Anzeige

Anzeige

VERANSTALTUNGEN

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

Anzeige

Anzeige

Roboter mir Dollar-Noten

Akamai, die Intelligent Edge Platform für die sichere Bereitstellung digitaler Erlebnisse, hat einen neuen Forschungsbericht vorgestellt: Unternehmen verlieren durchschnittlich vier Millionen US-Dollar pro Jahr durch Credential-Stuffing-Angriffe.

Credential Stuffing setzt darauf, dass Nutzer für verschiedene Konten, Anwendungen und Services dieselbe Kombination aus Nutzername und Passwort verwenden. Cyberkriminelle nutzen gestohlene Kontodetails von einer Plattform und setzen Bots ein, um sich mit diesen Daten bei unzähligen anderen Plattformen anzumelden. Haben sie es einmal geschafft, nutzen die Kriminellen das Konto solange aus, bis der Besitzer es bemerkt. So kaufen sie beispielsweise Waren im Namen des echten Nutzers oder stehlen vertrauliche Informationen.

Die Forschungsergebnisse des Ponemon Institute zeigen, dass Umfang und Schwere von Credential Stuffing zunehmen. So erleben Unternehmen heute durchschnittlich elf Credential-Stuffing-Attacken pro Monat. Jeder dieser Angriffe zielt im Durchschnitt auf 1.041 Nutzerkonten ab und kann teure Anwendungsausfälle, Kundenverlust und gesteigerten Aufwand für IT-Sicherheitsteams bedeuten. Dadurch kommt es jährlich zu Schäden in Millionenhöhe: Für die Bereiche Anwendungsausfälle und erhöhte IT-Aufwände entstehen pro Unternehmen jeweils durchschnittlich 1,2 Millionen US-Dollar Verlust. Der Kundenverlust führt im Schnitt pro Unternehmen zu einem Schaden von 1,6 Millionen US-Dollar. Hinzu kommen die direkten Kosten, die durch die Betrugsversuche selbst entstehen.

„Wir sind daran gewöhnt, dass Listen gestohlener Nutzer-IDs und Passwörter im Dark Web kursieren“, erklärt Jay Coley, Senior Director for Security Planning and Strategy bei Akamai Technologies. „Doch die ständige Zunahme von Credential-Stuffing-Angriffen zeigt, wie groß die Gefahr wirklich ist. Cyberkriminelle setzen vermehrt auf Botnets, um die Listen mit Anmeldedaten auf den Login-Seiten anderer Unternehmen zu testen, und erweitern so den Umfang ihrer Attacken. Es liegt an den Unternehmen, diese Angriffsmethode zu unterbinden, um nicht nur Kunden und Mitarbeiter, sondern letztlich auch ihre Umsätze zu schützen.“


Dieses Whitepaper könnte Sie ebenfalls interessieren:

Credential Stuffing: Game Over Botnet

CREDENTIAL STUFFING - SCHÜTZEN SIE IHR ONLINE-GESCHÄFT

Credential Stuffing ist auf dem Vormarsch. Hacker besorgen sich gestohlene Anmeldedaten und setzen für ihre Anmeldeversuche Botnets ein. Dieses Whitepaper beschreibt Credential Stuffing und stellt die besten Ansätze vor, wie Unternehmen sich vor intelligenten und bösartigen Bots schützen können.

 Download 

Deutsch, 24 Seiten, PDF 2,2 MB, kostenlos 


Bewältigung der Komplexität

Die meisten Unternehmen bieten eine komplexe Angriffsfläche für den Missbrauch von Anmeldedaten. Wie die Forschungsergebnisse zeigen, setzen Unternehmen durchschnittlich 26,5 kundengerichtete Websites in ihrer Produktionsumgebung ein, die allesamt als Einstiegspunkt für Bots dienen können. Das Problem wird dadurch verstärkt, dass Unternehmen für verschiedene Clienttypen – darunter Kunden an Desktops oder Laptops (87 %), mobile Browser (65 %), Drittanbieter (40 %) und App-Nutzer (36 %) – unterschiedliche Login-Methoden bereitstellen müssen.

Die Komplexität der Angriffsfläche ist ein Grund dafür, dass nur ein Drittel der Unternehmen angibt, über ausreichend Transparenz hinsichtlich Credential-Stuffing-Attacken zu verfügen (35 %), und der Meinung ist, Angriffe auf ihre Websites schnell erkennen und beheben zu können (36 %).

Coley: „Moderne Websites sind weit verzweigt, können Hunderte oder sogar Tausende Seiten umfassen und unterstützen verschiedenste Client- und Traffic-Arten. Um sich erfolgreich vor Credential Stuffing zu schützen, müssen Unternehmen ihre Website-Architektur kennen und wissen, wie Clients zwischen den verschiedenen Seiten und Login-Endpoints navigieren.“

Identifizierung der Betrüger

Unternehmen bereitet es Probleme, die Betrüger zu erkennen. So stimmen 88 Prozent der Befragten zu, dass es schwierig sei, echte Mitarbeiter und Kunden von kriminellen Eindringlingen zu unterscheiden. Diese Herausforderung wird durch den Mangel an klarer Verantwortlichkeit im Unternehmen noch erschwert: Über ein Drittel (37 %) der Teilnehmer gibt an, dass bei ihnen keine zentrale Stelle für die Erkennung und Verhinderung von Credential-Stuffing-Angriffen verantwortlich sei.

Coley führt fort: „Bots lassen sich am besten besiegen, indem wir sie als das behandeln, was sie sind: nicht menschlich. Die meisten Bots verhalten sich nicht annähernd wie echte Menschen, doch ihre Methoden werden immer raffinierter. Deshalb brauchen Unternehmen Bot-Management-Tools, mit denen sie das Verhalten der Bots überwachen und Bots von echten Anmeldeversuchen unterscheiden können. Statt standardmäßiger Login-Systeme, die nur überprüfen, ob Nutzername und Passwort übereinstimmen, benötigen sie Lösungen, die Muster bei der Tastatureingabe, Mausbewegungen und sogar die Ausrichtung mobiler Geräte berücksichtigen. Angesichts der möglichen Kosten in Millionenhöhe war es nie wichtiger, Bots zu erkennen und sie aufzuhalten.“

Hintergrundinformationen:

Das Ponemon Institute hat 544 IT-Sicherheitsexperten in Europa, dem Nahen Osten und Afrika befragt, die Erfahrungen mit Credential-Stuffing-Angriffen haben und für die Sicherheit ihrer Unternehmenswebsites verantwortlich sind. Den vollständigen Bericht finden Sie hier.

www.akamai.com
 

Die 10 wichtigsten Überlegungen zum Bot-Management
Apr 29, 2019

Die 10 wichtigsten Überlegungen zum Bot-Management

Bot-Management-Lösungen versprechen Schutz vor automatisierten Webrobotern (Bots), die…
Whitepaper Credential Stuffing
Mär 07, 2019

Credential Stuffing - Schützen Sie Ihr Online-Geschäft

Credential Stuffing ist auf dem Vormarsch. Hacker besorgen sich gestohlene Anmeldedaten…
GRID LIST
Tb W190 H80 Crop Int 6cf54ac0d6bb4a065fbabd36d896101f

State of the Software Supply Chain Report

Sonatype veröffentlicht seinen fünften jährlichen "State of the Software Supply Chain…
Tb W190 H80 Crop Int F8b7e1d022db64d45d4b3c0f058aef02

Qualifikationslücken belasten die Security-Experten

Eine von Symantec (NASDAQ: SYMC), in Auftrag gegebene Studie zeichnet ein düsteres Bild…
Tb W190 H80 Crop Int 896ff6510a2409e6247fcae5fe8f3538

Jeder DNS-Angriff kostet mehr als 935.000 Euro

Unternehmen weltweit mussten im vergangenen Jahr einen Anstieg von DNS-Angriffen von…
Tb W190 H80 Crop Int B6a4f617c9f25e1a37c1e013d5dbec80

Digitalisierung schafft neue Geschäftsmodelle in der Industrie

Vernetzte Maschinen, die miteinander kommunizieren, Roboter, die Reparaturen durchführen,…
M&A

AR/VR-Report: Der Markt kommt in die Reifephase

Laut aktuellem M&A-Marktbericht zu Augmented Reality (AR) und Virtual Reality (VR) von…
Smartphone am Strand

EU-Roaming-Verordnung sorgt für mehr IT-Sicherheit im Urlaub

Deutsche Urlauber verzichten zunehmend auf die Nutzung von WLAN-Netzen, wie eine aktuelle…