Für Websites von kleinen Unternehmen oder eCommerce-Websites ist die Benutzerregistrierung eine häufige Anforderung. Infolgedessen teilen Benutzer sensible Informationen, wenn sie sich für ein Konto auf einer Website registrieren. Dies kann die Postanschrift, die E-Mail-Adresse oder sogar die Kreditkartendaten beinhalten. Es ist eine Notwendigkeit, da es den Benutzern ein besseres Website-Erlebnis bietet, aber es kann auch die Informationen anfällig machen, wenn eine Brute Force Attacke auf deiner Website stattfindet.
Kleinunternehmen und ihre Mitarbeiter haben täglich viel zu tun, so dass die Websitesicherheit tendenziell ein Anliegen mit niedriger Priorität ist. Damit richten sich 43 Prozent der Cyber-Angriffe an kleine Unternehmen.
Wenn es um Online-Sicherheitsschwachstellen geht, sind Brute Force Attacken eine der beliebtesten Hacking-Methoden.
Eine Brute Force Attacke wir eingesetzt, um sich im Backend Zugang zu einer Website zu verschaffen und wichtige Informationen durch das Knacken von Passwörtern zu erhalten.
Schätzungen zufolge ist diese besondere Art von Cyberangriffen im Jahr 2017 um 400 Prozent gestiegen. Um dein kleines Unternehmen zu schützen, wird dir dieser Artikel helfen zu verstehen, wie eine Brut Force Attacke funktioniert und wie du verhindern kannst, dass sie auf deine Website treffen.
Was ist eine Brute Force Attacke?
Eine Brute Force Attacke geschieht, wenn ein Hacker nach dem Trial-and-Error Prinzip vorgeht, um Zugang zu einem autorisierten Konto zu erhalten. Je nach Situation kann es sich dabei um das Knacken des Passworts oder der persönlichen Identifikationsnummer (PIN) handeln. Die meisten Brute Force Attacken sind automatisiert, so dass Unternehmen je nach Größe angesprochen werden können. Laut Rob Shapland, führender Cybersicherheits-Berater bei First Base Technologies LLP, sind Brut Force Attacken die am häufigsten und vielleicht auch am wenigsten ausgeprägte Cyberattacke.
Wenn es deiner Website an Sicherheit und Schutz mangelt, haben Angreifer einen einfachen Weg hinein.
Brute Force Attacken werden von Cyberkriminellen häufig verwendet, um verschlüsselte Daten zu knacken und Informationen zu stehlen, die für betrügerische Aktivitäten böswillige Absichten beinhalten. Sie können auch von Sicherheitsanalysten verwendet werden, um die Sicherheit eines Netzwerks zu testen.
Wie funktioniert eine Brute Force Attacke?
Das Verständnis von Brute Force Attacken und deren Funktionsweise ist nicht kompliziert – sich davor zu schützen, ist eine viel größere Herausforderung.
Jede Website mit einer Login-Seite (oder einem Passwortschutz) ist ein potentielles Ziel dieser Art von Angriff.
Diese Content Management System (CMS)-Administrationsseiten sind die am häufigsten angegriffenen Systeme.
-
WordPress wp-admin oder wp-login.php Login-Seiten
-
Magento / index.php oder Admin-Seiten
-
Joomla! Administrator
-
vBulletin admincp
und andere generische Login-Seiten auf verschiedenen Websites.
Wenn ein Angreifer Zugang zu einer Website, einem Benutzerkonto oder anderen verschlüsselten Informationen erhalten möchte, muss er zunächst etwas unternehmen, um diese Informationen zu entschlüsseln oder freizuschalten.
Der Prozess beginnt mit dem Ausprobieren verschiedener, möglicher Passwortkombinationen. Das geht so lange hin und her, bis sie erfolgreich entschlüsseln, wo immer sie versuchen einzudringen. Es gibt Tausende von möglichen Passwortkombinationen für ein einziges Konto. Die kürzeste Standardpasswortlänge beträgt acht Zeichen.
Viele Websites stellen auch zusätzliche Anforderungen an die Komplexität der Benutzerpasswörter (z.B. Groß- und Kleinschreibung, alphanumerische Kombinationen, Sonderzeichen). Diese einfachen Richtlinien können Standardpasswörter von Tausenden von möglichen Kombinationen bis hin zu Milliarden annehmen.
Natürlich ist auch das nur ein kleines Ärgernis für einen Hacker, mit den richtigen Tools und dem richtigen Know-how. Es gibt viele Tools, die in der Lage sind, Tausende von möglichen Passwortkombinationen zu generieren und diese in Sekundenschnelle zu übermitteln.
Das Motiv für eine Brute Force Attacke
Brute Force Attacken ermöglichen Hackern den illegalen Zugriff auf Websites, die wertvolle Informationen (z.B. Kreditkartennummern) enthalten. Ihre Versuche können entweder die Website völlig lahmlegen oder Zugang zu Benutzerkonten (und sensiblen Benutzerinformationen) enthalten.
Die GitHub Brut Force Attacke im Jahr 2013 gilt als die größte Brute Force Attacke der jüngeren Geschichte. Viele Konten wurden kompromittiert: An dem Angriff waren 40k Hacker-IP-Adressen beteiligt, die sich in erster Linie an Personen mit schwachen Passwortkombinationen richteten. Nach dem Angriff forderte GitHub die Benutzer auf, eine Zwei-Faktoren-Authentifizierung für ihre Konten einzurichten.
Im April desselben Jahres blockierte Cloudfare, ein beliebter Web-Performance- und Sicherheitsdienst innerhalb von nur einer Stunde bis zu 60 Millionen Brute Force Attacken auf WordPress abgefangen.
Wie man eine Brute Force Attacke verhindern kann?
Im Folgenden sind die einfachsten Vorsichtsmaßnahmen aufgeführt, die jeder Benutzer ergreifen kann, um sich vor Brute Force Attacken zu schützen:
-
Längere Passwörter (über die acht Standardzeichen)
-
Kombination aus Groß- und Kleinschreibung
-
Alphanumerische Passwort-Kombination
-
Hinzufügen von Sonderzeichen
-
Einschränkung der Anmeldeversuche
-
Verwendung von CAPTCHA
-
Aktivieren der Zwei-Faktoren-Authentifizierung
Also:
Verwende leistungsstarke Sicherheitstools mit Funktionen, um Brute Force Attacken zu verhindern.
Diese Tools können einen Benutzer (Hacker) ablehnen, nachdem sie eine begrenzte Anzahl von fehlgeschlagenen Anmeldeversuchen festgelegt haben, was ihre Wirksamkeit einschränkt:
1. GoDaddy’s Website-Sicherheit
GoDaddy’s Website-Sicherheit, powered by Sucuri, ist eine leistungsstarke und dennoch einfache Lösung, um deine Website sicher zu machen und vor Malware zu schützen. Es ist ideal für Anfänger in Sachen Website-Sicherheit, um sicherzustellen, dass du eine Basislösung zum Schutz deiner Website hast. Dieses Tool kann deine Website von Distributed Denial of Service (DDoS)-Attacken, Brute Force Attacken, SQL-Injections, Cross-Site-Scripting und vielem mehr schützen.
2. Sucuri Security
Das Sucuri Security Sicherheits-Plugin für WordPress (kostenlos) bietet Sicherheitsfunktionen für Websites, einschließlich Security Activity Auditing, File Integrity Monitoring, Remote Malware Scanning, Security Hardening und Security Notifications. Die Premium-Version dieses gut bewerteten Plugins bietet auch eine Website-Firewall.
Eine weitere Möglichkeit, deine Website zu schützen ist regelmäßige Website-Backups zu planen. Ein Backup ist entscheidend für die Wiederherstellung deiner Website, nachdem ein Hacker-Angriff oder ein versehentlicher Schaden stattgefunden hat.
GoDaddy’s Website-Backup Service bietet automatisch tägliche Backups und Wiederherstellung mit einem Klick.
Abschließend
Cyberkriminalität wird immer häufiger und selbst die kleinsten Unternehmen sind nicht mehr sicher vor ihnen. Sobald du deine Website startest, bist du Ziel eines potentiellen Angriffs. Warte also nicht, um Maßnahmen zu ergreifen, wenn es schon zu spät ist – sei jetzt proaktiv.
Aus dem Englischen: Franziska Thoms
Bildnachweis: Unsplash