Anzeige

Roboter mir Dollar-Noten

Akamai, die Intelligent Edge Platform für die sichere Bereitstellung digitaler Erlebnisse, hat einen neuen Forschungsbericht vorgestellt: Unternehmen verlieren durchschnittlich vier Millionen US-Dollar pro Jahr durch Credential-Stuffing-Angriffe.

Credential Stuffing setzt darauf, dass Nutzer für verschiedene Konten, Anwendungen und Services dieselbe Kombination aus Nutzername und Passwort verwenden. Cyberkriminelle nutzen gestohlene Kontodetails von einer Plattform und setzen Bots ein, um sich mit diesen Daten bei unzähligen anderen Plattformen anzumelden. Haben sie es einmal geschafft, nutzen die Kriminellen das Konto solange aus, bis der Besitzer es bemerkt. So kaufen sie beispielsweise Waren im Namen des echten Nutzers oder stehlen vertrauliche Informationen.

Die Forschungsergebnisse des Ponemon Institute zeigen, dass Umfang und Schwere von Credential Stuffing zunehmen. So erleben Unternehmen heute durchschnittlich elf Credential-Stuffing-Attacken pro Monat. Jeder dieser Angriffe zielt im Durchschnitt auf 1.041 Nutzerkonten ab und kann teure Anwendungsausfälle, Kundenverlust und gesteigerten Aufwand für IT-Sicherheitsteams bedeuten. Dadurch kommt es jährlich zu Schäden in Millionenhöhe: Für die Bereiche Anwendungsausfälle und erhöhte IT-Aufwände entstehen pro Unternehmen jeweils durchschnittlich 1,2 Millionen US-Dollar Verlust. Der Kundenverlust führt im Schnitt pro Unternehmen zu einem Schaden von 1,6 Millionen US-Dollar. Hinzu kommen die direkten Kosten, die durch die Betrugsversuche selbst entstehen.

„Wir sind daran gewöhnt, dass Listen gestohlener Nutzer-IDs und Passwörter im Dark Web kursieren“, erklärt Jay Coley, Senior Director for Security Planning and Strategy bei Akamai Technologies. „Doch die ständige Zunahme von Credential-Stuffing-Angriffen zeigt, wie groß die Gefahr wirklich ist. Cyberkriminelle setzen vermehrt auf Botnets, um die Listen mit Anmeldedaten auf den Login-Seiten anderer Unternehmen zu testen, und erweitern so den Umfang ihrer Attacken. Es liegt an den Unternehmen, diese Angriffsmethode zu unterbinden, um nicht nur Kunden und Mitarbeiter, sondern letztlich auch ihre Umsätze zu schützen.“


Dieses Whitepaper könnte Sie ebenfalls interessieren:

Credential Stuffing: Game Over Botnet

CREDENTIAL STUFFING - SCHÜTZEN SIE IHR ONLINE-GESCHÄFT

Credential Stuffing ist auf dem Vormarsch. Hacker besorgen sich gestohlene Anmeldedaten und setzen für ihre Anmeldeversuche Botnets ein. Dieses Whitepaper beschreibt Credential Stuffing und stellt die besten Ansätze vor, wie Unternehmen sich vor intelligenten und bösartigen Bots schützen können.

 Download 

Deutsch, 24 Seiten, PDF 2,2 MB, kostenlos 


Bewältigung der Komplexität

Die meisten Unternehmen bieten eine komplexe Angriffsfläche für den Missbrauch von Anmeldedaten. Wie die Forschungsergebnisse zeigen, setzen Unternehmen durchschnittlich 26,5 kundengerichtete Websites in ihrer Produktionsumgebung ein, die allesamt als Einstiegspunkt für Bots dienen können. Das Problem wird dadurch verstärkt, dass Unternehmen für verschiedene Clienttypen – darunter Kunden an Desktops oder Laptops (87 %), mobile Browser (65 %), Drittanbieter (40 %) und App-Nutzer (36 %) – unterschiedliche Login-Methoden bereitstellen müssen.

Die Komplexität der Angriffsfläche ist ein Grund dafür, dass nur ein Drittel der Unternehmen angibt, über ausreichend Transparenz hinsichtlich Credential-Stuffing-Attacken zu verfügen (35 %), und der Meinung ist, Angriffe auf ihre Websites schnell erkennen und beheben zu können (36 %).

Coley: „Moderne Websites sind weit verzweigt, können Hunderte oder sogar Tausende Seiten umfassen und unterstützen verschiedenste Client- und Traffic-Arten. Um sich erfolgreich vor Credential Stuffing zu schützen, müssen Unternehmen ihre Website-Architektur kennen und wissen, wie Clients zwischen den verschiedenen Seiten und Login-Endpoints navigieren.“

Identifizierung der Betrüger

Unternehmen bereitet es Probleme, die Betrüger zu erkennen. So stimmen 88 Prozent der Befragten zu, dass es schwierig sei, echte Mitarbeiter und Kunden von kriminellen Eindringlingen zu unterscheiden. Diese Herausforderung wird durch den Mangel an klarer Verantwortlichkeit im Unternehmen noch erschwert: Über ein Drittel (37 %) der Teilnehmer gibt an, dass bei ihnen keine zentrale Stelle für die Erkennung und Verhinderung von Credential-Stuffing-Angriffen verantwortlich sei.

Coley führt fort: „Bots lassen sich am besten besiegen, indem wir sie als das behandeln, was sie sind: nicht menschlich. Die meisten Bots verhalten sich nicht annähernd wie echte Menschen, doch ihre Methoden werden immer raffinierter. Deshalb brauchen Unternehmen Bot-Management-Tools, mit denen sie das Verhalten der Bots überwachen und Bots von echten Anmeldeversuchen unterscheiden können. Statt standardmäßiger Login-Systeme, die nur überprüfen, ob Nutzername und Passwort übereinstimmen, benötigen sie Lösungen, die Muster bei der Tastatureingabe, Mausbewegungen und sogar die Ausrichtung mobiler Geräte berücksichtigen. Angesichts der möglichen Kosten in Millionenhöhe war es nie wichtiger, Bots zu erkennen und sie aufzuhalten.“

Hintergrundinformationen:

Das Ponemon Institute hat 544 IT-Sicherheitsexperten in Europa, dem Nahen Osten und Afrika befragt, die Erfahrungen mit Credential-Stuffing-Angriffen haben und für die Sicherheit ihrer Unternehmenswebsites verantwortlich sind. Den vollständigen Bericht finden Sie hier.

www.akamai.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Die 10 wichtigsten Überlegungen zum Bot-Management
Apr 29, 2019

Die 10 wichtigsten Überlegungen zum Bot-Management

Bot-Management-Lösungen versprechen Schutz vor automatisierten Webrobotern (Bots), die…
Whitepaper Credential Stuffing
Mär 14, 2019

Credential Stuffing - Schützen Sie Ihr Online-Geschäft

Credential Stuffing ist auf dem Vormarsch. Hacker besorgen sich gestohlene Anmeldedaten…

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!