
Mithilfe geleakter Passwort-Datenbanken gelingt es Cyberkriminellen immer wieder, Nutzerkonten zu übernehmen. Zum Einsatz kommen dabei hochautomatisierte Werkzeuge, die innerhalb weniger Minuten Millionen Kombinationen aus Nutzernamen und Passwörtern durchprobieren. Auf diese Weise kann bereits ein einziger dieser sogenannten Credential-Stuffing-Angriffe tausende von Opfern nach sich ziehen. Für Unternehmen mit starkem Online-Fokus sind solche Kontoübernahmen mittlerweile zu einem finanziellen Geschäftsrisiko geworden, das bis zu neun Prozent der Umsätze verschlingt – so das Ergebnis einer Studie, die die Strategieberatung Aberdeen im Auftrag des Schweizer Security-Spezialisten Nevis durchgeführt hat.
Für die Untersuchung hat sich Aberdeen auf zehn ausgewählte B2C-Kategorien im EMEA-Raum konzentriert: Zum einen Geschäftsbanken, Kreditgenossenschaften, Sparinstitute und Finanztechnologie, aber auch Sach- und Unfallversicherungen sowie Unterhaltungselektronik, Netzwerke von Anbietern von Gesundheitsfürsorgeleistungen, Online-Glücksspiele, Telekommunikation und Energieversorger. Dabei zeigte sich, wie weit Credential-Stuffing-Angriffe aktuell verbreitet sind: 76 Prozent der Befragten gaben an, dass einige ihrer Online-Nutzer in den vergangenen zwölf Monaten Opfer erfolgreicher Kontoübernahmen geworden seien.
Cyberangriffe beeinträchtigen Rentabilität
Die Untersuchung macht auch das dramatische Ausmaß der dadurch entstehenden Schäden deutlich. Die Kosten erfolgreicher Cyberangriffe summieren sich rasch zu signifikanten Beträgen, die nicht einfach als unvermeidliche „Geschäftskosten“ abgetan werden können: So gehen bei Geschäftsbanken 3,4 bis 5,28 Prozent Umsatz durch Credential Stuffing verloren; im Bereich Fintech sind es sogar zwischen 5,57 bis 8,96 Prozent. Auch Branchen außerhalb der Finanzwelt sind in vergleichbarem Maße betroffen: so belaufen sich die Umsatzverluste durch illegale Kontoübernahmen bei Healthcare-Providern auf 4,45 bis 5,79 Prozent. Selbst im streng reglementierten und daher in besonderem Maße auf Sicherheit bedachten Glücksspiel-Sektor schlagen die Verluste mit 5,02 bis 8,2 Prozent zu Buche.
Steht der Zugang zu einem Nutzerkonto erst einmal offen, können das die Kriminellen für verschiedenste Zwecke ausnutzen. Nach der Erhebung von Aberdeen kommt es vor allem zu betrügerischen Transaktionen (39 Prozent), zur Erstellung von neuen Konten (34 Prozent) sowie zur fehlerhaften Ablehnung von Kartenzahlungen (34 Prozent). Weitere typische Folgen der Kontoübernahmen sind Rückbelastungen (18 Prozent), der Transfer von Geldern oder anderen fungiblen Werten (11 Prozent), betrügerische Einkäufe (11 Prozent) sowie der Diebstahl von digitalen Inhalten und Dienstleistungen (11 Prozent). Neben diesen direkten Folgen drohen noch weitere indirekte Konsequenzen – etwa ein Rückgang der aktiven User, die durch verstärkte Sicherheitsmaßnahmen abgeschreckt werden, oder die Abwanderung zu Wettbewerbern.
Auch der Frage, wie sich Unternehmen vor der steigenden Zahl von Credential-Stuffing-Attacken zu schützen versuchen, ist Aberdeen nachgegangen: Dabei zeigt sich eine zunehmende Vermeidung sowohl des Nutzername-Passwort-Modells als auch von Multi-Faktor-Authentifizierungslösungen: So werden etwa Mobile Apps für die Multifaktor-Authentifizierung derzeit in 42 Prozent der befragten Unternehmen eingesetzt – aber nur 24 Prozent befürworten eine zukünftige Einführung. Ein starkes Innovationspotenzial sehen die Studienteilnehmer dagegen bei passwortlosen Ansätzen, die sowohl benutzerfreundlich als auch für die Anbieter kosteneffizient sind. Bislang haben zwar nur 20 Prozent kennwortlose (adaptive, kontextbasierte, transparente) Verfahren eingeführt, doch 46 Prozent planen dies für die Zukunft.
Credential Stuffing bei Kriminellen weiter hoch im Kurs
Für die Angreifer ist Credential Stuffing derzeit eine gleich in mehrfacher Hinsicht attraktive Methode: Erstens lassen sich im Darknet leicht Listen mit Anmeldeinformationen beschaffen, die durch Datenpannen oder Hacks an die Öffentlichkeit gelangt sind. Zweitens sind für alle Geschäftsbeziehungen, die auf digitalen Konten basieren, digitale Anmeldeinformationen notwendig – sie sind also, sofern keine zusätzlichen Sicherheitsmaßnahmen getroffen wurden, durch Brute-Force-Angriffe wie das Credential Stuffing verwundbar. Zum dritten sind die Angriffe leicht automatisierbar: Die Täter müssen dafür nicht zwingend über Programmierkenntnisse verfügen, sondern können die benötigten Programme nach dem Software-as-a-Service-Prinzip im Darknet mieten.
Verschwinden dürfte dieses lukrative Geschäftsmodell erst, wenn die Mehrzahl der Unternehmen ihre Nutzerkonten auf sichere Verfahren wie die Multi-Faktor-Authentifizierung und insbesondere die passwortlose Authentifizierung umstellt.
Fachartikel

Wie die Analyse des Benutzer- und Entitätsverhaltens zur Cybersicherheit beiträgt

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
