Verstehen von Password-Spraying-Angriffen

Bei einem Password-Spraying-Angriff versuchen Bedrohungsakteure eine kleine Menge gängiger Passwörter auf vielen Benutzer- oder Dienstkonten. Das Ziel ist es, ein Konto zu kompromittieren, während die Sperrschwellen für Konten unterschritten werden.

Was ist Password Spraying?

Password Spraying ist eine Methode, bei der ein Angreifer eine kleine Menge gängiger Passwörter (zum Beispiel: „Password123!“, „qwerty“, „Summer2024“, „Welcome1“) über viele Benutzerkonten oder Dienstkonten in einem Identitätsspeicher ausprobiert, wie zum Beispiel in lokalem Active Directory, Cloud-Identitätsanbietern (Microsoft Entra ID, Okta, Google Workspace), SaaS-Anwendungen, Webanwendungen, VPNs und anderen Authentifizierungssystemen. Das Ziel ist es, ein Konto zu kompromittieren, ohne die Kontosperrkontrollen auszulösen, die greifen, wenn jemand wiederholt fehlgeschlagene Versuche bei einem einzelnen Konto unternimmt. Password Spraying verteilt einige wenige Versuche breit, was es sehr effektiv gegen Organisationen mit schwachen oder wiederverwendeten Passwörtern macht.

Stellen Sie sich vor, ein Eindringling versucht einen gemeinsamen Schlüssel an den Türen eines ganzen Wohnhauses, anstatt viele verschiedene Schlüssel an einer einzigen Tür auszuprobieren. Wenn ein Mieter diesen gemeinsamen Schlüssel verwendet hat, kommt der Eindringling hinein, aber der Türalarm des Gebäudes wird durch wiederholte Versuche an einem Schloss nicht ausgelöst.

So unterscheidet sich Password Spraying von Brute-Force- und Credential-Stuffing-Angriffen.

Wie Password Spraying funktioniert

Password Spraying ist ein „langsam und stetig“ Ansatz. Der Angreifer tauscht Tiefe (viele Versuche bei einem Konto) gegen Breite (wenige Versuche bei vielen Konten), um unauffällig zu bleiben. Hier ist ein Schritt-für-Schritt-Ablauf des Angriffs.

Aufklärung (Benutzernamen)

Der Angreifer erstellt zunächst eine Liste gültiger Benutzernamen. Quellen sind unter anderem:

• Open-Source-Intelligence (OSINT), zum Beispiel LinkedIn, Unternehmensseiten, Pressemitteilungen, Regierungsdatenbanken
• Öffentliche Datenlecks
• Erfassung des E-Mail-Formats (wie in first.last@company.com)
• Live-Aufzählung gegen eine Anmeldeseite (verschiedene Fehlermeldungen, Antwortzeiten und Kontowiederherstellungsabläufe zeigen, welche Benutzernamen gültig sind)

Das Ergebnis ist eine Zielmenge von menschlichen oder Dienstkontonamen, auf die der Angreifer den Angriff ausführen wird, wie zum Beispiel eine Liste von 500 Mitarbeiter-E-Mail-Adressen von LinkedIn.

Wählen Sie einen kleinen Passwortsatz

Als Nächstes wählen Angreifer eine sehr kleine Liste wahrscheinlicher Passwörter aus, wie zum Beispiel:

• Standardpasswörter
• Häufige schwache Passwörter
• Saison/Jahr-Kombinationen
• Unternehmens-/Maskottchenvarianten

Spray-Kampagnen verwenden typischerweise nur eine kleine Anzahl von Passwortversuchen, meist 3 bis 10. Ein kleines Passwortset minimiert Fehler pro Konto, was Sperrungen verhindert.

Sprühwelle Nr. 1 (langsam und gleichmäßig)

Der Angreifer versucht ein Passwort über viele Konten hinweg, zum Beispiel "Winter2024!" bei allen 500 Konten. Sie verteilen die Versuche, um unter den Sperr- und Erkennungsschwellen zu bleiben (z. B. 1 bis 2 Versuche pro Konto innerhalb des Sperrzeitraums). Dieses geringe Volumen pro Konto löst kaum Alarme aus, während der Angreifer weiterhin nach schwachen oder wiederverwendeten Anmeldeinformationen sucht.

Drehen und ausweichen

Um die Erkennung weiter zu vermeiden, wechseln Angreifer ihre Infrastruktur und Fingerabdrücke.

• Sie wechseln zwischen verschiedenen IP-Adressen unter Verwendung von Proxies, VPNs, Tor oder verteilten Botnets.
• Sie randomisieren User-Agent-Strings, um legitimen Traffic von verschiedenen Geräten und Browsern zu imitieren.
• Die Zeitabstände zwischen den Authentifizierungsversuchen werden variiert, um unter den Grenzwerten für die Ratenbegrenzung zu bleiben.
• Angriffe werden über mehrere geografische Standorte verteilt, um wie normaler globaler Zugriff zu erscheinen.

Diese kombinierten Taktiken machen die Kampagne schwerer zu erkennen und zu blockieren. Angreifer zielen manchmal auch auf Altsysteme oder Endpunkte ab, die grundlegende Authentifizierungsprotokolle verwenden, da diese moderne Sicherheitskontrollen wie Multi-Faktor-Authentifizierung (MFA) und robuste Ratenbegrenzung vermissen lassen. Dies erleichtert die Ausnutzung, ohne Alarm auszulösen.

Sprühwelle Nr. 2

Wenn die erste Welle keine Erfolge bringt, starten Angreifer nachfolgende Wellen mit dem nächsten Passwort aus dem kleinen Satz gegen dieselbe (oder erweiterte) Benutzernamenliste. Sie verwenden Automatisierungstools, um das Versuchstempo zu steuern, IPs zu rotieren, bei Bedarf erneut zu versuchen und Login-Antworten zu analysieren. Dies ermöglicht es, Kampagnen zu skalieren und dabei unter den Erkennungsschwellen zu bleiben.

Erster Erfolg (Standbein)

Wenn ein Konto ein erratenes Passwort akzeptiert, erhält der Angreifer Zugriff. Anschließend handelt er schnell, um Persistenz zu etablieren und den Zugriff zu erweitern, bevor der Kompromiss entdeckt wird.

• Der Angreifer erstellt alternative Zugriffsmöglichkeiten wie anwendungsspezifische Passwörter oder API-Token, sammelt zusätzliche Zugangsdaten, registriert OAuth-Token für Drittanbieter-Apps oder konfiguriert Weiterleitungsregeln für Postfächer, um den Zugriff aufrechtzuerhalten, selbst wenn das ursprüngliche Passwort geändert wird.
• Anschließend listen sie die interne Umgebung auf, erkunden zugängliche Anwendungen, freigegebene Ressourcen, Cloud-Dienste und sensible Datenbanken, um zu verstehen, worauf das kompromittierte Konto zugreifen kann.
• Sie versuchen, Privilegien zu eskalieren, indem sie Helpdesk-Verfahren ausnutzen (zum Beispiel indem sie sich als Benutzer ausgeben, um Passwörter für Konten mit höheren Privilegien zurückzusetzen), Passwortzurücksetzungsabläufe für Administratorenkonten initiieren oder MFA-Fatigue-Angriffe starten (bei denen sie legitime Benutzer wiederholt mit MFA-Push-Benachrichtigungen bombardieren, bis diese den Zugriff genehmigen).

Diese Phase verwandelt eine einzelne kompromittierte Anmeldeinformation in eine dauerhafte Präsenz innerhalb der Infrastruktur der Organisation.

Ergebnisse

Nachdem der Zugriff hergestellt wurde, verfolgen Angreifer ihre Endziele. Sie können:

• Sensible Daten exfiltrieren
• Starten Sie Betrug durch Business Email Compromise (BEC) über kompromittierte Postfächer
• Verwenden Sie den Fuß in der Tür für laterale Bewegungen im Netzwerk

So eskaliert der anfängliche Verstoß zu schwerwiegenderen Angriffen wie der Bereitstellung von Ransomware, der Eskalation von Rechten auf Administrator-Konten oder langfristigem persistentem Zugriff für anhaltende Spionage. Was als einfacher Passwort-Spray beginnt, kann zu erheblichen finanziellen Verlusten, Datenpannen und Betriebsstörungen führen.

Angriffsablaufdiagramm

Hier ist ein einfacher visueller Ablauf des Password-Spraying-Angriffs und eine Beispielgeschichte aus der Perspektive einer Organisation, die zeigt, wie eine Password-Spraying-Kampagne von der Aufklärung bis zur Auswirkung verläuft.

Das Mitarbeiterverzeichnis eines Logistikunternehmens ist teilweise über LinkedIn und einen alten Anmeldedaten-Leak zugänglich. Ein Angreifer erstellt eine Liste gültiger E-Mail-Adressen und testet ein häufig verwendetes Passwort bei allen Konten, wobei er die Versuche tageweise verteilt, um unter den Sperrschwellen zu bleiben.

Ein Konto bestätigt die Vermutung: ein Lagerkoordinator, der nie ein Standard-Onboarding-Passwort aktualisiert hatte. Der Angreifer richtet eine Postfachweiterleitung ein, mappt interne Dateifreigaben und nutzt dann einen Helpdesk-Imitationsanruf, um das Passwort eines IT-Administrators zurückzusetzen und AD-Zugang zu erhalten. Bis ungewöhnliche Anmeldeaktivitäten einen Alarm auslösen, sind 11 Tage vergangen, Gehaltsabrechnungen wurden exfiltriert und Ransomware auf mehreren Servern platziert.

Beispiele für Password-Spraying-Angriffe

Password-Spraying-Angriffe wurden bei mehreren realen Sicherheitsverletzungen gegen große Organisationen eingesetzt. Im Folgenden einige bemerkenswerte Beispiele.

Folgen von Password Spraying

Password-Spraying-Vorfälle verdeutlichen, wie ein einziges schwaches Passwort die Tür zu einer großflächigen Kompromittierung öffnen kann, was zu schweren und weitreichenden Folgen für eine Organisation führt. So wirken sich die Folgen in den wichtigsten Betroffenheitsbereichen aus.

Häufige Ziele von Password Spraying: Wer ist gefährdet?

Password-Spraying-Angriffe können jede Organisation mit Online-Konten oder exponierten Anmeldesystemen ins Visier nehmen. Einige Umgebungen und Benutzer sind jedoch aufgrund des Zugriffs, der Daten oder der Systeme, die sie kontrollieren, für Angreifer weitaus attraktiver. Einige häufige Ziele von Password-Spraying-Kampagnen sind:

Risikobewertung

Password Spraying ist ein kostengünstiger, weit verbreiteter Angriff, der sich Schwachstellen bei Passwörtern und exponierten Authentifizierungsoberflächen zunutze macht. Organisationen sollten ihn als hochprioritäres Risiko behandeln und die Kontrollen entsprechend anpassen.

Wie man Password Spraying verhindert

Um Password Spraying zu verhindern, sollten Organisationen starke Authentifizierungspraktiken, proaktive Überwachung und Benutzerbewusstsein einführen. Die folgenden Maßnahmen können hilfreich sein.

Durchsetzung starker Passwort-Richtlinien

Der erste Schritt besteht darin, die Anforderungen an die Passwortstärke zu erhöhen.

• Erzwingen Sie lange, komplexe Passwörter für Konten (mindestens 14 Zeichen).
• Verwenden Sie Listen verbotener oder kompromittierter Passwörter (wie Have I Been Pwned) und gängige Muster, um Benutzer daran zu hindern, kompromittierte oder schwache Passwörter zu verwenden.
• Stellen Sie sicher, dass neue und Standardkonten ihre Passwörter beim ersten Login ändern, um einfache Einstiegspunkte zu eliminieren.

Implementieren Sie die Multi-Faktor-Authentifizierung

MFA ist eine der effektivsten Abwehrmaßnahmen gegen Password Spraying, da sie gängige Umgehungswege schließt.

• Setzen Sie MFA auf allen extern zugänglichen Systemen wie E-Mail, VPNs und Cloud-Apps ein.
• Verwenden Sie wann immer möglich phishing-resistente MFA-Optionen wie FIDO2-Sicherheitsschlüssel oder zertifikatbasierte Authentifizierung.
• Blockieren Sie Legacy-Protokolle (wie NTLM oder Basic Auth), die keine MFA unterstützen. Stellen Sie sicher, dass Ihre Cloud- und Identity-Plattformen nur moderne Authentifizierung zulassen, damit Angreifer nicht mit schwachen, veralteten Methoden eindringen können.

Kontosperre und Ratenbegrenzung anwenden

Angreifer verlassen sich beim Password Spraying auf wiederholte Anmeldeversuche, daher können Sie diese Versuche begrenzen, um deren Fortschritt zu verlangsamen oder zu stoppen.

• Legen Sie Sperr-Richtlinien sorgfältig fest. Machen Sie sie streng genug, um Konten zu schützen, aber flexibel genug, um legitime Benutzer nicht zu frustrieren.
• Fügen Sie progressive Verzögerungen, CAPTCHA-Aufforderungen und vorübergehende Sperren nach mehreren fehlgeschlagenen Versuchen hinzu.
• Begrenzen Sie die Anzahl der Anmeldeversuche von einer einzelnen IP-Adresse oder einem Gerät, um großflächige Brute-Force-Angriffe zu verhindern.

Erkennung und Überwachung stärken

Kontinuierliche Überwachung ermöglicht es Organisationen, Warnzeichen frühzeitig zu erkennen.

• Verfolgen Sie fehlgeschlagene Anmeldeversuche über mehrere Konten von derselben IP oder Region.
• Untersuchen Sie Spitzen bei Kontosperrungen, ungewöhnliche MFA-Aufforderungen und Anmeldungen aus unbekannten Regionen.
• Verwenden Sie Tools für security information and event management (SIEM) oder user and entity behavior analytics (UEBA), um „langsame und niedrige“ Muster zu erkennen, die sich in normalen Datenverkehr einfügen. Das frühzeitige Erkennen dieser Muster kann eine großflächige Sicherheitsverletzung verhindern.

Benutzername- und Identitätshygiene aufrechterhalten

Der erste Schritt in einer Password-Spraying-Angriffsreihe ist, wenn der Angreifer beginnt, gültige Benutzernamen in einer Organisation zu sammeln oder abzuleiten. Aus diesem Grund:

• Vermeiden Sie vorhersehbare Benutzernamenformate wie „firstname.lastname@company.com“ oder „employeeID@domain.com“.
• Begrenzen oder sichern Sie alle öffentlich zugänglichen Listen von Benutzernamen, E-Mail-Adressen oder Mitarbeiterinformationen, die Angreifer verwenden könnten, um gültige Anmeldenamenlisten zu erstellen.
• Konfigurieren Sie Ihre Anmeldeseiten so, dass eine Benutzername-Aufzählung verhindert wird: Geben Sie bei fehlgeschlagenen Anmeldeversuchen nicht preis, ob ein Benutzername gültig ist.
• Deaktivieren Sie routinemäßig inaktive, Test- und Legacy-Konten, die nicht verwendet werden, aber noch im Verzeichnis aktiv sind.

Übernehmen Sie Zero Trust und Zugriffskontrollen

Ein Zero-Trust-Modell begrenzt den Schaden durch ein einzelnes kompromittiertes Konto.

• Wenden Sie das Prinzip der geringsten Rechte (PoLP) an und gewähren Sie Benutzern nur den Zugriff, den sie wirklich benötigen.
• Verwenden Sie Richtlinien für bedingten Zugriff, um riskante IPs zu blockieren und MFA für risikoreiche Anmeldungen durchzusetzen.
• Segmentieren Sie den Zugriff zwischen Systemen, damit sich eine Sicherheitsverletzung nicht im gesamten Netzwerk ausbreitet.

Arbeiten Sie an der Benutzerbewusstseinsbildung und Schulung

Menschliches Versagen ist oft die schwächste Stelle. Um dem zu begegnen:

• Schulen Sie die Mitarbeiter in Sachen Passworthygiene, den Gefahren der Passwortwiederverwendung und wie Spraying-Angriffe funktionieren.
• Ermutigen Sie die Verwendung von Passwortmanagern, um einzigartige, komplexe Passwörter zu erstellen und zu speichern.
• Führen Sie regelmäßige Awareness-Kampagnen und Phishing-/Passwort-Spray-Simulationen durch, um gute Gewohnheiten frisch zu halten.

Verwenden Sie erweiterte Schutzmaßnahmen

Moderne Identitätsschutzmaßnahmen gehen über Passwörter hinaus. Organisationen sollten:

• Setzen Sie Tools für Identity threat detection & response (ITDR) ein, wie die von Netwrix bereitgestellt werden, um verdächtige identitätsbezogene Aktivitäten zu erkennen und einzudämmen, bevor Angreifer eskalieren.
• Aktivieren Sie Funktionen zur Durchsetzung verbotener Passwörter wie Microsoft Entra ID Password Protection.
• Erwägen Sie den Wechsel zu passwortloser Authentifizierung, wie FIDO2-Schlüsseln, Biometrie oder Smartcards für stärkere Sicherheit.

Wie Netwrix helfen kann

Netwrix bietet eine Reihe von Cybersicherheitslösungen, die es Organisationen ermöglichen, eine stärkere Authentifizierung durchzusetzen, Angriffe frühzeitig zu erkennen, sie in Echtzeit zu blockieren und die Hygiene über alle Identitäten hinweg aufrechtzuerhalten.

Setzen Sie eine starke Authentifizierung mit Netwrix Password Policy Enforcer durch

Netwrix Password Policy Enforcer ermöglicht es Ihnen, detaillierte, angepasste Passwort-Richtlinien einzurichten, um schwache und kompromittierte Passwörter zu blockieren. Es unterstützt sowohl lokale Active Directory- als auch Cloud-Umgebungen wie Microsoft Entra ID. Es kann gegen geleakte Passwortlisten prüfen, unterschiedliche Regeln pro Benutzergruppe durchsetzen und bei der Einhaltung von regulatorischen Vorlagen wie NIST und PCI helfen.

Stoppen Sie bösartige Authentifizierungen in Echtzeit mit Netwrix Threat Prevention

Netwrix Threat Prevention überwacht und blockiert riskante Anmeldungen und unautorisierte Änderungen in Echtzeit, wie verdächtige Anmeldungen, Änderungen an privilegierten Gruppen und Authentifizierung mit Legacy-Protokollen. Dies verhindert, dass Angreifer Fuß fassen oder sich seitlich bewegen.

Threat Prevention ist Teil der Identity Threat Detection & Response (ITDR)-Lösung von Netwrix, die mehrere Produkte umfasst, die zusammenarbeiten. Diese Lösung ermöglicht es Organisationen, identitätszentrierte Angriffe frühzeitig zu erkennen, einschließlich Password Spraying, langsamer und geringer Login-Versuche, Missbrauch von Anmeldeinformationen, Verwendung veralteter Protokolle, ungewöhnlicher Anmeldungen und Privilegieneskalation in Active Directory und Entra ID. Sie bietet Echtzeitanalysen und Warnungen bei verdächtigen Aktivitäten und unterstützt Sicherheitsteams dabei, zu reagieren, bevor Angreifer eskalieren.

Erhalten Sie die Identitätshygiene durch Netwrix Directory Manager

Netwrix Directory Manager automatisiert Benutzerlebenszyklusaufgaben im Verzeichnis, wie das Deaktivieren inaktiver und veralteter Konten, das Erzwingen starker Anmeldeinformationen bei neuen Konten und das automatische Aktualisieren von Gruppenmitgliedschaften basierend auf Richtlinien. Diese Art der Bereinigung verringert die Angriffsfläche für Password Spraying.

Erkennungs-, Minderung- und Reaktionsstrategien

Password Spraying ist eine leise, aber wirkungsvolle Bedrohung. Um frühe Anzeichen zu erkennen, benötigen Organisationen eine präzise Erkennung, gefolgt von einer schnellen Reaktion, um den Schaden einzudämmen und zu beheben.

Erkennung

Sie können die Password-Spraying-Kampagne erkennen, indem Sie nach breiten, volumenarmen Mustern statt lauten Ausbrüchen suchen.

Fehlgeschlagene Anmeldungen über Konten hinweg korrelieren

Korrigieren Sie fehlgeschlagene Anmeldungen über viele Konten, die von derselben IP-Adresse, Netzwerk (ASN) oder User-Agent-Zeichenfolge innerhalb eines Zeitfensters stammen (z. B. 5+ Konten, die innerhalb von 30 Minuten von einer IP fehlschlagen). Dieses Muster „gleiches Passwort überall versucht“ ist ein starkes Indiz für Spraying-Aktivitäten.

Erkennen von langsamer und stetiger Kadenz

Angreifer nutzen ältere Protokolle aus, da diese keine fortschrittlichen Sicherheitsfunktionen bieten und MFA nicht unterstützen. Markieren Sie alle Authentifizierungsversuche mit IMAP, POP, SMTP AUTH oder anderen veralteten APIs. Überwachen Sie auch ungewöhnliche User-Agents, automatisierte Tools und Anwendungen, die in Ihrer Umgebung selten verwendet werden. Achten Sie auf langsame, stetige Anmeldeversuche, die sich über viele Konten verteilen, da diese darauf ausgelegt sind, unter den Sperr- und Erkennungsschwellen zu bleiben.

Riskante Quellen überwachen

Überwachen Sie Verbindungen von riskanten oder anonymisierten Quellen wie Tor-Ausgangsknoten, VPNs und offenen oder anonymen Proxys. Verfolgen Sie Anmeldungen von IPs, die zuvor wegen bösartiger Aktivitäten oder im Zusammenhang mit Credential-Angriffen markiert wurden. Erkennen Sie unmögliche Reisen (zum Beispiel ein Benutzer, der sich zuerst in New York und 30 Minuten später in Tokio anmeldet) und geografische Anomalien wie Zugriffe aus Ländern oder Regionen, in denen Ihre Organisation nicht vertreten ist. Diese Signale helfen dabei, von Natur aus verdächtige Verbindungsquellen zu identifizieren.

Erfolg nach Misserfolgen verfolgen

Wenn Sie ein Muster beobachten, bei dem mehrere fehlgeschlagene Anmeldeversuche über verschiedene Konten hinweg von einer erfolgreichen Anmeldung von derselben IP oder Quelle gefolgt werden, bleiben Sie wachsam. Dieser Übergang ist ein Indikator mit hoher Zuverlässigkeit für eine Sicherheitsverletzung.

SIEM/UEBA-Regeln

Machine-Learning-Baselines erkennen Anomalien, die menschliche Analysten übersehen können. Richten Sie SIEM- oder UEBA-Regeln ein, um fehlgeschlagene Anmeldungen über viele Konten hinweg, Verstöße gegen Ratenbegrenzungen und plötzliche Spitzen bei MFA-Verweigerungen oder Kontosperrungen zu erkennen.

Minderung

Um Password-Spraying-Angriffe zu mindern, ergreifen Sie Maßnahmen, um Konten schwerer zu erraten, schwerer zu missbrauchen und leichter zu schützen. Zusätzlich zu den in der Sektion How to Prevent Password Spraying aufgeführten Praktiken, übernehmen Sie die folgenden Maßnahmen zur Minderung.

Bot- und Anomalieabwehr

Machen Sie es automatisierten Tools schwerer, weiterhin Passwörter zu erraten. Fügen Sie nach wiederholten fehlgeschlagenen Anmeldeversuchen CAPTCHA-Herausforderungen hinzu, verwenden Sie Geräte-Fingerprinting, um verdächtige Muster zu erkennen, und verlassen Sie sich auf Verhaltenssignale (wie Tippgeschwindigkeit oder Anmeldezeitpunkt), um Menschen von Bots zu unterscheiden. Diese kleinen Reibungspunkte können die meisten automatisierten Sprühversuche effektiv unterbrechen.

Bedingter Zugriff

Stärken Sie Zugriffsentscheidungen mit Kontext. Verwenden Sie Richtlinien für bedingten Zugriff, um Anmeldungen nur von vertrauenswürdigen Standorten zuzulassen, „unmögliche Reise“-Anmeldungen zu blockieren und eine Step-up-Authentifizierung auszulösen, wenn eine Anmeldung riskant erscheint. So wird sichergestellt, dass Angreifer trotz erratener Anmeldedaten zusätzliche Verifizierungshürden überwinden müssen.

Identity Provider (IdP)-Hygiene

Sichern Sie Ihre Authentifizierungsprozesse. Aktivieren Sie mandantenweite Passwortschutzfunktionen (wie Listen gesperrter Passwörter), schalten Sie den Extranet-Sperrmechanismus in AD FS ein, um externe Brute-Force-Versuche zu begrenzen, und konfigurieren Sie mandantenweite Warnungen bei verdächtigen Anmeldeverhalten. Diese Kontrollen verringern das Zeitfenster, in dem Angreifer schwache oder wiederverwendete Anmeldeinformationen ausnutzen können.

Administratorhygiene

Behandeln Sie Administrator-Konten wie Kronjuwelen. Administratoren sollten separate Konten für administrative und tägliche Arbeiten verwenden. Implementieren Sie das Prinzip der geringsten Privilegien, damit niemand mehr Zugriff hat als nötig, und eliminieren Sie Standard- oder gemeinsam genutzte Passwörter vollständig. Implementieren Sie Just-in-Time-Zugriff (JIT) und Just Enough Administration (JEA), um temporäre erhöhte Privilegien nur bei Bedarf zu gewähren. Dies begrenzt die Exposition, falls ein Konto kompromittiert wird.

Antwort

Wenn ein Erkennungsalarm ausgelöst wird, reagieren Sie. Ihr Ziel ist es, den Schaden einzudämmen, herauszufinden, wie der Angreifer persistent blieb, und sicherzustellen, dass es nicht erneut passiert.

Bedrohnung schnell eindämmen

• Blockieren Sie verdächtige IP-Bereiche oder ASNs (oder setzen Sie sie am WAF oder am Netzwerkrand unter Quarantäne).
• Implementieren Sie Geofencing, wenn Angriffe aus unerwarteten geografischen Regionen stammen.
• Widerrufen Sie alle aktiven Sitzungen und Aktualisierungstoken für kompromittierte Konten (nicht nur für verdächtige, da Angreifer sich möglicherweise bereits seitlich bewegt haben).
• Ungültig machen Sie alle aktiven Zugriffstoken oder API-Schlüssel, die mit den betroffenen Konten verknüpft sind.
• Wenden Sie Notfall-Conditional-Access-Richtlinien an, um MFA zu verlangen, riskante Anmeldungen zu blockieren oder den Zugriff auf vertrauenswürdige Netzwerke einzuschränken.
• Verschärfen Sie vorübergehend die Authentifizierungsanforderungen, um riskante Anmeldewege zu sperren.

Gezielte Anmeldeinformationen zurücksetzen

• Setzen Sie Passwörter für Konten zurück, die gezielt angegriffen oder erfolgreich kompromittiert wurden. Verwenden Sie Risikobewertungen und bestätigte Kompromittierungsindikatoren, um den Passwortzurücksetzungsprozess zu steuern.
• Durchsetzung der MFA-Anmeldung.
• Entfernen Sie verdächtige Weiterleitungsregeln für Postfächer, Send-as-Berechtigungen und Delegierte von kompromittierten und Hochrisikokonten.
• Widerrufen Sie nicht autorisierte OAuth-App-Zustimmungen und Anwendungsberechtigungen für die Zielkonten.

Nach Persistenz suchen

Nach kompromittierten Konten suchen für:

• Postfachregeln (Weiterleitung, Löschung, automatische Antwort)
• Postfachdelegierte und Berechtigungen zum Senden als/Senden im Auftrag von
• App-Passwörter und Legacy-Authentifizierungstoken (IMAP, POP3, SMTP)
• OAuth-Token und Anwendungseinwilligungen
• API-Schlüssel und Anmeldeinformationen des Dienstprinzipals
• Registrierte MFA-Geräte (entfernen Sie von Angreifern hinzugefügte Telefone oder andere Authentifikatoren)
• Änderungen an registrierten Authentifizierungsmethoden
• Service Principal und App-Registrierungen mit übermäßigen Berechtigungen
• Änderungen an der Conditional Access-Richtlinie (Angreifer können Sicherheitsrichtlinien schwächen)
• Gespeicherte Anmeldedaten in Browsern oder Passwortmanagern

Entfernen Sie alles, was dem Angreifer eine Rückkehr ohne erneute Authentifizierung ermöglichen könnte.

Forensik und Umfang

• Sammeln Sie Authentifizierungsprotokolle (Entra ID-Anmeldungen, Okta-Systemprotokolle, lokale AD-Protokolle) und Netzwerkflüsse (wie Ost-West-Seitenbewegungen, Indikatoren für Datenexfiltration, anomale Verkehrsmuster).
• Erstellen Sie eine Zeitleiste von Ereignissen, Quell-IP-Adressen, User-Agents, betroffenen Apps und welche Anmeldeversuche erfolgreich oder fehlgeschlagen sind.
• Bestimmen Sie, auf welche Daten oder Systeme zugegriffen wurde.

Stakeholder benachrichtigen

• Informieren Sie betroffene Benutzer sofort und weisen Sie sie an, was zu tun ist.
• Informieren Sie anschließend bei Bedarf die Führungsebene, die Rechtsabteilung, die IT-Sicherheit und die Compliance-Teams.
• Aktualisieren Sie Partner und Anbieter, wenn gemeinsam genutzte Systeme oder Daten betroffen sind.
• Wenn die Verletzung zu einer regulatorischen Nichtkonformität führt, bereiten Sie gegebenenfalls regulatorische Benachrichtigungen vor.

Angriffsvektoren deaktivieren

• Deaktivieren Sie Legacy-Authentifizierungsprotokolle, wenn sie nicht benötigt werden.
• Verschärfen Sie die Kontosperrungsrichtlinien und Ratenbegrenzungen.
• Setzen Sie Köderkonten (Honeypots) mit Überwachung ein, um zukünftige Spraying-Versuche zu erkennen.
• Aktualisieren Sie Bedrohungs-Intelligence-Feeds mit Angreifer-IP-Adressen, Mustern und TTPs.
• Verfeinern Sie die SIEM-Erkennungsregeln basierend auf beobachteten Angreiferindikatoren.
• Führen Sie Maßnahmen zur Schadensbegrenzung organisationsweit ein.

Erfahrungen

• Planen Sie eine formelle Nachbesprechung des Vorfalls innerhalb von ein bis zwei Wochen nach Abschluss des Vorfalls und dokumentieren Sie, was gut funktioniert hat und was verbessert werden muss.
• Überarbeiten Sie Incident-Response-Runbooks mit den gewonnenen Erkenntnissen.
• Dokumentieren Sie neue IOCs, TTPs und Erkennungssignaturen.
• Führen Sie Planspiele durch, die Szenarien des password spraying simulieren.
• Führen Sie Purple-Team-Übungen durch, um Verbesserungen bei Erkennung und Reaktion zu validieren.
• Führen Sie kontrollierte Passwort-Sprüh-Simulationen (mit Genehmigung) durch, um Kontrollen zu testen.

Schulen Sie Helpdesk- und IT-Mitarbeiter darin, Anmeldeangriffe zu erkennen und darauf zu reagieren.

Branchenspezifische Auswirkungen

Password-Spraying-Angriffe haben je nach Branche unterschiedliche Folgen. Durch das Verständnis branchenspezifischer Risiken können Organisationen ihre Abwehrmaßnahmen priorisieren und die Reaktion auf Vorfälle anpassen.

Entwicklung von Angriffen und zukünftige Trends

Passwortbasierte Angriffe haben sich von lauten Brute-Force-Versuchen zu heimlichen, automatisierten Kampagnen entwickelt, die Teil umfassenderer Bedrohungsoperationen sind. Durch die Betrachtung der Angriffsentwicklung und aktueller Trends können Sicherheitsteams ihre Abwehr entsprechend stärken.

Wichtige Statistiken und Infografiken

Zahlen erzählen die wahre Geschichte hinter Password Spraying und anmeldeinformationsbasierten Angriffen. Die folgenden Statistiken zeigen, warum starke Authentifizierung und bessere Passworthygiene wichtiger denn je sind.

• Im 2025 Verizon Data Breach Investigations Report, stellten Analysten fest, dass 22 % der bestätigten Verstöße mit Missbrauch von Zugangsdaten begannen (wie gestohlene oder wiederverwendete Passwörter), und bei „Basic Web Application“-Angriffen waren 88 % mit gestohlenen Zugangsdaten verbunden.
• Laut Microsoft hatten über 99,9 % der kompromittierten Konten zum Zeitpunkt des Angriffs keine MFA. Die Untersuchung ergab außerdem, dass Konten ohne MFA besonders anfällig für Password-Spraying- und Password-Replay-Angriffe waren, insbesondere bei der Verwendung von Legacy-Authentifizierungsprotokollen wie SMTP, IMAP und POP, die keine MFA unterstützen.
• Laut aktuellen Analysen (zum Beispiel von NordPass und anderen im Jahr 2025) dominieren Passwörter wie „123456“, „password“, „qwerty“, „12345“ und „qwerty123“ weiterhin die Top-Listen der meistgenutzten Passwörter.

Tägliche Identitätsangriffe

Die folgende Grafik zeigt einen starken Anstieg der täglichen Identitätsangriffe, die von etwa 300 Millionen im Jahr 2022 auf fast 800 Millionen in der ersten Hälfte des Jahres 2025 steigen. Sie verdeutlicht das wachsende Ausmaß der passwort- und identitätsbasierten Bedrohungen.

Arten von Identitätsangriffen

Das Kreisdiagramm zeigt, dass im Jahr 2025 97 % der Identitätsangriffe passwortbasiert waren, hauptsächlich Password Spraying und Brute-Force-Angriffe. Dies bestätigt, dass schwache oder gestohlene Anmeldeinformationen weiterhin das Hauptziel von Angreifern sind.

Wachstum der MFA-Einführung

Das Liniendiagramm zeigt seit 2014 ein stetiges Wachstum bei der MFA-Einführung unter Microsoft-Unternehmenskunden, doch im Jahr 2024 fehlen 59 % der Konten noch immer MFA-Schutz.

Abschließende Gedanken

Angreifer sprühen Anmeldedaten über Ihre Benutzerbasis wie Regen gegen Fenster. Die meisten Versuche prallen harmlos ab, aber sie brauchen nur eine schwache Stelle, um einzudringen. Die Schönheit des Angriffs liegt aus ihrer Sicht in seiner Einfachheit: geringer Aufwand, hoher Ertrag und nahezu unsichtbar, bis Schaden entsteht. Seien Sie nicht die schwache Stelle. Lassen Sie nicht zu, dass eine einzige kompromittierte Anmeldeinformation monatelange Sicherheitsinvestitionen zunichtemacht. Password Spraying gelingt gerade deshalb, weil es nicht wie ein Angriff aussieht, bis es zu spät ist. Erkennen Sie das Sprühen frühzeitig, schließen Sie die Einstiegspunkte und halten Sie die Flut in Schach.