E-Commerce boomt – auch bei Hackern

Die Krise als Chance nutzen: Für wenige Bereiche gilt dieser Satz in der aktuellen Pandemie so stark wie für den E-Commerce. Doch je größer der Erfolg, desto attraktiver wird ein Online-Shop für Cyberkriminelle. So müssen Händler mit modernen Schutzmaßnahmen aktuelle Angriffe wie Credential Stuffing abwehren.

Seit dem ersten Lockdown kaufen viele Verbraucher online ein. So erzielte der deutsche B2C-E-Commerce 2020 einen Umsatz von rund 71,5 Millionen Euro – eine Steigerung um 20,7 Prozent zum Vorjahr. Ab April 2020 ist die Umsatzentwicklung im Versand- und Internet-Einzelhandel in Deutschland jeden Monat um 20 bis 30 Prozent im Vergleich zum Vorjahresmonat gestiegen. Das zeigen aktuelle Analysen von handelsdaten.de und statista.com.

Doch dieser Boom lockt auch Cyberkriminelle an. Gemäß dem Credential Stuffing Report 2021 hat sich die Zahl der jährlichen Vorfälle im Zusammenhang mit Zugangsdaten von 2016 bis 2020 fast verdoppelt. Beim so genannten Credential Stuffing werden große Mengen an gestohlenen Paaren aus Benutzername und Passwort bei zahlreichen Online-Anbietern ausprobiert, um Zugänge zu erschleichen. Laut einer weiteren Studie von F5 Labs haben solche Angriffe 32 Prozent aller gemeldeten Vorfälle in den Jahren 2018 bis 2020 ausgemacht.

Herkömmliche Abwehrmaßnahmen wie einfache Web Application Firewalls erkennen Credential Stuffing-Angriffe nicht, da sie wie eine legitime Nutzung aussehen. So kann dieser Identitätsdiebstahl zu erheblichen Verlusten führen, da Händler auf den dadurch entstandenen Kosten häufig sitzen bleiben.

Abwehrstrategie anpassen

Um sich davor zu schützen, müssen Online-Händler ihre Abwehrstrategien anpassen. Eine Möglichkeit wären Captchas. Diese sind zwar gegen simple automatisierte Angriffe wirksam, können jedoch von modernen Bots umgangen werden – und schrecken echte Kunden durch die umständlich einzutippenden Zeichen ab. Viele Unternehmen wollen Bot-basierte Attacken abwehren, indem sie IP-Adressen oder User-Agent-Strings blockieren. Doch Cyberkriminelle weichen mit dynamischen IP-Adressen oder alternativen Strings aus.

Damit Angriffe für Hacker zu aufwändig und kostspielig werden, sind folgende drei Schritte durchzuführen.

1. Keine unnötigen Informationen senden: Es ist immer wieder überraschend, wie Hacker selbst unscheinbare Hinweise für ihre Zwecke nutzen. So lesen sie aus Antwortseiten wie „Dieses Konto existiert nicht, bitte versuchen Sie es erneut“ heraus, welche Konten für diesen Shop gültig sind. Das steigert die Effizienz von Credential Stuffing-Angriffen. Daher sind allgemeine Antworten besser wie: „Die Einwahl hat leider nicht funktioniert“.
2. Schwachstellen finden: Die nächste Stufe sind Penetrationstests. Damit lässt sich ermitteln, wie leicht oder schwer es ist, einen Online-Shop erfolgreich anzugreifen. Mit Hilfe der entdeckten Schwachstellen lässt sich eine effektive Abwehrstrategie aufbauen.
3. Maßnahmen aktualisieren: Der Wettlauf zwischen Security-Teams und Hackern geht ständig weiter. Daher sind die Schutzmaßnahmen regelmäßig zu aktualisieren und zu verbessern. So müssen Sicherheitsexperten immer über die neuesten Angriffsmethoden und Tools informiert sein, die im Dark Web und in Betrugsforen geteilt werden.

Maßnahmen gegen Credential Stuffing

Speziell gegen Credential Stuffing gibt es Sicherheitslösungen, die automatisierte Angriffe dieser Art erkennen. Sie gleichen zum Beispiel die eingegebenen Anmeldedaten mit einer Liste bereits kompromittierter Zugangsdaten oder bekannter gefährlicher IP-Adressen ab und verhindern verdächtige Zugriffe. Sie erkennen, wenn viele Login-Versuche in kurzer Zeit mit falschen Passwörtern, an unterschiedlichen oder ungewöhnlichen Standorten sowie durch einen Proxy verschleiert durchgeführt werden – vor allem zu außergewöhnlichen Uhrzeiten. Auch zu normalen Geschäftszeiten ermitteln diese Sicherheitstools die Login-Erfolgsrate und die Anzahl der Passwort-Rücksetzungsanfragen. Durch solche und weitere Charakteristika unterscheiden sich automatisierte und manuelle Eingaben, so dass sich darüber Bots entdecken lassen.

Diese Tools sollten Online-Händler mit einigen Best Practices unterstützen, um das Risiko weiter zu verringern. So sind Kunden darauf hinzuweisen, dass sie ein einzigartiges Passwort wählen, das sie noch nie verwendet haben. Dieses Passwort sollte aus großen und kleinen Buchstaben, Ziffern und Sonderzeichen bestehen. Das lässt sich mit automatischen Tools prüfen und entsprechenden Hinweisen bei Missachtung versehen.

Etwas aufwändiger gestaltet sich die Berücksichtigung des Kontextes. Wenn zum Beispiel ein Kunde alle Guthaben einlöst und einen ungewöhnlich großen Kauf tätigt oder ein anderes, untypisches Gerät benutzt, kann es sich um Identitätsdiebstahl handeln – oder den echten Kunden. Hier bringt nur eine Verhaltensanalyse und ein Datenabgleich mit bisherigen Besuchen der Website, eine persönliche Kontaktaufnahme oder eine Multifaktor-Authentifizierung Klarheit.

Fazit

Je nach Größe des Online-Shops sind geeignete Maßnahmen durchzuführen, um Credential Stuffing zu verhindern. Dabei sollte eines jedem noch so kleinen Händler klar sein: Heute ist nicht mehr die Frage, ob ein Shop angegriffen wird, sondern nur wie oft und von wem. Daher ist neben anderen Sicherheitsmaßnahmen ein guter Schutz vor gestohlenen Zugangsdaten wichtig.

Autor: Stephan Schulz, Security Specialist bei F5