So vielfältig, wie es die Digitalisierung selbst ist, sind ebenso die heutigen Mittel und Wege, die Kriminelle jeglicher Couleur nutzen, um an digitalen Systemen oder unter Zuhilfenahme dieser Unheil anzurichten. Schaut man sich jedoch dieses ständige „Katz-und-Maus-Spiel“ zwischen Herangehensweisen der Angreifer und Abwehrmechanismen seitens der Angegriffenen genauer an, so fällt eines rasch auf: Brute Force ist nach wie vor einer der wichtigsten Modi Operandi, speziell zum Überwinden von Passwörtern – ganz gleich, ob es „nur“ um bösartige Formen von digitalem Schabernack geht oder um handfeste digitale Kriminalität.
Primär liegt das an der Tatsache, wonach selbst heutige Consumer-Class-Computer hohe Rechenleistungen ins Feld führen können. Zur größten Gruppe der Leidtragenden gehören immer wieder Unternehmen. Sie werden mit Brute-Force-Methoden attackiert und dabei einer ganzen Reihe von Gefahren ausgesetzt, die von der Reputation des Hauses bis zu den Firmenfinanzen reichen. Die gute Nachricht: In seinen neuesten Versionen inkludiert Windows 11 einen deutlich verbesserten Schutz gegen diese Angriffsform. In der Praxis ist jedoch mehr nötig, um sich, beziehungsweise das eigene Unternehmen, gegen Brute-Force-Attacken zu schützen.
Brute Force: Die digitale Angriffsmethode im Portrait
Was macht der Besitzer eines Kofferschlosses, wenn er den eingestellten Zahlencode vergessen hat? Er dreht einfach so lange die Walzen, probiert also alle möglichen Zahlenkombinationen aus, bis er die richtige gefunden hat und das Schloss sich öffnet.
So lange ausprobieren, bis man es geschafft hat – mit diesem Satz ist ebenso das Grundprinzip von Brute Force als Vorgehensweise von Hackern beschrieben. Statt komplexer (und dadurch ebenso aufwendiger wie teurer) Methoden wird einfach „rohe Gewalt“ (= brute Force) angewendet, indem alle möglichen Optionen und Kombinationen durchprobiert werden.
In der digitalen Praxis ist die Methode zwar etwas komplexer, jedoch läuft es typischerweise auf eine von zwei Herangehensweisen hinaus:
- Direkteingabe: Es wird versucht, die Zeichen eines verwendeten Passworts durch eine direkte Eingabe herauszufinden.
- Hash-Methode: Es werden die Hash-Werte unterschiedlichster Passwörter berechnet. Mitunter ist es dadurch möglich, einen Wert zu finden, der mit dem des eigentlichen Passworts übereinstimmt – ohne jedoch das Passwort selbst kennen zu müssen.
Hier kommt nun die im Eingangstext angesprochene Leistung moderner Computer ins Spiel: Dieses Trial-and-Error-Prinzip benötigt für jeden Versuch einen bestimmten Zeitraum. Wie lange er ist, hängt von der Rechenleistung eines Chipsatzes ab – sowie der Anzahl von Stellen und der Art genutzter Symbole eines Passwortes. Mit heutigen Leistungen (Anfang 2023) liegen die Zeiten für Brute-Force-Versuche zirka bei den folgenden Werten:
- Ziffern bis 11 Stellen: <1 Sekunde
- Ziffern, 15 Stellen: 6 Stunden.
- Nur Klein- oder Großbuchstaben, 10 Stellen: 4 Minuten
- Groß- & Kleinbuchstaben, 10 Stellen: 3 Tage
- Ziffern, Groß- & Kleinbuchstaben, 10 Stellen: 3 Wochen
- Ziffern, Groß- & Kleinbuchstaben, Sonderzeichen, 10 Stellen: 5 Monate
Nun mögen solche Zeiträume im Bereich mehrerer Wochen oder Monate auf Laien „lang“ wirken. Jedoch können Hacker durchaus mit mehreren Geräten parallel arbeiten – unter anderem.
Als kryptographisch inhärent sicher gilt ein Passwort deshalb erst, wenn es mit zeitgenössischen Rechenleistungen mehrere Millionen Jahre bräuchte, um alle seine Varianten per Brute Force auszuprobieren oder entsprechende Hash-Werte zu berechnen. Das ist je nach Art der genutzten Symbole derzeit nur jenseits der 15 Stellen möglich. Alle kürzeren Passwörter sind deshalb wenig bis gar nicht sicher.
Neuer Windows-11-Schutz gegen Brute Force
Der geneigte Leser kann sich an dieser Stelle kurz folgendes Szenario vorstellen: Damit sich Mitarbeiter im Home-Office mit dem CMS ihrer Firma verbinden können, ist es lediglich nötig, das eigene Windows-Passwort einzugeben und danach eine Website aufzurufen.
In diesem Fall würde die Sicherheit des gesamten unternehmerischen Computersystems davon abhängen, wie lang (und komplex) der Mitarbeiter das Passwort seines Windows-Accounts gewählt hätte. Welche Risiken dadurch für das Unternehmen entstehen, kann sich wohl jeder denken. Sie reichen von Ausspähen geheimer Daten zwecks Wirtschaftsspionage bis hin zum Leerräumen der Firmenkonten im Rahmen klassischer digitaler Einbrüche – stets sind die Folgen für das Haus verheerend.
Mit dem Oktober-2022-Update hat Microsoft diese Lücke effektiv geschlossen. Seitdem können lokale Administratorkonten gesperrt werden. Konkret lässt sich einstellen, wie viele Passworteingaben in welchem Zeitraum nötig sind, um eine Sperrung für einen weiteren wählbaren Zeitraum auszulösen. Microsoft selbst schlägt vor, die Werte 10-10-10 zu nutzen:
- 10 Minuten Sperrung
- nach 10 falschen Passworteingaben
- innerhalb von 10 Minuten.
Natürlich ist damit die Gefahr von Brute-Force-Angriffen nicht gänzlich gebannt. Jedoch wird der gesamte Zeitraum extrem in die Länge gezogen. Das ist gerade deshalb so effektiv, weil es sämtliche Fortschritte durch steigende Rechenleistungen oder die Nutzung parallel laufender Rechner seitens der Angreifer negiert.
Angenommen, das Admin-Konto wäre mit einem 10-stelligen Passwort nur aus Großbuchstaben des deutschsprachigen Alphabets abgesichert. Dann gäbe es 2610 Kombinationsmöglichkeiten. Durchprobiert werden könnten diese, wie erwähnt, innerhalb von nur zirka 4 Minuten.
Wenn allerdings das System nach nur 10 falschen Eingaben eine 10-minütige Sperre auslöst, dann wird daraus ein ungleich längerer Zeitraum – wodurch die Sicherheit von Windows-basierenden Systemen von der Wertigkeit eines jeden darin genutzten Passworts ein Stück weit entkoppelt wird.
IT-Schutz: Mehr als nur Verlass auf einzelne Maßnahmen
Zugegeben, betrachtet man nur die Angriffsmethode Brute Force, dann bietet Windows durch dieses neue Feature eine stark gesteigerte Sicherheit, von der sowohl Unternehmen als auch Privatpersonen profitieren können. Zudem ist die Brute-Force-Methode nach wie vor ein bedeutender Angriffsvektor.
Allerdings: Brute Force ist eben nur eine von äußerst zahlreichen und diversifizierten Angriffsmethoden. Anzunehmen, die unternehmerischen Systeme seien jetzt gegen jegliche Art von Hackern sicher, wäre deshalb im höchsten Maß vermessen und ein Denken an der Realität vorbei.
Ferner sind Firmen jeglicher Ausrichtung und Größenordnung längst interessante Ziele für Hacker geworden. Denn mindestens gibt es immer in finanzieller Hinsicht „etwas zu holen“. Außerdem haben gerade kleine und kleinste Unternehmen vielfach noch immer nicht den Ernst der Lage begriffen – und deshalb verschiedenste Sicherheitslücken, die selbst von gering befähigten Kriminellen schamlos ausgenutzt werden können.
Wer heute unternehmerisch tätig ist, der muss sich deshalb mit mehreren Punkten auseinandersetzen:
- Absolut jedes Unternehmen ist ein lohnenswertes Ziel. Zwar gibt es bei kleineren Firmen (je nach Ausrichtung) vielleicht nicht so große Werte abzugreifen. Dies wird jedoch durch die einfachere Angreifbarkeit oftmals mehr als wettgemacht.
- Es ist selbst für professionelle IT-Abteilungen ein anstrengender Full-Time-Job, ständig mit der extremen Wandlungsfähigkeit und Kreativität von Cyberkriminellen Schritt zu halten. Einzelpersonen können hingegen meist gar nichts ausrichten – insbesondere nicht, wenn sie das Thema IT-Security neben anderen beruflichen Anforderungen betreuen müssen.
- Besonders in weniger digital-affinen Firmen herrscht oftmals ein erschreckendes Unwissen selbst gegenüber typischen Basis-Angriffsmethoden vor. Von komplexeren Strategien ganz zu schweigen.
Prinzipiell sollte deshalb jedes Unternehmen ohne eigene Vollzeit-IT-Sicherheitsabteilung überlegen, wenigstens einen Teil seiner Sicherheit outzusourcen. Die dabei möglichen Lösungswege sind vielfältig und können bei professionellen Dienstleistern auf Fähigkeiten und Bedrohungsstruktur des Unternehmens maßgeschneidert werden.
Für Start-Ups kann es beispielsweise damit beginnen, die frisch gegründete Firma einem Security Check zu unterziehen und darauf basierend eine professionelle Beratung durchzuführen. Je nach Risikobereichen kann darauf fußend ein Sicherheitskonzept erstellt, implementiert und mitunter sogar durch den Dienstleister 24/7 betreut werden.
Das sorgt nicht nur für eine allgemein hohe IT-Sicherheit, weil sie durch Profis garantiert wird. Es reduziert beim auftraggebenden Betrieb den Personaldruck (IT-Sicherheitsprofis sind dünn gesät) und außerdem den Kostendruck – typischerweise ist das Outsourcen der IT-Security deutlich günstiger als Inhouse-Lösungen; insbesondere mit Vollzeit-Teammitgliedern.
Nebenbei liegt der Fokus solcher Dienstleister nur auf der IT-Sicherheit, wohingegen es in der unternehmerischen Realität beim eigenen Personal meist darauf hinausläuft, die gesamte IT zu betreuen, wodurch deren Sicherheit nur ein Teilaspekt unter vielen ist.
Zusammengefasst
Windows 11 bietet seit dem Oktober-Update einen schlagkräftigen Schutz gegen das Herausfinden von Passwörtern via Brute-Force-Methode. Damit wird eine bedeutende Vorgehensweise von Cyberkriminellen deutlich erschwert.
Gerade Unternehmen sollten sich von diesem Update nicht in falscher Sicherheit wiegen lassen. Brute-Force-Angriffe sind zwar sehr zahlreich, sind aber dennoch nur ein möglicher Angriffsvektor von vielen.
Insbesondere Firmen, die sich keine eigene Abteilung leisten können, die ausschließlich die IT-Sicherheit betreut, sollten daher überlegen, diesen Teilbereich an externe Dienstleister outzusourcen. Denn in einer Zeit, in der sämtliche Wirtschaftsbereiche digitale Eingangstore aufweisen, kann und wird jeder Betrieb für derart operierende Kriminelle interessant werden – und wo diese sehr fähig sind, darf es die Verteidigung nicht weniger sein.
