Anzeige

Hacker, Authentifizierung

Die Angriffe auf Anmeldedaten zu Online-Konten wachsen. Und werden damit zur echten Herausforderung für die IT-Security. Wer jetzt seine Authentifizierungs-Maßnahmen verstärkt, blockiert zwar den Angriff, löst aber nicht das grundsätzliche Problem. Denn es geht um das situative Ausbalancieren zwischen Datenschutz und Nutzerfreundlichkeit.

Um digitale Zugänge zu schützen, gibt es ganz unterschiedliche Strategien. Die Spanne reicht vom ständigen Wechsel diverser Passwörter bis hin zum kompletten Verzicht auf Passwörter.

Dabei zeigt sich aktuell vor allem eines: der IT-Grundschutz hat viel zu lange dem Glauben aufgesessen, ein Passwortwechsel könnte dauerhaft vor Cyberattacken schützen. Denn diese Rechnung wurde ohne die Hauptakteure in diesem Szenario gemacht: der Nutzer, der bekanntermaßen eher lax und unkreativ mit Passwörtern und Anmeldedaten umgeht. Und die Internetkriminellen, die auf Basis immer ausgeklügelterer, technischer Methoden mit immer größerer Leichtigkeit an die begehrten Nutzer-Passwort-Kombinationen gelangen.

Cyberkriminelle greifen schnell massenweise Login-Daten ab

Und die Folgen werden immer präsenter: Credential Stuffing Angriffe nehmen rapide zu. Dieser englische Fachbegriff beschreibt eine Methodik, worüber Angreifer versuchen gestohlene Nutzer-Passwort-Kombinationen zu testen, um damit deren Online-Konten zu missbrauchen (z.B. für Online-Shopping oder Online-Banking) und die funktionierenden Logins gewinnbringend zu veräußern. Dabei bedienen sie sich einer großen Menge von Anmeldedaten, die oft durch Datenlecks bereits im Internet gelandet sind. Im Gegensatz zu Angriffen auf einzelnen Firmen zeichnet sich Credential Stuffing zudem dadurch aus, dass möglichst schnell möglichst viele Login-Daten von Nutzern samt unterschiedlicher Zugangswege gekapert werden können. Hinzu kommt, dass die Nutzerdaten zunehmend automatisiert und in Bruchteilen von Sekunden über sogenannte Botnetze ausgetestet werden. Diese Netzwerke greifen dabei meist völlig unbemerkt für den Nutzer auf dessen Online-Konto zu (z.B. von Spotify oder Netflix), und lösen ungewollte Aktivitäten aus.

Vorgehensweise Credential Stuffing

Quelle: Auth0

Branchenexperten werten Credential Stuffing als eine der größten Herausforderungen für die IT-Sicherheit für das laufende Jahr 2020. Gerade Firmen mit hohen Online-Transaktionen, wie beispielsweise die Reise,- oder Bankenbranche kann eine Credential Stuffing – Attacke hohen wirtschaftlichen Schaden zufügen (rund 6 Mio. US$ pro Firma/Jahr laut Ponemon Institute).

Allein Auth0 verzeichnet auf seiner Identitätsplattform, die zig Millionen Kunden-Logins (zum Beispiel von Unternehmen wie Siemens oder HolidayCheck) zentral sichert, täglich Angriffe von rund 50.000 IP-Adressen auf die begehrte „Login-Ware“. Das sind insgesamt betrachtet rund 67 Prozent des gesamten Server-Traffics.

IT-Entscheider müssen ihre Perspektive ändern

Die große Mehrheit der Security-Entscheider und Entwickler sieht sich allerdings eher machtlos gegenüber diesem Cybertrend. Nicht nur, dass sie Probleme dabei haben Masse und Unsichtbarkeit in den Griff zu bekommen. Vielmehr passen ihre Perspektive und ihr Lösungsverständnis im Kontext von IAM-Management nicht mehr zur Art der aktuellen Herausforderung. Denn insbesondere

Credential Stuffing Angriffe machen deutlich, dass es für die IT-Sicherheit heute nicht mehr um „one size fits all“ gehen kann, sondern darum, wie die digitale Identität des Kunden in Abhängigkeit von dessen Anwendungsverhalten geschützt werden kann. Gleichzeitig darf die User Experience nicht gefährdet werden, sondern muss möglichst reibungslos funktionieren. Die zentrale Frage ist also nicht: welche Identitätslösung brauchen wir, sondern vielmehr, wie sichern wir das individuelle Nutzerverhalten möglichst verlässlich ab.

Kevin Switala, Enterprise Sales Engineer
Kevin Switala
Enterprise Sales Engineer, Auth0
Kevin Switala ist verantwortlich für die Vertriebsstrategie sowie auch das Partnermanagement in der DACH-Region. Er ist seit 10 Jahren in der IT-Branche für die zentraleuropäischen Märkte tätig. Vor Auth0 war Kevin Regional Sales Manager bei BeyondTrust, einem führenden Anbieter von Privileged Access Management, wo er die qualifizierte Pipeline in der DACH-Region aufbaute. 

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Computer

Sinkendes Vertrauen unter Cyberkriminellen

Trend Micro, ein Anbieter von IT-Sicherheitslösungen, hat neue Erkenntnisse zu cyberkriminellen Aktivitäten sowie dem Handel mit Produkten und Dienstleistungen im Cyber-Untergrund veröffentlicht. Demnach schwindet das Vertrauen unter Cyberkriminellen…
Web-Traffic

Web-Traffic erholt sich nach COVID-19-Einschränkungen

Die Corona-Pandemie wirkt sich weiterhin auf die Auslastung des Internets und die Cyber-Sicherheit aus. In den Branchen Finanzdienstleistungen, Sport und Tourismus steigt der Datenverkehr aber wieder. Das sind die wichtigsten Ergebnisse des Cyber Threat Index…
Umfassende Security-Lösung

Zentrale Kontrolle von On-Premises-, Cloud- und IoT-Umgebungen

Wie wäre es mit einem Produkt mit leistungsstarken Funktionen zur Zusammenführung von Bedrohungsdaten und der zentralen Kontrolle von On-Premises-, Cloud- und IoT-Umgebungen? Ein solches Produkt mit dem unförmigen Namen Reveal(x) 360 kündigt ExtraHop an.
E-Commerce

Account-Übernahme-Angriffe im E-Commerce steigen

Jedes zehnte Kundenkonto ist in Deutschland innerhalb des letzten Jahres von Betrügern übernommen worden – das gibt fast die Hälfte (44 Prozent) von 100 deutschen Online-Händlern an.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!