Als sich um die Jahrtausendwende immer mehr Aspekte unseres Lebens in den Online-Bereich verlagerten, wurden wir mit Aufforderungen zur Erstellung von Online-Konten förmlich überflutet. Vielleicht erinnern Sie sich an Dienste wie Friendster und Napster, zwei der allerersten Social-Networking- und Musik-Streaming-Sites. Diese Dienste gibt es heute in dieser Form nicht mehr, aber es ist sehr wahrscheinlich, dass Ihre Anmeldedaten für längst abgeschaltete Plattformen wie diese immer noch im Darknet kursieren. An und für sich wäre das kein Problem. Zu Beginn des digitalen Zeitalters haben jedoch nur wenige von uns erkannt, wie wichtig es ist, die persönlichen Daten, die wir online weitergeben, zu schützen. Also haben wir Benutzernamen und Passwörter über mehrere Dienste und Plattformen hinweg wiederverwendet. Und diese jahrzehntealte Praxis hat nun eine lukrative Form des Cyber-Angriffs befeuert: Credential Stuffing.
Im Gegensatz zu anderen Formen von Cyber-Angriffen erfordert Credential Stuffing wenig bis gar kein Wissen über Technologie und Computersysteme. Genau das macht es für Unternehmen und Kunden besonders gefährlich. Angreifer müssen nur eine Liste von Benutzernamen und Passwörtern und ein Toolset (mit Informationen wie Konfigurationsdateien für Online-Portale und sogar Benutzer-Support) erwerben, und schon können sie damit loslegen, wertvolle Benutzerdaten zu sammeln.
Wie funktioniert Credential Stuffing?
Treffer oder nicht – Credential Stuffing ist für Cyber-Kriminelle wie ein Glücksspiel. Und es nutzt das schwächste Glied der Online-Sicherheit aus: das Passwort. Diese Art von Angriffen nutzt die (erwiesene) Tatsache aus, dass viele Anwender nicht für jedes neue Online-Konto eindeutige Benutzernamen und Kennwörter erstellen. Der Return on Investment für diese Cyber-Kriminellen ist demnach recht hoch, da gestohlene Anmeldedaten für einen Dienst den Angreifern oft auch Zugang zu weiteren Benutzerkonten und noch mehr Daten verschaffen.
Die gestohlenen oder gekauften Anmeldedaten (wie die oben genannten) testen Kriminelle mit Hilfe eines rotierenden Proxys, um Hunderttausende von Anmelde-Informationen über mehrere Dienste hinweg zu testen. Dank schneller und einfacher Automatisierung dauert der Vorgang nur wenige Minuten. Es ist tatsächlich so einfach, wie es sich anhört, und bei zahlreichen grossen Unternehmen hatten Angreifer mit der Methode bereits Erfolg. Viele von uns sind schon einmal selbst Opfer solcher Datenlecks geworden, als diese unsere LinkedIn-, Yahoo- und Dropbox-Konten kompromittierten.
Die genannten Unternehmen schafften es, sich von den Cyber-Attacken zu erholen, indem sie stark in Image- und Rebranding-Kampagnen investierten. Die finanziellen, rufschädigenden und rechtlichen Auswirkungen derart umfangreicher Datenlecks und anschliessender Datenmanipulationen haben jedoch das Potenzial, Unternehmen mit negativer Presse und einem Verlust des Kundenvertrauens lahmzulegen.
Wie real ist das Risiko?
Viele Unternehmen entscheiden sich dafür, auf zusätzliche Sicherheitsmassnahmen zu verzichten. Sie führen Bedenken an, dass zusätzliche Sicherheit nicht nur teuer ist, sondern auch das Benutzererlebnis beeinträchtigt. Diese Unternehmen versäumen es jedoch, die Kosten abzuschätzen, die entstehen, wenn sie nicht in robuste Sicherheitsmassnahmen investieren. Und sie vertrauen darauf, dass ihre Kunden aus Verständnis für die Notwendigkeit von Online-Sicherheit verantwortungsvoll handeln. Dies ist ein Fehler, der sehr kostspielig werden kann.
Das Security and Privacy Institute (CyLab) der Carnegie Mellon University führte eine Studie durch, in der das Nutzerverhalten nach einer Datenpanne analysiert wurde. Die Ergebnisse waren erschütternd. Nach der Auswertung des realen Web-Traffics änderten nur 33 Prozent der Nutzer tatsächlich ihre Passwörter, nachdem sie über eine Datenschutzverletzung informiert wurden.[1] Und das nur für die jeweilige Plattform oder den betroffenen Account. Die Wahrscheinlichkeit, dass diese Nutzer ihr Passwort für alle Konten mit denselben Anmeldedaten ändern, ist vermutlich noch geringer.
Und was genau ist der Return on Investment für Credential-Stuffing-Angreifer? Alle Jahre wieder liefern sich Anbieter und Online-Shops grosse Rabattschlachten und locken Kunden mit sagenhaften Rabatt-Aktionen beispielsweise während des Weihnachtsgeschäfts, am Black Friday oder Cyber Monday. Dies lockt jedoch nicht nur Kunden an, sondern auch Cyber-Kriminelle. Ohne die richtigen Sicherheitsmassnahmen kann der Umsatzsegen schnell zum Reputations-Fluch werden. Laut einer Studie erleben 64 Prozent der Unternehmen am Cyber Monday zusätzliche Internetkriminalität.[2] Und die City of London Police meldete Verluste in Höhe von 16,4 Millionen Pfund in Grossbritannien, die durch Betrug beim Online-Shopping während der Feiertage entstanden. Am Black Friday und Cyber Monday, wenn die Verbraucher massenhaft Zahlungsdaten austauschen und übermitteln, ist es für Cyberkriminelle wie das Fischen in einem Fass.[3] Der Gewinn für Kriminelle kann sich also sehen lassen, und das macht diese Art von Angriffen so attraktiv. Aber Unternehmen haben noch mehr zu verlieren.
Wie können Sie Ihr Unternehmen und Ihre Kunden schützen?
Wenn das schwächste Glied das Passwort ist, dann gibt es eine sehr einfache Lösung: Verzichten Sie auf Passwörter. Es mag Ihrer Intuition widersprechen, eine einzigartige Sicherheitsmassnahme für den Benutzer zu beseitigen. Der technologische Fortschritt, insbesondere bei mobilen Geräten, liefert jedoch weitaus ausgefeiltere Sicherheitsansätze:
Biometrie:
Seit einigen Jahren sind mobile Geräte in der Lage, biometrische Merkmale zu erfassen, zu speichern und zu lesen. Das bedeutet, dass digitale Dienste ihre eigenen Sicherheitsmassnahmen auf Kundeninformationen stützen können, die bereits auf Kundengeräten gespeichert sind. Statt per Push-Benachrichtigung oder mit einer Aufforderung zur Passworteingabe können Apps und Web-Portale einfach mit einem Fingerabdruck oder Gesichts-Scan entsperrt werden.
Multi-Faktor-Authentifizierung:
Das Einzige, was besser ist als eine Sicherheitsmassnahme, sind zwei oder mehr Sicherheitsmassnahmen. Zwei-Faktor-Authentifizierung (2FA) und Multi-Faktor-Authentifizierung (MFA) stellen sicher, dass Hacker, die die erste Sicherheitsebene überwinden, trotzdem scheitern, bevor sie unberechtigten Zugriff auf Benutzerkonten und Daten erhalten. Nach dem ersten Schritt im Anmeldevorgang (vielleicht mit einem Passwort!) wird der Kunde aufgefordert, sich nochmals zu identifizieren: mit einem biometrischen Merkmal, einer Einweg-TAN, einem Hardware-Token usw.
Verhaltensanalytik:
Wie bereits erwähnt, wird Credential Stuffing durch Automatisierung begünstigt. Das heisst: Bots führen oft die Angriffe aus. Die gute Nachricht ist, dass Anomalien im Benutzerverhalten leicht zu erkennen sind. Informationen wie die Dynamik der Tastenanschläge (wie wir tippen), Mausbewegungen, Standort und Zeit, die von Benutzergeräten und digitalen Diensten gesammelt werden, lassen sich analysieren, um festzustellen, ob eine Anfrage von einem echten Benutzer oder einem Bot ausgeführt wird.
Web Application Firewalls:
Diese Firewalls sind speziell auf den http-Verkehr ausgerichtet und fungieren als eine Art Filter zwischen einer bestimmten Anwendung und dem Internet. Durch die Implementierung einer Web-App-Firewall können Unternehmen den Zugriff auf bestimmte Inhalte, die sie als bösartig oder riskant erachten, blockieren, indem sie Blocklisten und Erlaubnislisten erstellen.
Machen Sie passwortlose Sicherheit zu einer Top-Priorität
Kunden wollen die bestmögliche Sicherheit, aber sie verlangen auch nach Komfort und Bequemlichkeit. Wenn Kunden lange und komplizierte Passwörter eintippen müssen, um auf ihre Konten zuzugreifen, werden sie dazu verleitet, Abkürzungen zu nehmen. Und das macht sowohl ihre Daten als auch Ihr Unternehmen anfällig für Cyber-Angriffe. Setzen Sie stattdessen auf Methoden, die die Benutzer buchstäblich zur Hand haben: ihre mobilen Geräte und Fingerabdrücke (oder andere biometrische Merkmale). Diese Sicherheitsmassnahmen erleichtern nicht nur den Anmelde- und Validierungsprozess erheblich, sie sind auch nahezu narrensicher. Und zusätzliche Sicherheit in Kombination mit einer verbesserten Benutzererfahrung ist das, was Ihr Unternehmen von den Wettbewerbern abheben wird.
[1] ZDNET, After a breach, users rarely change their passwords, study finds, 1 June 2020
[2] ZeroFox, Cyber Monday Breeds Cyber Crime, 20 November 2017
[3] Finance Digest, FIGHTING FRAUD ON BLACK FRIDAY AND CYBER MONDAY