Brute-Force-Angriff

Was ist ein Brute-Force-Angriff?

Ein Brute-Force-Angriff ist eine Angriffsmethode, bei der Passwörter oder kryptografische Schlüssel systematisch durch Ausprobieren ermittelt werden. Der Angreifer testet automatisiert Millionen von Kombinationen – bis die richtige gefunden ist.

Varianten & Technik

Typische Varianten:

• Standard-Brute-Force: alle möglichen Zeichenfolgen nacheinander

• Dictionary-Attack: Verwendung einer Liste häufiger Passwörter

• Hybrid-Attacke: Dictionary + Variationen (z. B. „Passwort123“)

• Rainbow Tables: vorgefertigte Hash-Wert-Listen zur Umgehung von Hash-Prüfungen

Tools: Hydra, John the Ripper, Hashcat

Begünstigende Faktoren:

• kurze oder einfache Passwörter

• fehlende Lockout-Mechanismen

• keine Zwei-Faktor-Authentifizierung

Bedeutung für Unternehmen

Brute-Force-Angriffe sind einfach durchzuführen, schwer zu erkennen und äußerst wirkungsvoll bei ungeschützten Login-Systemen. Besonders betroffen:

• öffentliche Webportale

• VPN-Zugänge

• Admin-Backends

• E-Mail-Systeme

Schutzmaßnahmen & Compliance

• Account-Lockout nach x Fehlversuchen

• Captchas bei Login-Versuchen

• MFA (z. B. TOTP oder Hardware-Token)

• sichere Passwortvorgaben (nach NIST SP 800-63B)

• regelmäßige Auswertung von Logdaten und Anmeldeversuchen

Verwandte Begriffe

• Credential Stuffing

• Passwort-Policy

• MFA

• Phishing

• Account Takeover

Beispiel

Ein Online-Shop wurde durch Brute-Force auf Kundenkonten kompromittiert. Die Ursache: einfache Passwörter wie „Sommer2023“ und kein Lockout-System – über 10.000 Accounts betroffen.