Beide beinhalten fehlgeschlagene Logins. Wie würden Sie in Ihren Logs einen Brute-Force-Angriff von einem Password Spray unterscheiden?
Kurzantwort
Brute Force zielt auf ein einzelnes Konto mit vielen Passwortversuchen, daher sieht man viele Fehlschläge auf einen Benutzernamen konzentriert. Password Spray dreht das um: ein oder wenige gängige Passwörter über viele Konten probiert, langsam und unauffällig, sodass jedes Konto nur ein paar Fehlschläge sieht. Das Erkennungssignal ist das Verhältnis von Konten zu Fehlschlägen und das Timing, nicht die reine Anzahl der Fehlschläge.
Diese beiden Angriffe sehen oberflächlich ähnlich aus — viele fehlgeschlagene Logins —, aber die Form der Daten ist gegensätzlich, und damit auch die richtige Detektion. Interviewer nutzen das, um zu prüfen, ob Sie über die Absicht des Angreifers und die Detektionslogik nachdenken, statt nur Fehler zu zählen.
Brute Force: tief auf einem Konto
Ein Brute-Force-Angriff konzentriert sich auf ein einzelnes Konto und wirft ihm viele Passwortversuche entgegen. In den Logs sehen Sie ein hohes Volumen an Authentifizierungsfehlern, die alle an einen Benutzernamen gebunden sind, oft von einer oder wenigen Quell-IPs, in einem kurzen Zeitfenster. Es ist laut und löst meist schnell Kontosperr-Richtlinien aus, was zugleich eine Abwehr und ein Denial-of-Service-Risiko ist.
Password Spray: breit und flach
Ein Password Spray kehrt die Strategie um. Der Angreifer nimmt ein oder wenige gängige Passwörter (denken Sie an „Spring2026!") — die Sorte, die jede Wortliste gängiger Passwörter anführt — und probiert sie gegen viele Konten, je einen Versuch, und wartet dann vor der nächsten Runde. Da jedes Konto nur ein oder zwei Fehlschläge sieht, bleibt der Angriff unter den Sperrschwellen und umgeht naive „5 Fehlschläge = Alert"-Regeln. Das Verräterische ist die Breite: viele verschiedene Benutzernamen, die mit demselben Passwort von derselben Quelle über die Zeit scheitern.
Worauf detektieren
Bei Brute Force alarmieren Sie auf eine hohe Fehlschlaganzahl pro Konto. Beim Spray ändern Sie die Perspektive: zählen Sie die verschiedenen pro Quell-IP angegriffenen Konten in einem Zeitfenster und achten Sie auf viele Konten, die jeweils nur wenige Male scheitern. Unter Windows pivotieren Sie auf Event-ID 4625 (fehlgeschlagener Logon) und korrelieren nach Quell-IP und Konto; ein erfolgreiches 4624 nach einem Spray ist der gefährliche Moment.
Warum das wichtig ist
MFA dämpft beides, aber die Detektion bleibt wichtig, weil ein einziger erfolgreicher Spray eine Kontoübernahme bedeuten kann. Zu zeigen, dass Sie die Detektion auf die Form des Angriffs abstimmen — und nicht nur auf das Fehlschlagvolumen — signalisiert echte analytische Reife.
Wahrscheinliche Anschlussfragen
- Warum umgeht Password Spray häufig Kontosperr-Richtlinien?
- Auf welche Windows-Event-IDs würden Sie für fehlgeschlagene Authentifizierung pivotieren?
- Wie würde MFA die Auswirkung beider Angriffe verändern?