A clenched fist punching a padlock that is broken into two pieces.

Der Vorgang ist denkbar simpel und erfordert nur wenig IT-Kenntnisse: Mit “roher Gewalt” und nach einem einfachen Trial-and-Error-Prinzip verschaffen sich Hacker Zugriff auf Konten. Diese Brute-Force-Angriffe können Privatpersonen als auch Unternehmen gleichermaßen treffen. 

Tatsächlich sind viele deutsche Unternehmen – neben Ransomware, DDoS und anderen – von Brute-Force-Attacken betroffen. Die Folgen sind Datenverluste und im schlimmsten Fall hohe finanzielle Schäden. Dabei können Angriffe mit der Brute-Force-Methode durch schnell und einfach umzusetzende Maßnahmen abgewendet werden.

Inhaltsverzeichnis

    Was ist ein Brute-Force-Angriff? – Bedeutung

    Der Begriff “Brute-Force-Attack” lässt sich ins Deutsche mit “Angriff mit roher Gewalt” übersetzen und wird auch als “Brute-Force-Angriff bezeichnet”. Hacker versuchen durch Ausprobieren ein richtiges Passwort oder eine korrekte PIN zu erraten. In seiner einfachsten Form könnte das bedeuten, dass ein Cyberkrimineller manuell unterschiedliche Passwörter für dein Konto testet, bis er das passende findet. 

    Besteht dein Passwort zum Beispiel nur aus zwei Ziffern, gibt es nur 100 mögliche Kombinationen. In solch einem Fall ist es sogar theoretisch möglich, dass der Hacker durch reines Ausprobieren an das richtige Passwort gelangt. 

    Verwendet du für dein Kennwort – bestehend aus zwei Zeichen – das lateinische Alphabet (26 Buchstaben) und Ziffern (10 Ziffern), ergeben sich bereits 1296 mögliche Kombinationen. Was sich im ersten Moment viel anhört, ist mithilfe einer entsprechenden Software jedoch in Sekundenschnelle zu knacken. 

    Dir sollte bewusst sein: Ein professioneller Hacker wird nicht vor dem PC sitzen und in mühevoller Arbeit manuell Passwörter in das Log-in-Feld eingeben. Vielmehr bedient er sich dabei einer Software, denn viele Webseiten verlangen eine Mindestanzahl an Zeichen für Online-Konten, sodass die möglichen Kombinationen in die Millionen gehen.

    Zum Knacken von Passwörtern existieren zahlreiche Softwares wie John the Ripper, Hydra oder Aircrack-ng. Eine Nutzung dieser zum großen Teil kostenloser Programme für den Zweck eines Brute-Force-Angriffs oder anderer zwielichtigen Aktivitäten ist aber illegal.

    Bei schwachen Kennwörtern dauert es häufig nur Sekunden, bis solch eine Software das richtige Ergebnis errät. Bei längeren und komplexeren Zeichenkombinationen erhöht sich die Zeit jedoch spürbar. Wählst du ein Kennwort mit acht Zeichen, bestehend aus Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen, benötigt der Angreifer mit einer Software ca. 80 Tage, bis er zum Erfolg kommt. 

    Du siehst also, dass ein schwaches Passwort eine große Sicherheitslücke für eine erfolgreiche Brute-Force-Attacke darstellt. Erfahre daher im Folgenden Beispiele für schwache Kennwörter, damit du sie vermeiden kannst.

    Beispiele für schwache Passwörter

    Im Jahr 2023 war 123456789 das beliebteste Passwort der Deutschen. Leider ist das kein Grund zum Feiern, denn der erste Platz in der Kennwort-Hitliste ist extrem schwach, selbst wenn es drei Ziffern länger ist als noch im Vorjahr. Die anderen zwei Kennwörter der Top 3 sind leider nicht sicherer: Auf Platz zwei folgt 12345678, und hallo landet auf Platz drei. Weitere Kennwörter in den Top 10 sind unter anderem: password und iloveyou.

    Ansonsten fällt auf, dass die meisten Kennwörter aus einer Ziffernfolge auf der Tatstatur bestehen – und das nicht einmal in kreativer Form, sondern aus direkt nebeneinander liegenden Zahlen. 

    Doch wieso tendieren so viele Nutzer zu schwachen Passwörtern? Das liegt daran, dass Nutzer sich diese Kennwörter leicht merken können und sie schnell einzutippen sind. Und weil jeder heutzutage dutzende Konten im Internet besitzt, verwenden Nutzer aus Bequemlichkeit ihr Passwörter für mehrere Online-Accounts gleichzeitig. 

    Mehr Cybersicherheit dank Surfshark Alert
    Surfshark Alert ist in Surfshark One und Surfshark One+ enthalten
    Surfshark

    Arten von Bruce-Force-Attacken

    Es gibt verschiedene Arten von Brute-Force-Angriffen, manchmal erfolgt auch eine Kombination von beiden. Dazu gehören: 

    Einfache Brute-Force-Attacke

    Bei dieser Brute-Force-Methode probiert der Cyberkriminelle alle möglichen Kombinationen durch, bis er das richtige Passwort findet. Er könnte zum Beispiel mit “1”,”2”,”3”,”4” oder “a”, “b”, “c”, “d” und so weiter beginnen und arbeitet sich dann durch alle möglichen Kombinationen. Wie bereits erwähnt, gibt es, wenn das Passwort nur aus zwei Ziffern besteht, nur 100 mögliche Kombinationen, sodass es sogar realistisch sein kann, manuell durch Ausprobieren das richtige Kennwort zu erraten. Man spricht hier auch von der Trial and Error Methode.

    Wörterbuchangriff

    Der Wörterbuchangriff ist eine Angriffsmethode, bei der das unbekannte Kennwort mithilfe einer Passwortliste ermittelt wird. Diese Methode basiert auf der Annahme, dass das Passwort aus einer sinnvollen Zeichenkombination beziehungsweise existierenden Wörtern oder Phrasen besteht, was oft der Fall ist.

    Für den Angriff nutzen Hacker ein spezielles Programm, da sie so in möglichst kurzer Zeit viele Passwörter von der Liste ausprobieren können. Der aktive Wortschatz einer Sprache liegt bei 50.000 Wörtern, sodass spezielle Programme innerhalb von Sekunden mehrere Sprachen austesten können. 

    Gute Software kann auch scheinbar komplexere Kombinationen ermitteln, wie Fussball12!, das auf den ersten Blick zwar aus Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen besteht, aber ein bekanntes deutsches Wort beinhaltet.

    Credential Stuffing

    Credential Stuffing ist eine Art “Recyling” von Zugangsdaten, die zum Beispiel aus einem Datenleck stammen können oder die der Cyberkriminelle im Dark Web illegal erworben hat. Er testet diese Log-in-Daten dann bei anderen Online-Accounts aus. 

    Diese Art von Brute-Force-Angriff ist eine wichtige Erinnerung daran, dass du für jedes Konto ein individuelles Kennwort nutzen solltest. Geraten Zugangsdaten von dir in falsche Hände, können die Hacker sie nicht für weitere Konten von dir missbrauchen.

    Hybrid-Brute-Force-Angriffe

    Bei einer Hybridform kombinieren die Angreifer eine einfache Brute-Force-Attacke mit einem Wörterbuchangriff – häufig verwendete Passwörter werden mit zufällig generierten Zeichen und Wörterbucheinträgen kombiniert. 

    Um diese Form von Brut-Force-Angriff anhand eines Beispiels zu verdeutlichen: Du hast London90 als dein Kennwort gewählt, weil London deine Lieblingsstadt ist und du im Jahr 1990 geboren wurdest. Für den ersten Teil deines Kennworts (“London”) nutzen Cyberkriminelle einen Wörterbuchangriff und für den zweiten Teil (“90”) dann einen Brute-Force-Angriff.

    Die Kombination dieser Angriffsmethoden erweist sich für Hacker als deutlich effektiver als eine separate Verwendung.

    Umgekehrter Brute-Force-Angriff

    Bei dieser Hacking-Methode kennt der Angreifer das Kennwort bereits oder benutzt eine Liste mit häufig verwendeten Passwörtern, muss aber noch den Benutzernamen ermitteln. Der Hacker könnte die oben erwähnte Hitliste der beliebtesten Passwörter verwenden, sich eine Webseite oder einen Online-Dienst aussuchen und schließlich mit dem umgekehrten Brute-Force-Angriff beginnen. 

    Für den Benutzernamen könnte der Angreifer häufig verwendete Namen wie “admin” oder “user” nutzen und es mit der Kombination “admin” für den Benutzernamen und “123456789” als Passwort probieren – dem beliebtesten Kennwort aus dem Jahr 2023. 

    Rainbow-Table-Attacke

    Bei einer Rainbow-Table-Attacke verwendet ein Cyberkrimineller Tabellen mit Hash-Werten und deren zugehörigen Klartextpasswörtern. Dadurch wird die Zeit für das Knacken eines Passworts deutlich reduziert, und Brute-Force-Angriffe können optimiert werden. 

    Wenn du dich jetzt fragst, wieso Hacker nicht jedes Mal auf die Rainbow-Table-Attacke zugreifen, ist zu erwähnen, dass diese Brute-Force-Methode eine Schwachstelle hat: Passwort-Salting. Bevor Passwörter in der Datenbank einer Website gespeichert werden, durchlaufen sie einen speziellen Prozess namens Passwort-Hashing; das bedeutet, die Kennwörter werden in eine zufällige Zeichenfolge mit einer bestimmten Länge umgewandelt. 

    Wenn zwei Passwörter identisch sind, ist auch ihr Hash identisch. Wenn du “tisch” als dein Kennwort wählst und ein weiterer Nutzer auf einer Webseite ebenso, habt ihr beide denselben Hash. Hier kann Salting Abhilfe schaffen: Durch ein zufällig hinzugefügtes Datenelement, das dem Passwort hinzugefügt wird – aus deinem Kennwort wird zum Beispiel “tisch3!err” und aus dem des anderen Nutzers “tisch9dneh!” – werden auch die Hashes individuell.

    Was können die Folgen einer Brute-Force-Attacke sein?

    Wenn Brute-Force-Angriffe erfolgreich sind, kann das für dich und deine Daten zum Teil schwerwiegende Konsequenzen haben. 

    Unbefugter Zugriff auf Konten oder Systeme

    Erfolgreiche Brute-Force-Angriffe können dazu führen, dass ein Hacker Zugriff auf dein Konto erhält und dieses für weitere Zwecke missbraucht, wie Identitätsdiebstahl. Im Unternehmensbereich könnte er hingegen Zugang zu vertraulichen und sensiblen Daten erhalten. Der unbefugte Zugriff auf Konten oder ganze Systeme ist meist nur die erste Phase eines Cyberangriffs. 

    Verlust, Verändern oder Löschen von Daten

    Ein Angreifer kann eine erfolgreiche Brute-Force-Attacke dazu nutzen, um Daten zu stehlen und diese weiterzuverkaufen (meist im Dark Net) oder sich direkt damit finanziell zu bereichern, wenn es sich um Informationen wie Kreditkartennummern oder andere Bankdaten handelt.

    Bei Unternehmen ist aber auch ein bewusstes Verändern oder Löschen von Daten denkbar, um dem Ruf eines Unternehmens zu schaden.

    Finanzielle Schäden

    Schafft der Angreifer es durch einen Brute-Force-Angriff, Zugang zu deinem Online-Banking oder PayPal-Konto zu erhalten, kann er hohe finanzielle Schäden anrichten. Selbst wenn diese Konten oft durch weitere Maßnahmen geschützt sind (wie 2FA), solltest du besonders finanzielle Konten ausreichend gegen Brute-Force-Angriffe schützen. 

    Innerhalb eines Unternehmens könnte der Hacker gestohlene Daten für einen Erpressungsversuch verwenden, sodass er die Informationen erst dann zurückgibt, wenn er ein entsprechendes Lösegeld erhalten hat.

    Außerdem können finanzielle Schäden durch Ausfallzeiten von Webseiten entstehen, wenn Unternehmen Ressourcen und Mitarbeiter aufbringen müssen, um gegen Brute-Force-Angriffe vorzugehen. 

    Rufschaden durch die Brute-Force-Methode

    Diese Folge einer Brute-Force-Attacke betrifft vor allem Unternehmen. Kommt es zum Diebstahl von Daten und wird dies publik, kann es das Vertrauen von Kunden und Partnern beeinträchtigen. 

    2022 kam es zu einem Brute-Force-Angriff auf die Webseite des Buchhändlers Thalia, bei dem Konten im mittleren fünfstelligen Bereich betroffen gewesen sein sollen. Ein Programm probierte systematisch über mehrere Stunden hinweg Kombinationen mit Benutzerdaten und Passwörtern, was bei einigen Accounts zum Erfolg führte.

    Rechtliche Folgen

    In der EU gibt es strenge Datenschutzregelungen, vor allem seit 2018 die Datenschutz-Grundverordnung umgesetzt wurde. Sind Brute-Force-Angriffe in Deutschland erfolgreich und es kommt zu einem Datenverlust, kann das hohe Strafen nach sich ziehen. So musste allein das Unternehmen Meta (Facebook, Instagram und WhatsApp) bereits über eine Milliarde Euro Strafe zahlen. In Deutschland wurden bereits 186 DSGVO-Verstöße mit einer Bußgeldhöhe von 55 Millionen Euro gezählt.

    Wie kann ich einen Brute-Force-Angriff erkennen?

    Es ist wichtig, ein Bewusstsein für Brute-Force-Angriffe zu entwickeln und diese frühzeitig erkennen zu können. Im Folgenden erfährst du, welche Warnhinweise auf Brute-Force-Methoden hindeuten können.

    • Gehäufte Fehlermeldungen bei der Anmeldung: Wenn du versuchst, dich bei einem deiner Accounts anzumelden, es aber wiederholt zu einer Fehlermeldung kommt, könnte dein Konto Zielscheibe eines Brute-Force-Angriffs geworden sein. Natürlich bedeutet eine alleinige Fehlermeldung nicht automatisch, dass es zu einer Brute-Force-Attacke gekommen ist – es kann genauso sein, dass du dein Passwort oder deinen Benutzernamen falsch eingegeben hast oder es Serverprobleme gibt.
    • Anmeldung von ungewöhnlichen Standorten: Vielleicht hast du schon einmal die Nachricht erhalten, dass es zu einem neuen Anmeldeversuch bei deinem Konto gekommen ist – häufig mit der Nennung des Standorts. Diese Meldung erhältst du meist dann, wenn das Log-in von einem fremden Gerät erfolgt ist. Nutzt du einen neuen PC oder ein neues Smartphone und loggst dich das erste Mal von diesem Gerät in deinem Konto ein, ist das nichts Ungewöhnliches. Doch wenn du dich an diese Anmeldung nicht erinnern kannst und sie von einem ungewöhnlichen Standort aus erfolgte, kann das auf einen Brute-Force-Angriff hindeuten.
    • Dein Konto ist gesperrt: Kommt es zu einer Sperrung deines Kontos, zum Beispiel wegen “ungewöhnlicher Aktivitäten”, könnte ein Angreifer versucht haben, deinen Account per Brute-Force zu hacken. Nimm Kontakt mit dem Webseitenbetreiber auf, um herauszufinden, wieso dein Konto gesperrt ist.

    Beachte, dass es wichtig ist, dass du für jedes deiner Konten unterschiedliche Passwörter wählst, so dass es Hackern bei einer Kompromittierung nicht möglich ist, Zugang zu weiteren deiner Konten zu erhalten. Dazu im Anschluss noch weitere Informationen. 

    Wie sollte ich im Falle einer Brute-Force-Attacke vorgehen?

    Wenn du einen Brute-Force-Angriff erkannt hast, musst du sofort handeln. Ändere umgehend die Passwörter der betroffenen Konten, falls du Zugriff darauf hast. Kontaktiere außerdem den Webseitenbetreiber und informiere ihn über die Attacke. Kam es zu einem Brute-Force-Angriff auf dein Online-Banking, lasse vorsichtshalber all deine Karten sperren.

    Je nach Schwere eines Angriffs empfiehlt es sich, die Polizei zu verständigen, vor allem wenn es zu finanziellen Verlusten gekommen ist. 

    Prüfe mit einem Anti-Viren- oder Malwareprogramm, ob sich Schadsoftware auf deinem Gerät befindet und lass diese beseitigen. Ist es zu einem Datenverlust gekommen, stelle deine Daten mit einem Backup wieder her (deshalb empfiehlt sich auch ein regelmäßiges Backup). Überlege außerdem, dein Gerät mit Cybersicherheitstools aufzurüsten, um erneute Brute-Force-Angriffe zu verhindern.

    Wie vermeide ich Brute-Force-Attacken?

    Für einen effektiven Schutz vor Brute-Force-Attacken gibt es mehrere Möglichkeiten. Versuche, so viele davon wie möglich umzusetzen.

    Erstelle längere Passwörter

    Je länger und komplexer deine Passwörter sind, desto schwieriger ist es für einen Angreifer, sie im Zuge einer Brute-Force-Attacke zu erraten.  Dein Kennwort sollte aus mindestens acht Zeichen bestehen und Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen beinhalten. Vermeide außerdem, dass es durch Rückschlüsse auf deine Person oder Interessen von dir zu erschließen ist – zum Beispiel dein Geburtsdatum, deinen Wohnort oder dein Lieblingstier.

    Vermeide häufig genutzte Passwörter 

    Im Verlauf des Artikels hast du erfahren, dass die Kennwörter auf der Hitliste der beliebtesten Passwörter allesamt zu den schwachen Passwörtern zählen. Deshalb ist es wenig ratsam, sich der Masse anzuschließen und aus Bequemlichkeit ein solches Kennwort zu wählen; vielmehr sollte es vor allem willkürlich sein.

    Nutze individuelle Passwörter für jede Plattform/Website

    Neben der Komplexität und Länge eines Passworts ist es ebenso entscheidend, dass du für jedes deiner Online-Konten ein unterschiedliches Passwort wählst. Damit vermeidest du, dass, wenn die Log-in-Daten von einem Account kompromittiert werden, der Angreifer unmittelbaren Zugriff auf weitere Konten von dir erhält.

    Verwende einen Passwort-Manager 

    Ein Passwort-Manager ist ein virtueller Tresor, in dem du deine Log-in-Daten oder andere sensible Informationen wie Kreditkartennummern speichern und von deinen Geräten darauf zugreifen kannst. Darüber hinaus hilft dir das Tool, sichere und individuelle Passwörter für deine Konten zu erstellen, die die oben genannten Kriterien erfüllen.

    Nutze eine Multi-Faktor-Authentifizierung (MFA)

    Mit einer Multi-Faktor-Authentifizierung (MFA) schaffst du eine zusätzliche Sicherheitsschicht für deine Konten. Zusätzlich zu deinen Anmeldedaten ist dann ein Code notwendig, der per SMS oder App generiert wird. Selbst wenn es einem Angreifer gelingen sollte, an deine Log-in-Daten zu gelangen, benötigt er den Code aus der MFA.

    Beschränke die maximale Anzahl an Log-in-Versuchen

    Falls es möglich ist, solltest du einstellen, dass nur eine maximale Anzahl an Log-in-Versuchen für dein Konto erlaubt ist, bis es vorübergehend gesperrt wird. Bei manchen Accounts – insbesondere jene mit sensiblen Daten wie Online-Banking – ist dieser Prozess aus Sicherheitsgründen bereits Standard.

    Lösche inaktive Konten

    Jeder Nutzer hat Konten, die er im Laufe der Zeit nicht mehr aktiv nutzt und die in Vergessenheit geraten. Kapern Angreifer nun diese Konten durch Brute-Force-Angriffe, bekommst du im schlimmsten Fall gar nicht mit, dass es ein Hacker in dein Konto geschafft hat. 

    Versuche daher, einen Überblick über deine Online-Konten zu bewahren und inaktive Konten zu löschen.

    Bewährte Maßnahmen zum Schutz vor Brute-Force-Angriffen

    Zusätzlich zu den oben genannten Tipps kannst du Maßnahmen in deinen Online-Alltag integrieren. Dazu gehören:

    • Lade regelmäßig die neuesten Updates für Betriebssysteme und Software herunter, um mögliche Sicherheitslücken zu schließen;
    • Informiere dich über aktuelle Bedrohungen: Großflächige Cyberbedrohungen – ob Brute-Force-Angriffe, Phishing oder andere Attacken – werden schnell publik. Achte deshalb auf Meldungen auf Nachrichtenwebseiten, auf Technik-Blogs oder in den sozialen Medien;
    • Benachrichtigungen durch Tools: Online-Tools können dich darauf hinweisen, wenn es zu einer Offenlegung deiner Daten gekommen ist, sodass du unmittelbar handeln und deine Konten zusätzlich schützen kannst.

    Surfshark Alert

    Eines dieser Tools ist Surfshark Alert, das im Abo Surfshark One beziehungsweise Surfshark One+ enthalten ist. Falls deine personenbezogenen Daten offengelegt werden, erhältst du eine Benachrichtigung. Außerdem kannst du dir die Anzahl von Sicherheitsverstößen gegen dein Passwort anzeigen lassen, sodass du erkennst, ob dein Kennwort sicher ist. Auch deine Kreditkarten kannst du mit Surfshark Alert schützen.

    Erhöhe deine Cybersicherheit mit Surfshark Alert
    Schütze deine Konten vor Brute-Force-Attacken und anderen Online-Bedrohungen
    Surfshark

    FAQs

    Was ist eine Brute-Force-Attacke?

    Bei der Brute-Force-Methode versuchen Hacker per Trial-and-Error-Prinzip dein Passwort zu erraten. Meist nutzen sie dafür spezielle Programme und verbinden Arten von Brute-Force miteinander – wie einen Wörterbuchangriff und einen einfachen Brute-Force-Angriff.

    Ist mein Passwort anfällig für Brute-Force-Angriffe?

    Das kommt auf die Länge und Komplexität deines Passworts an. Allgemein gilt: Je länger und komplexer ein Kennwort, desto weniger anfällig ist es für eine Brute-Force-Attacke. Wähle mindestens acht Zeichen und integriere sowohl Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen. 

    Wie kann ich Brute-Force-Attacken verhindern?

    Effektive Maßnahmen gegen Brute-Force sind ein starkes und individuelles Passwort für jedes Konto; eine Zwei-Faktor-Authentifizierung (2FA); sowie eine Beschränkung der maximalen Anzahl an falschen Log-in-Versuchen bei Accounts.

    Welche Tools verwenden Angreifer für eine Brute-Force-Attacke?

    Es gibt mehrere Tools wie John the Ripper, Hydra oder Aircrack-ng, die zum großen Teil offiziell legal sind, jedoch von Hackern für illegale Zwecke missbraucht werden können. Außerdem werden häufig Passwortlisten (Wörterbuchangriff) oder Tabellen (Rainbow-Table-Attacke) verwendet.

    Wie lange dauert es, ein Passwort zu knacken?

    Kennwörter wie 123456789 oder password, die jedes Jahr in der Liste der beliebtesten Passwörter auftauchen, können Cyberkriminelle in Sekunden knacken. Doch je stärker dein Passwort, desto länger die benötigte Zeit. Bei starken Kennwörtern kann es Tage bis Wochen dauern, beziehungsweise praktisch unmöglich sein, das Passwort zu knacken.