6. Juli 2021 Bernhard Lauer*

Nevis Security: Passwortfrei authentifizieren

Mit automatisiertem Durchprobieren gestohlener Login-Daten kapern Cyberkriminelle jährlich Millionen Nutzer-Accounts. Passwortfreie Authentisierung schiebt dem einen Riegel vor. [...]

(c) bsi.bund.de

Während der Corona-Pandemie hat die Zahl der Cyber-Attacken weiter zugenommen. Zu diesem Ergebnis kommt der vom Bundesinnenministerium gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene Bericht zur Lage der IT-Sicherheit in Deutschland 2020. Neben Schadsoftware, die für Ransomware-Angriffe auf Privatpersonen, Unternehmen, Behörden und andere Institutionen genutzt wird, spielt vor allem das sogenannte Credential Stuffing eine immer wichtigere Rolle in den Strategien der Kriminellen. Nevis Security gibt einen Überblick und nennt wirksame Gegenmaßnahmen.

Credential Stuffing, also das automatisierte „Durchprobieren“ von Benutzername-Passwort-Kombinationen bei verschiedenen Online-Diensten, hat seit 2019 einen starken Aufschwung erlebt: Ursache sind große Data Breaches etwa bei Marriott, Equifax oder LinkedIn, durch die eine Vielzahl an Login-Daten in die Hände von Kriminellen gelangten. Schwerer wiegt aber, dass rund 61 Prozent der User ihre Passwörter nicht nur einmal vergeben, sondern wiederverwenden. Ein einmal gestohlenes Passwort kann so als „Generalschlüssel“ zu verschiedensten Diensten fungieren.

Welche Goldgräberstimmung unter Cyberkriminellen herrscht, lässt sich auch mit einem Blick auf die Zahl der erfolgreichen Cyberattacken 2020 ermessen. Über 80 Prozent erfolgten mittels gestohlener Login-Daten oder Brute Force; bevorzugtes Angriffsziel waren mit mehr als 90 Prozent Web-Applikationen, so der Verizon Data Breach Investigations Report 2021. Tiefere Technik- oder Programmierkenntnisse müssen die Täter dabei nicht mitbringen: Geleakte Passwortlisten sind teils frei zugänglich oder lassen sich im Darknet käuflich erwerben. Ebenso einfach gestaltet sich der Zugang zu Tools fürs Credential Stuffing.

Ob und wo ein Login mit den gestohlenen oder gekauften Anmeldedaten möglich ist, testen die Kriminellen mithilfe eines rotierenden Proxys, der Hunderttausende von Anmelde-Informationen über mehrere Dienste hinweg ansteuert. Der zeitliche Aufwand liegt selbst für eine groß angelegte Attacke bei nur wenigen Minuten, um mehrere tausend bis zehntausende Accounts zu knacken.

Was ist Microsoft Intune?

Zwei-Faktor-Authentisierung richtig anwenden

Als wirkungsvolle Gegenmaßnahme für Privatanwender empfiehlt der Bericht des BSI – neben allgemeiner Sorgfalt im Umgang mit den eigenen Daten – eine Zwei-Faktor-Authentisierung, wann immer ein Onlinedienst diese anbietet. Ist diese Sicherheitsmaßnahme aktiv, reicht es nicht mehr aus, nur das Passwort zu kennen; zusätzlich muss der Anwender durch ein Merkmal, über das nur er allein verfügt, seine Identität zweifelsfrei nachweisen. Nutzen lassen sich dafür beispielsweise das SMS-TAN-Verfahren, Hardware-Keys oder verschiedene Authenticator-Apps.

Alle diese Verfahren haben aber gemeinsam, dass sie entweder unsicher sind – so können SMS von Kriminellen mit entsprechenden Softwaretools ohne weiteres abgefangen werden; die Geduld des Nutzers beim Abtippen von Zahlenkolonnen strapazieren oder schlicht nicht zur Hand sind, wenn sie benötigt werden, weil etwa der Hardware-Key im USB-Slot vergessen wurde.

Abhilfe schafft ein Verfahren, das Passwörter vollständig durch eine biometrische Authentisierung ersetzt und sowohl die Benutzerfreundlichkeit als auch die Sicherheit verbessert: die sogenannte passwortfreie Authentisierung. Sie nutzt die biometrischen Sensoren, die in modernen Smartphones verbaut sind und die eine eindeutige Identifizierung des Nutzers anhand seiner Gesichtszüge oder Fingerabdrücke ermöglichen, ohne dass sensible Daten jemals das Gerät verlassen. Da das Smartphone heute in fast jeder Lebenslage mit dabei ist, kann der Nutzer nahezu überall auf den sicheren Login per Authentisierungs-App zurückgreifen.

„Die passwortfreie Authentisierung dürfte damit entscheidend dazu beitragen, Sicherheitsprobleme wie das Credential Stuffing in den Griff zu bekommen“, so Stephan Schweizer, CEO von Nevis. „Gleichzeitig ist der Login per FaceID oder Fingerabdruck für Nutzer äußerst bequem. Unternehmen, die das Verfahren einsetzen, profitieren von der verbesserten User Experience und der daraus resultierenden stärkeren Kundenbindung.“

*Bernhard Lauer ist unter anderem freier Redakteur der dotnetpro und betreut hier beispielsweise die Rubrik Basic Instinct. Mit Visual Basic programmiert er privat seit der Version 1.0.


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*