Share
Beitragsbild zu E-Commerce boomt – auch bei Hackern

E-Commerce boomt – auch bei Hackern

Die Krise als Chance nutzen: Für wenige Bereiche gilt dieser Satz in der aktuellen Pandemie so stark wie für den E-Commerce. Doch je größer der Erfolg, desto attraktiver wird ein Online-Shop für Cyberkriminelle. So müssen Händler mit modernen Schutzmaßnahmen aktuelle Angriffe wie Credential Stuffing abwehren.

Seit dem ersten Lockdown kaufen viele Verbraucher online ein. So erzielte der deutsche B2C-E-Commerce 2020 einen Umsatz von rund 71,5 Millionen Euro – eine Steigerung um 20,7 Prozent zum Vorjahr. Ab April 2020 ist die Umsatzentwicklung im Versand- und Internet-Einzelhandel in Deutschland jeden Monat um 20 bis 30 Prozent im Vergleich zum Vorjahresmonat gestiegen. Das zeigen aktuelle Analysen von handelsdaten.de und statista.com.

Doch dieser Boom lockt auch Cyberkriminelle an. Gemäß dem Credential Stuffing Report 2021 hat sich die Zahl der jährlichen Vorfälle im Zusammenhang mit Zugangsdaten von 2016 bis 2020 fast verdoppelt. Beim so genannten Credential Stuffing werden große Mengen an gestohlenen Paaren aus Benutzername und Passwort bei zahlreichen Online-Anbietern ausprobiert, um Zugänge zu erschleichen. Laut einer weiteren Studie von F5 Labs haben solche Angriffe 32 Prozent aller gemeldeten Vorfälle in den Jahren 2018 bis 2020 ausgemacht.

Herkömmliche Abwehrmaßnahmen wie einfache Web Application Firewalls erkennen Credential Stuffing-Angriffe nicht, da sie wie eine legitime Nutzung aussehen. So kann dieser Identitätsdiebstahl zu erheblichen Verlusten führen, da Händler auf den dadurch entstandenen Kosten häufig sitzen bleiben.

Abwehrstrategie anpassen

Um sich davor zu schützen, müssen Online-Händler ihre Abwehrstrategien anpassen. Eine Möglichkeit wären Captchas. Diese sind zwar gegen simple automatisierte Angriffe wirksam, können jedoch von modernen Bots umgangen werden – und schrecken echte Kunden durch die umständlich einzutippenden Zeichen ab. Viele Unternehmen wollen Bot-basierte Attacken abwehren, indem sie IP-Adressen oder User-Agent-Strings blockieren. Doch Cyberkriminelle weichen mit dynamischen IP-Adressen oder alternativen Strings aus.

Damit Angriffe für Hacker zu aufwändig und kostspielig werden, sind folgende drei Schritte durchzuführen.

  1. Keine unnötigen Informationen senden: Es ist immer wieder überraschend, wie Hacker selbst unscheinbare Hinweise für ihre Zwecke nutzen. So lesen sie aus Antwortseiten wie „Dieses Konto existiert nicht, bitte versuchen Sie es erneut“ heraus, welche Konten für diesen Shop gültig sind. Das steigert die Effizienz von Credential Stuffing-Angriffen. Daher sind allgemeine Antworten besser wie: „Die Einwahl hat leider nicht funktioniert“.
  2. Schwachstellen finden: Die nächste Stufe sind Penetrationstests. Damit lässt sich ermitteln, wie leicht oder schwer es ist, einen Online-Shop erfolgreich anzugreifen. Mit Hilfe der entdeckten Schwachstellen lässt sich eine effektive Abwehrstrategie aufbauen.
  3. Maßnahmen aktualisieren: Der Wettlauf zwischen Security-Teams und Hackern geht ständig weiter. Daher sind die Schutzmaßnahmen regelmäßig zu aktualisieren und zu verbessern. So müssen Sicherheitsexperten immer über die neuesten Angriffsmethoden und Tools informiert sein, die im Dark Web und in Betrugsforen geteilt werden.

Maßnahmen gegen Credential Stuffing

Speziell gegen Credential Stuffing gibt es Sicherheitslösungen, die automatisierte Angriffe dieser Art erkennen. Sie gleichen zum Beispiel die eingegebenen Anmeldedaten mit einer Liste bereits kompromittierter Zugangsdaten oder bekannter gefährlicher IP-Adressen ab und verhindern verdächtige Zugriffe. Sie erkennen, wenn viele Login-Versuche in kurzer Zeit mit falschen Passwörtern, an unterschiedlichen oder ungewöhnlichen Standorten sowie durch einen Proxy verschleiert durchgeführt werden – vor allem zu außergewöhnlichen Uhrzeiten. Auch zu normalen Geschäftszeiten ermitteln diese Sicherheitstools die Login-Erfolgsrate und die Anzahl der Passwort-Rücksetzungsanfragen. Durch solche und weitere Charakteristika unterscheiden sich automatisierte und manuelle Eingaben, so dass sich darüber Bots entdecken lassen.

Diese Tools sollten Online-Händler mit einigen Best Practices unterstützen, um das Risiko weiter zu verringern. So sind Kunden darauf hinzuweisen, dass sie ein einzigartiges Passwort wählen, das sie noch nie verwendet haben. Dieses Passwort sollte aus großen und kleinen Buchstaben, Ziffern und Sonderzeichen bestehen. Das lässt sich mit automatischen Tools prüfen und entsprechenden Hinweisen bei Missachtung versehen.

Etwas aufwändiger gestaltet sich die Berücksichtigung des Kontextes. Wenn zum Beispiel ein Kunde alle Guthaben einlöst und einen ungewöhnlich großen Kauf tätigt oder ein anderes, untypisches Gerät benutzt, kann es sich um Identitätsdiebstahl handeln – oder den echten Kunden. Hier bringt nur eine Verhaltensanalyse und ein Datenabgleich mit bisherigen Besuchen der Website, eine persönliche Kontaktaufnahme oder eine Multifaktor-Authentifizierung Klarheit.

Fazit

Je nach Größe des Online-Shops sind geeignete Maßnahmen durchzuführen, um Credential Stuffing zu verhindern. Dabei sollte eines jedem noch so kleinen Händler klar sein: Heute ist nicht mehr die Frage, ob ein Shop angegriffen wird, sondern nur wie oft und von wem. Daher ist neben anderen Sicherheitsmaßnahmen ein guter Schutz vor gestohlenen Zugangsdaten wichtig.

Autor: Stephan Schulz, Security Specialist bei F5

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee”

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Featured image for “Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite”

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Featured image for “Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS”

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

Featured image for “CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen”

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Featured image for “Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen”

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen

Studien

Featured image for “Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum”

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

Featured image for “2023 State of the Cloud Report”

2023 State of the Cloud Report

Featured image for “Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen”

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

Featured image for “BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher”

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Featured image for “Wie Cloud-Technologie die Versicherungsbranche revolutioniert”

Wie Cloud-Technologie die Versicherungsbranche revolutioniert

Whitepaper

Featured image for “Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise”

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Featured image for “Aufkommende Trends in der externen Cyberabwehr”

Aufkommende Trends in der externen Cyberabwehr

Featured image for “Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen”

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Featured image for “Aktueller Datenschutzbericht: Risiko XXL am Horizont”

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Featured image for “Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen”

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen

Unter4Ohren

Featured image for “Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS”

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

Featured image for “DDoS – der stille Killer”

DDoS – der stille Killer

Featured image for “Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen”

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Featured image for “Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit”

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit

Featured image for “PwC Deutschland – Corporate Security Benchmarking Survey”

PwC Deutschland – Corporate Security Benchmarking Survey