Passwort-Spraying – ein Sicherheitsrisiko für Unternehmen

Cyberkriminelle setzen eine Vielzahl von Techniken ein, um an wertvolle Daten zu gelangen. Ein besonders besorgniserregendes Verfahren, das Unternehmen keinesfalls ignorieren sollten, ist das sogenannte Passwort-Spraying. In diesem Blogbeitrag möchten wir Ihnen erklären, was Passwort-Spraying genau ist und wie Sie Ihre Organisation effektiv davor schützen können.

Was ist Passwort-Spraying?

Passwort-Spraying ist eine Brute-Force-Angriffstechnik. Im Gegensatz zu herkömmlichen Brute-Force-Angriffen, bei denen eine Vielzahl von Passwörtern auf ein einzelnes Konto angewendet wird, wird beim Passwort-Spraying ein Passwort über mehrere Konten getestet. Dies hilft, die automatische Sperrung von Konten nach mehreren falschen Anmeldeversuchen zu umgehen. Solche Angriffe sind oft erfolgreich, da viele Benutzer einfache Passwörter wie „passwort“ oder „123456“ wählen.

Ein charakteristisches Merkmal von Passwort-Spraying ist, wie der Begriff „versprühen“ schon andeutet, der gleichzeitige Angriff auf Tausende oder gar Millionen von Benutzerkonten. Dies geschieht typischerweise automatisiert und kann über einen längeren Zeitraum unbemerkt bleiben.

Der typische Ablauf einer Passwort-Spraying-Attacke

Passwort-Spraying-Angriffe gliedern sich in der Regel in folgende Phasen:

Phase 1: Erwerb oder Erstellung von Benutzerlisten

Zunächst beschaffen sich Cyberkriminelle Listen von Benutzernamen, die sie entweder kaufen oder selbst erstellen. Diese Listen enthalten häufig Benutzernamen, die aus Datenlecks verschiedener Organisationen stammen. Im Darknet werden schätzungsweise über 15 Milliarden Zugangsdaten zum Verkauf angeboten. Alternativ sammeln manche Angreifer Informationen über Mitarbeiter großer Unternehmen, beispielsweise von LinkedIn oder anderen öffentlichen Quellen, und leiten daraus E-Mail-Adressen ab, wie etwa vorname.nachname@unternehmensname.com. Besonders interessant sind dabei bestimmte Mitarbeitergruppen wie die Finanzabteilung, Administratoren oder die Unternehmensführung, vor allem wenn die Unternehmen Single Sign-On oder föderierte Authentifizierungsprotokolle nutzen und keine Multifaktor-Authentifizierung einsetzen.

Phase 2: Zusammenstellung einer Liste mit häufig genutzten Passwörtern

In diesem Schritt sammeln die Angreifer Passwörter, die häufig verwendet oder als Standardpasswörter genutzt werden. Diese Informationen finden sie in verschiedenen Berichten, Studien oder sogar auf Wikipedia, wo eine Liste der 10.000 am häufigsten verwendeten Passwörter zu finden ist. Einige Angreifer führen eigene Recherchen durch, um regionale oder thematisch relevante Passwörter zu identifizieren, etwa Namen von beliebten Sportvereinen oder lokalen Sehenswürdigkeiten.

Phase 3: Testen von Benutzername-Passwort-Kombinationen

Mit den vorbereiteten Listen versuchen die Angreifer anschließend, gültige Kombinationen zu finden. Hierbei setzen sie automatisierte Passwort-Spraying-Tools ein, die dasselbe Passwort mit mehreren Benutzernamen ausprobieren, bevor sie zum nächsten Passwort übergehen. Dieser Prozess wird wiederholt, um Sicherheitsmaßnahmen wie IP-Sperren oder Begrenzungen der Anmeldeversuche zu umgehen.

Passwort-Spraying – das sind die denkbaren Folgen

Die Folgen erfolgreicher Passwort-Spraying-Angriffe für Unternehmen sind gravierend. Angreifer könnten beispielsweise mit gestohlenen Anmeldedaten Zugriff auf Finanzkonten erhalten und auf Kosten des Unternehmens Einkäufe tätigen. Ein unentdeckter Hack kann zu erheblichen finanziellen Verlusten führen, und die Behebung der Schäden kann Monate in Anspruch nehmen.

Passwort-Spraying kann zudem über finanzielle Verluste hinausgehen und das tägliche Geschäft beeinträchtigen oder stören. Angreifer könnten schädliche E-Mails im Unternehmen verbreiten, was die Produktivität mindert, oder sie könnten Geschäftskonten übernehmen, um private Daten zu stehlen, Bestellungen zu stornieren oder Termine für die Bereitstellung von Dienstleistungen zu verschieben.

Ein Sicherheitsvorfall dieser Art kann das Vertrauen der Kunden stark erschüttern. Die Kunden könnten sich infolgedessen von dem Unternehmen abwenden, was zusätzliche finanzielle Einbußen zur Folge hat.

Wie Sie Passwort-Spraying-Angriffe abwehren können

Unternehmen können verschiedene Vorsichtsmaßnahmen ergreifen, um sich vor Passwort-Spraying-Angriffen zu schützen:

1. Einführung einer Richtlinie für sichere Passwörter: IT-Teams sollten die Nutzung sicherer Passwörter verpflichtend machen, um das Risiko solcher Angriffe zu minimieren. Anleitungen zur Erstellung sicherer Passwörter bieten hier wertvolle Unterstützung.
2. Einrichten einer Anmeldeerkennung: Es ist ratsam, Tools zu implementieren, die erkennen, wenn von einem einzigen Host aus innerhalb kurzer Zeit Anmeldeversuche bei mehreren Konten stattfinden, was ein deutliches Indiz für Passwort-Spraying sein kann.
3. Einführung strenger Zugangssperren: Durch das Festlegen angemessener Schwellenwerte für die Sperrung von Zugängen auf Domänenebene können Angriffe effektiv gebremst werden. Diese Schwellenwerte sollten so gewählt sein, dass sie Mehrfachanmeldungen innerhalb eines bestimmten Zeitraums verhindern, ohne legitime Nutzer unnötig zu behindern. Ein klar definiertes Verfahren für das Entsperren und Zurücksetzen von Konten ist ebenfalls essenziell.
4. Umsetzung des Zero-Trust-Prinzips: Dieses Prinzip besagt, dass Zugang nur zu den Ressourcen gewährt wird, die für die aktuelle Aufgabe unbedingt benötigt werden, was die Netzwerksicherheit maßgeblich stärkt.
5. Verwendung nicht standardisierter Benutzernamen: Um es Angreifern schwerer zu machen, sollten offensichtliche Benutzernamen, die auf gängigen Konventionen beruhen, nur für E-Mail-Adressen genutzt werden. Für Single Sign-On-Konten empfiehlt sich die Verwendung von nicht standardisierten Anmeldenamen.
6. Verwendung biometrischer Daten: Viele Unternehmen setzen zunehmend auf biometrische Anmeldeverfahren, da diese die Schwächen herkömmlicher alphanumerischer Passwörter umgehen. Ohne physische Anwesenheit der Person ist eine Anmeldung für Angreifer unmöglich.
7. Frühzeitiges Erkennen von Mustern: Die Implementierung von Maßnahmen, die es ermöglichen, verdächtige Anmeldemuster, wie gleichzeitige Anmeldeversuche zahlreicher Konten, schnell zu erkennen, ist ebenfalls eine effektive Schutzmaßnahme.

Passwort-Manager – eine praktische Hilfe

Passwörter spielen eine zentrale Rolle beim Schutz vertraulicher Informationen vor unerwünschten Zugriffen. Angesichts der Vielzahl an Passwörtern, die jeder von uns heutzutage verwalten muss, fällt es jedoch schwer, den Überblick zu behalten, insbesondere wenn jedes Passwort einzigartig sein soll.

Ein häufiges Problem ist, dass einige Nutzer zu einfachen oder offensichtlichen Passwörtern greifen oder dasselbe Passwort für mehrere Konten verwenden, gerade weil sie den Überblick bewahren wollen. Diese Passwörter sind allerdings besonders anfällig für Passwort-Spraying-Angriffe.

Die Methoden und Werkzeuge, die Angreifer nutzen, haben sich über die Jahre stark weiterentwickelt. Moderne Computer können Passwörter wesentlich schneller durchprobieren, unterstützt durch fortgeschrittene Automatisierungstechniken, um Passwortdatenbanken oder Online-Accounts anzugreifen. Die Angreifer verfeinern kontinuierlich ihre Techniken, was ihre Erfolgschancen erhöht.

Für Einzelpersonen kann der Einsatz eines Passwort-Managers eine effektive Lösung sein. Passwort-Manager generieren komplexe und lange Passwörter, die schwer zu knacken sind. Nutzer müssen sich nicht mehr zahlreiche Zugangsdaten merken, und der Passwort-Manager prüft zudem, ob ein Passwort bei verschiedenen Diensten mehrfach verwendet wird. Auf diese Weise unterstützen sie Benutzer effektiv bei der Erstellung, Verwaltung und Sicherung ihrer individuellen Anmeldedaten.