Brute-Force-Angriff auf Website: So einfach kann man vorbeugen

Ein sicheres Passwort macht Hackern das Leben schwerer (picjumbo.comViktor Hanáček)

Bei einem Brute-Force-Angriff versuchen Hacker ins Backend von Content-Management-Systemen wie z. B. WordPress und Joomla zu gelangen. Die letzte weltweit angelegte Angriffswelle auf WordPress-Systeme war im April 2013. Als Benutzername wird der weit verbreitete „admin“ genommen. Dann muss nur noch das Passwort herausgefunden werden. Das geschieht mit einem speziellen Programm, welches stumpf alle möglichen Passwörter ausprobiert, bis das richtige dabei ist. Dafür werden Datenbanken mit allgemein beliebten Passwörtern herangezogen oder einfach alle Wörter des Wörterbuches („Wörterbuch – Attacke“) oder häufige Vornamen ausprobiert.

Was hat der Hacker davon?

Ziel dieses Angriffes ist, Zugriff auf das System zu erhalten und Schadsoftware zu installieren. Der Server wird gekapert und kann beispielsweise missbraucht werden, um massenhaft Spammails zu verschicken oder Accounts zu stehlen.

Ein Hacker kann mit dem Angriff die Website auch lahmlegen um das Image des Betreibers zu schädigen oder finanziellen Schaden anzurichten.

Welche Konsequenzen hat das für die eigene Website?

Schon der Angriff an sich bedeutet eine große Last für den Server, auch wenn der Angreifer sich eventuell dann doch die Zähne ausbeißt: Die einzelnen Unterseiten brauchen währenddessen längere Zeit zum Laden. Das geht im schlimmsten Falle so weit, dass die Website zeitweise garnicht mehr erreichbar ist.

War der Angriff erfolgreich und werden erst einmal massenhaft Mails von der Website aus versendet, geht der Server erst recht in die Knie. Das ruft meistens auch noch den Provider auf den Plan, der die Website sperrt.

Die Freigabe erfolgt erst wieder, nachdem der Schadcode entfernt wurde. Zudem muss die Sicherheitslücke identifiziert und entfernt werden. Damit kann ein Profi stundenlang beschäftigt sein.

Ist die Website für längere Zeit infiziert, entdeckt auch Google den Schadcode und blockt die Seite. Die Besucher bekommen dann eine unheilvoll anmutende Warnmeldung: „Diese Website enthält Malware!“. Der Imageschaden ist immens und Umsatzeinbußen drohen. Zudem kann es ein bis zwei Tage dauern, bis Google die Seite nach Entfernung des Schadcodes wieder freigibt.

Einfach und effizient: Sicheres Passwort wählen

Glücklicherweise kann man solchen Angreifern mit einfachen Mitteln den Zugang zumindest erschweren. Das Wichtigste hierbei ist ein sicheres Passwort auszuwählen. Denn je länger und sicherer das Passwort, desto geringer ist die Wahrscheinlichkeit, dass es überhaupt entschlüsselt wird. Es ist zwar rein theoretisch möglich, doch dauert das viel zu lange. Das macht folgendes Rechenbeispiel deutlich:

Es wird von einem Programm ausgegangen, welches 2 Milliarden Passwörter pro Sekunde ausprobiert. Verwendet man ein Passwort mit 12 Zeichen (bestehend aus 3 Großbuchstaben, 4 Kleinbuchstaben, 3 Sonderzeichen und 2 Zahlen) würde es ca. 7,5 Millionen Jahre dauern, um dieses zu knacken – so viel Zeit hat kein Hacker.

Wie wählt man ein sicheres Passwort?

Laut Bundesamt für Sicherheit in der Informationstechnik sollte ein gutes Passwort wie folgt aufgebaut sein:

  • es sollte aus mindestens 12 Zeichen bestehen
  • Groß- und Kleinbuchstaben, Sonderzeichen (?+#%!…) und Ziffern enthalten

Das sollte man vermeiden:

  • Das Passwort sollte nicht in einem Wörterbuch zu finden sein
  • keine Passwörter wählen, die man leicht erraten könnte, wie z. B. das eigene Geburtsdatum, Namen von Familienmitgliedern, bestem Freund oder Haustieren, usw.
  • keine gängigen Tastatur- oder Wiederholungsmuster wählen, wie qwertz oder abc123
  • ein simples Passwort am Anfang oder Ende mit Sonderzeichen zu ergänzen, wie z. B. hans!, ist nicht empfehlenswert.
  • sind sie oft im Ausland unterwegs, muss beachtet werden, dass es dort evtl. keine Umlaute auf der Tastatur gibt, diese also im Zweifel weglassen.

Merktipps für ein gutes Passwort

Für ein solch langes Passwort bietet sich eine Eselsbrücke an. Beliebt ist es, einen Satz zu wählen, den man sich gut merken kann, und von jedem Wort den ersten oder letzten Buchstaben zu nehmen. Es sollte allerdings kein bekanntes Zitat o. ä. verwendet werden, auf das Angreifer wieder kommen könnten. Es ist besser sich selbst einen individuellen Satz auszudenken. Das könnte etwa so aussehen:

Jeden zweiten Samstag gehe ich mit Frau Meier am See eine Stunde lang spazieren.

Daraus wird zunächst JzSgimFMaSeSls

Nun ersetzt man einzelne Teile durch Zahlen und Sonderzeichen, so dass es für einen selbst logisch ist.

aus „zweiten“ lässt sich leicht 2. machen, aus i oder l wird die Zahl 1, aus g wird & oder 8 usw. Der Fantasie sind keine Grenzen gesetzt, solange man es sich merken kann.

Und schon hat man ein sicheres Passwort:

J2.S&1mFMaSeS1s

Es empfiehlt sich, das Passwort regelmäßig zu ändern und nicht dasselbe Passwort für mehrere Accounts zu benutzen.

Weitere Sicherheitsmaßnahmen gegen Brute-Force-Attacken

Obwohl ein sicheres Passwort der effektivste Schutz ist, gibt es weitere Methoden, die man zusätzlich oder stattdessen anwenden kann. Hier folgt eine kleine Auswahl:

  • Benutzername „admin“ oder „administrator“ vermeiden/ändern
  • Wartezeit nach vergeblichem Login-Versuch erzwingen
  • Passwortschutz auf das admin-Verzeichnis legen

Manche Maßnahmen kann man händisch vornehmen oder sich eines Plugins bedienen. Sowohl im WordPress Plugin Directory als auch im Joomla Extensions Directory gibt es genügend geeignete Erweiterungen.

In folgendem Artikel beschreibe ich, wie man eine WordPress-Installation ohne zusätzliches Plugin sicherer machen kann: WordPress absichern: 11 Tipps gegen Hackerangriffe

Fazit:

Brute-Force-Angriffe sind eine simple Trial-and-Error-Methode, um an das richtige Passwort für ein System zu gelangen. Diese Art von Angriff gibt es schon lange, sie gerät aber nicht aus der Mode, da sie allzuoft zum Erfolg führt. Das ist möglich, weil statistisch gesehen die meisten Menschen immer noch gerne unsichere Passwörter verwenden.

Es liegt in der Natur der Sache, dass man sich elend lange und unlogische Zahlen-Buchstabenkombinationen schlecht merken kann. Und obwohl man es schon hundertmal gehört oder gelesen hat, dass man ein sicheres Passwort wählen soll, fällt es einem schwer, es zu befolgen.

Dennoch sollte man ein sicheres Passwort wählen: Der Aufwand, um eine gehackte Seite wiederherzustellen, kann immens sein. Um Sicherheitslücken vorzubeugen sollte man zudem das Content-Management-System und die evtl. vorhandenen Plugins aktuell halten.