Bots kosten Unternehmen durchschnittlich 4 Millionen Dollar im Jahr

Akamai hat einen neuen Forschungsbericht vorgestellt: Unternehmen verlieren durchschnittlich vier Millionen US-Dollar pro Jahr durch Credential-Stuffing-Angriffe, bei denen Hacker gestohlene Zugangsdaten ausnutzen. [...]

Unternehmen bereitet es Probleme, Hacker im eigenen Netzwerk zu erkennen. So stimmen 88 Prozent der Befragten zu, dass es schwierig sei, echte Mitarbeiter und Kunden von kriminellen Eindringlingen zu unterscheiden. (c) Fotolia/Elnur Amikishiyev
Lediglich 12 Prozent (Oktober 2017: 4 Prozent) der befragten Unternehmen sollen bisher vollständig die Anforderungen der Verordnung erfüllt haben. (c) Fotolia/Elnur Amikishiyev

Credential Stuffing setzt darauf, dass Nutzer für verschiedene Konten, Anwendungen und Services dieselbe Kombination aus Nutzername und Passwort verwenden. Cyberkriminelle nutzen gestohlene Kontodetails von einer Plattform und setzen Bots ein, um sich mit diesen Daten bei unzähligen anderen Plattformen anzumelden. Haben sie es einmal geschafft, nutzen die Kriminellen das Konto solange aus, bis der Besitzer es bemerkt. So kaufen sie beispielsweise Waren im Namen des echten Nutzers oder stehlen vertrauliche Informationen.

Die Forschungsergebnisse des Ponemon Institute zeigen, dass Umfang und Schwere von Credential Stuffing zunehmen. So erleben Unternehmen heute durchschnittlich elf Credential-Stuffing-Attacken pro Monat. Jeder dieser Angriffe zielt im Durchschnitt auf 1.041 Nutzerkonten ab und kann teure Anwendungsausfälle, Kundenverlust und gesteigerten Aufwand für IT-Sicherheitsteams bedeuten. Dadurch kommt es jährlich zu Schäden in Millionenhöhe: Für die Bereiche Anwendungsausfälle und erhöhte IT-Aufwände entstehen pro Unternehmen jeweils durchschnittlich 1,2 Millionen US-Dollar Verlust. Der Kundenverlust führt im Schnitt pro Unternehmen zu einem Schaden von 1,6 Millionen US-Dollar. Hinzu kommen die direkten Kosten, die durch die Betrugsversuche selbst entstehen.

„Wir sind daran gewöhnt, dass Listen gestohlener Nutzer-IDs und Passwörter im Dark Web kursieren“, erklärt Jay Coley, Senior Director for Security Planning and Strategy bei Akamai Technologies. „Doch die ständige Zunahme von Credential-Stuffing-Angriffen zeigt, wie groß die Gefahr wirklich ist. Cyberkriminelle setzen vermehrt auf Botnets, um die Listen mit Anmeldedaten auf den Login-Seiten anderer Unternehmen zu testen, und erweitern so den Umfang ihrer Attacken. Es liegt an den Unternehmen, diese Angriffsmethode zu unterbinden, um nicht nur Kunden und Mitarbeiter, sondern letztlich auch ihre Umsätze zu schützen.“

Bewältigung der Komplexität

Die meisten Unternehmen bieten eine komplexe Angriffsfläche für den Missbrauch von Anmeldedaten. Wie die Forschungsergebnisse zeigen, setzen Unternehmen durchschnittlich 26,5 kundengerichtete Websites in ihrer Produktionsumgebung ein, die allesamt als Einstiegspunkt für Bots dienen können. Das Problem wird dadurch verstärkt, dass Unternehmen für verschiedene Clienttypen – darunter Kunden an Desktops oder Laptops (87 Prozent), mobile Browser (65 Prozent), Drittanbieter (40 Prozent) und App-Nutzer (36 Prozent) – unterschiedliche Login-Methoden bereitstellen müssen.

Die Komplexität der Angriffsfläche ist ein Grund dafür, dass nur ein Drittel der Unternehmen angibt, über ausreichend Transparenz hinsichtlich Credential-Stuffing-Attacken zu verfügen (35 Prozent), und der Meinung ist, Angriffe auf ihre Websites schnell erkennen und beheben zu können (36 Prozent).

Coley: „Moderne Websites sind weit verzweigt, können Hunderte oder sogar Tausende Seiten umfassen und unterstützen verschiedenste Client- und Traffic-Arten. Um sich erfolgreich vor Credential Stuffing zu schützen, müssen Unternehmen ihre Website-Architektur kennen und wissen, wie Clients zwischen den verschiedenen Seiten und Login-Endpoints navigieren.“

Identifizierung der Betrüger

Unternehmen bereitet es Probleme, die Betrüger zu erkennen. So stimmen 88 Prozent der Befragten zu, dass es schwierig sei, echte Mitarbeiter und Kunden von kriminellen Eindringlingen zu unterscheiden. Diese Herausforderung wird durch den Mangel an klarer Verantwortlichkeit im Unternehmen noch erschwert: Über ein Drittel (37 Prozent) der Teilnehmer gibt an, dass bei ihnen keine zentrale Stelle für die Erkennung und Verhinderung von Credential-Stuffing-Angriffen verantwortlich sei.

Coley führt fort: „Bots lassen sich am besten besiegen, indem wir sie als das behandeln, was sie sind: nicht menschlich. Die meisten Bots verhalten sich nicht annähernd wie echte Menschen, doch ihre Methoden werden immer raffinierter. Deshalb brauchen Unternehmen Bot-Management-Tools, mit denen sie das Verhalten der Bots überwachen und Bots von echten Anmeldeversuchen unterscheiden können. Statt standardmäßiger Login-Systeme, die nur überprüfen, ob Nutzername und Passwort übereinstimmen, benötigen sie Lösungen, die Muster bei der Tastatureingabe, Mausbewegungen und sogar die Ausrichtung mobiler Geräte berücksichtigen. Angesichts der möglichen Kosten in Millionenhöhe war es nie wichtiger, Bots zu erkennen und sie aufzuhalten.“

Hintergrundinformationen

Das Ponemon Institute hat 544 IT-Sicherheitsexperten in Europa, dem Nahen Osten und Afrika befragt, die Erfahrungen mit Credential-Stuffing-Angriffen haben und für die Sicherheit ihrer Unternehmenswebsites verantwortlich sind. Den vollständigen Bericht finden Interessierte hier.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*