Ihre Daten im Visier – was ist „Credential Stuffing“?

Ende der 1950er Jahre erfuhr der Begriff „Hacker:in“ erstmals Erwähnung von offizieller Seite. Was damals im überschaubaren Rahmen begann, wurde mit den Jahrzehnten immer perfider. Mittlerweile ist das sogenannte „Credential Stuffing“ zum Inbegriff für systematischen Datenmissbrauch geworden. Dabei verwenden Cyberkriminelle die gestohlenen Informationen nicht bloß für ihre eigenen Machenschaften, sondern nutzen diese auch regelmäßig als lukrative Einnahmequelle durch den Weiterverkauf auf dem Schwarzmarkt.

Was den Online-Betrüger:innen in die Karten spielt, ist die Bequemlichkeit der Web-Nutzer:innen. Obwohl Sicherheitsexpert:innen dazu raten, ein starkes Passwort mit Hilfe eines Passwortmanagers zu generieren, scheitert es bereits oft an den Grundlagen. Wer sich heutzutage ausreichend schützen möchte, benötigt jedoch mehr als bloß Beharrlichkeit, Fantasie und ein gutes Gedächtnis. Wir decken für Sie alle Tricks des Credential Stuffings auf und verraten, wie Sie sich und Ihr Unternehmen schützen können.

Aus Gründen des Komforts setzen viele Internet-Nutzer:innen auf ein und dasselbe Passwort – für alle E-Mail-Accounts, für Social Media und schlimmstenfalls sogar für PayPal und ähnliche Payment-Dienste. Aus eben dieser Naivität entstammen die Ursprünge des heutigen Credential Stuffings. Sind universelle Login-Daten erst einmal ergaunert, ist es für Cyberkriminelle ein Leichtes, diese systematisch und lukrativ für die eigenen Zwecke zu missbrauchen.

Um an ihr Ziel zu gelangen, rüsten sich die Angreifer:innen mit sogenannten Combolists aus. Dabei handelt es sich um Adresslisten, die Millionen von aktiven E-Mail-Adressen enthalten und über das Darknet zu Schnäppchenpreisen ergattert werden. Die Details derartiger Combolists entstammen Datenlecks oder vorangegangenen Cyberangriffen.

Unter Zuhilfenahme automatisierter Bots werden die erlangten Informationen auf Login-Übereinstimmungen geprüft. Als Angriffsmethode wählen die Hacker:innen meist die sogenannte Brute-Force-Attacke. Abgesicherte Zugänge, darunter beispielsweise die Verbindung zum E-Mail-Account, werden durch die wiederholte Eingabe von Nutzer:in-Passwort-Kombinationen systematisch aufgebrochen. Schnell und unauffällig arbeiten die Bots endlose Listen mit beliebten Passwörtern ab. Eine hohe Rechenleistung stellt sicher, dass die Angreifer:innen innerhalb weniger Stunden mehrere Millionen Varianten überprüfen können. Einfache, vorhersehbare Passwörter sind daher besonders gefährdet.

Über die Methode des Credential Stuffings können Hacker:innen in kürzester Zeit zahlreiche Login-Daten ausfindig machen. Treffer zu aktiven Accounts nutzen sie entweder selbst für ihre Machenschaften oder sie verkaufen die Daten über das Darknet an andere Cyberkriminelle. Insbesondere Unternehmen und Institutionen leiden oftmals noch Jahre später unter den Auswirkungen der Web-Attacke. Die Schäden des Credential Stuffings wirken sich dabei zumeist auf drei Ebenen aus:
 

1. Wirtschaftliche Einbußen durch Credential Stuffing

Unternehmen stehen in der Pflicht, ihre Kund:innen vor einem Datenmissbrauch zu schützen. Kommt es dennoch zu einer nachteiligen Attacke für die Konsument:innen, haftet der Konzern. Zahlreiche Ansprüche auf Rückerstattung können die Folge sein. Diese haben in der Vergangenheit nicht selten zu wirtschaftlichen Katastrophen in Millionenhöhe geführt, mit denen betroffene Unternehmen jahrelang zu kämpfen hatten.
 

2. Image-Zerstörung durch Credential Stuffing

Unternehmen leiden nicht bloß unter den direkten Auswirkungen des Credential Stuffings. Auch indirekte Konsequenzen gefährden die Existenzgrundlage von Firmen. Allen voran ist es ein gestörtes Vertrauensverhältnis zur Kundschaft, das sich finanziell in existenzbedrohender Höhe auswirken kann. Eine einzige unbedachte Passwortkombination kann es erforderlich machen, dass Kundschaftbeziehungen über Jahre hinweg und unter Aufwendung enormer Investitionen wiederaufgebaut werden müssen.
 

3. Destruktive Datenmanipulation durch Credential Stuffing

Je länger der Missbrauch an den eigenen Daten unentdeckt bleibt, desto mehr Zerstörung können Hacker:innen anrichten. Erhalten die Cyberkriminellen Zugriff auf Ihre Daten, können diese all Ihre Informationen nach Belieben verändern, manipulieren oder sogar unwiderruflich löschen. Einerseits wird dadurch die Arbeit aller Mitarbeiter:innen erschwert oder gar unmöglich gemacht, andererseits folgen unter Umständen kostspielige Schadensersatzansprüche und ein irreparabler Image-Verlust.

Von Instagram über Facebook bis hin zu Adobe und Microsoft: Nahezu jede Web-Branche musste sich bereits als Opfer des Diebstahls von persönlichen Kund:innendaten outen. So gab sich auch T-Mobile erst im vergangenen Jahr einem Cyberangriff geschlagen, bei dem Hacker:innen die Daten von 7,8 Millionen Mobilfunkkund:innen erbeuteten. Neben Namen, Passwörtern und Geburtsangaben wurden auch finanzielle und sehr persönliche Daten geraubt. Selbst Sozialversicherungsnummern, Führerscheinangaben und Kreditkartennummern blieben nicht verschont.

Obwohl prinzipiell jede Branche über ihre genutzten Web-Dienste zum Ziel von Credential Stuffing werden kann, stehen insbesondere Portale mit hohen Finanz-Transaktionen im Visier der Kriminellen. So sind es meist Banken, Payment- oder Reise-Dienstleister, die betroffen sind – und die gleichzeitig mit den größten Schäden zu rechnen haben.

Ob für Privatpersonen oder als Unternehmen: Um dem gefürchteten Credential Stuffing Einhalt zu gebieten, eröffnen sich Ihnen mehrere Möglichkeiten. Als besonders effektiv zeigte sich ein Spagat aus Sicherheit und Usability.

So stellt die Kombination aus komplexer Passwortwahl und nachgelagertem Human Interaction Proof-Verfahren eine wirksame Option im Kampf gegen kostspielige Cyberangriffe dar. Verworrene Vorgaben an Passwörter sowie zeitaufwendige Captchas erhöhen zwar die Sicherheit der Benutzer:innendaten, sorgen andererseits aber auch schnell für Frust bei den Mitarbeiter:innen. Leider stellen Captchas mittlerweile außerdem keine unüberwindbare Hürde mehr für die angriffslustigen Betrüger:innen dar. Längst haben sich zahlreiche Drittanbieter:innen etabliert, die sich mit einer Armee von Billiglöhnern¹ auf das Lösen von Captcha-Aufforderungen spezialisiert haben.

Eine deutlich effektivere Maßnahme stellt hingegen die systematische Reglementierung automatischer Anfragen dar. Hier werden heimtückische Bots mit Hilfe von spezieller Software ausfindig gemacht, identifiziert und rigoros blockiert. Harmlose Bots, die beispielsweise von Suchanfragen ausgehen, bleiben hingegen toleriert. Als vorgelagerte Schutzinstanz bewahrt ein solches Bot-Management-System Sie, Ihr Unternehmen und Ihre Webanwendungen nachhaltig vor Credential Stuffing. Noch bevor virtuelle Angriffe einen Schaden anrichten können, wird schädlicher Traffic unterbunden.

Nutzen Sie noch heute Ihre Chance und evaluieren Sie Ihre Sicherheitslage Hand in Hand mit den Profis von IYS. Schärfen Sie Ihr Bewusstsein für Cyberattacken und ersparen Sie sich die kostspieligen Nachwehen von Credential Stuffing-Angriffen. Vorsicht ist besser als Nachsicht – mit einer robusten und nachhaltigen Sicherheitsstrategie von IYS sind Sie den Hacker:innen stets einen Schritt voraus!

^{_{¹Aus Gründen der Lesbarkeit wurde hier die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angabe auf Angehörige aller Geschlechter.}}