Daniel Petri | Senior Schulungsleiter

Angriffe zum Erraten von Passwörtern sind eine kritische Bedrohung für die Cybersicherheit. Active Directory (AD)-Umgebungen sind besonders anfällig, da ein einziges kompromittiertes Konto zu einer weitreichenden Netzwerkinfiltration führen kann. Die Folgen von Angriffen zum Erraten von Passwörtern können daher weitreichend und schwerwiegend sein und zu Datenschutzverletzungen, Netzwerkkompromittierungen und erheblichen Betriebsunterbrechungen führen. Privilegierte Konten bedürfen besonderer Aufmerksamkeit, da sie erhöhte Zugriffsrechte haben und im Falle einer Kompromittierung großen Schaden anrichten können. Hier erfahren Sie, was Sie über das Erraten von Passwörtern wissen müssen und wie Sie Active Directory und Ihr Unternehmen schützen können.

Was ist ein Angriff zum Erraten von Passwörtern?

Angriffe, bei denen Passwörter erraten werden, sind eine Form des Cyberangriffs, bei dem Angreifer systematisch eine Vielzahl von Passwörtern ausprobieren, um sich unbefugten Zugang zu Systemen zu verschaffen. Diese Angriffe nutzen das schwächste Glied der Sicherheit aus: von Menschen gewählte Passwörter. Trotz der Fortschritte im Bereich der Cybersicherheit sind Systeme, die sich auf Passwörter als primären Authentifizierungsmechanismus verlassen, von Natur aus anfällig für diese Art von Angriffen.

Angriffe zum Erraten von Passwörtern nutzen mehrere Arten von Schwachstellen in Active Directory-Umgebungen aus. Die Identifizierung und Behebung dieser Schwachstellen ist entscheidend für die Eindämmung des Risikos solcher Angriffe. Zu den wichtigsten verwundbaren Zielen gehören:

  • Benutzerkonten mit Standardpasswörtern oder häufig verwendeten Passwörtern. Benutzerkonten, die mit voreingestellten, gängigen oder leicht zu erratenden Passwörtern eingerichtet sind, stellen ein hohes Risiko dar. Zu diesen Konten gehören auch solche, die mit einem Standard-Anfangskennwort eingerichtet wurden, das nie geändert wurde.
  • Schwache Passwortrichtlinien. Konten, insbesondere solche mit erhöhten Rechten, für die keine strengen Kennwortrichtlinien gelten, sind einem erheblichen Risiko ausgesetzt. Sowohl das NIST als auch Microsoft empfehlen inzwischen eine Mindestlänge von 8 Zeichen und die Abschaffung der regelmäßigen Zurücksetzung von Kennwörtern für Benutzerkonten, neben anderen bewährten Verfahren. Schwache Passwortrichtlinien erlauben kürzere, einfachere oder vorhersehbare Passwörter und können das Risiko erfolgreicher Passwort-Ratespiel-Angriffe erheblich erhöhen. Leider setzen nur wenige AD-Umgebungen die übliche Ablehnung von Passwörtern durch.
  • Dienstkonten. Dienstkonten haben oft hohe Berechtigungen und werden verwendet, um Anwendungen, Prozesse oder Dienste innerhalb des Netzwerks auszuführen. Die Kompromittierung eines Dienstkontos kann weitreichende Folgen haben, da Angreifer die Berechtigungen des Kontos ausnutzen können, um auf wichtige Dienste und Prozesse zuzugreifen oder diese zu stören.

Die Effektivität von Angriffen zum Erraten von Passwörtern wird verstärkt, wenn bewährte Verfahren für die Passwortsicherheit nicht strikt befolgt werden - insbesondere bei administrativen Konten.

Arten von Angriffen zum Erraten von Passwörtern

Angriffe zum Erraten von Passwörtern gibt es in verschiedenen Formen, jede mit einzigartigen Eigenschaften.

Brute-Force-Angriffe

Bei Brute-Force-Angriffen werden alle möglichen Passwortkombinationen ausprobiert. Obwohl diese Angriffe zeit- und ressourcenintensiv sind, sind sie überraschend effektiv gegen Konten mit einfachen oder kurzen Passwörtern.

  • Die geschätzte Zeit, um ein kurzes (d.h. 6 oder weniger Zeichen), nur aus dem Alphabet bestehendes Passwort zu erzwingen, kann bis zu 5 Minuten betragen.
  • Das Knacken alphanumerischer Kombinationen, die sowohl Groß- als auch Kleinbuchstaben enthalten, kann etwa 5 Stunden dauern.
  • Komplexe alphanumerische Kombinationen, die Sonderzeichen enthalten, können etwa 8 Tage zum Knacken benötigen.

Eine Erhöhung der Passwortlänge auf 10 oder mehr Zeichen verringert die Wahrscheinlichkeit eines erfolgreichen Brute-Force-Angriffs erheblich und macht ihn ohne den Einsatz von spezieller Hardware realistisch gesehen unmöglich.

Wörterbuch- und Passwort-Spraying-Angriffe

Bei Passwort-Spraying-Angriffen und Wörterbuchangriffen verwenden die Angreifer eine Liste gängiger Passwörter und Phrasen. Diese Listen enthalten oft Variationen und häufig verwendete Ersetzungen und nutzen die Tendenz der Benutzer aus, Passwörter zu erstellen, die leicht zu merken sind.

  • Wenn es sich bei einem 6-Zeichen-Passwort um ein gängiges Wort oder eine einfache Variante handelt, kann ein Wörterbuchangriff sehr schnell sein und möglicherweise nur Minuten oder Stunden dauern. Wenn das Passwort jedoch nicht im Wörterbuch steht oder komplexer ist (z.B. eine zufällige Kombination von Zeichen), ist der Wörterbuchangriff möglicherweise gar nicht erfolgreich.
  • Die Wahrscheinlichkeit, dass ein Wörterbuchangriff erfolgreich ist, sinkt mit einem 10-Zeichen-Passwort noch weiter, insbesondere wenn es sich bei dem Passwort um ein kompliziertes oder ungewöhnliches Wort oder eine Phrase handelt. Handelt es sich bei dem Kennwort um eine gebräuchliche Phrase oder eine Wortkombination, ist der Angriff zwar möglich, dauert aber in der Regel länger als bei einem 6-Zeichen-Kennwort.

Ausweisstopfung

Beim Credential Stuffing werden bekannte Paare von Benutzernamen und Passwörtern verwendet , die aus früheren Datenverletzungen stammen . Dieser Angriff ist besonders effektiv, da Passwörter häufig in verschiedenen Systemen und Diensten wiederverwendet werden.

Risiken eines Passwort-Ratespiels

Angriffe zum Erraten von Passwörtern bergen zahlreiche Risiken und können in Active Directory-Umgebungen weitreichende Folgen haben. Das Hauptrisiko ist der unbefugte Zugriff, der zu einer Kaskade von schädlichen Ereignissen führen kann:

  • Datenverletzungen. Erfolgreiche Angriffe zum Erraten von Passwörtern führen häufig zu Datenschutzverletzungen, die Angreifern Zugang zu sensiblen Informationen wie persönlichen Daten, Finanzunterlagen und geistigem Eigentum verschaffen. Dieser Zugriff schadet nicht nur der Integrität des Unternehmens, sondern kann auch rechtliche und finanzielle Folgen haben.
  • Seitliche Bewegung. Sobald sie in das Netzwerk eingedrungen sind, können Angreifer kompromittierte Anmeldeinformationen verwenden, um sich seitlich über Systeme hinweg zu bewegen. Durch seitliche Bewegungen können Angreifer auf andere Konten, Server oder Datenbanken zugreifen, die vom ursprünglichen Eintrittspunkt aus nicht direkt erreichbar sind. Seitliche Bewegungen sind in AD-Umgebungen besonders gefährlich, da die Netzwerkressourcen miteinander verbunden sind.
  • Privilegienerweiterung. Angreifer können schwache Passwörter ausnutzen, um höhere Privilegien innerhalb des Netzwerks zu erlangen. Dies kann die Kompromittierung von Konten mit administrativen Rechten oder die Eskalation von Rechten eines Kontos auf niedrigerer Ebene beinhalten. Die Privilegienerweiterung kann dazu führen, dass Angreifer die vollständige Kontrolle über das Netzwerk und seine Ressourcen erlangen.
  • Hartnäckigkeit der Bedrohung. Angreifer versuchen oft, sich einen dauerhaften Zugang zum Netzwerk zu verschaffen, so dass sie nach Belieben zurückkehren können. Sie erreichen dieses Ziel, indem sie Hintertüren schaffen, Malware einschleusen oder andere Schwachstellen ausnutzen. Die Persistenz von Bedrohungen in AD-Umgebungen kann ohne die richtigen Tools schwer zu erkennen und zu beseitigen sein.
  • Unterbrechung des Betriebs. Unbefugter Zugriff kann den Geschäftsbetrieb stören, was zu Ausfallzeiten, Produktivitätsverlusten und einer möglichen Schädigung des Rufs des Unternehmens führt.
  • Verstöße gegen Vorschriften. In vielen Branchen und Ländern gibt es Vorschriften und Standards für Datenschutz und Privatsphäre. Angriffe zum Erraten von Passwörtern, die zu Datenschutzverletzungen führen, können zur Nichteinhaltung von Vorschriften führen und Geldstrafen und rechtliche Konsequenzen nach sich ziehen.

Bei realen Vorfällen machen sich Angreifer häufig kurze oder gängige Passwörter zunutze. So kam es beispielsweise zu zahlreichen Datenschutzverletzungen, weil Angreifer in der Lage waren, einfache Passwörter von Mitarbeitern oder Administratoren zu erraten oder zu knacken. In einigen Fällen haben Angreifer kompromittierte Anmeldedaten verwendet, um Ransomware zu installieren, was zu erheblichen betrieblichen und finanziellen Schäden geführt hat.

Wie man Angriffe zum Erraten von Passwörtern erkennt

Die wirksame Erkennung von Angriffen zum Erraten von Passwörtern in Active Directory-Umgebungen erfordert einen vielschichtigen Ansatz, der Überwachung, Analyse und den Einsatz fortschrittlicher Sicherheitstools kombiniert. Zu den wichtigsten Strategien gehören:

  • Überwachung der Anmeldeversuche. Einer der Hauptindikatoren für einen Angriff zum Erraten von Passwörtern ist eine ungewöhnlich hohe Anzahl von fehlgeschlagenen Anmeldeversuchen. Überwachungssysteme sollten so konfiguriert werden, dass sie Administratoren bei übermäßig vielen fehlgeschlagenen Anmeldungen alarmieren, insbesondere wenn diese in schneller Folge oder zu ungewöhnlichen Zeiten auftreten.
  • Analysieren der Anmeldemuster. Neben dem Umfang der Anmeldeversuche ist es wichtig, die Muster dieser Versuche zu analysieren. Dazu gehört die Bewertung von Anmeldeversuchen von ungewöhnlichen Orten aus, von Anmeldungen zu untypischen Zeiten und von Anmeldungen bei hochwertigen oder sensiblen Konten. Eine solche Analyse kann raffiniertere Versuche zum Erraten von Passwörtern oder Fälle aufdecken, in denen Angreifer möglicherweise gestohlene Anmeldedaten verwenden.
  • Analyse der Protokolldateien. Protokolle können detaillierte Informationen über Authentifizierungsversuche liefern, einschließlich Quell-IP-Adressen, Zeitstempel und Details zum Benutzerkonto. Die Analyse dieser Protokolle kann dazu beitragen, mögliche Aktivitäten zum Erraten von Passwörtern und andere verdächtige Verhaltensweisen zu erkennen. Seien Sie sich jedoch bewusst, dass viele Angriffe geschickt darin sind, die protokollbasierte Erkennung zu umgehen.
  • Tools für die Netzwerksicherheit. Verwenden Sie Netzwerksicherheitstools wie Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) und Security Information and Event Management (SIEM) Lösungen. Diese Tools können den Netzwerkverkehr und die Protokolldaten in Echtzeit analysieren und dabei helfen, potenzielle Angriffe zum Erraten von Passwörtern zu erkennen und zu melden - auch wenn sie bestimmte Bedrohungen möglicherweise nicht erkennen.
  • Kontospezifische Überwachung. Achten Sie besonders auf Konten, die als hochwertige Ziele bekannt sind, wie z.B. Domain Admin-Konten.
  • Endpunkt-Schutz. Implementieren Sie Lösungen zum Schutz von Endgeräten, die verdächtige Aktivitäten auf einzelnen Workstations und Servern erkennen und melden können. Dazu gehört auch die Überwachung von ungewöhnlichen Prozessen oder Anwendungen, die auf ein kompromittiertes Konto hindeuten könnten.

Wie Sie Angriffe zum Erraten von Passwörtern entschärfen können

Die Abwehr von Angriffen zum Erraten von Passwörtern in Active Directory-Umgebungen erfordert einen umfassenden Ansatz, der die Durchsetzung von Richtlinien, die Schulung von Benutzern und technische Kontrollen umfasst.

Implementieren Sie Multifaktor-Authentifizierung und Richtlinien zur Kontosperrung

Die Multifaktor-Authentifizierung (MFA) fügt eine zusätzliche Sicherheitsebene hinzu, indem sie neben dem Passwort eine zweite Form der Verifizierung verlangt. Dies kann das Risiko eines unbefugten Zugriffs erheblich verringern, selbst wenn ein Passwort kompromittiert wurde.

Richtlinien zur Kontosperrung sperren ein Konto vorübergehend nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen. Dies kann helfen, Brute-Force-Angriffe zu verhindern, indem die Anzahl der Versuche, die ein Angreifer innerhalb eines bestimmten Zeitraums unternehmen kann, begrenzt wird.

Befolgen Sie die aktuellen Richtlinien zur Passwortsicherheit

Die Einhaltung von Richtlinien, die von Agenturen wie NIST aufgestellt wurden, kann die Passwortsicherheit verbessern. Dazu gehört auch die Anwendung fein abgestufter Passwortrichtlinien (Fine-Grained Password Policies, FGPP) in AD, mit denen Sie unterschiedliche Passwortrichtlinien auf verschiedene Benutzergruppen anwenden können, um sicherzustellen, dass privilegierte Konten strengeren Anforderungen unterliegen. Alle großen Anbieter von Passwort-Managern enthalten Generatoren, die Sie dabei unterstützen.

Erzwingen Sie solide Passwortrichtlinien

Die Richtlinien sollten die Verwendung von komplexen Passwörtern oder Passphrasen vorschreiben, die den Best-Practice-Richtlinien entsprechen. Die Mindestlänge der Passwörter sollte idealerweise mehr als die üblichen 8 Zeichen betragen, da längere Passwörter das Erraten von Passwörtern erheblich erschweren.

Passphrasen sind eine noch bessere Option. Diese sind in der Regel länger und können sowohl sicherer als auch leichter zu merken sein, wodurch die Wahrscheinlichkeit der Wiederverwendung von Passwörtern oder einfacher, erratbarer Passwörter sinkt. Die Verwendung einer Passphrase anstelle eines langen, komplexen und schwer zu merkenden Kennworts wird aus mehreren Gründen empfohlen, wobei es vor allem um das Gleichgewicht zwischen Sicherheit und Merkbarkeit geht.

Aber es müssen Maßnahmen ergriffen werden, um solche Richtlinien durchzusetzen. Ziehen Sie zum Beispiel in Erwägung, gängige Passwörter zu verbieten. Für Umgebungen, die Entra ID enthalten, bietet Microsoft Entra Password Protection Unterstützung bei solchen Schritten. Auch Active Directory-Kennwortfilter von Drittanbietern helfen Ihnen dabei, häufig verwendete (und daher häufig erratene) Kennwörter zu verbieten.

Benutzer aufklären und schulen

Führen Sie regelmäßige Schulungen und Sensibilisierungsprogramme für alle Benutzer durch, auch für diejenigen mit privilegiertem Zugang. Klären Sie sie über die Bedeutung der Passwortsicherheit, die Risiken schwacher Passwörter und die besten Methoden zur Erstellung starker, einprägsamer Passwörter oder Passphrasen auf.

Sicheres Active Directory und Entra ID

Um Angriffe zum Erraten von Passwörtern in AD-Umgebungen wirksam zu bekämpfen, müssen Administratoren und Cybersicherheitsexperten eine Reihe von proaktiven Maßnahmen ergreifen. Zu den wichtigsten Schritten gehören:

  • Führen Sie regelmäßige Überprüfungen der Benutzerkonten und -rechte durch. Stellen Sie sicher, dass Konten, insbesondere Konten mit erhöhten Privilegien, nur den für ihre Rolle erforderlichen Zugriff erhalten und dass alle unnötigen Berechtigungen widerrufen werden. Das kostenlose Tool Purple Knight von Semperis ist eine schnelle und einfache Möglichkeit, übermäßige Privilegien aufzuspüren, und enthält Sicherheitsindikatoren, um privilegierte Benutzer mit schwachen Passwortrichtlinien und anderen riskanten passwortbezogenen Konfigurationen zu erkennen.
  • Automatisieren Sie Überwachung und Rollback. Achten Sie auf Anzeichen für Angriffe zum Erraten von Passwörtern, wie z.B. mehrere fehlgeschlagene Anmeldeversuche, Anmeldeversuche von ungewöhnlichen Orten aus oder untypische Zugriffsmuster. Idealerweise verwenden Sie ein Tool, das heimliche Angriffe und Angriffsmuster in AD und Entra ID erkennen kann und die Möglichkeit bietet, Warnungen und Benachrichtigungen einzurichten oder sogar riskante Änderungen an Active Directory zurückzunehmen, bis Sie bestätigen können, dass sie legitim sind.
  • Planen Sie eine effektive Reaktion auf Vorfälle. Entwickeln und pflegen Sie einen Plan für die Reaktion auf Vorfälle, der Verfahren für die Reaktion auf vermutete Angriffe zum Erraten von Passwörtern enthält. Dieser Plan sollte Schritte zur Eindämmung, Auslöschung, Wiederherstellung und forensischen Untersuchung der Identität nach einem Vorfall enthalten.

Semperis Schnappschuss

Angriffe zum Erraten von Passwörtern in AD-Umgebungen nutzen Fehlkonfigurationen und schwache Passwörter aus, was zu erheblichen Sicherheitslücken führen kann und die Möglichkeit bietet, sich seitlich zu bewegen und seine Rechte zu erweitern. Um sich vor diesen Angriffen zu schützen, ist es wichtig, diese Risiken zu verstehen und gezielte Erkennungs- und Eindämmungsstrategien zu implementieren.

Active Directory-Administratoren und Cybersicherheitsspezialisten müssen wachsam bleiben und ihre Netzwerke proaktiv vor diesen allgegenwärtigen Bedrohungen schützen. Durch die Implementierung von Abhilfestrategien können Unternehmen das Risiko von Angriffen zum Erraten von Passwörtern erheblich reduzieren und die allgemeine Sicherheit ihrer AD-Umgebungen verbessern.