Früher galt ein starkes Passwort als ausreichend für die Serversicherheit. Heute stimmt das nicht mehr.
Denn Angreifer versuchen nicht mehr, das Passwort zu erraten — sie stehlen es.
Deshalb ist die Zwei-Faktor-Authentifizierung (2FA) keine Option mehr, sondern eine Pflicht.
1. Was ist ein Brute-Force-Angriff?
Bei einem Brute-Force-Angriff probieren Bots ständig Passwörter aus:
| Angriff | Versuche |
|---|---|
| Einfacher Bot | 100 Versuche/Minute |
| Fortgeschrittener Bot | 1000+ Versuche/Minute |
Wenn Ihr Passwort schwach ist, kann es innerhalb weniger Stunden geknackt werden.
2. Was ist Credential Stuffing?
Das ist das größte Risiko.
Der Angriff funktioniert folgendermaßen:
- Eine Website wird gehackt
- Eine E-Mail- und Passwortliste gelangt ins Internet
- Bots testen diese Daten auf:
- Hosting-Panel - SSH - WordPress admin - E-Mail-Konto
Die Erfolgsrate liegt im Allgemeinen bei: 0,5 % – 2 %
Das klingt gering, ist aber bei Millionen von Versuchen sehr bedeutsam.
3. Wie Verhindert 2FA Diese Angriffe?
Normale Anmeldung:
| Schritt | Erforderlich |
|---|---|
| 1 | Passwort |
2FA-Anmeldung:
| Schritt | Erforderlich |
|---|---|
| 1 | Passwort |
| 2 | Telefoncode |
Selbst wenn ein Angreifer das Passwort kennt, hat er keinen Zugriff auf das Telefon.
Deshalb: 2FA verhindert Account-Übernahmen zu über 90 %.
4. 2FA-Typen
| Typ | Sicherheit |
|---|---|
| SMS | Mittel |
| Mittel | |
| Authenticator-App | Hoch |
| Hardware-Schlüssel | Sehr hoch |
Die sichersten Optionen:
- Google Authenticator
- Microsoft Authenticator
- YubiKey
5. 2FA für SSH
Wenn Sie sich per SSH ohne 2FA mit dem Server verbinden, ist das ein erhebliches Risiko.
Was vorhanden sein sollte:
- SSH-Key-Login
- Passwort-Login deaktiviert
- 2FA aktiviert
- Root-Login deaktiviert
6. 2FA für das Hosting-Panel
2FA muss auf dem cPanel / Plesk / DirectAdmin-Panel unbedingt aktiviert sein.
Denn Angreifer dringen in der Regel über das Panel ein, nicht über SSH.
Sobald sie im Panel sind, können sie auf Folgendes zugreifen:
- Website-Dateien
- Datenbank
- E-Mail-Konten
- Backups
auf alles.
7. Ein Reales Hack-Szenario
Stellen Sie sich einen E-Commerce-Shop vor:
- Das Passwort des Hosting-Panels wurde kompromittiert
- Der Angreifer lud ein Skript auf die Website hoch
- Kreditkartendaten wurden gestohlen
- Die Website wurde von Google auf die Blacklist gesetzt
- Die Website war 3 Tage lang offline
Geschätzter Schaden:
| Verlust | Kosten |
|---|---|
| Umsatzverlust | 3.000 $ |
| Reputationsschaden | Sehr hoch |
| Bereinigungskosten | 500 $ |
| SEO-Verlust | Sehr hoch |
Gesamt: 3.500 $+
Dieser Angriff wäre mit 2FA nicht möglich gewesen.
8. Passwort vs. 2FA Sicherheitsvergleich
| Sicherheit | Schutz |
|---|---|
| Nur Passwort | Niedrig |
| Starkes Passwort | Mittel |
| Passwort + 2FA | Sehr hoch |
| SSH-Key + 2FA | Maximum |
9. Kleine Sicherheits-Checkliste
Für Server:
- Ist 2FA aktiviert?
- Wird SSH-Key-Login verwendet?
- Ist der Root-Login deaktiviert?
- Ist das Panel-2FA aktiviert?
- Gibt es eine IP-Beschränkung?
- Werden Login-Protokolle überwacht?
4+ JA → Sicher 2 oder weniger JA → Riskant
10. Fazit
Die größte Sicherheitslücke heute:
Nicht ein schwaches Passwort, sondern Ein-Faktor-Anmeldung.
Der moderne Sicherheitsansatz:
Zero Trust = Jede Anmeldung muss verifiziert werden
Und der grundlegendste Schritt dazu ist: Die Verwendung von 2FA.