Brute-Force-Angriff: Definition, Varianten, Schutzmaßnahmen
Ein Brute-Force-Angriff ist eine Angriffsmethode, bei der Angreifer systematisch sehr viele Anmeldeversuche oder Schlüsselkombinationen ausprobieren, um Passwörter, Zugangsdaten oder kryptografische Schlüssel zu erraten. Ziel ist der unbefugte Zugriff auf Konten und Systeme. In der Praxis werden Brute-Force-Angriffe häufig automatisiert und durch spezialisierte Tools sowie Botnetze massiv beschleunigt.
Brute-Force-Angriff: Hintergrund und Entstehung
Brute-Force ist eine der ältesten Angriffstechniken. Mit zunehmender Rechenleistung und einfach verfügbaren Angriffstools blieb die Methode wirkungsvoll – insbesondere gegen schwache oder wiederverwendete Passwörter. Deutsche Behörden berichten regelmäßig über Vorfälle, bei denen massenhafte Anmeldeversuche zu erfolgreichen Kompromittierungen geführt haben.
Aktuelle Warnmeldungen des BSI zeigen, dass exponierte Systeme wie VPN-Gateways oder öffentlich erreichbare Web-Logins besonders betroffen sind. Charakteristisch ist die hohe Frequenz automatisierter Anmeldeversuche mit erratenen oder aus Datenlecks stammenden Zugangsdaten. Gelingt der Zugriff, verstetigen Angreifer ihn häufig über Hintertüren (Backdoors) und nutzen die Zugänge für laterale Bewegungen im Netzwerk (Lateral Movement).
Angreifer haben ihre Taktiken weiter verfeinert: Neben dem klassischen Durchprobieren des gesamten Kennwortraums sind Varianten wie Wörterbuchangriffe, Password Spraying und das automatisierte Wiederverwenden geleakter Zugangsdaten (Credential Stuffing) weit verbreitet. Sicherheitsorganisationen und Fachquellen dokumentieren diese Entwicklung seit Jahren konsistent.
Wichtigste Merkmale und Kernelemente
Zielgröße Authentifizierung
Brute-Force-Angriffe fokussieren Authentifizierungsverfahren wie Benutzername/Passwort-Kombinationen, API-Schlüssel, PINs oder kryptografische Schlüssel. Schwache, kurze oder wiederverwendete Passwörter erhöhen das Risiko erheblich.
Automatisierung und Geschwindigkeit
Angreifer setzen automatisierte Tools und Botnetze ein, um in kurzer Zeit sehr viele Kombinationen zu testen. GPU-Beschleunigung und umfangreiche Passwortlisten aus Datenlecks reduzieren die benötigte Angriffszeit deutlich.
Varianten von Brute-Force-Angriffen
Neben klassischem Brute-Force (Durchprobieren des vollständigen Kennwortraums) kommen unter anderem folgende Varianten vor:
– Wörterbuchangriffe mit Listen wahrscheinlicher Passwörter
– Hybride Angriffe (z. B. Basiswort plus systematische Varianten)
– Umgekehrtes Brute-Force (vom Passwort zum Konto, z. B. ein häufiges Passwort auf viele Konten)
– Credential Stuffing mit realen, geleakten Zugangsdaten
Wirksame Gegenmaßnahmen
Wirksame Gegenmaßnahmen kombinieren technische und organisatorische Kontrollen, u. a:
– Rate Limiting und progressive Verzögerungen bei Anmeldeversuchen
– IP- und Risikobewertungen (z. B. neue Geolocation, unbekanntes Gerät)
– CAPTCHAs und zusätzliche Verifizierungsschritte bei verdächtigen Mustern
– Blocklisten für kompromittierte oder zu schwache Passwörter
– Sichere Hashverfahren für Passworthashes
– Multi-Faktor-Authentifizierung (MFA) nach anerkannten Richtlinien (z. B. NIST SP 800-63B)
Harte Account-Lockouts sind vorsichtig zu konfigurieren, da sie für Denial-of-Service missbraucht werden können. „Soft-Lockouts“ (z. B. temporäre Verzögerungen, zusätzliche Verifizierung) und adaptive, risikobasierte Kontrollen gelten als praxistauglicher.
Lagebild im DACH-Raum
Das BSI weist wiederholt auf Serien-Brute-Force-Angriffe gegen exponierte Logins hin, etwa Remote-Zugänge und Portale. Ursache sind häufig schwache oder recycelte Kennwörter in Verbindung mit fehlenden oder zu lax konfigurierten Ratenlimits.
Bedeutung für Unternehmen und Praxisrelevanz
Für Unternehmen im DACH-Raum ist der Brute-Force-Angriff ein typisches Einstiegsrisiko in Kompromittierungen. Der Angriff ist für Angreifer kostengünstig, technisch leicht skalierbar und trifft Systeme, die aus Geschäftsgründen dauerhaft erreichbar sein müssen (z. B. Kundenportale, M365, VPN, RDP). Behördenberichte und Fachmeldungen zeigen, dass Brute-Force-Angriffe zum Alltagsrisiko gehören.
Aus Governance-Sicht sind robuste Kontrollen im Identity & Access Management (IAM) zentral. Dazu gehören insbesondere:
– Richtlinien für starke Passwörter mit Blocklisten kompromittierter Kennwörter
– Rate-Limiting pro Identität und Quelle
– Telemetrie-basierte Risikoentscheidungen (z. B. neue Geolocation, neues Gerät, ungewöhnliche Uhrzeiten)
– Sichere Speicherung von Passworthashes nach Stand der Technik
– MFA für schutzbedürftige Zugriffe nach anerkannten Richtlinien (z. B. NIST SP 800-63B)
Praxiserfahrung zeigt: Schon wenige gezielte Maßnahmen – konservative Login-Ratenlimits, adaptive Verzögerungen, Monitoring fehlgeschlagener Versuche, konsequente Passwort-Hygiene und MFA für alle externen Zugriffe – reduzieren die Erfolgswahrscheinlichkeit deutlich, ohne die Nutzerfreundlichkeit unverhältnismäßig zu beeinträchtigen.
Abgrenzung zu verwandten Begriffen
Brute-Force-Angriff vs. Wörterbuchangriff
Beim Brute-Force-Angriff werden alle möglichen Kombinationen eines definierten Kennwortraums systematisch durchprobiert. Beim Wörterbuchangriff werden dagegen Listen wahrscheinlicher Passwörter eingesetzt (z. B. häufige oder aus Leaks bekannte Kennwörter). Wörterbuchangriffe sind effizienter, decken aber nicht alle starken, unüblichen Passwörter ab.
Brute-Force-Angriff vs. Credential Stuffing
Credential Stuffing nutzt reale, zuvor geleakte Kombinationen aus Benutzername und Passwort und testet sie automatisiert auf anderen Diensten. Im Unterschied zum klassischen Brute-Force-Angriff geht es nicht um das Erraten eines Passworts, sondern um das Ausnutzen vorhandener Datenlecks.
Brute-Force-Angriff vs. Password Spraying
Password Spraying testet ein oder wenige verbreitete Passwörter gegen viele Konten, um Account-Lockouts zu vermeiden. Klassische Brute-Force-Angriffe konzentrieren hingegen viele Versuche auf ein einzelnes Konto und versuchen den gesamten oder einen großen Teil des Kennwortraums abzudecken.
Beispiele aus der Praxis
Beispiel 1: Mittelständischer SaaS-Anbieter (Deutschland, ca. 120 Mitarbeitende)
Ein mittelständischer SaaS-Anbieter registrierte automatisierte Anmeldewellen gegen das Kundenportal. Es kam zu vereinzelten Kontoübernahmen durch erratene oder wiederverwendete Passwörter. Nach Einführung von risikobasiertem Rate-Limiting, blocklist-gestützter Passwortprüfung, MFA für alle Kundenkonten und Telemetrie-Alarmierung gingen erfolgreiche Kompromittierungen auf null zurück.
Beispiel 2: Öffentliche Verwaltung (Österreich, ca. 500 Mitarbeitende)
Eine öffentliche Verwaltung beobachtete tägliche Spitzen bei fehlgeschlagenen Anmeldeversuchen auf VPN-Gateways. Als Maßnahmen wurden Passwort-Mindeststandards erhöht, Hashverfahren gehärtet, MFA für Remote-Zugriff verpflichtend eingeführt und adaptive Delays bei Fehlversuchen konfiguriert. Das Ergebnis waren deutlich reduzierte Fehlversuche und keine bekannten unbefugten Zugriffe mehr.
Häufig gestellte Fragen
Was ist ein Brute-Force-Angriff?
Ein Brute-Force-Angriff ist das systematische Ausprobieren vieler Kennwort- oder Schlüsselkombinationen, um Zugang zu einem Konto oder System zu erhalten. Angreifer automatisieren diese Versuche und nutzen häufig Listen aus bekannten Datenlecks. Wirksame Gegenmaßnahmen sind u. a. Rate-Limiting, starke Passwörter mit Blocklisten und konsequente MFA.
Wie funktioniert ein Brute-Force-Angriff?
Angreifer senden massenhaft Anmeldeversuche an einen Login-Endpunkt oder probieren Schlüsselräume bei verschlüsselten Daten durch. Moderne Tools verwenden GPU-Beschleunigung und umfangreiche Passwortlisten. Erfolgreiche Anmeldungen werden oft sofort durch Persistenzmaßnahmen wie Hintertüren abgesichert.
Wie kann man Brute-Force-Angriffe verhindern?
Wirksam sind abgestimmte technische und organisatorische Maßnahmen: Ratenbegrenzung und progressive Verzögerungen, IP- und Risikobewertungen, blocklist-gestützte Passwortwahl, sichere Hashing-Verfahren und MFA für alle kritischen Zugänge. Harte Lockouts sollten sorgfältig konfiguriert werden; adaptive Alternativen sind in vielen Umgebungen praxistauglicher.
Was ist der Unterschied zwischen Brute-Force und Wörterbuchangriff?
Beim Brute-Force-Angriff wird systematisch der gesamte oder ein sehr großer Teil des Kennwortraums getestet. Wörterbuchangriffe nutzen dagegen vorbereitete Listen wahrscheinlicher Passwörter. Sie sind schneller, können aber starke, unübliche Kennwörter übersehen
Quellen
[Q1] Bundesamt für Sicherheit in der Informationstechnik (BSI): „Brute-Force-Angriffe auf exponierte Systeme“, https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-298922-1032.html, Abrufdatum: 10.11.2025.
[Q2] NIST Special Publication 800-63B (Rev. 4): „Digital Identity Guidelines – Authentication and Lifecycle Management“, https://pages.nist.gov/800-63-4/sp800-63b.html, Abrufdatum: 10.11.2025.
[Q3] Kaspersky: „Brute-Force-Angriff: Definition und Beispiele“, https://www.kaspersky.de/resource-center/definitions/brute-force-attack, Abrufdatum: 10.11.2025.
[Q4] OWASP: „Blocking Brute Force Attacks“, https://owasp.org/www-community/controls/Blocking_Brute_Force_Attacks, Abrufdatum: 10.11.2025.