Zuletzt aktualisiert am 06.12.2025 4 Minuten Lesezeit

Brute-Force-Angriff

Ein Brute-Force-Angriff (englisch für "rohe Gewalt") ist eine Angriffsmethode in der IT-Sicherheit, bei der ein Angreifer systematisch alle möglichen Kombinationen von Passwörtern, Schlüsseln oder anderen Zugangsdaten durchprobiert, bis die richtige Kombination gefunden wird. Das Prinzip ist einfach: Wenn eine endliche Anzahl möglicher Passwörter existiert, wird irgendwann die richtige Kombination gefunden - unabhängig von der benötigten Zeit und Rechenleistung.

Stell dir einen Tresor mit einem vierstelligen Zahlenschloss vor: Ein Einbrecher könnte nacheinander alle Kombinationen von 0000 bis 9999 durchprobieren. Bei 10.000 möglichen Kombinationen würde er irgendwann die richtige finden. Genau so funktioniert ein Brute-Force-Angriff - nur mit Computern, die Millionen von Passwörtern pro Sekunde testen können.

Warum sind Brute-Force-Angriffe gefährlich?

Brute-Force-Angriffe sind trotz ihrer konzeptionellen Einfachheit eine der gefährlichsten Bedrohungen der IT-Sicherheit. Laut dem Verizon Data Breach Investigations Report 2024 sind Brute-Force- und Credential-Stuffing-Techniken für etwa 70 Prozent aller passwortbezogenen Sicherheitsverletzungen verantwortlich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte 2024 verstärkt vor solchen Angriffen gegen kritische Infrastrukturen.

Moderne Computer und spezialisierte Hardware wie GPUs können Millionen von Passwörtern pro Sekunde testen. Ein achtstelliges Passwort, das nur aus Kleinbuchstaben besteht, hat etwa 208 Milliarden mögliche Kombinationen - klingt viel, kann aber innerhalb weniger Stunden geknackt werden. Komplexere Passwörter mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen erhöhen die Kombinationsmöglichkeiten exponentiell.

Arten von Brute-Force-Angriffen

Im Laufe der Zeit haben sich verschiedene spezialisierte Varianten des Brute-Force-Angriffs entwickelt. Jede Methode hat eigene Stärken und erfordert unterschiedliche Abwehrmaßnahmen.

Klassischer Brute-Force-Angriff

Beim klassischen Brute-Force-Angriff probiert der Angreifer systematisch alle möglichen Zeichenkombinationen durch - von "a" über "aa", "ab" bis hin zu komplexen Zeichenfolgen. Diese Methode ist am zeitaufwändigsten, funktioniert aber theoretisch gegen jedes Passwort, wenn genügend Zeit vorhanden ist.

Dictionary-Angriff (Wörterbuchangriff)

Statt alle Kombinationen durchzuprobieren, nutzt ein Dictionary-Angriff vordefinierte Listen mit häufig verwendeten Passwörtern wie "password", "123456", "qwerty" oder Variationen davon. Da viele Menschen schwache Passwörter wählen, ist diese Methode oft deutlich schneller als der klassische Ansatz.

Hybrid-Angriff

Hybrid-Angriffe kombinieren Dictionary- und Brute-Force-Methoden. Der Angreifer nimmt Wörter aus einem Wörterbuch und hängt systematisch Zahlen oder Sonderzeichen an - zum Beispiel "Passwort1", "Passwort2", "Passwort!". Dies ist effektiv, weil viele Benutzer ein einfaches Wort wählen und dann Zeichen anhängen, um Komplexitätsanforderungen zu erfüllen.

Credential Stuffing

Beim Credential Stuffing nutzen Angreifer bereits bekannte Benutzername-Passwort-Kombinationen aus Datenlecks und testen diese bei anderen Diensten. Die Methode basiert darauf, dass viele Menschen dasselbe Passwort für mehrere Konten verwenden. Wenn dein Passwort bei einem Datenleck eines Online-Shops öffentlich wird, können Angreifer damit auch dein E-Mail-Konto oder Social-Media-Profile übernehmen.

Reverse Brute-Force-Angriff

Bei einem Reverse-Brute-Force-Angriff ist die Situation umgekehrt: Der Angreifer kennt ein häufiges Passwort (z.B. "Admin123") und testet es gegen viele verschiedene Benutzernamen. Da pro Konto nur wenige Versuche stattfinden, werden automatische Kontosperrungen oft nicht ausgelöst.

Password Spraying

CAPTCHA

CAPTCHAs stellen Aufgaben, die Menschen leicht lösen können, aber automatisierte Scripts nicht. Sie können nach mehreren fehlgeschlagenen Anmeldeversuchen eingeblendet werden und erschweren automatisierte Angriffe erheblich. Moderne Proof-of-Work-CAPTCHAs erfordern zusätzlich Rechenleistung vom Client.

Passwort-Manager

Passwort-Manager speichern alle Passwörter verschlüsselt und generieren automatisch starke, einzigartige Passwörter für jeden Dienst. Du musst dir nur noch ein Masterpasswort merken. Das BSI empfiehlt Passwort-Manager auch für Unternehmen.

Intrusion Detection Systeme (IDS)

Ein IDS überwacht den Netzwerkverkehr auf verdächtige Aktivitäten wie viele fehlgeschlagene Anmeldeversuche. Tools wie Fail2Ban blockieren automatisch IP-Adressen, von denen Angriffe ausgehen.

Brute-Force-Angriffe in der IT-Praxis

Als Fachinformatiker für Systemintegration konfigurierst du Schutzmechanismen wie Rate Limiting auf Firewalls, richtest MFA für Unternehmensanwendungen ein und überwachst Systeme mit IDS-Lösungen. In der Anwendungsentwicklung implementierst du sichere Login-Mechanismen mit Kontosperrung, CAPTCHA-Integration und sicherer Passwort-Speicherung mit modernen Hash-Algorithmen und Salts.

Besonders wichtig für SSH-Server: Nutze Schlüssel-basierte Authentifizierung statt Passwörter, deaktiviere den Root-Login und setze Fail2Ban ein. Diese Maßnahmen machen Brute-Force-Angriffe praktisch aussichtslos.

Quellen und weiterführende Links

Rate Limiting und Account Lockout

Rate Limiting begrenzt die Anzahl der Anmeldeversuche pro Zeitraum. Nach mehreren fehlgeschlagenen Versuchen (typischerweise 3-5) wird das Konto temporär gesperrt. Dies verlangsamt Brute-Force-Angriffe erheblich. Moderne Systeme nutzen progressive Verzögerungen: Nach jedem Fehlversuch verdoppelt sich die Wartezeit.

Zurück zum Lexikon

Datenschutzhinweis

Keine Tracking-Cookies. Wir nutzen Fathom Analytics: cookieless, anonym und DSGVO-konform. YouTube-Videos werden über youtube-nocookie.com eingebunden.