Brute Force Attacken steigen durch Remote Work

07.06.2021 | Remote Work erfreut sich seit Beginn der Pandemie wachsender Beliebtheit. Einige Unternehmen erwägen sogar, ihre Mitarbeiter(innen) zukünftig nicht mehr im Büro zu beschäftigen. Dies schafft viele Herausforderungen, insbesondere im Hinblick auf die IT-Sicherheit und eröffnet kriminellen Hackern völlig neue Möglichkeiten. Brute Force Angriffe, um auf Anmeldeinformationen oder Kennwörter von Privat- und Unternehmenskonten zuzugreifen, werden bei Angreifenden immer beliebter.

Erfahren Sie, was Brute Force Angriffe sind, wie sie in der Praxis funktionieren und für wen sie gefährlich werden können. Zudem erhalten Sie wertvolle Tipps, um sich vor diesen Brute Force Angriffen zu schützen.

Fragen zur IT-Sicherheit?

Hier erhalten Sie die Antworten

Was sind Brute-Force-Angriffe und wie funktionieren sie?

Bei Brute Force Attacken versuchen Angreifende, die Anmeldeinformationen zu „erraten“, indem sie wiederholt und systematisch verschiedene Benutzernamen und Kennwörter eingeben. Bei diesen äußerst einfachen, aber ressourcenintensiven Attacken, mit Versuch und Irrtum („Trial & Error“), werden Automatisierungstools, Skripte oder Bots verwendet, die jede mögliche Kombination aus Benutzername und Kennwort probieren, bis ihnen Zugriff gewährt wird.

Dies ist eine langjährige Angriffsmethode, die jedoch Hacker(innen) immer noch effektiv und gerne nutzen. Brute Force Attacken werden häufig verwendet, um Geräte in Remote-Netzwerken zu hacken und persönliche Informationen wie Passwörter, Benutzernamen und PINs zu stehlen. Diese Art der Cyberkriminalität benötigt umso mehr Rechenleistung, je stärker die Kennwort- und Datenverschlüsselung ist. Mit den richtigen Tools können Unternehmen die Effektivität von Brute Force Attacken so weit reduzieren, bis ein erfolgreicher Verstoß für Angreifende nahezu unmöglich wird.

Im Idealfall müssen sich Cyberkriminelle nicht einmal um die Vorbereitung eines Brute Force Angriffs kümmern. Manchmal reicht es aus, die Standardsystemkennwörter einzugeben. Sie werden werkseitig vergeben und müssen von Nutzenden geändert werden. Mehrere Beispiele aus der Presse zeigen jedoch: selbst große Unternehmen vermeiden diese Lücke in der internen Sicherheit nicht – mit schwerwiegenden Konsequenzen.

Gegen den amerikanischen Kreditprüfer Equifax wurde eine Sammelklage eingereicht, nachdem sich Hacker 2017 mit einem Standard-Administratorkennwort angemeldet und Verbraucheraufzeichnungen von 147 Millionen Kunden gestohlen hatten. Für diese Nachlässigkeit bei der IT-Sicherheit stimmte das Unternehmen im Rahmen eines Vergleichs einer Zahlung von bis zu 700 Millionen US-Dollar zu. Der Reputationsschaden wurde nicht beziffert.

Für viele IoT-Geräte auf dem Markt (z. B. Router) können diese Standardkennwörter nicht geändert werden. Infolgedessen werden sie regelmäßig zum Ziel von Botnet-Angriffen.

Unterschiedliche Methoden für Brute Force Attacken auf einen Blick

Klassische Attacke:

Computer versuchen jede mögliche Kombination aus Benutzername und Passwort, bis sie eine geeignete Kombination finden. Diese Attacken haben mehrere Eigenarten.

Wörterbuchangriff:

Die häufigste Brute Force Methode: Programme nutzen ein Wörterbuch potenzieller Passwörter und probieren sie alle nacheinander aus.

Reverse Attack:

Diese erschreckend erfolgreiche Angriffsmethode versucht, Log-in-Daten mit gängigen Passwörtern („Passwort“ oder „12345“) zu erraten.

Regenbogentabelle:

Die Regenbogentabelle ist ein vorberechnetes Wörterbuch, das die durch den Hash bereitgestellte Verschlüsselungssicherheit angreift, nicht das Kennwort selbst.

Der Zeitfaktor ist ein wichtiges Merkmal bei Brute Force Attacken. Bei Angriffen verlassen sich Hacker(innen) in der Cyberkriminalität auf verschiedene Automatisierungstools, die häufig auch für Penetrationstests verwendet werden. Dazu gehören Hashcat, THC Hydra, Aircrack und John the Ripper. In Kombination mit schnellen Computern können sie in wenigen Sekunden ein einfaches Passwort knacken. Mit zunehmender Länge der Zeichen steigt die erforderliche Zeit.

Stärkere 8-stellige alphanumerische Passwörter, einschließlich Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen können in etwa 2 Stunden erraten werden. Andererseits kann ein komplexes 13-stelliges Passwort erst nach Tausenden von Jahren geknackt werden. Neben der Passwortlänge spielt die Verschlüsselungsmethode eine wichtige Rolle beim Schutz von Kennwörtern: Bei der 128-Bit-Verschlüsselung gibt es 2.128 mögliche Kombinationen, während bei der 256-Bit-Verschlüsselung Angreifende 2²⁵⁶ eventuelle Kombinationen prüfen müssen.

Sie sind Opfer eines Cyberangriffs geworden?

Dann ist schnelles Handeln gefragt!

Brute Force Angriffe unwirksam machen

Um Brute Force Attacken unwirksam zu machen, müssen wir verstehen, wie sie funktionieren. Wenn Angreifende bei 0 anfangen, verwenden sie das umfassende Suchprinzip. Passwörter zur Authentifizierung werden durch einen Algorithmus überprüft. Wahrscheinlichkeiten von Methoden für Cyberangriffe werden in Sekunden berechnet. Neben den gebräuchlichsten Passwörtern werden auch Wörterbuchangriffe verwendet. Dies bedeutet, dass alle bekannten Symbolkombinationen, die in Duden oder Ähnlichem zu finden sind, zuerst ausprobiert werden.

Wenn diese Methode der Cyberkriminalität nicht funktioniert, können Angreifende die möglichen Zeichenfolgen (Hash-Werte) berechnen. Passwörter werden als Hash-Werte bezeichnet, nachdem sie mithilfe eines Algorithmus (Hash-Funktion) in eine verschlüsselte Zeichenfolge konvertiert wurden. Systeme speichern Kennwörter in dieser Form, sodass sie nicht im Klartext aufgerufen werden können. Jedes Mal, wenn sich Nutzende anmelden, wird das eingegebene Passwort von einer Hash-Funktion konvertiert und mit dem gespeicherten Hash-Wert verglichen. Wenn die beiden Werte übereinstimmen, war die Anmeldung erfolgreich. Cyberkriminelle verwenden genau diese Methoden für Brute Force Angriffe: Sie überprüfen vordefinierte, häufige Hash-Werte, die in sogenannten Regenbogentabellen verfügbar sind. Dies reduziert zumindest den Zeitaufwand.

Umgekehrt bedeutet dies: Die Cyberkriminalität benötigt umso mehr Rechenleistung, je stärker die Kennwort- und Datenverschlüsselung ist. Zu Hause können Sie sich als private Nutzende mit einem sicheren Kennwort mit ausreichender Passwortlänge und unterschiedlichen Passwörtern für verschiedene Konten gut schützen. Dies verringert immerhin die Wahrscheinlichkeit, dass Cyberangreifende Anmeldeinformationen knacken. Mit den richtigen Cybertools können Unternehmen die Wirksamkeit von Brute Force Angriffen zumindest so weit reduzieren, dass ein ergebnisreicher Hack nahezu unmöglich ist. Hier sind die zwei wichtigsten Schritte gegen erfolgreiche Brute Force Angriffe:

Komplexe Kennwörter mit ausreichender Passwortlänge zur Authentifizierung: Je mehr Zeichen, desto mehr Zeit wird benötigt. Heute werden mindestens 12 Zeichen empfohlen. Eine starke Verschlüsselungsmethode (idealerweise 256 Bit) ist ebenfalls wichtig. Verwenden Sie eine Zeichenkombination, auch aus Sonderzeichen!
Anmeldeversuche einschränken: Das System sollte mögliche Anmeldeversuche für einen gewissen Zeitraum einschränken und nach einer bestimmten Anzahl fehlgeschlagener Versuche das Zurücksetzen des Kennworts auslösen.

Für wen sind Brute Force Angriffe gefährlich?

Die für Brute Force Angriffe genutzten Remote Desktops sind wegen der Fernarbeit für viele Unternehmen auf der ganzen Welt zur neuen Norm geworden. Während diese Änderung durch die Covid-19-Pandemie ausgelöst wurde, dürfte Telearbeit ein wesentlicher Bestandteil der Unternehmenskultur bleiben. Immer mehr Unternehmen verlassen sich heute auf Remotedesktopverbindung. Mitarbeiter(innen) können von überall auf den Desktop ihres Arbeitscomputers zugreifen und so arbeiten, als wären sie im Büro. Dies ist jedoch mit ernsthaften Risiken für die Sicherheit verbunden.

Am gebräuchlichsten ist für das Knacken der Authentifizierung ein Angriff auf das Remote Desktop Protocol (RDP). Microsoft-proprietäres Protokoll ist in allen Windows-Versionen ab XP verfügbar. Brute Force Angriffe auf RDP-Verbindungen sind in der letzten Zeit in die Höhe geschossen. Hierbei handelt es sich um automatisierte Angriffe, die darauf abzielen, Unternehmenscomputer zu entführen und Netzwerke zu infiltrieren. Auf diese Weise erhalten Cyberkriminelle Zugriff auf vertrauliche Unternehmensdaten und E-Mails. Die illegale Verwendung von Unternehmens-E-Mail-Adressen trägt unter anderem auch zu gezielten Phishing-Angriffen bei. Dieser plötzliche Anstieg der Brute Force Angriffe ist zweifellos mit einer Zunahme des Remote Works verbunden.

Schon vor der aktuellen Situation war diese Art von Cyberangriff über das RDP-Protokoll weit verbreitet: Täglich wurden etwa 150.000 Angriffsversuche unternommen. Mit Beginn der Corona-Pandemie steig diese Zahl um ein Vielfaches, mitunter auf fast eine Million RDP-Brute-Force-Versuche pro Tag.

Heute tragen Brute Force Bots erheblich zur Cyberkriminalität bei. Der von Bots im Internet erzeugte Verkehr nimmt ständig zu. Eine böswillige Variante dieser Programme kann auch Brute Force Angriffe ausführen. Für die Arbeit mit solchen Bots ist kein Fachwissen mehr erforderlich. Spezielle Bad Bots werden ebenfalls als Service angeboten. TrickBots erleichtern RDP-Angriffe, deswegen ist es in der Cyberkriminalität kein Zufall, dass dem berüchtigten TrickBot-Trojaner im März ein neues Modul -rdpScanDll hinzugefügt wurde. Das neue Modul greift RDP-Verbindungen mit Brute Force an, um die Sicherheit der Authentifizierung zu infiltrieren.

Welche Schutzmaßnahmen gegen Brute Force Attacken gibt es?

Brute Force und Remote Desktops beherbergen in Kombination immense Gefahren für die Cybersicherheit. Die Sicherheit einer RDP-Verbindung ist wichtig, denn RDP-Verbindungen sind ein idealer Angriffsvektor für Cyberkriminelle. Eine schlecht gesicherte RDP-Verbindung kann ihnen Zugriff auf das gesamte Unternehmenssystem gewähren. Aus diesem Grund sollte die Sicherheit solcher Verbindungen für jedes Unternehmen Priorität haben.

Um alle Endpunkte vor Brute Force Angriffen zu schützen, ist es essenziell, ein sicheres Kennwort mit einer ausreichenden Passwortlänge zu benutzen und alte Kennwörter nicht wiederzuverwenden. Dieser letzte Punkt ist für die Cybersicherheit besonders wichtig, wenn es darum geht, Angriffe auf Anmeldeinformationen der Authentifizierung zu stoppen, die versuchen, auf Systeme mit bereits erfassten Kennwörtern zuzugreifen.

Unternehmen müssen in der Lage sein, alle Aktivitäten auf Unternehmensendpunkten zu überwachen, um verdächtige RDP-Aktivitäten und Methoden der Cyberkriminalität zu erkennen. Eine Ausrüstung zur Abwehr von Brute Force Angriffen dient der eigenen Sicherheit und inspiziert ständig alle Aktivitäten jedes Systemprozesses. Methoden zur Bekämpfung von Cyberkriminalität stoppen nicht nur unbekannte Verfahren, sondern überwachen auch das Verhalten bekannter Prozesse. Somit wird die Ausnutzung von Schwachstellen sofort erkannt und eingestellt.

Sie haben Fragen, wie Sie sich und Ihr Unternehmen schützen können? Dann erreichen Sie unsere Security-Sepzialisten telefonisch unter +49 7805 918-0 oder über das Kontaktformular:

Cookie	Lebensdauer	Beschreibung
wordpress_*	Sitzung	Wird von WordPress verwendet. Das Cookie speichert die WordPress Login-Daten und den Login-Status für den administrativen Bereich in verschlüsselter Form.
moove_gdpr_popup	1 Jahr	Wird vom WordPress Plugin "GDPR Cookie Compliance Plugin" verwendet. Das Cookie speichert Ihre Cookie-Einstellungen, die Sie für die Website getroffen haben.
ga-disable-*	31.12.2099	Mit Hilfe des Cookies wird das Tracking via Google Analytics deaktiviert.
CONSENT	20 Jahre und 1 Monat	Dieser Cookie wird von eingebetteten YouTube-Videos gesetzt. Es registriert anonyme statistische Daten, z.B. wie oft das Video angezeigt wird und welche Einstellungen für die Wiedergabe verwendet werden.
wp_woocommerce_session_*	bis 48 Stunden nach Artikelauswahl	Wird benötigt, um einem Website-Besucher die gewählten Artikel in der Vorauswahl zuzuordnen.
woocommerce_items_in_cart	Session	Wird benötigt um zu definieren, ob sich Produkte in der Vorauswahl befinden.
woocommerce_cart_hash	Session	Wird benötigt, um die Produkte in der Vorauswahl zu speichern.
tk_ai	Sitzung	Speichert eine zufällig generierte anonyme ID. Dieser Cookie wird nur innerhalb des Adminbereichs zum Verfolgen der allgemeinen Analysen verwendet.
wp-settings-*	1 Jahr	WordPress setzt auch ein paar wp-Einstellungen-{Zeit}-[UID] Cookies. Die Nummer am Ende ist Ihre individuelle Benutzer-ID aus der Benutzer-Datenbanktabelle. Diese wird verwendet, um Ihre Ansicht der Admin-Schnittstelle und möglicherweise auch der Haupt-Site-Schnittstelle anzupassen.

Cookie	Drittanbieter	Lebensdauer	Beschreibung
NID	google.com	6 Monate	Wird von Google verwendet. Das Cookie enthält eine eindeutige ID, über die Google Ihre bevorzugten Einstellungen und andere Informationen speichert, insbesondere Ihre bevorzugte Sprache (z. B. Deutsch), wie viele Suchergebnisse pro Seite angezeigt werden sollen und ob der Google SafeSearch-Filter aktiviert sein soll. Die ausführliche Datenschutzrichtlinie finden Sie hier: Daten erhoben werden.https://www.google.com/policies/privacy/
_gid	google-analytics.com	1 Tag	Wird von Google Analytics verwendet. Das Cookie registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren. Die ausführliche Datenschutzrichtlinie finden Sie hier: https://www.google.com/intl/en/analytics/privacyoverview.html
_ga	google-analytics.com	2 Jahre	Wird von Google Analytics verwendet. Mit Hilfe des Cookies lassen sich eindeutige Benutzer und Aktualisierungen der Datenvolumengrenze anonym unterscheiden. Die ausführliche Datenschutzrichtlinie finden Sie hier: https://www.google.com/intl/en/analytics/privacyoverview.html
_gat_UA-*	google-analytics.com	1 Minute	Wird von Google Analytics verwendet, um die Anforderungsrate einzuschränken. Die ausführliche Datenschutzrichtlinie finden Sie hier: https://www.google.com/intl/en/analytics/privacyoverview.html
PREF	google-analytics.com	8 Monate	Wird von YouTube verwendet. Das Cookie registriert eine eindeutige ID, die von Google verwendet wird, um Statistiken dazu, wie der Besucher YouTube-Videos auf verschiedenen Websites nutzt, zu behalten.
YSC	youtube.com	Session	Wird von YouTube verwendet. Das Cookie registriert eine eindeutige ID, um Statistiken der Videos von YouTube, die der Benutzer gesehen hat, zu behalten.
VISITOR_INFO1_LIVE	youtube.com	179 Tage	Wird von YouTube verwendet. Mit Hilfe des Cookies wird seitens YouTube versucht, die Benutzerbandbreite auf Seiten mit integrierten YouTube-Videos zu schätzen.
fr	facebook.com	3 Monate	Wird von Facebook genutzt, um eine Reihe von Werbeprodukten anzuzeigen, zum Beispiel Echtzeitgebote dritter Werbetreibender.
_fbp	facebook.com	3 Monate	Wird von Facebook genutzt, um eine Reihe von Werbeprodukten anzuzeigen, zum Beispiel Echtzeitgebote dritter Werbetreibender.
_hjIncludedInSample	hotjar.com	1 Jahr	Dieser Cookie wird von Hotjar verwendet um zu prüfen, ob der Besucher in dem Sample enthalten ist, das zur Erstellung von Heatmaps, Funnels, Recordings, etc. verwendet wird.
IDE, DSID	doubleclick.net	1 Jahr	Wird von Google DoubleClick verwendet. Das Cookie wird verwendet, um die Handlungen des Benutzers auf der Webseite nach der Anzeige oder dem Klicken auf eine der Anzeigen des Anbieters zu registrieren und zu melden, mit dem Zweck der Messung der Wirksamkeit einer Werbung und der Anzeige zielgerichteter Werbung für den Benutzer.
SID, SSID,HSID, SAPISID,APISID,ANID	google.com	2 Monate	Der Download bestimmter Google-Dienstprogramme kann bestimmte Einstellungen speichern, z. B. die Anzahl der Suchergebnisse pro Seite oder die Aktivierung des SafeSearch-Filters sowie die Anpassung der in der Google-Suche angezeigten Anzeigen oder 'Social Sharing'-Cookies für die G+1-Schaltfläche für die Fußnotenempfehlung.
1P_JAR	google.com	1 Monat	Dieser Google-Cookie wird zur Optimierung von Werbung eingesetzt, um für Nutzer relevante Anzeigen bereitzustellen, Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer dieselben Anzeigen mehrmals sieht.
__Secure-*	google.com	1 Jahr	Wird von badecloud für zielgerichtete Zwecke verwendet, um ein Profil der Interessen der Website-Besucher zu erstellen, um relevante und personalisierte Google-Werbung zu zeigen.
_GRECAPTCHA	www.google.com	6 Monate	Dieses Cookie wird gesetzt, um die unsichtbare Captcha-Funktionalität bereitzustellen.
_hjid	hotjar.com	Sitzung	Dieses Cookie wird gesetzt, wenn der Kunde zum ersten Mal auf einer Seite mit dem Hotjar-Skript landet. Es wird verwendet, um die Hotjar-Benutzer-ID, die für diese Seite eindeutig ist, im Browser zu speichern. Dadurch wird sichergestellt, dass das Verhalten bei nachfolgenden Besuchen derselben Website derselben Benutzer-ID zugeordnet wird. Dies ermöglicht es der Website, Daten über das Besucherverhalten für statistische Zwecke zu erhalten.