Millionenschäden durch Credential Stuffing

Mithilfe geleakter Passwort-Datenbanken gelingt es Cyberkriminellen immer wieder, Nutzerkonten zu übernehmen. Zum Einsatz kommen dabei hochautomatisierte Werkzeuge, die innerhalb weniger Minuten Millionen Kombinationen aus Nutzernamen und Passwörtern durchprobieren. [...]

Foto: GerdAltmann/Pixabay

Auf diese Weise kann bereits ein einziger dieser sogenannten Credential-Stuffing-Angriffe tausende von Opfern nach sich ziehen. Für Unternehmen mit starkem Online-Fokus sind solche Kontoübernahmen mittlerweile zu einem finanziellen Geschäftsrisiko geworden, das bis zu neun Prozent der Umsätze verschlingt – so das Ergebnis einer Studie, die die Strategieberatung Aberdeen im Auftrag des Schweizer Security-Spezialisten Nevis durchgeführt hat.

Für die Untersuchung hat sich Aberdeen auf zehn ausgewählte B2C-Kategorien im EMEA-Raum konzentriert: Zum einen Geschäftsbanken, Kreditgenossenschaften, Sparinstitute und Finanztechnologie, aber auch Sach- und Unfallversicherungen sowie Unterhaltungselektronik, Netzwerke von Anbietern von Gesundheitsfürsorgeleistungen, Online-Glücksspiele, Telekommunikation und Energieversorger.

Dabei zeigte sich, wie weit Credential-Stuffing-Angriffe aktuell verbreitet sind: 76 Prozent der Befragten gaben an, dass einige ihrer Online-Nutzer in den vergangenen zwölf Monaten Opfer erfolgreicher Kontoübernahmen geworden seien.

Cyberangriffe beeinträchtigen Rentabilität

Die Untersuchung macht auch das dramatische Ausmaß der dadurch entstehenden Schäden deutlich. Die Kosten erfolgreicher Cyberangriffe summieren sich rasch zu signifikanten Beträgen, die nicht einfach als unvermeidliche „Geschäftskosten“ abgetan werden können: So gehen bei Geschäftsbanken 3,4 bis 5,28 Prozent Umsatz durch Credential Stuffing verloren; im Bereich Fintech sind es sogar zwischen 5,57 bis 8,96 Prozent.

Auch Branchen außerhalb der Finanzwelt sind in vergleichbarem Maße betroffen: so belaufen sich die Umsatzverluste durch illegale Kontoübernahmen bei Healthcare-Providern auf 4,45 bis 5,79 Prozent. Selbst im streng reglementierten und daher in besonderem Maße auf Sicherheit bedachten Glücksspiel-Sektor schlagen die Verluste mit 5,02 bis 8,2 Prozent zu Buche.

Steht der Zugang zu einem Nutzerkonto erst einmal offen, können das die Kriminellen für verschiedenste Zwecke ausnutzen. Nach der Erhebung von Aberdeen kommt es vor allem zu betrügerischen Transaktionen (39 Prozent), zur Erstellung von neuen Konten (34 Prozent) sowie zur fehlerhaften Ablehnung von Kartenzahlungen (34 Prozent).

Weitere typische Folgen der Kontoübernahmen sind Rückbelastungen (18 Prozent), der Transfer von Geldern oder anderen fungiblen Werten (11 Prozent), betrügerische Einkäufe (11 Prozent) sowie der Diebstahl von digitalen Inhalten und Dienstleistungen (11 Prozent).

Neben diesen direkten Folgen drohen noch weitere indirekte Konsequenzen – etwa ein Rückgang der aktiven User, die durch verstärkte Sicherheitsmaßnahmen abgeschreckt werden, oder die Abwanderung zu Wettbewerbern. 

Auch der Frage, wie sich Unternehmen vor der steigenden Zahl von Credential-Stuffing-Attacken zu schützen versuchen, ist Aberdeen nachgegangen: Dabei zeigt sich eine zunehmende Vermeidung sowohl des Nutzername-Passwort-Modells als auch von Multi-Faktor-Authentifizierungslösungen: So werden etwa Mobile Apps für die Multifaktor-Authentifizierung derzeit in 42 Prozent der befragten Unternehmen eingesetzt – aber nur 24 Prozent befürworten eine zukünftige Einführung.

Ein starkes Innovationspotenzial sehen die Studienteilnehmer dagegen bei passwortlosen Ansätzen, die sowohl benutzerfreundlich als auch für die Anbieter kosteneffizient sind. Bislang haben zwar nur 20 Prozent kennwortlose (adaptive, kontextbasierte, transparente) Verfahren eingeführt, doch 46 Prozent planen dies für die Zukunft. 

Credential Stuffing bei Kriminellen weiter hoch im Kurs

Für die Angreifer ist Credential Stuffing derzeit eine gleich in mehrfacher Hinsicht attraktive Methode: Erstens lassen sich im Darknet leicht Listen mit Anmeldeinformationen beschaffen, die durch Datenpannen oder Hacks an die Öffentlichkeit gelangt sind.

Zweitens sind für alle Geschäftsbeziehungen, die auf digitalen Konten basieren, digitale Anmeldeinformationen notwendig – sie sind also, sofern keine zusätzlichen Sicherheitsmaßnahmen getroffen wurden, durch Brute-Force-Angriffe wie das Credential Stuffing verwundbar.

Zum dritten sind die Angriffe leicht automatisierbar: Die Täter müssen dafür nicht zwingend über Programmierkenntnisse verfügen, sondern können die benötigten Programme nach dem Software-as-a-Service-Prinzip im Darknet mieten.

Verschwinden dürfte dieses lukrative Geschäftsmodell erst, wenn die Mehrzahl der Unternehmen ihre Nutzerkonten auf sichere Verfahren wie die Multi-Faktor-Authentifizierung und insbesondere die passwortlose Authentifizierung umstellt.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*