Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu möglichst vielen Benutzerkonten verschaffen, um Angriffe oder betrügerische Aktivitäten durchzuführen.

So kann er Geld von Bankkonten abheben, große Einkäufe tätigen oder Identitäten stehlen, um neue, betrügerische Konten zu erstellen. Im schlimmsten Fall dringt er in das Netzwerk eines Unternehmens ein, stiehlt oder verschlüsselt sensible Daten und bringt ganze Systeme zum Absturz.

Anzeige

Inzwischen ist Credential Stuffing ähnlich weit verbreitet wie Phishing und Malware-Downloads. Daher müssen sich Nutzer und Unternehmen mit geeigneten Maßnahmen schützen.

Maßnahmen für Verbraucher

Verwenden Sie für jedes Konto ein anderes Passwort. Credential Stuffing basiert darauf, dass Anwender gleiche Passwörter für verschiedene Websites nutzen. Mit Hilfe eines Passwort-Managers lassen sich starke, einzigartige Passwörter für jedes Konto erstellen und verschlüsselt in einem Passwort-Tresor speichern. Für die Anmeldung an einem Konto braucht man sich dann nur noch ein Master-Passwort zu merken – der Passwort-Manager erledigt den Rest.

Ändern Sie Passwörter, wenn sie gestohlen wurden. Auf der Seite haveibeenpwnd.com können Nutzer sehen, wann und wo Anmeldedaten kompromittiert wurden. Wer den eigenen E-Mail-Alias auf einer Liste findet, sollte das Passwort für alle entsprechenden Konten ändern.

Löschen Sie ungenutzte, unnötige Konten. Dies verringert das Risiko, dass Angreifer alte, möglicherweise identische Anmeldedaten für aktuelle Konten nutzen.

Verwenden Sie, wann immer möglich, Multi-Faktor-Authentifizierung (MFA). Hier sind bei der Anmeldung zwei oder mehr Faktoren unterschiedlicher Art zu verwenden. Normalerweise handelt es sich dabei um etwas, das der Benutzer kennt wie ein Passwort, und etwas, das nur der Nutzer hat, wie eine TAN, die per Textnachricht gesendet wird. Es ist sehr unwahrscheinlich, dass Cyberkriminelle beide Faktoren besitzen.

Maßnahmen für Unternehmen

Implementierung einer Multi-Faktor-Authentifizierung (MFA). Unternehmen sollten MFA für so viele öffentlich zugängliche Websites wie möglich sowie für interne Ressourcen mit sensiblen und vertraulichen Daten verwenden. Dies ist zwar kein hundertprozentiger Schutz, aber eine weitere Hürde für Cyberkriminelle.

Einsatz einer intelligenten Anti-Bot-Lösung. Diese Systeme sammeln eine Vielzahl von Daten über den Benutzer und das Gerät. Mit Hilfe von maschinellem Lernen identifizieren sie bösartige Bots und blockieren diese. Zudem sollten Unternehmen ergänzende Maßnahmen zur Abwehr von Bots einsetzen:

CAPTCHAs helfen, Menschen von Bots zu unterscheiden. Obwohl einige Angriffstools CAPTCHAs lösen können, eignen sie sich zur Abwehr einfacher Attacken.

Fingerprints von Geräten und Browsern erstellen. Durch das Sammeln von Software- und Hardware-Informationen über Gerät und Browser lässt sich erkennen, ob derselbe Angreifer versucht, mehrere Kontoanmeldungen vorzunehmen. Dies weist auf Credential Stuffing hin.

IP-Ratenbegrenzung verwenden. Damit können Unternehmen IP-Adressen blockieren, die sich mit einer höheren Rate als einem voreingestellten Grenzwert anmelden wollen, etwa mehr als dreimal pro Sekunde. Da kein Mensch so schnell ist, handelt es sich wahrscheinlich um Bots.

Manche Credential-Stuffing-Angriffe werden mit Hilfe eines kleinen Bereichs von IP-Adressen durchgeführt. Wenn viele fehlgeschlagene Anmeldeversuche von diesen Adressen ausgehen, sind diese zu blockieren – falls es sich nicht um legitime Systeme handelt.

Website-Verkehr protokollieren und überwachen. Unternehmen sollten Anmeldeversuche mit einer Liste bekannter gestohlener Anmeldeinformationen abgleichen und bei Übereinstimmung blockieren. Zudem weist eine niedrige Erfolgsrate bei Anmeldeversuchen – etwa nur 10 bis 15 Prozent – auf Credential Stuffing hin. Auch ungewöhnlich hoher Datenverkehr oder kontinuierliche Login-Versuche außerhalb der normalen Geschäftszeiten können Hinweise darauf sein.

Richtlinien für starke Passwörter etablieren. Unternehmen sollten Mitarbeitende dabei unterstützen, sichere Passwörter zu erstellen. Hier können Passwort-Manager auf Unternehmensebene helfen. Gleichzeitig sind Lösungen einzusetzen, die einfache, häufig verwendete oder bereits gestohlene Passwörter verhindern.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Ausblick

Angesichts einer Rekordzahl von Menschen, die online arbeiten und leben, werden Credential-Stuffing-Angriffe weiter zunehmen. Doch mit relativ einfachen Mitteln können sich Nutzer und Unternehmen davor schützen.

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.