Mit automatisiertem Durchprobieren gestohlener Login-Daten kapern Cyberkriminelle jährlich Millionen Nutzer-Accounts. Passwortfreie Authentisierung schiebt dem einen Riegel vor.
Während der Corona-Pandemie hat die Zahl der Cyber-Attacken weiter zugenommen. Zu diesem Ergebnis kommt der vom Bundesinnenministerium gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene Bericht zur Lage der IT-Sicherheit in Deutschland 2020. Neben Schadsoftware, die für Ransomware-Angriffe auf Privatpersonen, Unternehmen, Behörden und andere Institutionen genutzt wird, spielt vor allem das sogenannte Credential Stuffing eine immer wichtigere Rolle in den Strategien der Kriminellen.. Nevis Security, führender Entwickler von Sicherheitslösungen, gibt einen Überblick und nennt wirksame Gegenmaßnahmen.
Credential Stuffing, also das automatisierte „Durchprobieren“ von Benutzername-Passwort-Kombinationen bei verschiedenen Online-Diensten, hat seit 2019 einen starken Aufschwung erlebt: Ursache sind große Data Breaches etwa bei Marriott, Equifax oder LinkedIn, durch die eine Vielzahl an Login-Daten in die Hände von Kriminellen gelangten. Schwerer wiegt aber, dass rund 61 Prozent der User ihre Passwörter nicht nur einmal vergeben, sondern wiederverwenden. Ein einmal gestohlenes Passwort kann so als „Generalschlüssel“ zu verschiedensten Diensten fungieren.
Welche Goldgräberstimmung unter Cyberkriminellen herrscht, lässt sich auch mit einem Blick auf die Zahl der erfolgreichen Cyberattacken 2020 ermessen. Über 80 Prozent erfolgten mittels gestohlener Login-Daten oder Brute Force; bevorzugtes Angriffsziel waren mit mehr als 90 Prozent Web-Applikationen, so der Verizon Data Breach Investigations Report 2021. Tiefere Technik- oder Programmierkenntnisse müssen die Täter dabei nicht mitbringen: Geleakte Passwortlisten sind teils frei zugänglich oder lassen sich im Darknet käuflich erwerben. Ebenso einfach gestaltet sich der Zugang zu Tools fürs Credential Stuffing.
Ob und wo ein Login mit den gestohlenen oder gekauften Anmeldedaten möglich ist, testen die Kriminellen mithilfe eines rotierenden Proxys, der Hunderttausende von Anmelde-Informationen über mehrere Dienste hinweg ansteuert. Der zeitliche Aufwand liegt selbst für eine groß angelegte Attacke bei nur wenigen Minuten, um mehrere tausend bis zehntausende Accounts zu knacken.
Zwei-Faktor-Authentisierung richtig anwenden
Als wirkungsvolle Gegenmaßnahme für Privatanwender empfiehlt der Bericht des BSI – neben allgemeiner Sorgfalt im Umgang mit den eigenen Daten – eine Zwei-Faktor-Authentisierung, wann immer ein Onlinedienst diese anbietet. Ist diese Sicherheitsmaßnahme aktiv, reicht es nicht mehr aus, nur das Passwort zu kennen; zusätzlich muss der Anwender durch ein Merkmal, über das nur er allein verfügt, seine Identität zweifelsfrei nachweisen. Nutzen lassen sich dafür beispielsweise das SMS-TAN-Verfahren, Hardware-Keys oder verschiedene Authenticator-Apps.
Alle diese Verfahren haben aber gemeinsam, dass sie entweder unsicher sind – so können SMS von Kriminellen mit entsprechenden Softwaretools ohne weiteres abgefangen werden; die Geduld des Nutzers beim Abtippen von Zahlenkolonnen strapazieren oder schlicht nicht zur Hand sind, wenn sie benötigt werden, weil etwa der Hardware-Key im USB-Slot vergessen wurde.
Abhilfe schafft ein Verfahren, das Passwörter vollständig durch eine biometrische Authentisierung ersetzt und sowohl die Benutzerfreundlichkeit als auch die Sicherheit verbessert: die sogenannte passwortfreie Authentisierung. Sie nutzt die biometrischen Sensoren, die in modernen Smartphones verbaut sind und die eine eindeutige Identifizierung des Nutzers anhand seiner Gesichtszüge oder Fingerabdrücke ermöglichen, ohne dass sensible Daten jemals das Gerät verlassen. Da das Smartphone heute in fast jeder Lebenslage mit dabei ist, kann der Nutzer nahezu überall auf den sicheren Login per Authentisierungs-App zurückgreifen.
„Die passwortfreie Authentisierung dürfte damit entscheidend dazu beitragen, Sicherheitsprobleme wie das Credential Stuffing in den Griff zu bekommen“, so Stephan Schweizer, CEO von Nevis. „Gleichzeitig ist der Login per FaceID oder Fingerabdruck für Nutzer äußerst bequem. Unternehmen, die das Verfahren einsetzen, profitieren von der verbesserten User Experience und der daraus resultierenden stärkeren Kundenbindung.“
Fachartikel
Eine Festung im Datenmeer: Cloud-Immutabilität als Schild gegen Ransomware-Bedrohungen
Hohe Wirtschaftlichkeit dank Automatisierung und Künstlicher Intelligenz
Sechs Gründe für den Einsatz einer Firewall im Unternehmen
Passwort-Manager für MSP: Fünf wichtige Funktionen
Vorteile von SSO (Single Sign-on) für die IT-Sicherheit
Studien
Studie: Fehlende Rechtssicherheit für Big Data und KI
Accenture-Umfrage: CEOs sehen ihre Unternehmen nicht gewappnet gegen Cyberangriffe
Neue ISACA-Studie: Geschäfts- und IT-Fachexperten besorgt über die Verwendung von generativer KI durch bösartige Akteure
Mehr als 50% der Unternehmen nutzt „archaische“ Excel-Tabellen für SAP-Änderungsmanagement – trotz SAPs Einstieg in generative KI
Studie zeigt: Passwörter sind bald passé
Whitepaper
Unter4Ohren
Unified-Endpoint Management und Mobile Threat Defense – die perfekte Ergänzung
Wie macht man SAP-Entwickler glücklich?
EZB Cyber Resilience Stress Test 2024: Wie resilient ist das europäische Bankensystem?
SAP RFC-Bausteine richtig absichern
