Brute Force Angriffe unwirksam machen
Um Brute Force Attacken unwirksam zu machen, müssen wir verstehen, wie sie funktionieren. Wenn Angreifende bei 0 anfangen, verwenden sie das umfassende Suchprinzip. Passwörter zur Authentifizierung werden durch einen Algorithmus überprüft. Wahrscheinlichkeiten von Methoden für Cyberangriffe werden in Sekunden berechnet. Neben den gebräuchlichsten Passwörtern werden auch Wörterbuchangriffe verwendet. Dies bedeutet, dass alle bekannten Symbolkombinationen, die in Duden oder Ähnlichem zu finden sind, zuerst ausprobiert werden.
Wenn diese Methode der Cyberkriminalität nicht funktioniert, können Angreifende die möglichen Zeichenfolgen (Hash-Werte) berechnen. Passwörter werden als Hash-Werte bezeichnet, nachdem sie mithilfe eines Algorithmus (Hash-Funktion) in eine verschlüsselte Zeichenfolge konvertiert wurden. Systeme speichern Kennwörter in dieser Form, sodass sie nicht im Klartext aufgerufen werden können. Jedes Mal, wenn sich Nutzende anmelden, wird das eingegebene Passwort von einer Hash-Funktion konvertiert und mit dem gespeicherten Hash-Wert verglichen. Wenn die beiden Werte übereinstimmen, war die Anmeldung erfolgreich. Cyberkriminelle verwenden genau diese Methoden für Brute Force Angriffe: Sie überprüfen vordefinierte, häufige Hash-Werte, die in sogenannten Regenbogentabellen verfügbar sind. Dies reduziert zumindest den Zeitaufwand.
Umgekehrt bedeutet dies: Die Cyberkriminalität benötigt umso mehr Rechenleistung, je stärker die Kennwort- und Datenverschlüsselung ist. Zu Hause können Sie sich als private Nutzende mit einem sicheren Kennwort mit ausreichender Passwortlänge und unterschiedlichen Passwörtern für verschiedene Konten gut schützen. Dies verringert immerhin die Wahrscheinlichkeit, dass Cyberangreifende Anmeldeinformationen knacken. Mit den richtigen Cybertools können Unternehmen die Wirksamkeit von Brute Force Angriffen zumindest so weit reduzieren, dass ein ergebnisreicher Hack nahezu unmöglich ist. Hier sind die zwei wichtigsten Schritte gegen erfolgreiche Brute Force Angriffe:
- Komplexe Kennwörter mit ausreichender Passwortlänge zur Authentifizierung: Je mehr Zeichen, desto mehr Zeit wird benötigt. Heute werden mindestens 12 Zeichen empfohlen. Eine starke Verschlüsselungsmethode (idealerweise 256 Bit) ist ebenfalls wichtig. Verwenden Sie eine Zeichenkombination, auch aus Sonderzeichen!
- Anmeldeversuche einschränken: Das System sollte mögliche Anmeldeversuche für einen gewissen Zeitraum einschränken und nach einer bestimmten Anzahl fehlgeschlagener Versuche das Zurücksetzen des Kennworts auslösen.
Für wen sind Brute Force Angriffe gefährlich?
Die für Brute Force Angriffe genutzten Remote Desktops sind wegen der Fernarbeit für viele Unternehmen auf der ganzen Welt zur neuen Norm geworden. Während diese Änderung durch die Covid-19-Pandemie ausgelöst wurde, dürfte Telearbeit ein wesentlicher Bestandteil der Unternehmenskultur bleiben. Immer mehr Unternehmen verlassen sich heute auf Remotedesktopverbindung. Mitarbeiter(innen) können von überall auf den Desktop ihres Arbeitscomputers zugreifen und so arbeiten, als wären sie im Büro. Dies ist jedoch mit ernsthaften Risiken für die Sicherheit verbunden.
Am gebräuchlichsten ist für das Knacken der Authentifizierung ein Angriff auf das Remote Desktop Protocol (RDP). Microsoft-proprietäres Protokoll ist in allen Windows-Versionen ab XP verfügbar. Brute Force Angriffe auf RDP-Verbindungen sind in der letzten Zeit in die Höhe geschossen. Hierbei handelt es sich um automatisierte Angriffe, die darauf abzielen, Unternehmenscomputer zu entführen und Netzwerke zu infiltrieren. Auf diese Weise erhalten Cyberkriminelle Zugriff auf vertrauliche Unternehmensdaten und E-Mails. Die illegale Verwendung von Unternehmens-E-Mail-Adressen trägt unter anderem auch zu gezielten Phishing-Angriffen bei. Dieser plötzliche Anstieg der Brute Force Angriffe ist zweifellos mit einer Zunahme des Remote Works verbunden.
Schon vor der aktuellen Situation war diese Art von Cyberangriff über das RDP-Protokoll weit verbreitet: Täglich wurden etwa 150.000 Angriffsversuche unternommen. Mit Beginn der Corona-Pandemie steig diese Zahl um ein Vielfaches, mitunter auf fast eine Million RDP-Brute-Force-Versuche pro Tag.
Heute tragen Brute Force Bots erheblich zur Cyberkriminalität bei. Der von Bots im Internet erzeugte Verkehr nimmt ständig zu. Eine böswillige Variante dieser Programme kann auch Brute Force Angriffe ausführen. Für die Arbeit mit solchen Bots ist kein Fachwissen mehr erforderlich. Spezielle Bad Bots werden ebenfalls als Service angeboten. TrickBots erleichtern RDP-Angriffe, deswegen ist es in der Cyberkriminalität kein Zufall, dass dem berüchtigten TrickBot-Trojaner im März ein neues Modul -rdpScanDll hinzugefügt wurde. Das neue Modul greift RDP-Verbindungen mit Brute Force an, um die Sicherheit der Authentifizierung zu infiltrieren.
Welche Schutzmaßnahmen gegen Brute Force Attacken gibt es?
Brute Force und Remote Desktops beherbergen in Kombination immense Gefahren für die Cybersicherheit. Die Sicherheit einer RDP-Verbindung ist wichtig, denn RDP-Verbindungen sind ein idealer Angriffsvektor für Cyberkriminelle. Eine schlecht gesicherte RDP-Verbindung kann ihnen Zugriff auf das gesamte Unternehmenssystem gewähren. Aus diesem Grund sollte die Sicherheit solcher Verbindungen für jedes Unternehmen Priorität haben.
Um alle Endpunkte vor Brute Force Angriffen zu schützen, ist es essenziell, ein sicheres Kennwort mit einer ausreichenden Passwortlänge zu benutzen und alte Kennwörter nicht wiederzuverwenden. Dieser letzte Punkt ist für die Cybersicherheit besonders wichtig, wenn es darum geht, Angriffe auf Anmeldeinformationen der Authentifizierung zu stoppen, die versuchen, auf Systeme mit bereits erfassten Kennwörtern zuzugreifen.
Unternehmen müssen in der Lage sein, alle Aktivitäten auf Unternehmensendpunkten zu überwachen, um verdächtige RDP-Aktivitäten und Methoden der Cyberkriminalität zu erkennen. Eine Ausrüstung zur Abwehr von Brute Force Angriffen dient der eigenen Sicherheit und inspiziert ständig alle Aktivitäten jedes Systemprozesses. Methoden zur Bekämpfung von Cyberkriminalität stoppen nicht nur unbekannte Verfahren, sondern überwachen auch das Verhalten bekannter Prozesse. Somit wird die Ausnutzung von Schwachstellen sofort erkannt und eingestellt.