Brute Force Attacken steigen durch Remote Work
07.06.2021 | Remote Work erfreut sich seit Beginn der Pandemie wachsender Beliebtheit. Einige Unternehmen erwägen sogar, ihre Mitarbeiter(innen) zukünftig nicht mehr im Büro zu beschäftigen. Dies schafft viele Herausforderungen, insbesondere im Hinblick auf die IT-Sicherheit und eröffnet kriminellen Hackern völlig neue Möglichkeiten. Brute Force Angriffe, um auf Anmeldeinformationen oder Kennwörter von Privat- und Unternehmenskonten zuzugreifen, werden bei Angreifenden immer beliebter.
Erfahren Sie, was Brute Force Angriffe sind, wie sie in der Praxis funktionieren und für wen sie gefährlich werden können. Zudem erhalten Sie wertvolle Tipps, um sich vor diesen Brute Force Angriffen zu schützen.
Fragen zur IT-Sicherheit?
Was sind Brute-Force-Angriffe und wie funktionieren sie?
Bei Brute Force Attacken versuchen Angreifende, die Anmeldeinformationen zu „erraten“, indem sie wiederholt und systematisch verschiedene Benutzernamen und Kennwörter eingeben. Bei diesen äußerst einfachen, aber ressourcenintensiven Attacken, mit Versuch und Irrtum („Trial & Error“), werden Automatisierungstools, Skripte oder Bots verwendet, die jede mögliche Kombination aus Benutzername und Kennwort probieren, bis ihnen Zugriff gewährt wird.
Dies ist eine langjährige Angriffsmethode, die jedoch Hacker(innen) immer noch effektiv und gerne nutzen. Brute Force Attacken werden häufig verwendet, um Geräte in Remote-Netzwerken zu hacken und persönliche Informationen wie Passwörter, Benutzernamen und PINs zu stehlen. Diese Art der Cyberkriminalität benötigt umso mehr Rechenleistung, je stärker die Kennwort- und Datenverschlüsselung ist. Mit den richtigen Tools können Unternehmen die Effektivität von Brute Force Attacken so weit reduzieren, bis ein erfolgreicher Verstoß für Angreifende nahezu unmöglich wird.
Im Idealfall müssen sich Cyberkriminelle nicht einmal um die Vorbereitung eines Brute Force Angriffs kümmern. Manchmal reicht es aus, die Standardsystemkennwörter einzugeben. Sie werden werkseitig vergeben und müssen von Nutzenden geändert werden. Mehrere Beispiele aus der Presse zeigen jedoch: selbst große Unternehmen vermeiden diese Lücke in der internen Sicherheit nicht – mit schwerwiegenden Konsequenzen.
Gegen den amerikanischen Kreditprüfer Equifax wurde eine Sammelklage eingereicht, nachdem sich Hacker 2017 mit einem Standard-Administratorkennwort angemeldet und Verbraucheraufzeichnungen von 147 Millionen Kunden gestohlen hatten. Für diese Nachlässigkeit bei der IT-Sicherheit stimmte das Unternehmen im Rahmen eines Vergleichs einer Zahlung von bis zu 700 Millionen US-Dollar zu. Der Reputationsschaden wurde nicht beziffert.
Für viele IoT-Geräte auf dem Markt (z. B. Router) können diese Standardkennwörter nicht geändert werden. Infolgedessen werden sie regelmäßig zum Ziel von Botnet-Angriffen.
Unterschiedliche Methoden für Brute Force Attacken auf einen Blick
Klassische Attacke:
Computer versuchen jede mögliche Kombination aus Benutzername und Passwort, bis sie eine geeignete Kombination finden. Diese Attacken haben mehrere Eigenarten.
Wörterbuchangriff:
Die häufigste Brute Force Methode: Programme nutzen ein Wörterbuch potenzieller Passwörter und probieren sie alle nacheinander aus.
Reverse Attack:
Diese erschreckend erfolgreiche Angriffsmethode versucht, Log-in-Daten mit gängigen Passwörtern („Passwort“ oder „12345“) zu erraten.
Regenbogentabelle:
Die Regenbogentabelle ist ein vorberechnetes Wörterbuch, das die durch den Hash bereitgestellte Verschlüsselungssicherheit angreift, nicht das Kennwort selbst.
Der Zeitfaktor ist ein wichtiges Merkmal bei Brute Force Attacken. Bei Angriffen verlassen sich Hacker(innen) in der Cyberkriminalität auf verschiedene Automatisierungstools, die häufig auch für Penetrationstests verwendet werden. Dazu gehören Hashcat, THC Hydra, Aircrack und John the Ripper. In Kombination mit schnellen Computern können sie in wenigen Sekunden ein einfaches Passwort knacken. Mit zunehmender Länge der Zeichen steigt die erforderliche Zeit.
Stärkere 8-stellige alphanumerische Passwörter, einschließlich Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen können in etwa 2 Stunden erraten werden. Andererseits kann ein komplexes 13-stelliges Passwort erst nach Tausenden von Jahren geknackt werden. Neben der Passwortlänge spielt die Verschlüsselungsmethode eine wichtige Rolle beim Schutz von Kennwörtern: Bei der 128-Bit-Verschlüsselung gibt es 2.128 mögliche Kombinationen, während bei der 256-Bit-Verschlüsselung Angreifende 2²⁵⁶ eventuelle Kombinationen prüfen müssen.
Sie sind Opfer eines Cyberangriffs geworden?
Brute Force Angriffe unwirksam machen
Um Brute Force Attacken unwirksam zu machen, müssen wir verstehen, wie sie funktionieren. Wenn Angreifende bei 0 anfangen, verwenden sie das umfassende Suchprinzip. Passwörter zur Authentifizierung werden durch einen Algorithmus überprüft. Wahrscheinlichkeiten von Methoden für Cyberangriffe werden in Sekunden berechnet. Neben den gebräuchlichsten Passwörtern werden auch Wörterbuchangriffe verwendet. Dies bedeutet, dass alle bekannten Symbolkombinationen, die in Duden oder Ähnlichem zu finden sind, zuerst ausprobiert werden.
Wenn diese Methode der Cyberkriminalität nicht funktioniert, können Angreifende die möglichen Zeichenfolgen (Hash-Werte) berechnen. Passwörter werden als Hash-Werte bezeichnet, nachdem sie mithilfe eines Algorithmus (Hash-Funktion) in eine verschlüsselte Zeichenfolge konvertiert wurden. Systeme speichern Kennwörter in dieser Form, sodass sie nicht im Klartext aufgerufen werden können. Jedes Mal, wenn sich Nutzende anmelden, wird das eingegebene Passwort von einer Hash-Funktion konvertiert und mit dem gespeicherten Hash-Wert verglichen. Wenn die beiden Werte übereinstimmen, war die Anmeldung erfolgreich. Cyberkriminelle verwenden genau diese Methoden für Brute Force Angriffe: Sie überprüfen vordefinierte, häufige Hash-Werte, die in sogenannten Regenbogentabellen verfügbar sind. Dies reduziert zumindest den Zeitaufwand.
Umgekehrt bedeutet dies: Die Cyberkriminalität benötigt umso mehr Rechenleistung, je stärker die Kennwort- und Datenverschlüsselung ist. Zu Hause können Sie sich als private Nutzende mit einem sicheren Kennwort mit ausreichender Passwortlänge und unterschiedlichen Passwörtern für verschiedene Konten gut schützen. Dies verringert immerhin die Wahrscheinlichkeit, dass Cyberangreifende Anmeldeinformationen knacken. Mit den richtigen Cybertools können Unternehmen die Wirksamkeit von Brute Force Angriffen zumindest so weit reduzieren, dass ein ergebnisreicher Hack nahezu unmöglich ist. Hier sind die zwei wichtigsten Schritte gegen erfolgreiche Brute Force Angriffe:
- Komplexe Kennwörter mit ausreichender Passwortlänge zur Authentifizierung: Je mehr Zeichen, desto mehr Zeit wird benötigt. Heute werden mindestens 12 Zeichen empfohlen. Eine starke Verschlüsselungsmethode (idealerweise 256 Bit) ist ebenfalls wichtig. Verwenden Sie eine Zeichenkombination, auch aus Sonderzeichen!
- Anmeldeversuche einschränken: Das System sollte mögliche Anmeldeversuche für einen gewissen Zeitraum einschränken und nach einer bestimmten Anzahl fehlgeschlagener Versuche das Zurücksetzen des Kennworts auslösen.
Für wen sind Brute Force Angriffe gefährlich?
Die für Brute Force Angriffe genutzten Remote Desktops sind wegen der Fernarbeit für viele Unternehmen auf der ganzen Welt zur neuen Norm geworden. Während diese Änderung durch die Covid-19-Pandemie ausgelöst wurde, dürfte Telearbeit ein wesentlicher Bestandteil der Unternehmenskultur bleiben. Immer mehr Unternehmen verlassen sich heute auf Remotedesktopverbindung. Mitarbeiter(innen) können von überall auf den Desktop ihres Arbeitscomputers zugreifen und so arbeiten, als wären sie im Büro. Dies ist jedoch mit ernsthaften Risiken für die Sicherheit verbunden.
Am gebräuchlichsten ist für das Knacken der Authentifizierung ein Angriff auf das Remote Desktop Protocol (RDP). Microsoft-proprietäres Protokoll ist in allen Windows-Versionen ab XP verfügbar. Brute Force Angriffe auf RDP-Verbindungen sind in der letzten Zeit in die Höhe geschossen. Hierbei handelt es sich um automatisierte Angriffe, die darauf abzielen, Unternehmenscomputer zu entführen und Netzwerke zu infiltrieren. Auf diese Weise erhalten Cyberkriminelle Zugriff auf vertrauliche Unternehmensdaten und E-Mails. Die illegale Verwendung von Unternehmens-E-Mail-Adressen trägt unter anderem auch zu gezielten Phishing-Angriffen bei. Dieser plötzliche Anstieg der Brute Force Angriffe ist zweifellos mit einer Zunahme des Remote Works verbunden.
Schon vor der aktuellen Situation war diese Art von Cyberangriff über das RDP-Protokoll weit verbreitet: Täglich wurden etwa 150.000 Angriffsversuche unternommen. Mit Beginn der Corona-Pandemie steig diese Zahl um ein Vielfaches, mitunter auf fast eine Million RDP-Brute-Force-Versuche pro Tag.
Heute tragen Brute Force Bots erheblich zur Cyberkriminalität bei. Der von Bots im Internet erzeugte Verkehr nimmt ständig zu. Eine böswillige Variante dieser Programme kann auch Brute Force Angriffe ausführen. Für die Arbeit mit solchen Bots ist kein Fachwissen mehr erforderlich. Spezielle Bad Bots werden ebenfalls als Service angeboten. TrickBots erleichtern RDP-Angriffe, deswegen ist es in der Cyberkriminalität kein Zufall, dass dem berüchtigten TrickBot-Trojaner im März ein neues Modul -rdpScanDll hinzugefügt wurde. Das neue Modul greift RDP-Verbindungen mit Brute Force an, um die Sicherheit der Authentifizierung zu infiltrieren.
Welche Schutzmaßnahmen gegen Brute Force Attacken gibt es?
Brute Force und Remote Desktops beherbergen in Kombination immense Gefahren für die Cybersicherheit. Die Sicherheit einer RDP-Verbindung ist wichtig, denn RDP-Verbindungen sind ein idealer Angriffsvektor für Cyberkriminelle. Eine schlecht gesicherte RDP-Verbindung kann ihnen Zugriff auf das gesamte Unternehmenssystem gewähren. Aus diesem Grund sollte die Sicherheit solcher Verbindungen für jedes Unternehmen Priorität haben.
Um alle Endpunkte vor Brute Force Angriffen zu schützen, ist es essenziell, ein sicheres Kennwort mit einer ausreichenden Passwortlänge zu benutzen und alte Kennwörter nicht wiederzuverwenden. Dieser letzte Punkt ist für die Cybersicherheit besonders wichtig, wenn es darum geht, Angriffe auf Anmeldeinformationen der Authentifizierung zu stoppen, die versuchen, auf Systeme mit bereits erfassten Kennwörtern zuzugreifen.
Unternehmen müssen in der Lage sein, alle Aktivitäten auf Unternehmensendpunkten zu überwachen, um verdächtige RDP-Aktivitäten und Methoden der Cyberkriminalität zu erkennen. Eine Ausrüstung zur Abwehr von Brute Force Angriffen dient der eigenen Sicherheit und inspiziert ständig alle Aktivitäten jedes Systemprozesses. Methoden zur Bekämpfung von Cyberkriminalität stoppen nicht nur unbekannte Verfahren, sondern überwachen auch das Verhalten bekannter Prozesse. Somit wird die Ausnutzung von Schwachstellen sofort erkannt und eingestellt.
Sie haben Fragen, wie Sie sich und Ihr Unternehmen schützen können? Dann erreichen Sie unsere Security-Sepzialisten telefonisch unter +49 7805 918-0 oder über das Kontaktformular.