Anzeige

Hacker, Authentifizierung

Die Angriffe auf Anmeldedaten zu Online-Konten wachsen. Und werden damit zur echten Herausforderung für die IT-Security. Wer jetzt seine Authentifizierungs-Maßnahmen verstärkt, blockiert zwar den Angriff, löst aber nicht das grundsätzliche Problem. Denn es geht um das situative Ausbalancieren zwischen Datenschutz und Nutzerfreundlichkeit.

Um digitale Zugänge zu schützen, gibt es ganz unterschiedliche Strategien. Die Spanne reicht vom ständigen Wechsel diverser Passwörter bis hin zum kompletten Verzicht auf Passwörter.

Dabei zeigt sich aktuell vor allem eines: der IT-Grundschutz hat viel zu lange dem Glauben aufgesessen, ein Passwortwechsel könnte dauerhaft vor Cyberattacken schützen. Denn diese Rechnung wurde ohne die Hauptakteure in diesem Szenario gemacht: der Nutzer, der bekanntermaßen eher lax und unkreativ mit Passwörtern und Anmeldedaten umgeht. Und die Internetkriminellen, die auf Basis immer ausgeklügelterer, technischer Methoden mit immer größerer Leichtigkeit an die begehrten Nutzer-Passwort-Kombinationen gelangen.

Cyberkriminelle greifen schnell massenweise Login-Daten ab

Und die Folgen werden immer präsenter: Credential Stuffing Angriffe nehmen rapide zu. Dieser englische Fachbegriff beschreibt eine Methodik, worüber Angreifer versuchen gestohlene Nutzer-Passwort-Kombinationen zu testen, um damit deren Online-Konten zu missbrauchen (z.B. für Online-Shopping oder Online-Banking) und die funktionierenden Logins gewinnbringend zu veräußern. Dabei bedienen sie sich einer großen Menge von Anmeldedaten, die oft durch Datenlecks bereits im Internet gelandet sind. Im Gegensatz zu Angriffen auf einzelnen Firmen zeichnet sich Credential Stuffing zudem dadurch aus, dass möglichst schnell möglichst viele Login-Daten von Nutzern samt unterschiedlicher Zugangswege gekapert werden können. Hinzu kommt, dass die Nutzerdaten zunehmend automatisiert und in Bruchteilen von Sekunden über sogenannte Botnetze ausgetestet werden. Diese Netzwerke greifen dabei meist völlig unbemerkt für den Nutzer auf dessen Online-Konto zu (z.B. von Spotify oder Netflix), und lösen ungewollte Aktivitäten aus.

Vorgehensweise Credential Stuffing

Quelle: Auth0

Branchenexperten werten Credential Stuffing als eine der größten Herausforderungen für die IT-Sicherheit für das laufende Jahr 2020. Gerade Firmen mit hohen Online-Transaktionen, wie beispielsweise die Reise,- oder Bankenbranche kann eine Credential Stuffing – Attacke hohen wirtschaftlichen Schaden zufügen (rund 6 Mio. US$ pro Firma/Jahr laut Ponemon Institute).

Allein Auth0 verzeichnet auf seiner Identitätsplattform, die zig Millionen Kunden-Logins (zum Beispiel von Unternehmen wie Siemens oder HolidayCheck) zentral sichert, täglich Angriffe von rund 50.000 IP-Adressen auf die begehrte „Login-Ware“. Das sind insgesamt betrachtet rund 67 Prozent des gesamten Server-Traffics.

IT-Entscheider müssen ihre Perspektive ändern

Die große Mehrheit der Security-Entscheider und Entwickler sieht sich allerdings eher machtlos gegenüber diesem Cybertrend. Nicht nur, dass sie Probleme dabei haben Masse und Unsichtbarkeit in den Griff zu bekommen. Vielmehr passen ihre Perspektive und ihr Lösungsverständnis im Kontext von IAM-Management nicht mehr zur Art der aktuellen Herausforderung. Denn insbesondere

Credential Stuffing Angriffe machen deutlich, dass es für die IT-Sicherheit heute nicht mehr um „one size fits all“ gehen kann, sondern darum, wie die digitale Identität des Kunden in Abhängigkeit von dessen Anwendungsverhalten geschützt werden kann. Gleichzeitig darf die User Experience nicht gefährdet werden, sondern muss möglichst reibungslos funktionieren. Die zentrale Frage ist also nicht: welche Identitätslösung brauchen wir, sondern vielmehr, wie sichern wir das individuelle Nutzerverhalten möglichst verlässlich ab.

Kevin Switala, Enterprise Sales Engineer
Kevin Switala
Enterprise Sales Engineer, Auth0
Kevin Switala ist verantwortlich für die Vertriebsstrategie sowie auch das Partnermanagement in der DACH-Region. Er ist seit 10 Jahren in der IT-Branche für die zentraleuropäischen Märkte tätig. Vor Auth0 war Kevin Regional Sales Manager bei BeyondTrust, einem führenden Anbieter von Privileged Access Management, wo er die qualifizierte Pipeline in der DACH-Region aufbaute. 

Weitere Artikel

Hacker E-Mail

Warnung vor betrügerischen E-Mails zu Angeboten von Corona-Speicheltests

Seit Anfang April beobachten die Experten von Bitdefender betrügerische Mails, die Corona-Speicheltests anbieten. Mehr als 300.000 Mails wurden im Rahmen der Kampagne versendet.
FBI

Bekämpfung von Cyberkriminalität - FBI behebt Exchange-Schwachstellen aktiv

Vor einigen Tagen wurde bekannt, dass sich die US-Bundespolizei FBI aktiv an der Behebung der Sicherheitslücken in Zusammenhang mit Microsoft Exchange beteiligt hatte. Wie das Justizministerium der Vereinigten Staaten mitteilte, war die Aktion ein voller…
Corona-Impfstoff

Corona-Impfstoffe: Kühlketten im Visier von Hackern

Im Dezember vergangenen Jahres warnte das Sicherheitsteam von IBM davor, dass die Kühlkette bei der Auslieferung der Impfstoffe gegen COVID-19 von Hackern ins Visier genommen wurde. In einem jetzt veröffentlichten Update erneuert IBM Security X-Force diese…
Cybercrime

Cyberkriminalität: Woher die Gefahr droht

Der aktuelle Cyber Security Threat Radar von Swisscom zeigt, wie Cyberkriminelle infolge der Pandemie ihre Angriffsmethoden angepasst haben: mit Attacken aufs Homeoffice und mit Einsatz neuster KI-Technologie.
Smartphone Scam

„Ihr Paket kommt bald“ – Smishing und was man dagegen tun kann

Cyberkriminalität gegen die Benutzer von Mobiltelefonen, ist proportional zu deren massenhafter Nutzung angestiegen. Im Fokus sind meist Android-basierte Geräte. Schlicht, weil es so viele davon gibt. Aber auch iPhone-Nutzer sind nicht vor Smishing und andere…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.