Brute-Force-Angriffe gehören zu den ältesten Methoden im Repertoire von Hackern – und sind dennoch erschreckend wirkungsvoll. Stellen Sie sich vor, jemand versucht unermüdlich, die Kombination Ihres Tresors zu erraten. Nur dass es kein Mensch ist, sondern ein Algorithmus, der jede Sekunde Millionen von Kombinationen testet.
In diesem Artikel erkläre ich, wie Brute-Force-Angriffe technisch funktionieren, welche Varianten es gibt und – vor allem – wie man sich wirksam dagegen schützt. Wir behandeln grundlegende Strategien, plattformspezifische Abwehrmaßnahmen und fortgeschrittene Tools, mit denen Sie Ihre Systeme absichern und Angreifern einen Schritt voraus bleiben.
Was ist ein Brute-Force-Angriff?
Einer der häufigsten Angriffe, mit denen Webentwickler konfrontiert werden, ist der Brute-Force-Angriff. Dabei probieren Angreifer mithilfe von Algorithmen systematisch alle möglichen Kombinationen aus Buchstaben, Zahlen und Sonderzeichen aus, bis sie die richtige gefunden haben.
Was diesen Angriffstyp so gefährlich macht, ist seine Einfachheit und schiere Ausdauer. Es gibt keinen cleveren Trick und keine versteckte Lücke, die sich leicht aufspüren und schließen lässt, denn Passwörter sind ein zentraler Bestandteil jedes Sicherheitssystems.
Brute-Force-Angriffe sind nicht wählerisch - sie nehmen alles ins Visier, was erreichbar ist: von persönlichen Konten bis hin zu großen Unternehmenssystemen. Die Auswirkungen hängen jedoch stark vom jeweiligen Ziel ab. Ein kompromittierter WordPress-Admin-Login kann zu manipulierten Websites oder gestohlenen Kundendaten führen, während ein SSH-Brute-Force-Angriff die gesamte Server-Infrastruktur eines Unternehmens gefährden kann.
Solche Angriffe schaden auch dem Ruf und verursachen kostspielige Ausfallzeiten. Unternehmen, die auf Online-Betrieb angewiesen sind, etwa im eCommerce oder bei SaaS-Anbietern, verlieren durch Sicherheitsvorfälle oft sowohl Umsatz als auch das Vertrauen ihrer Kunden. 60 % der kleinen Unternehmen schließen innerhalb von sechs Monaten nach einem schwerwiegenden Cyberangriff - ein deutliches Zeichen dafür, wie verheerend solche Vorfälle sein können.
Aber bevor wir erklären, wie man Brute-Force-Angriffe verhindert, sollten wir uns ansehen, wie sie funktionieren und welche verschiedenen Methoden Angreifer dabei einsetzen.
Blog starten
Hosten Sie WordPress selbst auf leistungsstarker Hardware mit NVMe-Speicher und geringer Latenz weltweit. Wählen Sie Ihre bevorzugte Distribution.
WordPress VPS holen
Arten von Brute-Force-Angriffen
Es gibt verschiedene Arten von Brute-Force-Angriffen.
- Wörterbuchangriffe: Leicht zu erratende Passwörter durch wiederholtes Ausprobieren häufig verwendeter Passwörter wie "123456" oder "password" angreifen.
- Credential Stuffing: Anmeldedaten-Stuffing: Hacker nutzen bei früheren Datenpannen geleakte Zugangsdaten, um sich Zugang zu mehreren Konten zu verschaffen.
- Reverse-Brute-Force-Angriffe: Dabei wird mit einem bekannten Passwort begonnen (wie "123456" oder "welcome") und systematisch gegen unzählige Benutzernamen geprüft, um eine Übereinstimmung zu finden - ähnlich wie Angeln mit einem Köder.
- Rainbow-Table-Angriffe: Nutzen Sie vorberechnete Tabellen, die Hashes auf Passwörter abbilden – so lassen sich gehashte Passwörter schneller knacken, ohne jeden Hash einzeln berechnen zu müssen.
- Passwort-Spraying: Anstatt ein einzelnes Konto mit vielen Passwortversuchen zu überhäufen, werden wenige verbreitete Passwörter gegen viele Benutzernamen getestet – so werden Schwachstellen ausgenutzt, ohne Kontosperrungen auszulösen.
- Online-Brute-Force-Angriffe: Zielt auf Live-Systeme wie Websites und Apps ab. Sie interagieren direkt mit Servern, können jedoch durch Throttling oder Rate-Limiting ausgebremst werden – das macht sie langsamer, aber dennoch gefährlich gegen schwache Login-Formulare.
- Offline-Brute-Force-Angriffe: Durchgeführt mit einer gestohlenen Datei verschlüsselter Passwörter – Angreifer testen dabei Entschlüsselungsschlüssel mit hoher Geschwindigkeit auf ihren eigenen Systemen, ohne dass Firewalls oder Monitoring-Systeme anschlagen.
Warum sind diese Angriffe so verbreitet? Ein großer Teil des Problems liegt bei uns selbst. Studien zeigen, dass 65 % der Menschen Passwörter über mehrere Konten hinweg wiederverwenden. Das ist, als würde man einem Dieb einen Generalschlüssel geben - hat er einmal ein Passwort, kann er möglicherweise alles öffnen. Und es hilft nicht, dass Passwörter wie "qwerty" Jahr für Jahr immer noch ganz oben auf der Liste der Favoriten stehen.
Um zu verdeutlichen, wie häufig solche Angriffe vorkommen, hier eine Zahl: 22,6 % aller Anmeldeversuche der Angriffe auf eCommerce-Websites im Jahr 2022 waren Brute-Force- oder Credential-Stuffing-Angriffe. Das ist fast jeder vierte Versuch! Unternehmen hatten mit betrügerischen Käufen, gestohlenen Kundendaten und erheblichen PR-Krisen zu kämpfen - alles Folgen dieser unaufhörlichen Angriffe.
Außerdem analysieren Angreifer die Zielseiten genau und passen ihre Brute-Force-Tools an die spezifischen Parameter der jeweiligen Seite an. Anmeldeseiten sind die naheliegendsten Ziele, aber auch CMS-Adminportale stehen bei Angreifern hoch im Kurs. Dazu gehören:
- WordPress: Gängige Einstiegspunkte wie wp-admin und wp-login.php.
- Magento: Anfällige Pfade wie /index.php und Admin-Bereiche.
- Joomla!: Die Administrator-Seite ist ein häufiges Angriffsziel.
- vBulletin: Admin-Dashboards wie admin cp stehen häufig im Visier von Angreifern.
Die gute Nachricht? Wer die Risiken kennt, hat schon die halbe Miete. Ob du eine WordPress-Website, einen SSH-Server oder eine andere Plattform absicherst: Zu wissen, wo deine Schwachstellen liegen, ist der erste Schritt, um Brute-Force-Angriffe von Anfang an zu verhindern.
Bewährte Methoden zum Schutz vor Brute-Force-Angriffen
Um Brute-Force-Angriffe abzuwehren, braucht man eine Kombination aus gesundem Menschenverstand und gezielten Maßnahmen. Stell es dir vor wie das Absichern jeder Tür und jedes Fensters in deinem Haus – plus einer Alarmanlage als zusätzliche Sicherheitsstufe. Diese Best Practices funktionieren auf den meisten Plattformen und bilden eine solide Grundlage zum Schutz deiner Systeme.
Starke, eindeutige Passwörter verwenden
Schwache oder wiederverwendete Passwörter sind eine offene Einladung für Brute-Force-Angriffe. Wählen Sie Passwörter mit mindestens 12 Zeichen, einer Kombination aus Buchstaben, Zahlen und Sonderzeichen, und vermeiden Sie alles Vorhersehbare. A Studie belegt dass "123456" und "password" 2022 immer noch unter den am häufigsten verwendeten Passwörtern waren.
Multi-Faktor-Authentifizierung (MFA) einrichten
Mit MFA reicht ein geratenes Passwort nicht aus – Angreifer benötigen zusätzlich einen Einmalcode, der an dein Telefon gesendet wird. Laut Microsoft, MFA blockiert mehr als 99,2 % der Kontoübernahme-Angriffe. Weitere Informationen finden Sie in unserem Leitfaden zu So aktivieren Sie die Zwei-Faktor-Authentifizierung auf Windows 10.
Kontosperrungen aktivieren
Begrenzen Sie fehlgeschlagene Anmeldeversuche, bevor das Konto vorübergehend gesperrt wird. Diese einfache Maßnahme stoppt Brute-Force-Angriffe zuverlässig.
Rate Limiting einrichten
Begrenzen Sie die Anzahl der Anmeldeversuche innerhalb eines bestimmten Zeitraums. Beispielsweise erschwert ein Limit von fünf Versuchen pro Minute Brute-Force-Angriffe erheblich.
Ungewöhnliche Aktivitäten überwachen und darauf reagieren
Setzen Sie Tools wie Intrusion-Detection-Systeme (IDS) ein, um Brute-Force-Angriffe frühzeitig zu erkennen.
Die beste Verteidigung ist mehrschichtig. Wer diese Maßnahmen kombiniert und weiß, wie man Brute-Force-Angriffe stoppt, macht es Angreifern deutlich schwerer. Im nächsten Abschnitt zeigen wir, wie sich diese Prinzipien auf bestimmte Plattformen wie WordPress anwenden lassen, wo Brute-Force-Angriffe besonders häufig vorkommen.
Brute-Force-Schutz unter WordPress
WordPress-Seiten sind beliebte Angriffsziele. Mit Millionen von Websites auf der Plattform setzen Angreifer darauf, früher oder später eine mit schwacher Absicherung zu finden. Wer weiß, wie man Brute-Force-Angriffe auf WordPress verhindert, hat einen entscheidenden Vorteil – und es ist einfacher, als man denkt.
Standard-Login-URL ändern
Hacker greifen gezielt die Standard-Anmeldeseite an (/wp-admin oder /wp-login.php). Eine benutzerdefinierte URL einzurichten ist wie das Verlegen des Haupteingangs – Angreifer haben es dadurch deutlich schwerer, ihn zu finden.
Sicherheits-Plugins installieren
Plugins wie Wordfence und Sucuri bieten effektive Schutzmaßnahmen gegen Brute-Force-Angriffe, darunter CAPTCHAs, IP-Sperrung und Echtzeit-Monitoring.
XML-RPC deaktivieren
XML-RPC ist ein Einfallstor, das Angreifer für Anmeldeversuche missbrauchen. Wer es deaktiviert, reduziert das Risiko von Brute-Force-Angriffen, denen WordPress-Sites häufig ausgesetzt sind.
CAPTCHA auf Anmeldeseiten hinzufügen
CAPTCHA stellt sicher, dass nur Menschen sich einloggen können, und stoppt automatisierte Brute-Force-Angriffe.
wp-config.php absichern
Schränke den Zugriff auf wp-config.php, die zentrale Konfigurationsdatei deiner Website, über .htaccess oder Server-Regeln ein.
Regelmäßig aktualisieren
Veraltete Plugins und Themes sind offene Einfallstore für Angreifer. Regelmäßige Updates schließen bekannte Sicherheitslücken und schützen vor brute force attack WordPress-Risiken. Das ist entscheidend, um sich gegen brute force attack WordPress zu verteidigen – eine Gefahr, der Sites besonders ausgesetzt sind.
Mit diesen Schritten wird Ihre WordPress-Website deutlich sicherer. Als Nächstes befassen wir uns mit der Absicherung von SSH-Servern, einem weiteren häufigen Ziel von Brute-Force-Angriffen.
Absicherung gegen SSH-Brute-Force-Angriffe
SSH-Server sind die digitalen Schlüssel zu Ihren Systemen, und genau deshalb stehen sie bei Angreifern ganz oben auf der Liste. Zu wissen, wie man Brute-Force-Angriffe auf SSH verhindert, ist keine Option, sondern eine Notwendigkeit.
SSH-Key-Authentifizierung verwenden
Passwortbasierte Anmeldungen sind ein Sicherheitsrisiko. Umstieg auf SSH-Schlüsselauthentifizierung erhöht die Sicherheit erheblich: Angreifer benötigen Ihren privaten Schlüssel, ein erratenes Passwort allein reicht nicht. Das reduziert die Erfolgsquote von SSH-Brute-Force-Angriffen drastisch.
Root-Login deaktivieren
Der Root-Nutzer ist bei SSH-Brute-Force-Angriffen meist das erste Ziel. Deaktivieren Sie den direkten Root-Login und legen Sie stattdessen ein Nutzerkonto mit eingeschränkten Rechten an. Was Angreifer nicht direkt anvisieren können, lässt sich auch nicht per Brute Force knacken.
UFW und Fail2Ban einrichten
Tools wie UFW und Fail2Ban überwachen fehlgeschlagene Anmeldeversuche und sperren IP-Adressen mit verdächtigem Verhalten. Das gehört zu den wirksamsten Maßnahmen, um Brute-Force-Angriffe auf SSH-Server zu stoppen. Unsere ausführliche Anleitung dazu: UFW und Fail2Ban installieren, aktivieren und verwalten.
Den Standardport ändern
Standardmäßig nutzt SSH Port 22, und Angreifer wissen das. SSH auf einen nicht standardmäßigen Port verlegen ist eine einfache, aber wirksame Maßnahme, die Angriffe erschwert.
IP-Whitelisting nutzen
Beschränken Sie den SSH-Zugriff auf bestimmte IP-Adressen. Das blockiert unerwünschten Datenverkehr vollständig und verhindert, dass Brute-Force-Tools überhaupt einen Ansatzpunkt finden.
Mit diesen Maßnahmen ist Ihr SSH-Server deutlich besser gegen Angriffe geschützt. Nachdem wir die grundlegenden Methoden zur Brute-Force-Prävention behandelt haben, schauen wir uns nun an, wie man gegen die konkreten Tools vorgeht, die Angreifer einsetzen.
Verbreitete Brute-Force-Tools und wie man ihnen begegnet
Die oben genannten Maßnahmen helfen bei der allgemeinen Brute-Force-Prävention, aber sie decken vor allem das Grundlegende ab. In der Praxis setzen viele Angreifer auf bestimmte Tools, und zu wissen, wie man diesen gezielt begegnet, ist entscheidend.
Tools zum Knacken von WLAN-Passwörtern
Aircrack-ng: Ein vielseitiges Tool zum Knacken von WLAN-Passwörtern per Wörterbuch-Angriff auf WEP-, WPA- und WPA2-PSK-Netzwerke, verfügbar für mehrere Plattformen.
- Gegenmaßnahmen: WPA3-Verschlüsselung verwenden, lange und komplexe Passwörter setzen, MAC-Adressfilterung aktivieren und ein Wireless Intrusion Detection System (WIDS) einsetzen.
Allgemeine Passwort-Cracking-Tools
John the Ripper Erkennt schwache Passwörter und knackt sie per Brute Force oder Wörterbuch-Angriff. Unterstützt über 15 Plattformen, darunter Windows und Unix.
- Gegenmaßnahmen: Strikte Passwortrichtlinien durchsetzen (mindestens 12 Zeichen, hohe Komplexität), gesalzene Hashes verwenden sowie regelmäßige Passwort-Audits und -Rotation durchführen.
Rainbow Crack Nutzt vorberechnete Rainbow Tables, um das Knacken von Passwörtern zu beschleunigen. Unterstützt sowohl Windows als auch Linux.
- Gegenmaßnahmen: Gesalzene Hashes einsetzen, um Rainbow Tables wirkungslos zu machen, und auf Hashing-Algorithmen wie bcrypt, Argon2 oder scrypt setzen.
L0phtCrack: Knackt Windows-Passwörter mit Wörterbuch-, Brute-Force-, Hybrid-Angriffen und Rainbow Tables und unterstützt dabei erweiterte Funktionen wie Hash-Extraktion und Netzwerküberwachung.
- Gegenmaßnahmen: Sperren Sie Konten nach fehlgeschlagenen Versuchen, verwenden Sie Passphrasen für höhere Entropie und setzen Sie Multifaktor-Authentifizierung (MFA) durch.
Ophcrack: Spezialisiert auf das Knacken von Windows-Passwörtern über LM-Hashes mit integrierten Rainbow Tables, oft innerhalb weniger Minuten.
- Gegenmaßnahmen: Wechseln Sie auf Systeme ohne LM-Hash-Abhängigkeit (z. B. Windows 10+), verwenden Sie lange, komplexe Passwörter und deaktivieren Sie SMBv1.
Erweiterte und vielseitige Passwort-Tools
Hashcat: Ein GPU-beschleunigtes Tool, das eine Vielzahl von Hash-Typen und Angriffsmethoden wie Brute Force, Wörterbuch und Hybrid unterstützt.
- Gegenmaßnahmen: Setzen Sie starke Passwortrichtlinien durch, speichern Sie Hash-Dateien sicher und verschlüsseln Sie sensible Daten mit starken Schlüsseln.
DaveGrohl: Ausschließlich für Mac OS X verfügbares Tool, das verteilte Brute-Force- und Wörterbuch-Angriffe unterstützt.
- Gegenmaßnahmen: Prüfen Sie Mac OS X-Systeme regelmäßig, schränken Sie den Zugriff auf Passwort-Dateien ein und erzwingen Sie Multifaktor-Authentifizierung (MFA).
Tools für Netzwerkauthentifizierung und Protokolle
Ncrack: Knackt Netzwerk-Authentifizierungsprotokolle wie RDP, SSH und FTP auf verschiedenen Plattformen.
- Gegenmaßnahmen: Schränken Sie den Zugriff auf netzwerkseitige Dienste per Firewall ein, sperren Sie IP-Adressen nach mehreren fehlgeschlagenen Anmeldeversuchen und verwenden Sie nicht standardmäßige Ports für kritische Dienste.
THC Hydra Führt wörterbuchbasierte Brute-Force-Angriffe auf über 30 Protokolle durch, darunter Telnet, FTP und HTTP(S).
- Gegenmaßnahmen: Setzen Sie CAPTCHA oder andere Mechanismen zur Begrenzung von Wiederholungsversuchen ein, nutzen Sie verschlüsselte Protokolle (z. B. FTPS, HTTPS) und verlangen Sie MFA für sicheren Zugriff.
Spezialisierte Tools für Web, Subdomains und CMS
Gobuster: Ideal für das Brute-Forcing von Subdomains und Verzeichnissen bei Web-Penetrationstests.
- Gegenmaßnahmen: Setzen Sie Web Application Firewalls (WAFs) ein, schränken Sie den Zugriff auf sensible Verzeichnisse ein und verschleiern oder verbergen Sie Standard-Dateistrukturen.
Recherche: Findet versteckte Web-Pfade und Verzeichnisse während Sicherheitstests.
- Gegenmaßnahme: Verwenden Sie .htaccess oder Server-Regeln, um den Zugriff einzuschränken, entfernen Sie nicht genutzte Verzeichnisse und sichern Sie sensible Web-Pfade ab.
Burp Suite: Eine vollständige Web-Security-Testsuite mit Brute-Force- und Schwachstellen-Scan-Funktionen.
- Gegenmaßnahmen: Web-Anwendungen regelmäßig patchen, Penetrationstests durchführen und auf auffällige Brute-Force-Aktivitäten überwachen.
CMSeek: Konzentriert sich auf das Aufspüren und Ausnutzen von CMS-Schwachstellen im Rahmen von Tests.
- Gegenmaßnahmen: CMS-Plattformen aktuell halten, sichere Konfigurationen einrichten und Brute-Force-Versuche mit Schutz-Plugins begrenzen.
Token-, Social-Media- und sonstige Tools
JWT-Knacker Spezialisiert auf das Knacken von JSON Web Tokens zu Testzwecken.
- Gegenmaßnahmen: Lange, sichere Schlüssel für die JWT-Signierung verwenden, kurze Token-Ablaufzeiten durchsetzen und schwache oder unsignierte Algorithmen ablehnen.
SocialBox: Wird für Brute-Force-Tests an Social-Media-Konten eingesetzt.
- Gegenmaßnahmen: Kontosperrung nach fehlgeschlagenen Versuchen aktivieren, Zwei-Faktor-Authentifizierung durchsetzen und Nutzer für Phishing sensibilisieren.
Prädiktor: Ein Wortlisten-Generator zum Erstellen benutzerdefinierter Wortlisten für Brute-Force-Angriffe.
- Gegenmaßnahmen: Auf Datenlecks bei Zugangsdaten überwachen, schwache Standardpasswörter vermeiden und kontinuierliche Sicherheitsaudits durchführen.
Patator: Ein vielseitiges Brute-Force-Tool, das verschiedene Protokolle und Methoden unterstützt.
- Gegenmaßnahmen: Rate-Limiting, individuelle Fehlermeldungen und zuverlässige Kontosperrungsmechanismen einsetzen, um Angreifer zu verlangsamen.
Nettracker: Automatisiert Penetrationstest-Aufgaben, darunter Brute-Force-Tests und andere Sicherheitsbewertungen.
- Gegenmaßnahmen: Netzwerk-Logs regelmäßig überwachen, Test-Zugangsdaten isolieren und sicherstellen, dass Penetrationstest-Tools sicher verwaltet werden.
Fazit und weiterführende Maßnahmen zur Brute-Force-Prävention
Erweiterte Methoden wie Verhaltensanalyse-Software, Honeypots und IP-Reputations-Filter erkennen Bedrohungen und stoppen sie, bevor sie sich festsetzen. Diese vorbeugenden Maßnahmen ergänzen die grundlegenden Schutzmaßnahmen - wie Multi-Faktor-Authentifizierung und starke Passwörter - und bilden gemeinsam eine solide Verteidigungsstrategie.
Wirksamer Schutz vor Brute-Force-Angriffen erfordert langfristiges Denken. Die Kombination aus durchdachten Strategien und geeigneten Schutz-Tools hält selbst hartnäckige Angreifer in Schach. Bleiben Sie wachsam, bleiben Sie anpassungsfähig, und betrachten Sie IT-Sicherheit als Investition in Ihre Zukunft.
