Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    Alle Cybergefahren
    Cyberbedrohung
    Bedrohungslevel: Hoch

    Brute-Force-Angriffe

    Bei einem Brute-Force-Angriff probiert ein Angreifer systematisch alle möglichen Passwortkombinationen durch, bis er das richtige findet. Moderne Computer können Milliarden von Kombinationen pro Sekunde testen. Schwache Passwörter werden so in Sekunden geknackt.

    80%aller Sicherheitsverletzungen gehen auf gestohlene oder schwache Passwörter zurück

    Wie funktioniert Brute-Force-Angriffe?

    Brute-Force-Angriffe sind im Prinzip einfach: Der Angreifer lässt ein Programm laufen, das automatisch eine Passwortkombination nach der anderen ausprobiert. Bei einfachen Angriffen werden alle Zeichenkombinationen der Reihe nach getestet. Moderne Grafikkarten können dabei über 100 Milliarden Kombinationen pro Sekunde berechnen.

    In der Praxis werden meist sogenannte Wörterbuch-Angriffe eingesetzt. Dabei testet der Angreifer zuerst häufig verwendete Passwörter und bekannte Kombinationen. Listen mit Millionen gestohlener Passwörter aus früheren Datenlecks sind im Internet frei verfügbar. Auch Variationen wie das Ersetzen von Buchstaben durch Zahlen (z. B. P@ssw0rt) werden automatisch durchprobiert.

    Besonders gefährlich ist das sogenannte Credential Stuffing. Dabei werden Benutzername-Passwort-Kombinationen aus einem Datenleck bei anderen Diensten ausprobiert. Da viele Menschen dasselbe Passwort für mehrere Konten verwenden, führt diese Methode erschreckend oft zum Erfolg.

    Angreifer setzen Brute-Force-Attacken gegen alle Arten von Zugängen ein: E-Mail-Konten, VPN-Zugänge, Cloud-Dienste, Administrationsbereiche von Webseiten oder Remote-Desktop-Verbindungen. Ein geknacktes Passwort ist häufig der erste Schritt für einen größeren Angriff, etwa eine Ransomware-Infektion.

    Brute-Force-Angriffe in Zahlen

    6 Sek.
    Dauer zum Knacken eines 8-stelligen Passworts ohne Sonderzeichen (Hive Systems)
    23,2 Mio.
    Nutzer weltweit verwenden das Passwort '123456' (NCSC UK)
    54%
    der deutschen Unternehmen hatten bereits unbefugte Zugriffsversuche (Bitkom)
    15 Mrd.
    gestohlene Zugangsdaten sind im Darknet verfügbar (Digital Shadows)
    Echte Schadensfälle

    So trifft Brute-Force-Angriffe Unternehmen

    Steuerberatung

    Ransomware-Befall nach geknacktem VPN-Zugang

    420.000 €
    14 Tage

    Eine Steuerberatungskanzlei in Niedersachsen verwendete für den VPN-Zugang ein einfaches Passwort ohne Zwei-Faktor-Authentifizierung. Angreifer knackten das Passwort per Brute-Force und verschlüsselten innerhalb weniger Stunden sämtliche Mandantendaten mit Ransomware. Die Kanzlei war zwei Wochen lang arbeitsunfähig. Die Wiederherstellung aus Backups und die anschließende Systemhärtung kosteten über 400.000 Euro.

    Versicherungen

    Credential Stuffing bei Kundenportal eines Versicherungsmaklers

    210.000 €
    4 Tage

    Angreifer nutzten gestohlene Zugangsdaten aus einem früheren Datenleck, um sich systematisch bei dem Kundenportal eines Versicherungsmaklers aus Frankfurt anzumelden. Bei rund 3.800 Kunden funktionierte der Login. Die Angreifer konnten persönliche Daten und Vertragsinformationen einsehen. Der Makler musste alle betroffenen Kunden benachrichtigen und das Portal vorübergehend offline nehmen.

    Schutzmaßnahmen gegen Brute-Force-Angriffe

    Technische Maßnahmen

    • Multi-Faktor-Authentifizierung (MFA) für alle Zugänge aktivieren
    • Kontosperrung nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche
    • Rate-Limiting und CAPTCHA bei Login-Formularen
    • Passwort-Manager für alle Mitarbeiter bereitstellen
    • Automatisierte Prüfung neuer Passwörter gegen bekannte Datenleck-Listen
    • SSH-Schlüssel statt Passwörter für Serverzugänge
    • Single Sign-On (SSO) mit starker Authentifizierung

    Organisatorische Maßnahmen

    • Passwortrichtlinien mit Mindestlänge von 12 Zeichen einführen
    • Regelmäßige Schulungen zur Passworthygiene und Gefahren von Passwortwiederverwendung
    • Jährliche Überprüfung aller Zugänge und Deaktivierung nicht mehr benötigter Konten
    • Prozess für sofortige Passwortzurücksetzung bei Verdacht auf Kompromittierung
    Versicherungsschutz

    Was die Cyberversicherung bei Brute-Force-Angriffe abdeckt

    Abgedeckte Leistungen

    • Kosten für forensische Analyse des unbefugten Zugriffs
    • Schäden durch Folge-Angriffe (z. B. Ransomware nach Passwortdiebstahl)
    • Betriebsunterbrechungskosten durch gesperrte oder kompromittierte Systeme
    • DSGVO-Benachrichtigungskosten bei Zugriff auf personenbezogene Daten
    • Kosten für Kreditüberwachung betroffener Kunden
    • Haftpflichtansprüche Dritter

    Typische Ausschlüsse

    • Schäden durch Verwendung von Standard-Passwörtern oder trivialen Passwörtern trotz Richtlinien
    • Kosten, die durch wissentlichen Verzicht auf Multi-Faktor-Authentifizierung entstehen
    • Verluste durch Mitarbeiter, die Passwörter vorsätzlich weitergegeben haben
    • Schäden, wenn keine angemessenen Zugangskontrollen implementiert waren

    Schützen Sie Ihr Unternehmen vor Brute-Force-Angriffe

    Vergleichen Sie jetzt die besten Cyberversicherungs-Tarife und finden Sie den passenden Schutz für Ihr Unternehmen.

    JETZT TARIFE VERGLEICHEN
    Häufige Fragen

    FAQ zu Brute-Force-Angriffe

    Ein einfaches 8-stelliges Passwort aus Kleinbuchstaben wird in wenigen Sekunden geknackt. Ein 12-stelliges Passwort mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen benötigt hingegen mehrere tausend Jahre. Die Länge ist der wichtigste Faktor.
    Bei Brute-Force werden Passwörter systematisch durchprobiert. Beim Credential Stuffing werden bereits gestohlene Zugangsdaten aus Datenlecks bei anderen Diensten getestet. Credential Stuffing ist oft erfolgreicher, weil viele Menschen Passwörter wiederverwenden.
    Ein langes, komplexes Passwort ist ein guter Anfang, aber nicht ausreichend. Zusätzlich sollten Sie Multi-Faktor-Authentifizierung aktivieren, für jeden Dienst ein eigenes Passwort verwenden und einen Passwort-Manager nutzen.
    Bei der Multi-Faktor-Authentifizierung benötigen Sie neben dem Passwort einen zweiten Nachweis, etwa einen Code per App oder einen physischen Schlüssel. Selbst wenn ein Angreifer Ihr Passwort kennt, kann er sich ohne den zweiten Faktor nicht anmelden.
    Das hängt von der Police ab. Viele Versicherer setzen angemessene Sicherheitsmaßnahmen voraus. Wenn Sie trotz bekannter Risiken auf einfache Passwörter und fehlende MFA setzen, kann der Versicherer die Leistung kürzen oder verweigern.
    Nutzen Sie Dienste wie den Identity Leak Checker des Hasso-Plattner-Instituts oder haveibeenpwned.com. Dort können Sie prüfen, ob Ihre E-Mail-Adresse in bekannten Datenlecks enthalten ist. Ändern Sie betroffene Passwörter sofort.

    Verwandte Bedrohungen

    RansomwarePhishing-AngriffeMan-in-the-Middle-Angriffe

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.