Brute-Force

Ein Brute-Force-Angriff ist eine Methode, bei der ein Angreifer systematisch alle möglichen Kombinationen eines Passworts, Schlüssels oder Tokens durchprobiert, bis er den richtigen Wert findet. Der Ansatz erfordert keine Kenntnis über das Ziel — er setzt ausschließlich auf Rechenleistung und Zeit. Trotz seiner Einfachheit bleibt Brute-Force eine der häufigsten Angriffsmethoden, insbesondere gegen schwache Passwörter und schlecht konfigurierte Authentifizierungssysteme.

Varianten

Reines Brute-Forcing probiert jede mögliche Zeichenkombination systematisch durch — bei kurzen Passwörtern mit begrenztem Zeichensatz ist das in Minuten erledigt, bei langen und komplexen Passwörtern dauert es Jahre. Dictionary Attacks verwenden Wörterbücher mit häufig genutzten Passwörtern und bekannten Mustern, was den Suchraum drastisch reduziert. Credential Stuffing setzt gestohlene Zugangsdaten aus früheren Datenlecks gegen andere Dienste ein — in der Annahme, dass Nutzer Passwörter wiederverwenden. Hybrid-Angriffe kombinieren Wörterbuchwerte mit Variationen wie angehängten Zahlen oder Sonderzeichen, um gängige Passwortschemata abzudecken.

Offline- vs. Online-Angriffe

Der Unterschied ist entscheidend für die Bedrohungslage. Bei Online-Angriffen versucht der Angreifer Logins direkt gegen einen laufenden Dienst — hier greifen Rate Limiting, Account Lockouts und MFA. Bei Offline-Angriffen hat der Angreifer eine Kopie der Passwort-Hashes erbeutet und kann lokal mit voller Hardware-Geschwindigkeit rechnen, ohne dass Schutzmechanismen greifen. Moderne GPUs erreichen bei schwachen Hashfunktionen wie MD5 oder NTLM Milliarden von Versuchen pro Sekunde. Deshalb sind adaptive Hashverfahren wie bcrypt, scrypt oder Argon2 entscheidend — sie machen jeden einzelnen Versuch absichtlich rechenintensiv.

Angriffsziele in der Praxis

Wir finden in Assessments regelmäßig Systeme, die unzureichend gegen Brute-Force geschützt sind. Besonders betroffen sind RDP-Zugänge mit Internetexposition, bei denen Angreifer automatisiert Standardbenutzer wie Administrator durchprobieren. SSH-Dienste ohne Key-basierte Authentifizierung sind ein weiteres häufiges Ziel. Active Directory-Umgebungen erlauben oft Password Spraying — das gezielte Testen weniger häufiger Passwörter gegen viele Konten gleichzeitig, um Lockout-Schwellen zu umgehen. Auch Weblogins ohne Rate Limiting und API-Endpunkte mit Token-basierter Authentifizierung stehen im Fadenkreuz.

Password Spraying und Enumerierung

Password Spraying verdient besondere Aufmerksamkeit, weil es Lockout-Mechanismen systematisch umgeht. Statt viele Passwörter gegen ein Konto zu testen, testet der Angreifer wenige gängige Passwörter gegen viele Konten — beispielsweise Sommer2026! gegen alle Mitarbeiter eines Unternehmens. Da pro Konto nur ein oder zwei Versuche stattfinden, greifen klassische Lockout-Schwellen nicht. Wir finden in Assessments regelmäßig Active-Directory-Umgebungen, in denen Password Spraying mit Standardpasswörtern wie Firmenname2025 sofort mehrere Konten kompromittiert. Die Erkennung erfordert eine Korrelation über viele Konten hinweg — eine Aufgabe für SIEM-Systeme mit passenden Erkennungsregeln.

Schutzmaßnahmen

Multi-Faktor-Authentifizierung ist die wirksamste Maßnahme, da ein erratenes Passwort allein nicht mehr ausreicht. FIDO2-basierte Verfahren eliminieren Passwörter als Angriffsvektor vollständig. Auf technischer Ebene reduzieren Account Lockout Policies, progressive Verzögerungen und CAPTCHA-Mechanismen die Geschwindigkeit von Online-Angriffen. Privileged Access Management schützt besonders kritische Konten durch automatische Passwortrotation und Zugriffskontrolle. Gegen Offline-Angriffe helfen ausschließlich starke Passwörter in Kombination mit robusten Hashverfahren — organisatorisch unterstützt durch Passwortrichtlinien, die Länge über Komplexität stellen.

Brute-Force in Cloud-Umgebungen

Cloud-Identitätsplattformen wie Entra ID bieten integrierte Schutzmechanismen: Smart Lockout erkennt verdächtige Anmeldemuster und sperrt Angreifer-IPs, ohne legitime Nutzer zu blockieren. Conditional Access-Richtlinien können riskante Anmeldungen — etwa aus ungewöhnlichen Ländern oder von unbekannten Geräten — automatisch blockieren oder zusätzliche Authentifizierung verlangen. Dennoch bleiben hybride Umgebungen verwundbar, wenn lokale AD-Konten ohne MFA über VPN oder RDP erreichbar sind und die Cloud-Schutzmechanismen nicht greifen.

Relevanz für KMUs

Für mittelständische Unternehmen ist Brute-Force ein alltägliches Risiko. Exponierte RDP- und VPN-Zugänge werden permanent automatisiert angegriffen — oft binnen Stunden nach der Bereitstellung. In der Praxis empfiehlt es sich, alle extern erreichbaren Authentifizierungspunkte zu inventarisieren und konsequent MFA zu aktivieren. IAM-Hygiene mit regelmäßiger Prüfung von Dienstkonten und Standardpasswörtern reduziert die Angriffsfläche erheblich. Eine Systemhärtung, die nicht benötigte Dienste deaktiviert und Zugänge auf das Notwendige beschränkt, entzieht Brute-Force-Angriffen die Grundlage.