Bei einem Brute-Force-Angriff beabsichtigen Hacker, die Anmeldedaten zu entschlüsseln. Üblicherweise sind solche Angriffe gegen Admin-Bereiche und Datenbanken gerichtet, um Zugang zu passwortgeschützten Daten zu erhalten. Welche Schutzmaßnahmen bieten sich an?
Ein Brute-Force-Angriff ist der Versuch, ein Passwort im Wesentlichen per Versuch und Irrtum zu knacken.
(Bild: valerybrozhinsky - stock.adobe.com)
Im Vergleich zu anderen Techniken, die von Angreifern verwendet werden, benötigen Brute-Force-Angriffe keine Schwachstellen auf einer Website, um zu funktionieren. Stattdessen hängt der Erfolg dieser Angriffe davon ab, dass die User über keine sicheren Anmeldedaten verfügen. Die Leichtigkeit und Einfachheit dieser Taktik sind der Grund, warum sie bei Hackern nach wie vor sehr beliebt ist. Mit den jüngsten Verbesserungen im Bereich der Website-Sicherheit haben Brute-Force-Angriffe ihre vordersten Plätze als bevorzugte Angriffsmethode verloren.
Funktionsweise eines Brute-Force-Angriffs
Brute-Force-Angriffe setzen Trial-and-Error-Methoden ein, um alle möglichen Kombinationen aus Passwörtern, Verschlüsselungen oder beliebigen Anmeldedaten zu erhalten. Es wird „Brute Force“ genannt, weil der Hacker wiederholte und „brachiale“ Versuche unternimmt, um sich unbefugten Zutritt auf ein System oder Gerät zu verschaffen. Obwohl das überraschend simpel erscheint, sind Brute-Force-Angriffe auch heute noch leider recht erfolgreich.
Dafür verwenden Hacker meist Anwendungen und Programme als Tools. Mithilfe dieser Tools lassen sich Passwort-Kombinationen automatisieren, um Authentifizierungssysteme zu umgehen. Andere Vorgehensweisen zielen beispielsweise auf das Erraten von Sitzungs-IDs ab, um Zugriff auf Webanwendungen zu erhalten. Am häufigsten nutzen Hacker jedoch Bots. Cyber-Kriminelle verwenden in der Regel auch Listen gestohlener Zugangsdaten, die aktuell durch vorhergehende Hacks erlangt oder über das Dark Web erworben wurden. Diese Bots erledigen dann die ganze Arbeit und greifen Websites systematisch mit den gestohlenen Zugangsdaten an.
Varianten der Brute-Force-Angriffe
In der Folge sind die häufigsten Varianten von Brute-Force-Angriffen skizziert:
Einfacher Brute-Force-Angriff: Bei dieser Variante versuchen Hacker, ein Passwort ohne die Hilfe von Skripten oder Automatisierung zu entschlüsseln. Damit lassen sich schwache Passwörter und PINs innerhalb Sekunden knacken.
Wörterbuch-Angriff: Ein unbekanntes Passwort wird mithilfe einer Passwörterliste ermittelt. Hacker verwenden diese Variante, wenn man davon ausgehen kann, dass das Passwort aus einer sinnvollen Zeichenkombination besteht. Dies ist erfahrungsgemäß meistens der Fall.
Hybrider Angriff: Häufig verwenden User eine Kombination aus für sie wichtigen Zahlen und Wörtern (Geburtstage, Jahrestage, Namen etc.) für ihre Passwörter. Ein hybrider Angriff kombiniert einen einfachen Brute-Force-Angriff und einen Wörterbuch-Angriff, um die oben erwähnte gemischte Anmelde-Kombination zu entschlüsseln.
Credential Stuffing: Gestohlene Zugangsdaten werden verkauft und zwischen Cyberkriminellen im Darknet ausgetauscht. Credential Stuffing nutzt die Tatsache aus, dass User gerne auf verschiedenen Systemen denselben Benutzernamen und dieselben Passwörter verwenden. Hacker verwenden dann diese zuvor bekannten Kombinationen aus Benutzername und Passwort, um sich bei Benutzerkonten auf vielen Websites anzumelden, bis sie auf ein Konto treffen, das funktioniert.
Umgekehrter Brute-Force-Angriff: Diese Variante beginnt mit einem öffentlich bekannten oder geleakten Passwort. Anschließend verwendet der Hacker die Automatisierung, um nach einem passenden Benutzernamen, einer Kontonummer oder einem Schlüssel zu suchen.
Rainbow-Table-Angriff: Ein Rainbow-Table-Angriff ist ein Angriff, bei dem ein Hacker eine Rainbow-Hash-Tabelle verwendet, um die in einer Datenbank gespeicherten Passwörter zu knacken. Dabei handelt es sich um eine vorberechnete Nachschlagtabelle, zur Umkehrung von kryptografische Hash-Funktionen.
Password Spraying: Während herkömmliche Brute-Force-Angriffe nur darauf abzielen, Passwörter für einzelne Konten zu knacken, verfolgt das sogenannte Password Spraying einen umgekehrten Ansatz, indem eine einzige Passwort-Kombination auf mehrere Konten angewendet wird. Die Variante zielt besonders auf Opfer ab, die Single-Sign-On (SSO) und Cloud-basierte Anwendungen nutzen, die auf Verbund-Anmeldungen angewiesen sind. SSO ermöglicht einem einzelnen Authentifizierungsnachweis den Zugriff auf verschiedene Systeme innerhalb einer einzelnen Organisation.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Verhinderung von Brute-Force-Angriffen
Mithilfe folgender bewährter Methoden lassen sich Brute-Force-Angriffe vermeiden:
Sichere Passwörter: Die Einhaltung strenger Richtlinien für Passwörter ist der einfachste und effektivste Weg, Brute-Force-Angriffe zu vermeiden. Beim Erstellen eines Passworts ist folgendes zu beachten: Keine persönlichen Daten wie Geburtstag, Namen oder E-Mail-Adressen. Niemals Passwörter für Konten – ganz oder auch nur teilweise – recyceln! Es sollten immer einzigartige Passwort-Kombinationen für jedes Online-Konnto verwendet werden. Rund ein Drittel der recycelten oder geänderten Passwörter können oft schon mit etwa zehn Versuchen geknackt werden. Ein Passwort ist idealerweise mindestens 15 Zeichen lang und enthält einen Mix aus Zahlen, Symbole sowie Groß- und Kleinbuchstaben als zufällige Zeichenfolgen.
Anmeldeversuche begrenzen: In der Regel erlauben die meisten Websites, insbesondere wenn sie auf WordPress laufen, unbegrenzte Anmeldeversuche. Website-Administratoren können Plug-ins verwenden, um die möglichen Anmeldeversuche auf einer Website zu begrenzen, und damit Brute-Force-Angriffe zu blockieren. Mit solchen Plug-ins lässt sich die Anzahl der Logins vorgeben, die ein Besucher nutzen darf. Sobald sie die Anzahl der Versuche überschreiten, werden ihre IP-Adressen für eine beträchtliche Zeit von der Website gesperrt.
IP-Adressen überwachen: Anmeldeversuche können auch auf jeweilige Benutzer beschränkt werden, die von einer bestimmten IP-Adresse oder einem Bereich kommen. Dies ist besonders dann relevant, wenn eine hybride Arbeitsumgebung vorliegt bzw. die meisten der Mitarbeiter remote arbeiten. Zudem sind Warnungen einzurichten, wenn Anmeldeversuche von anomalen IP-Adressen erfolgen. Ferner ist es sicherzustellen, dass diese blockiert werden.
Zwei-Faktor-Authentifizierung (2FA): Mit dieser Maßnahme wird eine zusätzliche Sicherheitsebene hinzugefügt. Eine 2FA verlangt von einem User, dass er seine Identität validiert, wenn er sich bei einem Konto anmeldet, bevor ihm der Zugriff gewährt wird. Das heißt, bevor ein Zugriff auf ein Konto erteilt wird, muss der User einen Code eingeben, der an die Handynummer gesendet wird, um die Identität zu überprüfen.
CAPTCHAs: Ein CAPTCHA steht für „Completely Automated Public Turing test to tell Computers and Humans Apart“. Da CAPTCHAs für automatisierte Computerprogramme große Herausforderungen darstellen, die von ihnen nur schwer auszuführen sind, aber für Menschen sehr einfach sind, sind sie eine probate Methode, um Roboter abzuwehren.
Eindeutige Anmelde-URLs: Das Erstellen eindeutiger Anmelde-URLs für verschiedene Benutzergruppen ist ein weiterer herausfordernder und zeitaufwändiger Schritt für einen Hacker.
Web Application Firewalls (WAFs):Web Application Firewalls bieten einen angemessenen Schutz vor Brute-Force-Angriffen. Abgesehen von Brute-Force-Angriffen, können WAFs Denial-of-Service-Angriffe (DOS) verhindern, die Server-Ressourcen erschöpfen, und Schwachstellen-Scan-Tools blockieren, die ein Netzwerk auf Schwachstellen untersuchen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/a9/61/a96135bb4a376dd07349f956b2d164fa/0128522136v2.jpeg "Der Angriff startete über eine ungepatchte, aus dem Internet erreichbare FortiGate-Firewall. In 48 Stunden wurden Daten exfiltriert und Hyper‑V‑Server nach AD‑Kompromittierung und lateralem Zugriff verschlüsselt. (Bild: © Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/06/f006c07ee7dff98aa187192876d10df3/0127446601v2.jpeg "Gestohlene Zugangsdaten werden in Foren des Darknets gehandelt, oft bevor betroffene Unternehmen überhaupt von dem Leck erfahren. (Bild: © Deemerwha studio - stock.adobe.com)")