Was ist ein Brute-Force-Angriff?

Brute-Force-Angriffe: So funktionieren sie

Bei einem Brute-Force-Angriff hämmert jemand so lange gegen eine verschlossene Tür, bis sie nachgibt – schiere Hartnäckigkeit kann am Ende wirksamer sein als jeder noch so raffinierte Trick. Bei dieser Methode versuchen Hacker, durch Ausprobieren und Versuch und Irrtum, Passwörter zu erraten, sensible Daten zu entschlüsseln oder in geschützte Systeme, Websites oder Netzwerke einzudringen.

Beispielsweise könnte ein Angreifer mit gängigen Wörtern oder persönlichen Details beginnen – etwa dem Namen Ihres ersten Haustiers: "Fluffy") und dann Varianten mit Zahlen oder Symbolen ausprobieren, bis die richtige Kombination gefunden ist ("Fluffy123“).

Obwohl Brute-Force-Angriffe zu den ältesten Tricks im Arsenal des Hacking gehören, sind sie nach wie vor erschreckend wirksam. Moderne Angreifer beschleunigen diesen Prozess mit speziellen Tools wie "Hashcat" und können so in Sekundenschnelle Millionen von Passwort-Kombinationen ausprobieren.

Solche Angriffe haben vor allem dann Erfolg, wenn Passwörter schwach sind oder mehrfach verwendet werden. Darum sind starke, eindeutige Zugangsdaten – kombiniert mit mehrstufigen Schutzmechanismen – Ihre beste Verteidigung.

Passwörter mit einer Mischung aus Zeichen – Klein- und Großbuchstaben, Symbolen und Zahlen – sind für Hacker deutlich schwerer zu knacken.

Arten der Brute-Force-Angriffe

Der Begriff rührt daher, dass Angreifer mit der schieren Wucht unzähliger Schnellfeuer-Versuche versuchen, in Systeme einzudringen und vertrauliche Daten zu stehlen. Dies gehört zu den häufigsten Formen des Passwort-Crackings, und Hacker setzen dabei verschiedene Varianten dieses Angriffs ein.

Einfache Brute-Force-Angriffe

Anforderungen: Zeit, Ausdauer – und schwache Passwörter.

Bei einem einfachen Brute-Force-Angriff versucht ein Hacker manuell und systematisch, die Anmeldedaten eines Benutzers zu erraten – ohne den Einsatz automatisierter Tools. Dies ist das digitale Gegenstück zu einem riesigen Schlüsselbund, bei dem jemand jeden einzelnen Schlüssel auszuprobiert, bis endlich einer ins Schloss passt.

Angreifer beginnen in der Regel mit den naheliegenden, gängigen Varianten wie "1234", "qwerty" oder "Passwort123". Manche betreiben sogar ein wenig Recherche und durchsuchen dazu soziale Medien nach persönlichen Details – etwa dem Namen eines Haustiers, einem Geburtstag oder dem Mädchennamen der Mutter –, um sich bei ihren Vermutungen leiten zu lassen.

Der wirksamste Schutz besteht darin, lange, komplexe und eindeutige Passwörter zu verwenden. Durch die enorme Zahl möglicher Kombinationen machen diese Passwörter Brute-Force-Angriffe langwierig, unpraktisch und in den seltensten Fällen den Aufwand wert. Im Gegensatz dazu sind kurze oder leicht vorhersehbare Passwörter ein gefundenes Fressen – sie verschaffen Hackern im Handumdrehen einen Erfolg.

Wörterbuchangriffe

Anforderungen: Vorgefertigte Wortlisten, Zeit und schwache Passwörter.

Im Unterschied zu einem reinen Brute-Force-Angriff, bei dem jede nur denkbare Kombination ausprobiert wird, stützt sich ein Wörterbuchangriff auf vorgefertigte Listen mit Wörtern und typischen Varianten, die häufig als Passwörter verwendet werden. Das ist in etwa so, als würden Sie ein Wörterbuch Seite für Seite durchgehen – und jeden einzelnen Eintrag ausprobieren, bis schließlich der richtige das Konto freischaltet.

Häufig ergänzen Angreifer solche Listen um vorhersehbare Abwandlungen, etwa indem sie Buchstaben durch Zahlen ersetzen oder Sonderzeichen hinzufügen. Auch wenn dafür mehr Überlegung nötig ist als bei reinen Brute-Force-Angriffen, wird dies oft mit solchen Methoden kombiniert, um den Ratevorgang zu beschleunigen.

Wirklich starke, eindeutige Passphrases bremsen Wörterbuchangriffe deutlich und machen sie weit weniger wirksam. Wenn Ihr Passwort nicht in gängigen Wortlisten vorkommt und keinen Bezug zu personenbezogenen Daten hat – etwa zu Haustiernamen oder Geburtstagen –, sinken die Erfolgschancen deutlich für Angreifer, die diese Methode einsetzen.

Hybride Brute-Force-Angriffe

Anforderungen: Vorgefertigte Wortlisten, Zeit und leicht vorhersagbare Passwörter.

Ein hybrider Brute-Force-Angriff kombiniert die Vorgehensweise eines Wörterbuchangriffs mit der Hartnäckigkeit eines reinen Brute-Force-Angriffs. Hacker beginnen in der Regel mit einem bekannten Benutzernamen, testen dann ein ganzes Wörterbuch wahrscheinlicher Begriffe – etwa Namen, Redewendungen oder Ortsbezeichnungen – und hängen am Ende noch naheliegende Zahlen-, Datums- oder Symbolkombinationen an.

Zu den gängigen Methoden zählen:

• Ein Wörterbucheintrag wie "password", der nur leicht abgewandelt wird – etwa zu "p@sswOrd"

• Kombinieren von Wörtern mit Zahlen oder Symbolen, etwa "Youaremine2023"

• Wiederverwendung von in Datenpannen geleakten Passwörtern, um zu testen, ob sie auch bei anderen Konten noch funktionieren

Bei dieser Methode werden Rateversuche und Mustererkennung kombiniert. Dies ermöglicht es Passwörter zu knacken, die für einfache Wörterbuchangriffe zu komplex, aber immer noch hinreichend vorhersehbar sind, um einem Brute-Force-Angriff standzuhalten. Passwörter, die sich aus echten Wörtern mit naheliegenden Ergänzungen zusammensetzen, sind besonders anfällig.

Umgekehrte Brute-Force-Angriffe

Anforderungen: Listen von Benutzerkonten und wiederverwendeten Passwörtern.

Bei einem umgekehrten Brute-Force-Angriff kehrt der Angreifer die herkömmliche Methode um. Statt einen einzelnen Benutzernamen mit endlosen Passwort-Versuchen zu bombardieren, nehmen Angreifer ein einziges schwaches Passwort wie "123456" oder "Passwort2 und probieren es systematisch bei einer riesigen Liste von Benutzernamen aus. Je mehr Konten es gibt, desto größer ist die Wahrscheinlichkeit, dass sich jemand findet, der das gewählte Passwort verwendet.

Hacker greifen für solche Benutzernamen-Listen häufig auf Datenpannen zurück. In geleakten Datenbanken können Tausende, oft sogar Millionen von Konten enthalten sein – ein reich gedeckter Tisch für Angreifer. Die Gefahr vervielfacht sich, wenn Benutzer dasselbe schwache Passwort auf mehreren Plattformen wiederverwenden. Ein Leck in einem einzigen Login genügt, um eine Kettenreaktion auszulösen – nach und nach werden mehrere Ihrer Konten gekapert, wie eine Reihe umstürzender Dominosteine.

Credential Stuffing

Anforderungen: Gestohlene Zugangsdaten und wiederverwendete Passwörter.

Credential Stuffing ist ein automatisierter Massenangriff, der gezielt gegen Benutzer gerichtet ist, die dieselben Zugangsdaten für mehrere Konten wiederverwenden. Anstatt Passwörter zu erraten, nehmen Hacker gestohlene Benutzernamen und Passwörter – oft aus Datenpannen – und "stopfen" sie in andere Websites und Apps, um zu testen, wo sie sonst noch funktionieren.

Weil so viele Benutzer ihre Zugangsdaten mehrfach verwenden, ist diese heimtückische Variante des Brute-Force-Angriffs sowohl schnell als auch äußerst wirkungsvoll. Angreifer setzen Bots ein, um in wenigen Minuten Tausende von Anmeldekombinationen zu testen – und umgehen dabei häufig unbemerkt einfache Sicherheitssysteme.

Starke Passwörter sind das Kryptonit gegen Brute-Force-Angriffe – und mit dem richtigen Werkzeug lassen sie sich recht unkompliziert verwalten. AVG BreachGuard verfügt über einen integrierten Passwort-Manager und einen sicheren Safe, der Ihre Logins schützt und sie gleichzeitig auf all Ihren Geräten synchron hält. Es schützt Sie nicht nur vor Cyberangriffen, sondern erspart Ihnen auch lästige E-Mails zum Zurücksetzen von Passwörtern.

Häufige Motive für Brute-Force-Angriffe

Es gibt viele Gründe, warum Hacker Computersysteme und Datenbanken mit Brute-Force-Angriffen ins Visier nehmen. In der Regel haben sie es auf leichtes Geld abgesehen oder wollen gezielt Panik stiften und Störungen verursachen. Andere werden von ihrem Ego angetrieben.

Diebstahl persönlicher Daten
Indem sie Passwörter knacken, verschaffen sich Angreifer Zugriff auf sensible Informationen wie E-Mails, Adressen, Finanzunterlagen und Ausweisnummern. Diese Informationen sind äußerst wertvoll für Identitätsdiebstahl, den Weiterverkauf im Darknet oder das Starten umfassenderer Angriffe. Unternehmensweite Datenlecks sind für Hacker besonders lukrativ – sie verschaffen ihnen Zugriff auf umfangreiche Datenbanken voller Kunden- und Geschäftsdaten.

Finanzieller Gewinn
Am Ende geht es meist ums Geld. Sind sie erst einmal ins System eingedrungen, können Angreifer Bankkonten leerräumen, Zahlungssysteme mit einem Exploit aushebeln oder mit gestohlenen Zugangsdaten Betrug begehen. Andere kapern zudem Websites mit Spam-Werbung, um Werbeeinnahmen zu kassieren oder die Surf-Daten ihrer Opfer an Werbetreibende zu verkaufen.

Verbreitung von Malware
Erfolgreich angegriffene Systeme können dazu genutzt werden, Malware, Ransomware oder Backdoors für größere Angriffe einzuschleusen – etwa über gespoofte E-Mails, SMS oder gefälschte Websites, die seriöse Auftritte täuschend echt nachahmen. Manchmal geht es schlicht darum, Chaos zu stiften – oder jemand will seine Fähigkeiten testen und zeigen, wozu er imstande ist.

Dem Ruf eines Unternehmens schaden
Geleakte Kundendaten, Ausfälle, öffentliche Bloßstellung … Ein erfolgreicher Brute-Force-Angriff ist eine PR-Katasrophe und kann für Unternehmen schwerwiegende Folgen haben. Für Hacker ist sie ein ideales Werkzeug, um Vertrauen zu untergraben und das Image einer Marke zu beschädigen.

Brute-Force-Angriffe in der Praxis

Wie bei jeder Form von Cyberangriff ist niemand wirklich sicher. 2018 gelang es Cyberkriminellen, in einem Brute-Force-Angriff, der das Parlament von Nordirland schädigte, durch wiederholtes Erraten von Passwörtern die E-Mail-Konten von Parlamentsabgeordneten zu knacken. Sie verschafften sich Zugriff auf vertrauliche Daten und löschten sogar Konten – mit erheblichen Folgen für den laufenden Betrieb.

Selbst die größten Online-Anbieter sind nicht immun. 2016 wurde Alibaba Opfer eines Brute-Force-Angriffs, bei dem die Benutzernamen und Passwörter von 99  Millionen Benutzern offengelegt wurden. Und die Bedrohung nimmt weiter zu. Laut dem Elastic Global Threat Report 2024 haben Brute-Force-Techniken im vergangenen Jahr um 12 % zugenommen und machen inzwischen fast 35 % aller Angriffsarten in Microsoft Azure aus.

Tools und Technologien bei Brute-Force-Angriffen

Brute-Force-Angriffe sind längst nicht mehr auf endlose, stumpfe Rateversuche beschränkt. Moderne Hacker haben ihre Methoden verfeinert: Sie verbinden durchdachte Vorgehensweisen mit hoch entwickelten Werkzeugen – was ihre Angriffe schneller, zielgerichteter und deutlich gefährlicher macht.

Beliebte Programme wie Aircrack-ng, John the Ripper und Hashcat automatisieren das Versuch-und-Irrtum-Verfahren mit atemberaubender Geschwindigkeit. Diese Tools können sich mit rasanter Geschwindigkeit durch riesige Passwortlisten arbeiten und sogar komplexe Kombinationen testen, für die ein menschlicher Benutzer bei manueller Eingabe Jahrhunderte bräuchte. Die Automatisierung setzt durch Geduld und Ausmaß bedingten Grenzen ein Ende – Angreifer agieren damit wie digitale Superschurken.

Doch diese hochmodernen Brute-Force-Angriffe erfordern enorme Rechenleistung. Um diese Angriffe zu beschleunigen, setzen Hacker auf die schiere Rechenpower von CPUs in Kombination mit der parallelen Verarbeitungsleistung von GPUs. GPUs – ursprünglich für grafikintensive Aufgaben wie Gaming oder Videobearbeitung entwickelt – können gleichzeitig Tausende von Passwort-Versuchen verarbeiten. Diese hybride Vorgehensweise verkürzt die Zeit, um in Konten einzudringen, ganz erheblich.

Durch die Kombination aus Automatisierung und der Rechenleistung der GPUs haben sich Brute-Force-Angriffe aus langsamer Handarbeit zu organisierten Attacken im großen Stil entwickelt. Hacker können inzwischen zahllose Konten gleichzeitig angreifen und schwache Passwörter im Handumdrehen zunichte machen.

Und Brute-Force-Angriffe sind nur ein Beispiel dafür, wie sich Cyberkriminalität zu einer immer schnelleren, effizienteren Bedrohung entwickelt. Die Angreifer entwickeln außerdem ihre Methoden ständig weiter – es wird geschätzt, dass es inzwischen 190.000 neue Malware-Angriffe pro Sekunde gibt.

Brute-Force-Angriffe wirksamer abwehren

Brute-Force-Angriffe setzen auf Ausdauer – doch mit den richtigen Schutzmaßnahmen lassen sie sich frühzeitig stoppen. So können Sie Ihre Konten und Daten wirksamer schützen:

• Erstellen Sie starke Passwörter: Wählen Sie eindeutige und starke Passwörter mit mindestens 15 zufällig gewählten Zeichen – je länger, desto besser.

• Verwenden Sie eine Passphrase: Noch besser: Verwenden Sie Passphrasen – einprägsame Wortfolgen, die Sie sich leicht merken können, die aber deutlich schwerer zu knacken sind. Vermeiden Sie naheliegende Optionen oder Bezüge zu Ihrer Person – etwa Ihren Lieblingsverein oder Ihren Geburtsort.

• Verwenden Sie einen Passwort-Manager: Ein Passwort-Manager generiert starke, eindeutige Passwörter und bewahrt sie sicher in einem verschlüsselten Safe auf. Durch automatisches Ausfüllen und Gerätesynchronisierung laufen Ihre täglichen Anmeldungen zugleich schneller ab und und sind besser geschützt.

• Verwenden Sie 2FA oder MFA: Mit der Zwei-Faktor-Authentifizierung (2FA) bzw. Multi-Faktor-Authentifizierung (MFA) sichern Sie Ihre Konten gewissermaßen mit einem zusätzlichen Sicherheitsschloss. Ob einmaliger SMS-Code, Authenticator-App oder Fingerabdruckscan – dieser zusätzliche Schritt sperrt Angreifer aus, selbst wenn sie Ihr Passwort erraten.

• Begrenzen Sie die Login-Versuche, und verwenden Sie CAPTCHA: Wenn Sie die Anzahl der Anmeldeversuche begrenzen und CAPTCHA einsetzen, wird es für automatisierte Bots erheblich schwerer, sich per Brute-Force-Zugriff Zugang zu Konten zu verschaffen.

• Schützen Sie Daten mit Salting und Hashing: Hashing verwandelt ein Passwort in eine nicht umkehrbare Zeichenfolge, während Salting vor dem Hashing ein zufälliges, eindeutiges Element hinzufügt. Zusammen machen sie gestohlene Daten deutlich schwerer entschlüsselbar.

• Überwachen Sie Ihre Konten auf verdächtige Aktivitäten: Richten Sie Benachrichtigungen oder Überwachung für ungewöhnliche Anmeldungen, fehlgeschlagene Anmeldeversuche oder unerwartete Transaktionen ein. Wenn Sie Warnzeichen frühzeitig erkennen, können Sie Brute-Force-Angriffe stoppen, bevor sie Schaden anrichten.

Wirksamerer Schutz vor Brute-Force-Angriffen mit AVG BreachGuard

AVG BreachGuard bietet Ihnen Passwortverwaltung sowie Überwachung und Analyse in Echtzeit und hilft Ihnen dadurch, Ihre sensiblen Daten vor Brute-Force-Angriffen und anderen Cyberbedrohungen zu schützen. Neben der Erstellung und sicheren Speicherung starker, eindeutiger Logins durchsucht es kontinuierlich das Internet nach offengelegten persönlichen Daten – und kann Sie so unter Umständen auf Lecks aufmerksam machen, bevor Kriminelle sie ausnutzen können. Übernehmen Sie noch heute die Kontrolle über Ihre Online-Sicherheit.