
Die Krise als Chance nutzen: Für wenige Bereiche gilt dieser Satz in der aktuellen Pandemie so stark wie für den E-Commerce. Doch je größer der Erfolg, desto attraktiver wird ein Online-Shop für Cyberkriminelle. So müssen Händler mit modernen Schutzmaßnahmen aktuelle Angriffe wie Credential Stuffing abwehren.
Seit dem ersten Lockdown kaufen viele Verbraucher online ein. So erzielte der deutsche B2C-E-Commerce 2020 einen Umsatz von rund 71,5 Millionen Euro – eine Steigerung um 20,7 Prozent zum Vorjahr. Ab April 2020 ist die Umsatzentwicklung im Versand- und Internet-Einzelhandel in Deutschland jeden Monat um 20 bis 30 Prozent im Vergleich zum Vorjahresmonat gestiegen. Das zeigen aktuelle Analysen von handelsdaten.de und statista.com.
Doch dieser Boom lockt auch Cyberkriminelle an. Gemäß dem Credential Stuffing Report 2021 hat sich die Zahl der jährlichen Vorfälle im Zusammenhang mit Zugangsdaten von 2016 bis 2020 fast verdoppelt. Beim so genannten Credential Stuffing werden große Mengen an gestohlenen Paaren aus Benutzername und Passwort bei zahlreichen Online-Anbietern ausprobiert, um Zugänge zu erschleichen. Laut einer weiteren Studie von F5 Labs haben solche Angriffe 32 Prozent aller gemeldeten Vorfälle in den Jahren 2018 bis 2020 ausgemacht.
Herkömmliche Abwehrmaßnahmen wie einfache Web Application Firewalls erkennen Credential Stuffing-Angriffe nicht, da sie wie eine legitime Nutzung aussehen. So kann dieser Identitätsdiebstahl zu erheblichen Verlusten führen, da Händler auf den dadurch entstandenen Kosten häufig sitzen bleiben.
Abwehrstrategie anpassen
Um sich davor zu schützen, müssen Online-Händler ihre Abwehrstrategien anpassen. Eine Möglichkeit wären Captchas. Diese sind zwar gegen simple automatisierte Angriffe wirksam, können jedoch von modernen Bots umgangen werden – und schrecken echte Kunden durch die umständlich einzutippenden Zeichen ab. Viele Unternehmen wollen Bot-basierte Attacken abwehren, indem sie IP-Adressen oder User-Agent-Strings blockieren. Doch Cyberkriminelle weichen mit dynamischen IP-Adressen oder alternativen Strings aus.
Damit Angriffe für Hacker zu aufwändig und kostspielig werden, sind folgende drei Schritte durchzuführen.
- Keine unnötigen Informationen senden: Es ist immer wieder überraschend, wie Hacker selbst unscheinbare Hinweise für ihre Zwecke nutzen. So lesen sie aus Antwortseiten wie „Dieses Konto existiert nicht, bitte versuchen Sie es erneut“ heraus, welche Konten für diesen Shop gültig sind. Das steigert die Effizienz von Credential Stuffing-Angriffen. Daher sind allgemeine Antworten besser wie: „Die Einwahl hat leider nicht funktioniert“.
- Schwachstellen finden: Die nächste Stufe sind Penetrationstests. Damit lässt sich ermitteln, wie leicht oder schwer es ist, einen Online-Shop erfolgreich anzugreifen. Mit Hilfe der entdeckten Schwachstellen lässt sich eine effektive Abwehrstrategie aufbauen.
- Maßnahmen aktualisieren: Der Wettlauf zwischen Security-Teams und Hackern geht ständig weiter. Daher sind die Schutzmaßnahmen regelmäßig zu aktualisieren und zu verbessern. So müssen Sicherheitsexperten immer über die neuesten Angriffsmethoden und Tools informiert sein, die im Dark Web und in Betrugsforen geteilt werden.
Maßnahmen gegen Credential Stuffing
Speziell gegen Credential Stuffing gibt es Sicherheitslösungen, die automatisierte Angriffe dieser Art erkennen. Sie gleichen zum Beispiel die eingegebenen Anmeldedaten mit einer Liste bereits kompromittierter Zugangsdaten oder bekannter gefährlicher IP-Adressen ab und verhindern verdächtige Zugriffe. Sie erkennen, wenn viele Login-Versuche in kurzer Zeit mit falschen Passwörtern, an unterschiedlichen oder ungewöhnlichen Standorten sowie durch einen Proxy verschleiert durchgeführt werden – vor allem zu außergewöhnlichen Uhrzeiten. Auch zu normalen Geschäftszeiten ermitteln diese Sicherheitstools die Login-Erfolgsrate und die Anzahl der Passwort-Rücksetzungsanfragen. Durch solche und weitere Charakteristika unterscheiden sich automatisierte und manuelle Eingaben, so dass sich darüber Bots entdecken lassen.
Diese Tools sollten Online-Händler mit einigen Best Practices unterstützen, um das Risiko weiter zu verringern. So sind Kunden darauf hinzuweisen, dass sie ein einzigartiges Passwort wählen, das sie noch nie verwendet haben. Dieses Passwort sollte aus großen und kleinen Buchstaben, Ziffern und Sonderzeichen bestehen. Das lässt sich mit automatischen Tools prüfen und entsprechenden Hinweisen bei Missachtung versehen.
Etwas aufwändiger gestaltet sich die Berücksichtigung des Kontextes. Wenn zum Beispiel ein Kunde alle Guthaben einlöst und einen ungewöhnlich großen Kauf tätigt oder ein anderes, untypisches Gerät benutzt, kann es sich um Identitätsdiebstahl handeln – oder den echten Kunden. Hier bringt nur eine Verhaltensanalyse und ein Datenabgleich mit bisherigen Besuchen der Website, eine persönliche Kontaktaufnahme oder eine Multifaktor-Authentifizierung Klarheit.
Fazit
Je nach Größe des Online-Shops sind geeignete Maßnahmen durchzuführen, um Credential Stuffing zu verhindern. Dabei sollte eines jedem noch so kleinen Händler klar sein: Heute ist nicht mehr die Frage, ob ein Shop angegriffen wird, sondern nur wie oft und von wem. Daher ist neben anderen Sicherheitsmaßnahmen ein guter Schutz vor gestohlenen Zugangsdaten wichtig.
Autor: Stephan Schulz, Security Specialist bei F5
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
