Millionenschäden durch Credential Stuffing

Mithilfe geleakter Passwort-Datenbanken gelingt es Cyberkriminellen immer wieder, Nutzerkonten zu übernehmen. Zum Einsatz kommen dabei hochautomatisierte Werkzeuge, die innerhalb weniger Minuten Millionen Kombinationen aus Nutzernamen und Passwörtern durchprobieren. [...]

Foto: GerdAltmann/Pixabay

Auf diese Weise kann bereits ein einziger dieser sogenannten Credential-Stuffing-Angriffe tausende von Opfern nach sich ziehen. Für Unternehmen mit starkem Online-Fokus sind solche Kontoübernahmen mittlerweile zu einem finanziellen Geschäftsrisiko geworden, das bis zu neun Prozent der Umsätze verschlingt – so das Ergebnis einer Studie, die die Strategieberatung Aberdeen im Auftrag des Schweizer Security-Spezialisten Nevis durchgeführt hat.

Für die Untersuchung hat sich Aberdeen auf zehn ausgewählte B2C-Kategorien im EMEA-Raum konzentriert: Zum einen Geschäftsbanken, Kreditgenossenschaften, Sparinstitute und Finanztechnologie, aber auch Sach- und Unfallversicherungen sowie Unterhaltungselektronik, Netzwerke von Anbietern von Gesundheitsfürsorgeleistungen, Online-Glücksspiele, Telekommunikation und Energieversorger.

Dabei zeigte sich, wie weit Credential-Stuffing-Angriffe aktuell verbreitet sind: 76 Prozent der Befragten gaben an, dass einige ihrer Online-Nutzer in den vergangenen zwölf Monaten Opfer erfolgreicher Kontoübernahmen geworden seien.

Cyberangriffe beeinträchtigen Rentabilität

Die Untersuchung macht auch das dramatische Ausmaß der dadurch entstehenden Schäden deutlich. Die Kosten erfolgreicher Cyberangriffe summieren sich rasch zu signifikanten Beträgen, die nicht einfach als unvermeidliche „Geschäftskosten“ abgetan werden können: So gehen bei Geschäftsbanken 3,4 bis 5,28 Prozent Umsatz durch Credential Stuffing verloren; im Bereich Fintech sind es sogar zwischen 5,57 bis 8,96 Prozent.

Auch Branchen außerhalb der Finanzwelt sind in vergleichbarem Maße betroffen: so belaufen sich die Umsatzverluste durch illegale Kontoübernahmen bei Healthcare-Providern auf 4,45 bis 5,79 Prozent. Selbst im streng reglementierten und daher in besonderem Maße auf Sicherheit bedachten Glücksspiel-Sektor schlagen die Verluste mit 5,02 bis 8,2 Prozent zu Buche.

Steht der Zugang zu einem Nutzerkonto erst einmal offen, können das die Kriminellen für verschiedenste Zwecke ausnutzen. Nach der Erhebung von Aberdeen kommt es vor allem zu betrügerischen Transaktionen (39 Prozent), zur Erstellung von neuen Konten (34 Prozent) sowie zur fehlerhaften Ablehnung von Kartenzahlungen (34 Prozent).

Weitere typische Folgen der Kontoübernahmen sind Rückbelastungen (18 Prozent), der Transfer von Geldern oder anderen fungiblen Werten (11 Prozent), betrügerische Einkäufe (11 Prozent) sowie der Diebstahl von digitalen Inhalten und Dienstleistungen (11 Prozent).

Neben diesen direkten Folgen drohen noch weitere indirekte Konsequenzen – etwa ein Rückgang der aktiven User, die durch verstärkte Sicherheitsmaßnahmen abgeschreckt werden, oder die Abwanderung zu Wettbewerbern. 

Auch der Frage, wie sich Unternehmen vor der steigenden Zahl von Credential-Stuffing-Attacken zu schützen versuchen, ist Aberdeen nachgegangen: Dabei zeigt sich eine zunehmende Vermeidung sowohl des Nutzername-Passwort-Modells als auch von Multi-Faktor-Authentifizierungslösungen: So werden etwa Mobile Apps für die Multifaktor-Authentifizierung derzeit in 42 Prozent der befragten Unternehmen eingesetzt – aber nur 24 Prozent befürworten eine zukünftige Einführung.

Ein starkes Innovationspotenzial sehen die Studienteilnehmer dagegen bei passwortlosen Ansätzen, die sowohl benutzerfreundlich als auch für die Anbieter kosteneffizient sind. Bislang haben zwar nur 20 Prozent kennwortlose (adaptive, kontextbasierte, transparente) Verfahren eingeführt, doch 46 Prozent planen dies für die Zukunft. 

Credential Stuffing bei Kriminellen weiter hoch im Kurs

Für die Angreifer ist Credential Stuffing derzeit eine gleich in mehrfacher Hinsicht attraktive Methode: Erstens lassen sich im Darknet leicht Listen mit Anmeldeinformationen beschaffen, die durch Datenpannen oder Hacks an die Öffentlichkeit gelangt sind.

Zweitens sind für alle Geschäftsbeziehungen, die auf digitalen Konten basieren, digitale Anmeldeinformationen notwendig – sie sind also, sofern keine zusätzlichen Sicherheitsmaßnahmen getroffen wurden, durch Brute-Force-Angriffe wie das Credential Stuffing verwundbar.

Zum dritten sind die Angriffe leicht automatisierbar: Die Täter müssen dafür nicht zwingend über Programmierkenntnisse verfügen, sondern können die benötigten Programme nach dem Software-as-a-Service-Prinzip im Darknet mieten.

Verschwinden dürfte dieses lukrative Geschäftsmodell erst, wenn die Mehrzahl der Unternehmen ihre Nutzerkonten auf sichere Verfahren wie die Multi-Faktor-Authentifizierung und insbesondere die passwortlose Authentifizierung umstellt.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*