Was ist ein Brute-Force-Angriff?

Ein Brute-Force-Angriff ist eine Art Cyberattacke, bei der Hacker versuchen, durch Ausprobieren unbefugten Zugang zu einem Konto oder verschlüsselten Daten zu erhalten, indem sie mehrere Anmeldedaten oder Verschlüsselungsschlüssel ausprobieren, bis sie das richtige Passwort finden. Brute-Force-Angriffe zielen häufig auf Authentifizierungssysteme wie Anmeldeseiten von Websites, Secure Shell (SSH)-Server oder passwortgeschützte Dateien ab. 
 

Im Gegensatz zu anderen Cyberangriffen, bei denen Software-Schwachstellen ausgenutzt werden, nutzen Brute-Force-Angriffe die Rechenleistung und Automatisierung, um Passwörter oder Schlüssel zu erraten. Einfache Brute-Force-Angriffe verwenden automatisierte Skripte oder Bots, um Tausende von Passwortkombinationen pro Minute zu testen – ähnlich wie ein Dieb alle möglichen Kombinationen an einem Vorhängeschloss ausprobiert, bis es sich öffnet.

Schwache oder einfache Passwörter erleichtern die Arbeit, während starke Passwörter diese Art von Angriff extrem zeitaufwändig oder unpraktisch machen können. Es werden jedoch ständig fortschrittlichere Brute-Force-Techniken entwickelt.

Um die Geschwindigkeit und das Ausmaß der heutigen eskalierenden Cyber-Bedrohungen zu veranschaulichen, bedenken Sie, dass Microsoft durchschnittlich 4.000 Identitätsangriffe pro Sekunde blockiert. Dennoch überschreiten Angreifer weiterhin Grenzen. Spezialisierte Passwort-Cracking-Rigs können in derselben Sekunde etwa 7,25 Billionen Passwortversuche erreichen.

Und jetzt, mit dem Aufkommen von Quantencomputing und der Notwendigkeit von Post-Quanten-Kryptographie, sind Brute-Force-Angriffe nicht mehr durch die heutige Hardware beschränkt. Moderne kryptografische Methoden zur Authentifizierung, wie die RSA-Verschlüsselung, beruhen auf der Schwierigkeit, große Zahlen in Primzahlen zu zerlegen.

Die Faktorisierung von mehr als 2048 Bit würde mit der derzeitigen Rechenleistung Milliarden von Jahren dauern. Ein ausreichend fortgeschrittener Quantencomputer mit etwa 20 Millionen Qubits könnte jedoch innerhalb weniger Stunden einen 2048-Bit-RSA-Schlüssel knacken.

Brute-Force-Angriffe sind eine ernsthafte Cybersicherheitsbedrohung , da sie auf das schwächste Glied der Sicherheitsabwehr abzielen: von Menschen gewählte Passwörter und schlecht geschützte Konten.

Ein erfolgreicher Brute-Force-Angriff kann zu einem sofortigen unbefugten Zugriff führen, wodurch Angreifer sich als Benutzer ausgeben, vertrauliche Daten stehlen oder weiter in ein Netzwerk eindringen können. Außerdem erfordern Brute-Force-Angriffe im Gegensatz zu komplexeren Hacks relativ wenig technische Fähigkeiten, sondern nur Ausdauer und Ressourcen.

Eines der größten Risiken eines Brute-Force-Angriffs besteht darin, dass ein einziges kompromittiertes Konto einen Kaskadeneffekt auslösen kann. Wenn Cyberkriminelle beispielsweise die Anmeldedaten eines Administrators erlangen, können sie diese zur Kompromittierung anderer Benutzerkonten verwenden.

Sogar ein normales Benutzerkonto kann, sobald darauf zugegriffen wird, personenbezogene Daten preisgeben oder als Sprungbrett für einen privilegierteren Zugang dienen. Viele Data Breaches und Ransomware-Vorfälle beginnen damit, dass Angreifer Brute-Force einsetzen, um Konten für den Fernzugriff zu knacken – z. B. Remote Desktop Protocol (RDP) oder VPN-Anmeldungen. Sobald Angreifer in das System eingedrungen sind, können sie Malware oder Ransomware einsetzen oder das System einfach nur sperren.

Auch Brute-Force-Angriffe stellen ein Problem für die Netzwerksicherheit dar, da die Lautstärke der Angriffsversuche sehr groß sein kann. Erhebliches Netzwerkrauschen kann Authentifizierungssysteme überfordern oder als Nebelwand für stillere Cyberangriffe dienen. 

Kürzlich beobachteten Forscher eine globale Brute-Force-Kampagne, bei der fast 3 Millionen eindeutige IP-Adressen genutzt wurden, um VPNs und Firewalls anzugreifen. Dies zeigt, wie massiv und verteilt diese Angriffe werden können. 

Normalerweise würde eine Flut von fehlgeschlagenen Passwortversuchen die Verteidiger alarmieren, aber Angreifer haben Möglichkeiten, ihre Aktivitäten zu verschleiern. Durch den Einsatz von Bots oder Botnets – einem Netzwerk aus kompromittierten Computern – können Angreifer Versuche über verschiedene Quellen, wie z. B. Konten in sozialen Medien, verbreiten. Dadurch werden bösartige Anmeldeversuche mit dem normalen Benutzerverhalten vermischt. 

Abgesehen von ihrer eigenen Gefährlichkeit ist es wichtig zu wissen, dass Brute-Force-Angriffe oft Hand in Hand mit anderen Taktiken gehen. Zum Beispiel könnte ein Angreifer Phishing nutzen, um die Anmeldedaten eines Kontos zu erlangen und Brute-Force-Angriffe für ein anderes Konto anwenden. Oder sie nutzen die Ergebnisse eines Brute-Force-Angriffs (gestohlene Passwörter), um Phishing-Betrug oder Betrug an anderer Stelle zu betreiben.

Um zu verstehen, wie Brute-Force-Angriffe funktionieren, denken Sie an die schiere Anzahl möglicher Passwörter, die ein Angreifer testen muss. Bei Brute-Force-Angriffen werden Zugangsdaten mit hoher Geschwindigkeit generiert und überprüft. Der Angreifer könnte mit offensichtlichen Vermutungen beginnen (wie „Passwort“ oder „123456“) und dann systematisch alle möglichen Zeichenkombinationen generieren, bis er das richtige Passwort entdeckt.

Moderne Angreifer nutzen erhebliche Rechenleistung – von Multicore-Computerverarbeitungseinheiten (CPUs) bis hin zu Cloud-Computing-Clustern – um diesen Prozess zu beschleunigen.

Für ein sechsstelliges Passwort, das nur Kleinbuchstaben enthält, gibt es zum Beispiel 26^6 mögliche Passwörter. Das sind ungefähr 308 Millionen Kombinationen. Mit der heutigen Hardware kann diese Anzahl von Mutmaßungen fast augenblicklich durchgeführt werden, was bedeutet, dass ein schwaches Passwort mit sechs Buchstaben sofort geknackt werden könnte.

Ein längeres Passwort mit gemischten Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bietet dagegen exponentiell mehr Möglichkeiten, was den Zeit- und Arbeitsaufwand für die korrekte Erkennung erheblich erhöht. 

Passwörter sind nicht das einzige Risiko: Brute-Force-Methoden können auch Dateien entschlüsseln oder Verschlüsselungsschlüssel entdecken, indem sie das gesamte Spektrum möglicher Schlüssel (auch als „Schlüsselraum“ bezeichnet) erschöpfend durchsuchen. Die Durchführbarkeit solcher Angriffe hängt von der Schlüssellänge und der Stärke des Algorithmus ab. Ein 128-Bit-Verschlüsselungsschlüssel hat beispielsweise eine astronomisch große Anzahl von Möglichkeiten, sodass ein Brute-Forcing mit der heutigen Technologie praktisch unmöglich ist.

In der Praxis sind Brute-Force-Angriffe oft nicht durch das Knacken unknackbarer Chiffren erfolgreich, sondern durch das Ausnutzen menschlicher Faktoren: das Erraten gängiger Passwörter, die Annahme der Wiederverwendung von Passwörtern oder das Angreifen von Systemen ohne Lockout-Mechanismus.

Brute-Force-Techniken können in zwei Kontexten angewendet werden: Online-Angriffe (Echtzeitversuche gegen Live-Systeme) und Offline-Angriffe (unter Verwendung gestohlener Daten, wie z. B. gehashter Passwörter – kurze, feste Codes, die aus Passwörtern generiert werden und fast nicht rückgängig zu machen sind). 

Bei Online-Angriffen interagiert der Hacker mit einem Zielsystem – beispielsweise einer Webanwendungsanmeldung oder einem SSH-Dienst – und probiert Passwörter in Echtzeit aus. Die Angriffsgeschwindigkeit wird durch Netzverzögerungen und Abwehrmechanismen begrenzt.

Zum Beispiel begrenzt die Ratenbegrenzung die Anzahl der Versuche in einer bestimmten Zeit, und CAPTCHAs sind Authentifizierungsmethoden, die Menschen von Bots unterscheiden. Angreifer verteilen ihre Online-Versuche oft auf mehrere IP-Adressen oder verwenden ein Botnet, um IP-basierte Sperren zu vermeiden.

Bei Offline-Angriffen hat der Angreifer die verschlüsselten Daten oder Passwort-Hashes bereits erhalten (z. B. aus einem Data Breach) und kann mit seinen eigenen Maschinen Millionen oder Milliarden von Versuchen pro Sekunde unternehmen, ohne das Ziel zu alarmieren. Es gibt spezielle Tools zum Knacken von Passwörtern, in der Regel Open Source, um diese Brute-Force-Strategien zu erleichtern. 

Zum Beispiel sind John the Ripper, Hashcat und Aircrack-ng beliebte Tools, die das Brute-Force-Cracking von Passwörtern automatisieren. Diese Tools verwenden Algorithmen, um den Ansturm von Vermutungen zu bewältigen, und Grafikprozessoren (GPUs), um Passwörter mit unglaublicher Geschwindigkeit zu hashen und zu vergleichen.

Brute-Force-Angriffe haben verschiedene Formen und nutzen jeweils unterschiedliche Strategien, um Zugangsdaten zu erraten oder wiederzuverwenden, um sich unbefugten Zugriff zu verschaffen.

Bei diesem Approach wird alles mögliche Passwort ausprobiert, indem schrittweise jede Kombination der zulässigen Zeichen durchgegangen wird. Ein einfacher Brute-Force-Angriff (auch erschöpfende Suche genannt) nutzt kein Vorwissen über das Passwort; er versucht systematisch Passwörter wie „aaaa...“, „aaab...“ und so weiter bis „zzzz...“, einschließlich Ziffern oder Symbole, abhängig vom Zeichensatz.

Wenn Sie genug Zeit haben, wird ein einfacher Brute-Force-Angriff durch reines Ausprobieren die richtigen Anmeldedaten finden. Allerdings kann es extrem zeitaufwändig sein, wenn das Passwort lang oder komplex ist.

Anstatt blind alle möglichen Passwortkombinationen durchzugehen, wird bei einem Wörterbuchangriff eine Liste von wahrscheinlichen Passwörtern (ein „Wörterbuch“ von Begriffen) ausprobiert, um das Erraten zu beschleunigen. 

Angreifer stellen Listen mit gängigen Wörtern, Phrasen und Passwörtern zusammen (wie „admin“, „letmein“ oder „password123“). Da viele Benutzer schwache Passwörter wählen, die einfach sind oder auf Wörtern basieren, die typischerweise in einem Wörterbuch zu finden sind, kann diese Methode schnelle Erfolge bringen.

Ein hybrider Angriff kombiniert den Ansatz des Wörterbuchangriffs mit einfachen Brute-Force-Methoden. Angreifer beginnen mit einer Liste wahrscheinlicher Basiswörter und wenden dann Brute-Force-Änderungen an. Zum Beispiel könnte das Wort „Frühling“ als „Spring2025!“ versucht werden, indem Großbuchstaben, Zahlen oder Symbole hinzugefügt werden, um die Komplexitätsanforderungen zu erfüllen.

Credential Stuffing ist eine spezielle Variante von Brute-Force-Angriffen, bei der der Angreifer bei einem Datenleck gestohlene Zugangsdaten (Benutzername und Passwort-Paare) verwendet und diese auf anderen Websites und Services ausprobiert. Anstatt neue Passwörter zu erraten, fügt der Angreifer bekannte Passwörter in mehrere Anmeldeformulare ein und setzt dabei darauf, dass viele Personen dieselben Zugangsdaten für verschiedene Konten verwenden.

Ein Rainbow-Table-Angriff ist eine Offline-Technik zum Knacken von Passwörtern, bei der Rechenzeit gegen Speicherplatz eingetauscht wird, indem vorberechnete Tabellen mit Hashes verwendet werden. Anstatt die erratenen Passwörter im laufenden Betrieb zu hashen, verwenden die Angreifer eine „Rainbow Table“ – eine riesige Nachschlagetabelle mit Hash-Werten für viele mögliche Passwörter – um einen Hash-Wert schnell mit dem ursprünglichen Passwort abzugleichen. 

Bei einem umgekehrten Brute-Force-Angriff stellt der Hacker die übliche Angriffsmethode auf den Kopf. Anstatt viele Passwörter gegen einen Benutzer auszuprobieren, probieren sie ein Passwort (oder einen kleinen Satz) gegen viele verschiedene Benutzerkonten aus.

Passwort-Spraying ist eine verdeckte Version der umgekehrten Brute-Force-Technik. Angreifer verwenden eine kleine Liste gängiger Passwörter (z. B. „Summer2025!“), auf mehreren Konten verteilt. Auf diese Weise können sie mehrere Benutzer anvisieren, ohne den Lockout-Schutz für ein einzelnes Konto auszulösen. 

Unternehmen können mehrere Sicherheitsmaßnahmen zum Schutz vor Brute-Force-Versuchen implementieren. Zu den wichtigsten Praktiken gehören:

Jede zusätzliche Barriere – sei es eine Sperrregel oder eine Verschlüsselung – kann dazu beitragen, Brute-Force-Angriffe zu verhindern. Durch die Einführung eines mehrschichtigen Ansatzes, der sowohl menschliche als auch technische Faktoren berücksichtigt, können sich Unternehmen besser vor Brute-Force-Angriffen schützen.