Brute Force Attacken effektiv abwehren – 4 Tipps

Brute Force Attacken sind eine beliebte Angriffstechnik von Hackern und damit ein häufiges Ärgernis für Webseitenbetreiber. Mit den richtigen Abwehrmechanismen stehen Sie der Masche aber nicht schutzlos gegenüber. Wir verraten Ihnen, was Brute Force Attacken überhaupt sind, wie sie funktionieren und mit welchen Mitteln Sie Ihr Risiko minimieren können. 

Was sind Brute Force Attacken? 

Brute Force Attacken werden von Hackern genutzt, um sich Zugriff zu dem Backend Ihrer Webseite zu verschaffen und dort Viren oder andere Malware zu installieren. Dabei kommt keine komplexe Technik zum Einsatz und der Angreifer braucht nicht einmal ein besonderes Geschick. Stattdessen gibt er einfach eine Vielzahl von Kombinationen aus möglichen Benutzernamen und Passwörtern ein, in der Hoffnung, durch Zufall auf die richtige Kombination zu stoßen. 

Würde sich der Hacker daran im Alleingang manuell versuchen, würde diese Methode unfassbar viel Zeit in Anspruch nehmen. Deshalb bedient er sich sogenannten Bots, die in rasender Geschwindigkeit unzählige mögliche Kombinationen generieren und sie in die Benutzeroberfläche eingeben. Dies funktioniert automatisiert und ohne ein Zutun des Angreifers. 

Ein starkes Passwort schützt gegen Brute Force Attacken
Ein starkes Passwort schützt gegen Brute Force Attacken

Der Angriffspunkt für Brute Force Attacken – die Login Seite 

Die einzige Hürde, die Hacker überwinden müssen, ist das Auffinden der Login Seite der gewählten Webseite. Das kann sich insofern schwieriger gestalten, als dass die Besitzer von Webseiten die Möglichkeit haben, sie in einem individuellen Link zu “verstecken” und somit schwieriger auffindbar zu machen. 

Allerdings nutzen nicht viele Betreiber diese Möglichkeit, was Hackern bewusst ist. In den meisten Fällen können sie die Login-Seite unter einer der standardisierten Seiten /wp-login.php oder /wp-admin.php finden. Somit kann quasi jede beliebige Person auf die Login Seiten von vielen Webseiten zugreifen. Hier finden Sie die Eingabemaske, in der Sie lediglich den Benutzernamen und das Passwort eingeben müssen. 

Die Schwachstelle der Webseite – das Standardpasswort 

Insbesondere bei Webseiten, die sich einfacher Standardpasswörter bedienen, haben Brute Force Attacken deshalb leichtes Spiel. Standardpasswörter enthalten häufig real existierende Wörter, Namen oder Daten wie zum Beispiel Geburtstage, Jahreszahlen oder Hochzeitstage. Um nicht den Überblick zu verlieren, geben Admins häufig Passwörter ein, die sie bereits anderswo nutzen. Der durchschnittliche Mensch verwendet lediglich zwei bis fünf Passwörter, die er für verschiedene Webseiten nutzt. Dies erspart zwar ein oft als lästig empfundenes Mitschreiben, läuft aber dem Zweck von Passwörtern zuwider. 

Passwörter dienen der Sicherheit im Internet. Wird immer und immer wieder die gleiche Kombination aus Buchstaben und Zahlen verwendet, stellt dies ein erhebliches Sicherheitsrisiko dar. Gelingt es Angreifern, bei einem Login Versuch den Nutzernamen und das Passwort abzufangen, haben sie nun leichtes Spiel. Sie können mit den identischen Informationen oder leichten Abwandlungen oft auf nahezu alle Webseiten zugreifen, die ihr Opfer noch verwendet. Auf diese Weise können sie nicht nur auf den Webseiten selbst Schaden anrichten, sondern auch sensible Daten wie Kontodaten oder Adressen abgreifen. 

Wie schützen Sie sich gegen Brute Force Attacken? 

Gegen Brute Force Attacken können Sie verschiedene präventive Maßnahmen ergreifen. Hierfür bedarf es keiner Programmierkenntnisse. Sie können sie also unabhängig von Ihrem Wissensstand umsetzen – und das oft schon innerhalb weniger Minuten. 

Wählen Sie ein starkes Passwort und einen kreativen Usernamen 

So verlockend es sein mag: Der Name Ihres Hundes in Kombination mit Ihrem Geburtsjahrgang ist kein sicheres Passwort. Hacker versuchen sich wie beschrieben vornehmlich an existierenden Wörtern, davon hauptsächlich an Namen. Noch schlimmer ist lediglich die Variante 0000 oder das Passwort “Passwort”. Als Username werden gerne Admin, User oder andere Varianten festgelegt. Auch sie eröffnen Hackern Tür und Tor und zählen zu den ersten Namen, die ausprobiert werden. 

Wählen Sie in beiden Feldern Buchstaben- und Zahlenfolgen, die Sie sich selbst nicht merken können, ist das bereits ein gutes Zeichen. Passwörter sollten idealerweise aus einer langen Folge von Buchstaben (in Groß- und Kleinschreibung), Zahlen, Zeichen und Sonderzeichen bestehen, die rein zufällig generiert wurde. Dabei müssen Sie nicht mal selbst kreativ werden: Google schlägt Ihnen von sich aus ein zufällig generiertes Passwort vor, das höchsten Sicherheitsstandards entspricht. Wählen Sie es aus, wird es automatisch in Ihrem Google-Konto gespeichert. 

Hacker wollen auf das Backend Ihrer Webseite zugreifen
Hacker wollen auf das Backend Ihrer Webseite zugreifen

Rufen Sie die Seite nun erneut auf und klicken auf das Feld für das Passwort, wird Ihnen automatisch von Google Ihr hinterlegtes Passwort vorgeschlagen, das Sie nur noch mit einem Klick einfügen müssen. Auf diese Weise bleibt es Ihnen erspart, selbst eine Liste mit Passwörtern zu führen. Zudem haben Sie Ihre Passwörter überall dabei und laufen nicht Gefahr, Ihre Passwörter auf einem Papier zuhause zu vergessen. Möchten Sie Ihre Passwörter lieber nicht in Ihrem Google-Konto hinterlegen lassen, können Sie aus einer Vielzahl anderer Anbieter wählen, die den gleichen Service anbieten. 

Auch Ihr Username sollte so wenig wie möglich mit Ihrem tatsächlichen Namen zu tun haben. Auch Spitznamen sind hier zugunsten Ihrer Sicherheit tabu. Möchten Sie sich hier nicht auch auf eine willkürliche Buchstabenfolge festlegen, wählen Sie zumindest eine Bezeichnung, die so wenig wie möglich mit Ihnen zu tun hat und kombinieren Sie sie mit anderen Wörtern, Buchstaben und Zahlen. 

Beschränken Sie die Zahl der Login-Vorgänge 

Brute Force Attacken funktionieren nicht nur deshalb, weil sich viele User eines simplen Usernamens und Passworts bedienen. Sie sind auch nur deshalb möglich, weil die Login-Vorgänge auf den meisten Webseiten nicht begrenzt sind. Von Ihrem Smartphone kennen Sie bestimmt die folgende Situation: Sie möchten das Gerät entsperren und geben Ihren Code ein. Dabei sind Sie unaufmerksam und vertippen sich versehentlich zweimal. Sofort kommt die Meldung, dass Sie nur noch einen Versuch haben – misslingt er ebenfalls, wird Ihr Smartphone für eine gewisse Zeitspanne gesperrt. In dieser können Sie keinen weiteren Login-Versuch starten und deshalb nicht mehr darauf zugreifen. 

Eine derartige Funktion können Sie auch für Ihre Webseite einrichten und so das Risiko von Brute Force Attacken verringern. Viele Betreiber wissen dies aber nicht oder verzichten wegen des vermeintlichen Aufwands darauf. Oft können Sie die Zahl der Login-Vorgänge aber bereits in wenigen Minuten beschränken. Nutzen Sie zum Beispiel WordPress und haben Zugriff auf Plugins, könnte die Umsetzung nicht einfacher sein. Sie installieren ein entsprechendes Plugin (viele verschiedene Plugins bieten diese Funktion an), aktivieren es und setzen notfalls noch ein Häkchen innerhalb des Plugins. 

Möchte sich nun jemand in Ihre Webseite einloggen, hat er nur eine geringe Anzahl von Versuchen. Dies nimmt Brute Force Attacken den Wind aus den Segeln und erhöht Ihre Sicherheit signifikant. 

Brute Force abwehren
Brute Force effektiv abwehren

Richten Sie so wenig Profile wie möglich ein 

Sie selbst haben nun ein starkes Passwort eingerichtet und nutzen einen Usernamen, den niemand so einfach erraten könnte. Aber wie sieht es mit Ihren Mitarbeitern aus? Insbesondere größere Unternehmen sind dazu gezwungen, vielen Personen Zugriff auf Ihre Webseite zu geben. Jedes weitere Benutzerkonto ist ein potenzielles Risiko. Richten Sie Username und Passwort nicht selbst ein, haben Sie keine Kontrolle darüber, wie stark die für Ihre Webseite verwendeten Daten sind. 

Ihren Mitarbeitern sind die damit verbundenen Sicherheitsrisiken oft nicht einmal bewusst oder sogar schlichtweg egal. Lassen Sie deshalb nur so wenig Konten einrichten, wie möglich. Hinterfragen Sie, ob jeder Praktikant tatsächlich ein eigenes Konto benötigt oder nicht von einem durch Sie eingerichteten Besucherkonto agieren kann. 

Ändern Sie die URL zur Login-Seite 

Wir haben Ihnen bereits verraten, dass die Login-Seite regelmäßig unter einer Standard-URL gefunden werden kann, sofern sie nicht geändert wurde. Als Admin haben Sie genau diese Möglichkeit, die Sie auch nutzen sollten. Auch dies gelingt Ihnen ohne Probleme mit einem Plugin. Haben Sie die Login-Seite quasi “versteckt”, wehren Sie damit schon die meisten Brute Force Attacken im Vorhinein ab. Sie dafür verwendeten Technologien klappern oft die regulären Login-URLs verschiedener Webseiten ab. Kann bei Ihnen unter diesem Link kein Login-Bereich gefunden werden, gibt die überwiegende Anzahl von Hackern bereits auf.

Das Formular wurde erfolgreich versendet!

[booked-calendar calendar="8"]