Was versteht man unter Passwort-Spraying? So verhindern Sie Passwort-Spraying-Angriffe

Was versteht man unter einem Passwort-Spraying-Angriff?

Passwort-Spraying ist eine Art von Brute-Force-Angriff, bei dem ein Schadakteur versucht, mit demselben Passwort auf mehrere Konten zuzugreifen, bevor er zum nächsten übergeht. Passwort-Spraying-Angriffe sind häufig von Erfolg gekrönt, weil viele Nutzer einfache und leicht zu erratende Passwörter wie „passwort“ oder „123456“ usw. verwenden.

Viele Unternehmen sperren Nutzer nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen. Da aber beim Passwort-Spraying-Angriffen ein Passwort an mehreren Konten ausprobiert wird, umgeht man das Problem der Kontosperrung, im Gegensatz zu einem Brute-Force-Angriff, bei dem ein einzelnes Konto mit einer ganzen Liste von Passwörtern bombardiert wird.

Ein besonderes Merkmal des Passwort-Spraying, wie der englische Begriff für „versprühen“ schon nahelegt, besteht darin, dass nicht nur ein Konto, sondern Tausende oder sogar Millionen verschiedener Nutzer auf einmal angegriffen werden. Der gesamte Prozess läuft in der Regel automatisiert ab und kann lange Zeit unentdeckt vor sich gehen.

Passwort-Spraying-Angriffe sind häufig in Unternehmen erfolgreich, wo ein Programm oder Administrator ein Standardpasswort an neue Nutzer vergibt. Auch Single Sign-On und Cloud-basierte Plattformen sind in besonderem Maße gefährdet.

Auch wenn Passwort-Spraying im Vergleich zu anderen Arten von Cyberangriffen relativ simpel gestrickt ist, setzen auch hochentwickelte Gruppen von Cyberkriminellen es immer wieder gerne ein. So warnte die US-Behörde für Cybersecurity und Infrastruktursicherheit im Jahr 2022 vor staatlich geförderten Cyberakteuren, die mit unterschiedlichen Taktiken arbeiten, um sich gezielt Zugang zu bestimmten Netzwerken zu verschaffen – unter anderem mithilfe von Passwort-Spraying.

Wie funktioniert ein Passwort-Spraying-Angriff?

Passwort-Spraying-Angriffe bestehen in der Regel aus den folgenden Phasen:

Schritt 1: Cyberkriminelle kaufen eine Liste von Benutzernamen oder erstellen eine eigene Liste

Vor dem eigentlichen Angriff kaufen Cyberkriminelle zunächst einmal Listen mit Benutzernamen, die bei verschiedenen Organisationen entwendet wurden. Schätzungen zufolge werden mehr als 15 Milliarden Zugangsdaten im Darknet zum Kauf angeboten.

Andere Cyberkriminelle nutzen Listen von Mitarbeitern großer Konzerne, die sie über LinkedIn oder aus anderen öffentlich zugänglichen Quellen beziehen, und stellen sich anhand der dort üblichen E-Mail-Adressformate eigene Listen zusammen – zum Beispiel vorname.nachname@namedesunternehmens.com.

Manchmal haben sie es dabei auf bestimmte Mitarbeitergruppen wie Finanzen, Administratoren oder die oberste Führungsebene abgesehen, da eine solche gezielte Vorgehensweise bessere Ergebnisse verspricht. Ziel der Aktivitäten sind häufig Unternehmen oder Abteilungen, die Single Sign-On (SSO) oder föderierte Authentifizierungsprotokolle verwenden – also beispielsweise die Möglichkeit, sich mit den eigenen Google-Anmeldedaten bei Facebook anzumelden – oder keine Multifaktor-Authentifizierung implementiert haben.

Schritt 2: Cyberkriminelle beschaffen sich eine Liste gängiger Passwörter

Bei einem Passwort-Spraying-Angriff kommen Listen von häufig verwendeten oder Standardpasswörtern zum Einsatz. Welche Passwörter das sind, lässt sich leicht herausfinden. Sie werden in unterschiedlichen Berichten oder Studien jedes Jahr veröffentlicht, und sogar auf Wikipedia gibt es eine Seite mit den 10.000 am häufigsten verwendeten Passwörtern. Ansonsten stellen manche Cyberkriminellen auch eigene Nachforschungen an, um Passwörter zu erraten, z. B. über die Namen von populären Sportclubs oder markanten Sehenswürdigkeiten in der Nähe des ins Visier genommenen Unternehmens.

Schritt 3: Cyberkriminelle probieren verschiedene Kombinationen aus Benutzername und Passwort aus

Sobald die Liste von Benutzernamen und Passwörtern erstellt ist, besteht im nächsten Schritt das Ziel darin, eine Kombination zu finden, die funktioniert. Dies geschieht meist über entsprechende automatisierte Tools zum Passwort-Spraying. Die Cyberkriminellen probieren dasselbe Passwort mit zahlreichen Benutzernamen durch und wiederholen diesen Vorgang mit jedem nachfolgenden Passwort auf ihrer Liste, damit sie nicht an Zugangssperren oder Sperrmechanismen für IP-Adressen scheitern, die die Zahl der Anmeldeversuche begrenzen.

Auswirkungen von Passwort-Spraying-Angriffen

Nachdem es den Angreifern gelungen ist, über das Passwort-Spraying in ein Konto einzudringen, hoffen sie, dort wertvolle Informationen zu finden, die sie entwenden können, oder dass das Konto über ausreichende Berechtigungen verfügt, um die Sicherheitsmaßnahmen des Unternehmens weiter zu schwächen und sich Zugang zu noch vertraulicheren Daten zu verschaffen.

Erfolgreiche Passwort-Spraying-Angriffe können Unternehmen erheblich schaden. Beispielsweise kann ein Angreifer mit scheinbar legitimen Anmeldedaten auf Finanzkonten zugreifen, um auf Kosten der Unternehmen auf Einkaufstour zu gehen. Bleibt der Hack unentdeckt, kann er für das betroffene Unternehmen zu einer erheblichen finanziellen Belastung werden. Die Auswirkungen anschließend zu beheben, kann sich über Monate oder länger hinziehen.

Passwort-Spraying betrifft unter Umständen auch nicht nur die Finanzen eines Unternehmens, sondern kann auch das Tagesgeschäft ausbremsen oder empfindlich stören. Schädliche im ganzen Unternehmen verbreitete E-Mails können die Produktivität senken. Bei Übernahme eines Geschäftskontos durch einen Angreifer könnten private Daten gestohlen, Wareneinkäufe storniert oder das Bereitstellungsdatum für Dienstleistungen verändert werden.

Und dann ist da noch der Imageschaden. Wenn ein Unternehmen auf diese Weise unterlaufen wird, verliert es auch das Vertrauen der Kundschaft, dass ihre Daten bei diesem Unternehmen sicher sind. Diese könnte sich in der Folge von dem Unternehmen abwenden, was zusätzlichen Schaden verursacht.

Beispiel für einen Passwort-Spraying-Angriff

„Ich wurde aufgefordert, mein Passwort zu ändern, als meine Bank Ziel eines Passwort-Spraying-Angriffs war. Schadakteuren war es gelungen, Millionen von Kombinationen aus Benutzername und Passwort an Kunden der Bank auszuprobieren – und ich war leider einer von ihnen."

Passwort-Spraying vs. Brute-Force

Bei einem Passwort-Spraying-Angriff wird versucht, mit einigen wenigen, häufig verwendeten Passwörtern auf eine große Anzahl von Konten zuzugreifen. Im Gegensatz dazu geht es bei Brute-Force-Angriffen darum, sich durch Erraten des Passworts Zugang zu einem einzelnen Konto zu verschaffen, oft unter Verwendung langer Listen von möglichen Passwörtern.

Anders gesagt: Bei Brute-Force-Angriffen werden viele Passwörter an einem einzelnen Benutzernamen durchprobiert. Beim Passwort-Spraying werden viele Benutzernamen mit einem einzelnen Passwort kombiniert. In beiden Fällen handelt es sich um unterschiedliche Arten von Authentifizierungsangriffen.

Anzeichen für einen Passwort-Spraying-Angriff

Im Verlauf eines Passwort-Spraying-Angriffs kommt an einer großen Zahl von Konten immer wieder zu fehlgeschlagenen Anmeldeversuchen. Unternehmen können Passwort-Spraying-Aktivitäten feststellen, indem sie ihre Anmeldeprotokolle auf eine Häufung von fehlgeschlagenen System- und Programmanmeldungen durch gültige Konten prüfen.

Hier die wichtigsten Anzeichen für einen Passwort-Spraying-Angriff:

• Ein hohes Aufkommen von Anmeldeaktivitäten innerhalb kurzer Zeit.
• Ein unvermittelter Anstieg in der Zahl der fehlgeschlagenen Anmeldeversuche durch aktive Benutzer.
• Anmeldeversuche durch nicht existierende oder inaktive Konten.

So wehren Sie einen Passwort-Spraying-Angriff ab

Mit den folgenden Vorsichtsmaßnahmen können sich Unternehmen vor Passwort-Spraying-Angriffen schützen:

Einführung einer Richtlinie für sichere Passwörter

IT-Teams können das Risiko von Passwort-Spraying-Angriffen minimieren, indem sie die Verwendung sicherer Passwörter zur Pflicht machen. Wie sichere Passwort erstellt werden, erfahren Sie hier.

Einrichten einer Anmeldeerkennung

IT-Teams sollten außerdem Tools einrichten, die erkennen, wenn innerhalb eines kurzen Zeitraums Anmeldeversuche bei mehreren Konten und von einem einzigen Host aus erfolgen – ein eindeutiger Hinweis auf einen Passwort-Spraying-Versuch.

Einführung strenger Zugangssperren

Ein weiterer Schutzmechanismus vor Passwort-Spraying besteht darin, geeignete Schwellenwerte für die Sperrung von Zugängen auf Domänenebene festzulegen. Der Schwellenwert muss so niedrig sein, dass er Angreifer daran hindert, innerhalb des Sperrzeitraums mehrere Anmeldeversuche zu unternehmen, darf aber nicht so niedrig sein, dass berechtigte Nutzer aufgrund einfacher Fehler aus ihren Konten ausgesperrt werden. Außerdem sollte es ein klares Verfahren für das Entsperren und Zurücksetzen von verifizierten Konten geben.

Umsetzung des Zero-Trust-Prinzips

Eine Prämisse des Zero-Trust- oder Null-Vertrauen-Prinzips sieht vor, dass nur das zugänglich gemacht wird, was zu einem bestimmten Zeitpunkt für die Erledigung der anstehenden Aufgabe erforderlich ist. Zero Trust in einem Unternehmen leistet einen wichtigen Beitrag zur Netzwerksicherheit.

Verwendung nicht standardisierter Benutzernamen

Setzen Sie offensichtliche Benutzernamen wie markus.schmidt oder mschmidt, eine sehr gängige Konvention für Benutzernamen, nach Möglichkeit ausschließlich für E-Mails ein. Gesonderte, nicht standardisierte Anmeldenamen für Single Sign On-Konten sind eine Möglichkeit, Angreifern zu entgehen.

Verwenden biometrischer Daten

Um zu verhindern, dass Angreifer die Schwäche alphanumerischer Passwörter ausnutzen, gehen immer mehr Unternehmen zu biometrischen Anmeldeverfahren über. Ist die Person nicht anwesend, kann sich der Angreifer nicht anmelden.

Frühzeitiges Erkennen von Mustern

Führen Sie Maßnahmen ein, um verdächtige Anmeldemuster schnell erkennen zu können, z. B. wenn eine große Anzahl von Konten gleichzeitig einen Anmeldeversuch unternimmt.

Ein Passwort-Manager kann Abhilfe schaffen

Passwörter sind dazu da, vertrauliche Informationen vor Schadakteuren zu schützen. Jeder von uns verfügt aber mittlerweile über so viele Passwörter, dass man kaum noch den Überblick bewahren kann, vor allem wenn jedes davon eindeutig sein soll.

Um den Überblick nicht zu verlieren, machen manche Nutzer den Fehler, offensichtliche oder leicht zu erratende Passwörter zu vergeben oder dasselbe Passwort für mehrere Konten zu verwenden. Genau das sind aber die Passwörter, die durch Passwort-Spraying-Angriffe gefährdet sind.

Die Tools und die Raffinesse, mit der Angreifer vorgehen, haben sich in den letzten Jahren erheblich weiterentwickelt. Computer können heute Passwörter viel schneller erraten. Cyberkriminelle nutzen Automatisierung, um Passwortdatenbanken oder Online-Konten anzugreifen. Sie beherrschen spezifische Techniken und Strategien mit einer höheren Erfolgsgarantie.

Bei Einzelnutzern kann ein Passwort-Manager wie der Kaspersky Password Manager Abhilfe schaffen. Passwort-Manager kombinieren Komplexität und Länge, um schwer zu knackende Passwörter zu erstellen. Außerdem muss sich niemand mehr verschiedene Anmeldedaten merken und der Passwort-Manager überprüft, ob dasselbe Passwort bei verschiedenen Diensten auftaucht. Damit bieten sie Einzelpersonen praktische Unterstützung bei der Erstellung, Verwaltung und Speicherung ihrer eindeutigen Anmeldedaten.

Weitere Produkte: 

• Kaspersky Password Manager

Weiterführende Informationen: 

• Wie man seine Daten online mit einem Passwort-Manager schützt
• Die Leistung eines Passwort-Managers
• Was sind Brute-Force-Angriffe?