IT-Sicherheit

Credential-Stuffing

Brute-Force-Methode nutzt Passwort-Schwächen

von 19.07.2019
credential-stuffing
Credential-Stuffing nutzt geleakte Anmeldedaten. © geralt / Pixabay

Credential-Stuffing erfreut sich bei Cyberkriminellen höchster Beliebtheit. Kein Wunder: Die Angriffe sind leicht durchzuführen und äußerst lukrativ.
Wie Credential-Stuffing funktioniert und wie Sie sich und Ihr Unternehmen schützen können, verraten wir in diesem Beitrag.

credential-stuffing

Credential-Stuffing nutzt geleakte Anmeldedaten.
© geralt / Pixabay

Credential-Stuffing – Definition & Erklärung

Bei Credential-Stuffing handelt es sich um eine Angriffsform der Kategorie Brute-Force, hier geht es also um rohe Gewalt. Um Privatpersonen oder Unternehmen anzugreifen und Geld zu erwirtschaften, wird eine Konto-Überprüfungs-Software eingesetzt. Diese testet Millionen von Anmeldeinformationen, die wiederum durch Datenschutzlücken bei Online-Diensten erbeutet wurden.
Klarer Vorteil für die Hacker: Im besten Fall erlangen sie Zugriff auf zahlreiche Dienste und Websites. Aktuellen Schätzungen eines Berichts von Recorded Future zufolge können die Angreifer mit einer Investition von gerade einmal 550 Dollar satte 20.000 Dollar als Gewinn verbuchen. Allein zwischen Anfang Mai und Ende Juni 2018 sollen mehr als 8,35 Milliarden Versuche von Credential-Stuffing stattgefunden haben.

So funktioniert Credential-Stuffing

Das Geheimnis hinter dieser Methode liegt bei einer der schlechtesten Eigenschaften des Menschen: seiner Liebe zur Gewohnheit. Experten warnen seit Jahren davor, ein und dasselbe Passwort für mehrere Accounts zu verwenden. Auch die Abwandlung des Standard-Kennwortes um Sonderzeichen oder Zahlen (beispielsweise, um höheren Anforderungen an die Passwort-Sicherheit eines Anbieters gerecht zu werden) schützt in keinem Fall ausreichend.
Trotz aller Warnungen nutzen wahrscheinlich Millionen Nutzer das selbe Passwort für mehrere Konten. Ein gefundenes Fressen für Hacker. Einer Statistik des Anbieters Verizon zufolge, basieren mehr als 80 Prozent aller Hacker-Angriffe auf mangelnder Passwort-Sicherheit (lesen Sie bitte unseren Artikel „Sichere Passwörter“, um sich besser zu schützen).

Tools spielen tausende Passwörter durch

Mit Hilfe spezieller Tools, die teilweise für unter 50 Dollar oder gar kostenlos zu haben sind, werden dann die Angriff vollzogen. Das Problem: Die Attacken sind langsam. So langsam, dass Sicherheitssysteme sie teilweise gar nicht erkennen. Besonders beliebte Angriffsziele sind in diesem Zusammenhang Unternehmen aus den Bereichen Einzelhandel, Finanzdienstleistungen und Medien.
Die verwendete Software probiert einfach so lange alle gekaperten Anmeldekombinationen aus, bis eine passt. Ist das der Fall, haben die Angreifer beispielsweise in Online-Shops leichtes Spiel. Noch schlimmer ist es, wenn es sich um einen Zugang handelt, der Geld-Überweisungen erlaubt. In diesem Fall ist das Konto ganz schnell leer und das Geld für immer weg.

Datendiebstahl öffnet Hackern Tür und Tor

Daten sind das Gold des 21. Jahrhunderts. Dementsprechend sind Datendiebstähle keine Seltenheit. Einer der größten seiner Art war wohl „Collection #1“, der von Troy Hunt entdeckt wurde. Es handelte sich um eine illegale Datenbank mit satten 21 Millionen Passwörtern und mehr als 770 Millionen E-Mail Adressen, die im Darknet zu finden war. All diese Daten basierten auf Sicherheitsvorfällen und Datenschutzverletzungen mehrerer Websites, wurden sukzessive gesammelt und dann in zahlreichen Foren verbreitet.
Das Ergebnis: zahlreiche Massenangriffe mittels Credential-Stuffing. Bis zu 350.000 Anmeldeversuche pro Tag verzeichneten beispielsweise große Finanzdienstleister. Problematisch an der Sache ist vor allem, dass viele Unternehmen Credential-Stuffing-Angriffe (noch) nicht ernst nehmen. Zumindest solange, bis es zu spät ist.

Effektiver Schutz vor Brute-Force-Angriffen

Daher hier unser dringender Appell: Machen Sie es anders und kümmern sich früh genug um die IT-Sicherheit Ihres Unternehmens. Wie genau Sie das anstellen? Sicherheitsexperten empfehlen die folgenden Schutzmaßnahmen für Nutzer und Unternehmen, um das Risiko derartiger Angriff zu minimieren:

  • die Verwendung von Passwort-Managern
  • Zwei-Faktor-Authentifizierung einrichten
  • regelmäßige Änderung von Passwörtern; gegebenenfalls mittels automatisierter Reset-Funktion (zum Beispiel für die Windows-Anmeldekonten Ihrer Angestellten)
  • Aufklärung Ihrer Mitarbeiter zum Thema Passwortsicherheit
  • Beratung durch externe IT-Dienstleister hinsichtlich der gesamten IT-Sicherheitsstruktur und der Passwortsicherheit
  • regelmäßige Überprüfung, ob Daten gestohlen oder gehackt wurden durch entsprechende Tools

Wer diese Maßnahmen umsetzt, profitiert von einem deutlich besserem Schutz. Unsere Experten aus dem IT-SERVICE.NETWORK beraten Sie dazu gern. Lassen Sie den Ist-Zustand der IT-Sicherheit in Ihrem Unternehmen bewerten und holen Sie sich Profi-Tipps für Verbesserungen.

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen