oft reicht es aus, zufällige Kombinationen von Buchstaben und Zahlen auszuprobieren. Genau das macht ein Brute-Force-Angriff.

Ein Brute-Force-Angriff ist der Versuch, die Anmeldedaten eines Benutzers, d.h. seinen Benutzernamen und sein Passwort, zu erraten. Dazu wird ein Algorithmus eingesetzt, der entweder ein Wörterbuch oder eine Liste mit möglichen Zugangsdaten verwendet. Dieser Algorithmus testet verschiedene Varianten, bis er eine erfolgreiche Anmeldung findet.

Das ist das Wesentliche – aber moderne Brute-Force-Angriffe sind viel komplexer. Wie genau funktionieren sie? Und wie können Sie sich gegen Brute-Force-Angriffe schützen?

Wie funktionieren Brute-Force-Angriffe?

Im einfachsten Sinne wird bei einem Brute-Force-Versuch versucht, eine Kombination aus Benutzername und Passwort zu erraten. Hier sehen Sie, wie Hacker dies im Allgemeinen tun:

  1. Bei der Generierung von Zugangsdaten weisen sie Brute-Force-Angriffstools an, Kombinationen von Zugangsdaten zwischen festgelegten Parametern zu generieren, z. B. eine Passwortlänge von mehr als sechs Zeichen.
  2. Die Software generiert eine (sehr) lange Liste von Kombinationen. Wir sprechen hier von Billionen von Optionen.
  3. Die Brute-Force-Angriffstools versuchen, sich bei einem bestimmten Dienst mit jeder einzelnen Kombination von Zugangsdaten anzumelden. Dieser ganze Prozess kann Tage, Wochen oder Monate dauern, selbst mit einem leistungsstarken Computer.

Wenn eine Kombination von Anmeldeinformationen ein Konto entsperrt, war der Brute-Force-Angriff erfolgreich und der Hacker hat Zugang zu diesem Konto.

Verschiedene Arten von Brute-Force-Angriffen

Die vorige Erklärung beschreibt einen hypothetischen Brute-Force-Angriffsversuch. Im realen Leben reichen diese einfachen Brute-Force-Angriffe jedoch meist nicht aus, um ein Konto zu hacken. Meist ist für einen erfolgreichen Brute-Force-Angriff eine Kombination verschiedener Arten von Versuchen erforderlich. Wir haben diese unten aufgelistet.

Infographic showing the types of Brute force attempts

1. Einfache Brute-Force-Angriffe

Einfache Hacking-Versuche funktionieren mit Listen von generierten Anmeldedaten. Eine Software wie Hydra generiert Kombinationen von Zugangsdaten, die dann als Benutzernamen und Kennwörter auf verschiedenen Plattformen ausprobiert werden können. Allerdings ist diese Art von Brute-Force-Versuchen nicht sehr effektiv – und es ist leicht zu erkennen, warum.

Die Gesamtanzahl der Kombinationen aus Buchstaben, Zahlen und Symbolen in einer sechsstelligen Zeichenfolge geht in die Billionen. Wenn Sie dann noch die Unterscheidung zwischen Groß- und Kleinschreibung und die Tatsache berücksichtigen, dass es viele Kennwörter mit mehr als sechs Zeichen gibt, wird das Problem deutlich. Selbst ein Computer muss da eine Menge zufälliger Kombinationen ausprobieren.

Zusammenfassend lässt sich sagen, dass Hacker mit diesen einfachen Brute-Force-Angriffen nicht sehr weit kommen werden.

2. Hybride Brute-Force-Angriffe

Hybride Brute-Force-Angriffe fügen der Generierung von Anmeldeinformationen logische Regeln hinzu. Hacker könnten beispielsweise eine Liste gebräuchlicher Benutzernamen erstellen und nur versuchen, Anmeldedaten für das Passwort zu generieren.

Angenommen, ein Hacker möchte in den Admin-Bereich einer kleinen Website gelangen. Anstatt Symbole für den Benutzernamen zu generieren, wird er eine Liste mit Optionen wie „admin“, „office“ und dem Namen des Website-Besitzers erstellen.

Das Programm wird versuchen, das Feld für den Benutzernamen nur mit Optionen aus dieser Liste zu belegen. Für das Passwortfeld verwendet sie einen einfachen Brute-Force-Angriff, um so viele Kombinationen wie nötig auszuprobieren, um ein korrektes Passwort zu erhalten.

3. Reverse Brute-Force-Angriffe

Ein umgekehrter Brute-Force-Angriff basiert auf einem gängigen Passwort wie „12345“ oder „password“ und generiert dann so lange Benutzernamen, bis er einen findet, der zu diesem Passwort passt. Selbstverständlich können Hacker diese Reverse-Brute-Force-Angriffe auch mit einem hybriden Ansatz kombinieren, um noch effizienter zu sein.

Reverse Brute-Force-Angriffe werden in der Regel auf Anwendungen oder Websites durchgeführt, über die ein Hacker bereits andere Details kennt.

4. Dictionary-Angriffe

Dictionary-Angriffe sind wie eine verbesserte Version des Basisangriffs. Anstatt alle Zeichen zu kombinieren, drehen sich die Dictionary-Angriffe um Zeichenfolgen und Phrasen, die häufig in Anmeldedaten verwendet werden. Diese häufig verwendeten Muster werden in einem Wörterbuch gesammelt, das dann für Anmeldeversuche verwendet wird. Ein Beispiel wären Namen für Benutzerfelder und Zahlenketten für Passwortfelder.

Dictionary Brute Force-Angriffe haben eine höhere Erfolgsquote, sind aber schwieriger durchzuführen. Je mehr Informationen ein Hacker dem Wörterbuch hinzufügen kann, desto besser (und gefährlicher) wird es.

5. Credentials Recycling

Eine der effektivsten Arten von Brute-Force-Versuchen ist das Recycling von Anmeldedaten. Dabei beginnen Hacker ihren Brute-Force-Versuch mit einer Datenbank gestohlener Zugangsdaten, die sie von einem anderen Ort, oft dem Dark Web, erhalten haben.

Wenn der Hacker z.B. einen Bot auf dem Genesis Market kauft, stellt er vielleicht fest, dass einige Zugangsdaten nicht mehr funktionieren. Dann können sie mit roher Gewalt neue Passwörter für die Benutzernamen ausprobieren, die sie bereits kennen.

6. Rainbow Table Brute-Force-Angriffe

Rainbow Table Brute-Force-Angriffe sind etwas komplizierter als Ihr durchschnittlicher Brute-Force-Angriff. Um diese zu verstehen, benötigen wir ein wenig mehr Hintergrundwissen.

Websites können unsere Kennwörter auf drei Arten speichern:

  • Plain Text ist ziemlich gefährlich, da jede Schwachstelle zu einem direkten Verlust der Zugangsdaten führt.
  • Encrypted Text ist besser, aber nicht perfekt, denn jeder verschlüsselte Text kann auch wieder entschlüsselt werden. Der Ablauf funktioniert in beide Richtungen.
  • Hashes funktionieren nur in eine Richtung: Sie können eine Zeichenkette mit Klartext hashen, aber einen Hash nicht in Klartext zurückverwandeln. Das bedeutet, dass Hashes theoretisch eine unfehlbare Methode zur Speicherung von Anmeldedaten sind.

In der Praxis können Hashes leider trotzdem entschlüsselt werden – und genau darauf zielt ein Brute-Force-Angriff mit Rainbow Table ab. Die meisten Hash-Algorithmen (die Programme, die Plain Text-Passwörter in einen Hash umwandeln) sind so optimiert, dass sie sehr schnell laufen, so dass sie so viele Eingaben wie möglich berechnen können. Mithilfe dieses Designfehlers können Hacker dennoch alle Passwörter der Welt als Hashwert ausprobieren, bis sie das richtige finden.

Um das effizient zu tun, verwenden Hacker Rainbow Table. Dabei handelt es sich um Listen mit vorberechneten Hashes für häufig verwendete Kennwörter wie „password“, „1234“ oder „qwerty“. Wenn Sie so ein schwaches Passwort haben, ist es viel wahrscheinlicher, dass Sie einem Brute-Force-Angriff zum Opfer fallen, selbst wenn Ihre Passwörter gehasht sind. Da sie jedoch viel mehr Wissen über Kryptographie erfordern, sind sie nicht so verbreitet.

Was sind die Gefahren von Brute-Force-Angriffen?

Brute-Force-Angriffe bedrohen die Privatsphäre und Sicherheit von Menschen auf der ganzen Welt. Sie sind häufiger, als Sie vielleicht erwarten. Im Jahr 2021 meldeten 23% der von Verizon beobachteten Unternehmen Brute-Force-Angriffe.

Wenn ein Hacker erfolgreich einen Brute-Force-Angriff durchführt, kann dies eine Vielzahl von Problemen verursachen. Für Einzelpersonen können die Folgen sein:

  • Spam-Inhalte, die auf ihren Social Media-Profilen veröffentlicht werden
  • Zugriffsverlust auf das gehackte Konto.
  • Zugriff auf Daten und private Unterhaltungen.
  • Verbreitung von Malware oder Betrug über die Kontaktliste.

Wenn Brute-Force-Angriffe auf die Konten von Entwicklern abzielen, sind die Folgen noch gravierender. Sie haben alle negativen Auswirkungen, die in der obigen Liste aufgeführt sind – multipliziert mit der Anzahl der Benutzer der Anwendung oder Website des Entwicklers.

So verhindern Sie Brute-Force-Angriffe

Wenn Sie sich als Privatperson vor Brute-Force-Angriffen schützen möchten, können Sie verschiedene Dinge tun:

Infographic showing examples of how to prevent Brute force attacks

  • Erstellen Sie längere Passwörter. Je länger ein Passwort ist, desto schwieriger ist es, es durch Brute-Force zu knacken. Jeder Brute-Force-Angriff, der auf der Generierung von Anmeldeinformationen basiert, benötigt eine bestimmte Länge für die generierten Kennwörter. Wenn Ihr Passwort länger als, sagen wir, 15 oder 20 Zeichen ist, ist es unwahrscheinlich, dass Sie überhaupt Ziel eines Angriffs werden.
  • Erstellen Sie komplexere Passwörter. Wenn Sie in Ihren Passwörtern verschiedene Arten von Zeichen verwenden, darunter Buchstaben, Zahlen und Symbole, ist es für Hacker schwieriger, sie zu erraten, selbst wenn sie Algorithmen verwenden.
  • Verwenden Sie niemals ein Passwort für mehr als einen Dienst. Wenn Hacker auf eines Ihrer Konten abzielen, können Cyberkriminelle auf diese Weise nicht dieselben Informationen verwenden, um Zugang zu anderen Konten zu erhalten.
  • Aktivieren Sie die Multi-Faktor-Authentifizierung. Hierbei handelt es sich um eine zusätzliche Schutzschicht für Ihr Konto, die eine zweite Verifizierung erfordert, ehe Sie sich anmelden können – zum Beispiel durch Eingabe eines Codes, den Sie per SMS erhalten. Mit der Multifaktor-Authentifizierung kann ein Hacker, selbst wenn er Ihr Passwort errät, nicht sofort Zugang zu Ihrem Konto erhalten.
  • Nutzen Sie einen Passwort-Manager. Wenn Sie nicht die Mühe auf sich nehmen wollen, lange, komplexe Passwörter für alle Ihre Konten zu erstellen, übernimmt das ein Passwort-Manager für Sie. So haben Sie die Möglichkeit, bessere Passwörter zu verwenden, ohne sich diese alle merken zu müssen. Wir persönlich empfehlen 1Password, da es ein sicherer Dienst ist, der sehr benutzerfreundlich ist.

Verbessern Sie Ihre Online-Sicherheit

Auch mit den besten Passwörtern sind Ihre Anmeldedaten anfällig für Angriffe. Phishing und Man-in-the-Middle-Angriffe sind immer möglich. Wurden Ihre Zugangsdaten auf andere Weise gehackt, können sie sogar für Brute-Force-Versuche zum Ausfüllen von Zugangsdaten verwendet werden. Aus diesem Grund ist es wichtig, Ihre allgemeine Online-Sicherheit zu verbessern.

Wenn Sie sich online schützen möchten, sollten Sie sich davor hüten, auf unbekannte Links zu klicken. Bleiben Sie skeptisch, wenn Sie von unbekannten Personen kontaktiert werden, und halten Sie sich von zwielichtigen Apps oder Websites fern.

Zusätzlich empfehlen wir Ihnen, spezielle Sicherheits-Apps zu nutzen. Ein gutes VPN und ein zuverlässiges Antivirenprogramm sorgen für ein höheres Maß an Online-Sicherheit. Mit diesen Programmen wird Ihre Verbindung gesichert und Sie werden vor unerwünschter Malware und Viren geschützt.

Das sollten Sie tun, wenn Sie Ziel eines Brute-Force-Angriffs geworden sind

Es ist oft schwer zu erkennen, ob Sie das Ziel eines Brute-Force-Angriffs geworden sind, während dieser stattfindet. Ein starkes Indiz ist, wenn Sie mehrere E-Mails von der Plattform erhalten, dass ein Anmeldeversuch stattgefunden hat, obwohl Sie selbst nicht versucht haben, sich anzumelden. Ansonsten werden Sie es aber wahrscheinlich erst bemerken, wenn Ihr Konto bereits gehackt worden ist.

Hier erfahren Sie, was Sie tun können, falls Sie Opfer eines Brute-Force-Angriffs geworden sind:

  • Kontaktieren Sie die Plattform, auf der Ihr Konto registriert ist. Wenn Sie Glück haben, wird Ihnen ein Mitarbeiter helfen, Ihr Konto zu sperren. Wenn das Konto bereits angegriffen wurde und Sie es nicht wiederherstellen können, wird das Konto möglicherweise gelöscht, damit niemand Ihre Identität missbrauchen kann.
  • Ändern Sie Ihr Passwort. Wenn Sie noch Zugang zu Ihrem Konto haben, sollten Sie Ihr Passwort in ein eindeutiges und sicheres Passwort ändern. So wird es unwahrscheinlicher, dass der Brute-Force-Angriff Ihre Anmeldedaten erfolgreich errät.
  • Richten Sie eine Multi-Faktor-Authentifizierung ein, falls Sie dies nicht bereits getan haben. Auf diese Weise wird sichergestellt, dass der Angriff selbst bei einem erfolgreichen Brute-Force-Versuch den Hackern keinen Zugang zu Ihrem Konto verschafft.

Da Brute-Force-Angriffe auf so gut wie jeden abzielen können, gibt es keine Garantie dafür, dass Sie nicht zur Zielscheibe werden. Durch regelmäßige Passwortänderungen und die oben genannten Tipps können Sie jedoch die Wahrscheinlichkeit, dass ein Brute-Force-Angriff auf Ihr Konto scheitert, deutlich erhöhen.

Brute-Force-Schutz für Entwickler

Wenn Sie eine App oder Website betreiben, die Anmeldeinformationen speichert, sollten Sie einige Maßnahmen ergreifen, um Ihre Benutzer vor Brute-Force-Angriffen zu schützen. Hier sind die besten Methoden, um Brute-Force-Angriffe auf Ihrer Plattform zu verhindern:

  • Begrenzen Sie die Anmeldeversuche. So dauern Brute-Force-Angriffe auf Ihrer Website wesentlich länger. Viele Hacker werden davon abgeschreckt, einen Brute-Force-Angriff auf eine Website mit einer begrenzten Anzahl von Anmeldeversuchen auch nur zu versuchen.
  • Aktivieren Sie Captchas auf Ihrer Anmeldeseite. Wir sind uns bewusst, dass dies einige Benutzer nerven könnte, aber Captchas (diese „Beweisen Sie, dass Sie kein Roboter sind“-Popups) sind eine der zuverlässigsten Methoden, um Brute-Force-Angriffe zu verhindern.
  • Richten Sie Einmal-Passwörter (OTPs) ein. OTPs sind Einmal-Passwörter, die für die Anmeldung bei Diensten oder zur Überprüfung von Transaktionen benötigt werden. Sie werden meist im Finanzsektor eingesetzt. Es ist nicht der benutzerfreundlichste Ansatz zur Sicherung einer Online-Plattform, aber wenn Sie mit sensiblen Daten arbeiten (z.B. wenn Sie ein Fintech-Startup haben), sollten Sie dies in Betracht ziehen.
Brute-Force-Angriffe: Häufig gestellte Fragen

Wir hoffen, dass unser Artikel alle Ihre Fragen zu Brute-Force-Angriffen beantwortet hat. Wenn Sie noch Fragen haben, lesen Sie unseren FAQ-Bereich weiter unten.

Ein Brute-Force-Angriff ist ein Hacking-Versuch, bei dem spezielle Software eingesetzt wird, um die Anmeldedaten eines Benutzers zu erfassen. Diese Software entnimmt Zeichen aus einem Wörterbuch oder einer Liste von Anmeldedaten und fügt sie dann in eine Anmeldeseite ein. Wenn Sie wissen möchten, wie dies funktioniert und wie Sie sich vor dieser Art von Angriff schützen können, lesen Sie unseren Artikel über Brute-Force-Angriffe hier.

Leider funktionieren Brute-Force-Angriffe. Im Jahr 2021 meldeten 23% der von Verizon befragten Unternehmen Brute-Force-Angriffe auf ihr System. Dennoch brauchen Brute-Force-Angriffe sehr lange, um die Zugangsdaten eines Kontos erfolgreich zu hacken. Das macht sie zu einem schwierigen Unterfangen, insbesondere für Cyberkriminelle, die nicht über leistungsstarke Computer verfügen. Weitere Informationen über Brute-Force-Angriffe finden Sie in unserem Artikel „Was ist ein Brute-Force-Angriff und wie kann man ihn verhindern?“.

Nehmen wir an, ein Cyberkrimineller möchte die Konten einer kleinen E-Commerce-Website mit wenigen Sicherheitsmaßnahmen hacken. Dazu wird er eine Software wie Hydra einsetzen, um Kombinationen von Anmeldedaten zu generieren. Anschließend gibt die Software diese Kombinationen in die Anmeldeseite der E-Commerce-Website ein. Sobald sie auf eine Kombination stößt, mit der sie sich erfolgreich anmelden kann (dies kann Wochen oder Monate dauern), benachrichtigt sie den Cyberkriminellen und dieser erhält Zugang.

Ja, in den meisten Fällen sind Brute-Force-Angriffe illegal. Ethische Hacker könnten einen Brute-Force-Angriff zur Aufdeckung von Sicherheitslücken versuchen. Dies geschieht in der Regel auf internen Unternehmensplattformen. Ein Brute-Force-Angriff, der darauf abzielt, die Zugangsdaten einer Person zu stehlen, ist jedoch illegal.

International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.