Brutus: Neues Tool revolutioniert Angriffstests auf Passwörter

Ein neues Open-Source-Tool namens Brutus soll die Arbeit von Sicherheitsexperten grundlegend verändern. Entwickelt vom US-Sicherheitsunternehmen Praetorian, modernisiert es das Testen von Zugangsdaten – genau zu einem Zeitpunkt, an dem solche Angriffe zur größten Cyber-Bedrohung geworden sind.

Warum dieses Tool jetzt kommt

Die Veröffentlichung am 13. Februar 2026 fällt in eine Woche alarmierender Sicherheitsmeldungen. Laut dem aktuellen Red Report 2026 von Picus Labs basieren mittlerweile 23,49 Prozent aller Angriffe auf gestohlenen Zugangsdaten. Attacken auf Passwörter und API-Schlüssel sind zur bevorzugten Eintrittskarte für Hacker geworden. Sie agieren wie „digitale Parasiten“ und legen Wert auf langfristigen, unentdeckten Zugang statt auf spektakuläre Zerstörung. Brutus soll helfen, diese Schwachstellen zu finden, bevor Kriminelle sie ausnutzen können.

Technischer Quantensprung mit Go

Brutus stellt die bisherigen Standard-Tools wie THC Hydra in den Schatten. Geschrieben in der Programmiersprache Go, liegt es als einzelne, statische Datei vor. Das beendet den Ärger mit komplizierten Abhängigkeiten und Bibliotheken, der ältere Tools auf verschiedenen Systemen unbrauchbar machen kann.

Der Clou: Brutus versteht von Haus aus das Datenformat JSON. Es kann Ergebnisse von Scannern wie Naabu direkt verarbeiten, ohne umständliche Konvertierung. Bisher mussten Sicherheitsteams diese Arbeit mit eigenen Skripten erledigen. Unterstützt werden 22 Protokolle – von klassischen Diensten wie SSH und FTP bis hin zu modernen Web-APIs. Eine Spezialfunktion testet sogar automatisch auf bekannte, unsichere SSH-Schlüssel.

Die neue Dimension der Bedrohung

Das Testfeld für solche Tools hat sich radikal erweitert. Es geht längst nicht mehr nur um Server-Passwörter. Am 12. Februar meldete Cyble Research, dass über 5.000 öffentliche GitHub-Repositories und 3.000 Webseiten gültige ChatGPT-API-Schlüssel preisgaben. Angreifer könnten diese kostenlos für teure KI-Berechnungen oder Phishing-Automation missbrauchen.

Parallel dazu vergiftete die Kampagne „ClawHavoc“ den Marktplatz „ClawHub“ der OpenClaw-Plattform mit über 300 schädlichen Skills, die Zugangsdaten ausspähen. Die Botschaft ist klar: Heute müssen alle geheimen Schlüssel – in APIs, im Code oder in der Lieferkette – getestet werden.

Wer sich vor den immer raffinierteren Credential-Angriffen schützen will, findet jetzt kompakte Hilfe: Ein kostenloses E‑Book erklärt aktuelle Cyber‑Security‑Trends, typische Angriffsvektoren (wie gestohlene API‑Schlüssel und automatisierte Phishing‑Kits) und sofort umsetzbare Schutzmaßnahmen für Unternehmen und IT‑Teams. Besonders nützlich: Praxisnahe Tipps, wie Sie automatisierte Prüfungen in DevSecOps integrieren und Mitarbeiter gegen CEO‑Fraud & Phishing schulen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Trend zu automatisierten Sicherheits-Pipelines

Experten sehen in Brutus einen größeren Trend: den Weg zur vollautomatisierten Sicherheitsprüfung. Indem Tools wie Brutus JSON sprechen und einfach zu installieren sind, lassen sie sich nahtlos in DevSecOps-Prozesse integrieren. Sicherheitstests können so automatisch bei jedem Software-Update mitlaufen. Für „Red Teams“, die Angriffe simulieren, ist die Unabhängigkeit von System-Bibliotheken in streng kontrollierten Umgebungen ein entscheidender Vorteil.

Was kommt als Nächstes?

Die Entwicklung geht weiter. Die Community erwartet „intelligente“ Test-Tools, die mit Hilfe von KI kontextbezogene Passwort-Vorschläge generieren. Die Verbreitung von Brutus unter Profis wird voraussichtlich schnell zunehmen.

Doch das Wettrennen geht weiter. Während Angriffstools effizienter werden, müssen sich Verteidiger schneller von Passwörtern verabschieden. Technologien wie phishing-resistente Zwei-Faktor-Authentifizierung und passwortlose Anmeldung (FIDO2/WebAuthn) sind die einzige dauerhafte Lösung. Bis diese flächendeckend eingeführt sind, bleibt die automatisierte Überprüfung von Log-in-Mechanismen ein Grundpfeiler der IT-Sicherheit.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.