{"id":6721,"date":"2019-07-19T08:41:10","date_gmt":"2019-07-19T06:41:10","guid":{"rendered":"https:\/\/it-service.network\/blog\/?p=6721"},"modified":"2019-07-19T08:41:10","modified_gmt":"2019-07-19T06:41:10","slug":"credential-stuffing","status":"publish","type":"post","link":"https:\/\/it-service.network\/blog\/2019\/07\/19\/credential-stuffing\/","title":{"rendered":"Credential-Stuffing ## Brute-Force-Methode nutzt Passwort-Schw\u00e4chen"},"content":{"rendered":"

Credential-Stuffing erfreut sich bei Cyberkriminellen h\u00f6chster Beliebtheit. Kein Wunder: Die Angriffe sind leicht durchzuf\u00fchren und \u00e4u\u00dferst lukrativ.<\/strong>
\nWie Credential-Stuffing funktioniert und wie Sie sich und Ihr Unternehmen sch\u00fctzen k\u00f6nnen, verraten wir in diesem Beitrag.
\n

\"credential-stuffing\"

Credential-Stuffing nutzt geleakte Anmeldedaten.
\u00a9 geralt \/ Pixabay<\/p><\/div><\/p>\n

Credential-Stuffing \u2013 Definition & Erkl\u00e4rung<\/h3>\n

Bei Credential-Stuffing handelt es sich um eine Angriffsform der Kategorie Brute-Force, hier geht es also um rohe Gewalt. Um Privatpersonen oder Unternehmen anzugreifen und Geld zu erwirtschaften, wird eine Konto-\u00dcberpr\u00fcfungs-Software eingesetzt. Diese testet Millionen von Anmeldeinformationen, die wiederum durch Datenschutzl\u00fccken bei Online-Diensten erbeutet wurden.
\nKlarer Vorteil f\u00fcr die Hacker: Im besten Fall erlangen sie Zugriff auf zahlreiche Dienste und Websites. Aktuellen Sch\u00e4tzungen eines Berichts von Recorded Future<\/a> zufolge k\u00f6nnen die Angreifer mit einer Investition von gerade einmal 550 Dollar satte 20.000 Dollar als Gewinn verbuchen. Allein zwischen Anfang Mai und Ende Juni 2018 sollen mehr als 8,35 Milliarden Versuche von Credential-Stuffing stattgefunden haben.<\/p>\n

So funktioniert Credential-Stuffing<\/h4>\n

Das Geheimnis hinter dieser Methode liegt bei einer der schlechtesten Eigenschaften des Menschen: seiner Liebe zur Gewohnheit. Experten warnen seit Jahren davor, ein und dasselbe Passwort f\u00fcr mehrere Accounts zu verwenden. Auch die Abwandlung des Standard-Kennwortes um Sonderzeichen oder Zahlen (beispielsweise, um h\u00f6heren Anforderungen an die Passwort-Sicherheit eines Anbieters gerecht zu werden) sch\u00fctzt in keinem Fall ausreichend.
\nTrotz aller Warnungen nutzen wahrscheinlich Millionen Nutzer das selbe Passwort f\u00fcr mehrere Konten. Ein gefundenes Fressen f\u00fcr Hacker. Einer Statistik des Anbieters Verizon<\/a> zufolge, basieren mehr als 80 Prozent aller Hacker-Angriffe auf mangelnder Passwort-Sicherheit (lesen Sie bitte unseren Artikel \u201eSichere Passw\u00f6rter<\/a>\u201c, um sich besser zu sch\u00fctzen).<\/p>\n

Tools spielen tausende Passw\u00f6rter durch<\/h4>\n

Mit Hilfe spezieller Tools, die teilweise f\u00fcr unter 50 Dollar oder gar kostenlos zu haben sind, werden dann die Angriff vollzogen. Das Problem: Die Attacken sind langsam. So langsam, dass Sicherheitssysteme sie teilweise gar nicht erkennen. Besonders beliebte Angriffsziele sind in diesem Zusammenhang Unternehmen aus den Bereichen Einzelhandel, Finanzdienstleistungen und Medien.
\nDie verwendete Software probiert einfach so lange alle gekaperten Anmeldekombinationen aus, bis eine passt. Ist das der Fall, haben die Angreifer beispielsweise in Online-Shops leichtes Spiel. Noch schlimmer ist es, wenn es sich um einen Zugang handelt, der Geld-\u00dcberweisungen erlaubt. In diesem Fall ist das Konto ganz schnell leer und das Geld f\u00fcr immer weg.<\/p>\n

Datendiebstahl \u00f6ffnet Hackern T\u00fcr und Tor<\/h4>\n

Daten sind das Gold des 21. Jahrhunderts. Dementsprechend sind Datendiebst\u00e4hle keine Seltenheit. Einer der gr\u00f6\u00dften seiner Art war wohl \u201eCollection #1\u201c, der von Troy Hunt entdeckt wurde. Es handelte sich um eine illegale Datenbank mit satten 21 Millionen Passw\u00f6rtern und mehr als 770 Millionen E-Mail Adressen, die im Darknet zu finden war. All diese Daten basierten auf Sicherheitsvorf\u00e4llen und Datenschutzverletzungen mehrerer Websites, wurden sukzessive gesammelt und dann in zahlreichen Foren verbreitet.
\nDas Ergebnis: zahlreiche Massenangriffe mittels Credential-Stuffing. Bis zu 350.000 Anmeldeversuche pro Tag verzeichneten beispielsweise gro\u00dfe Finanzdienstleister. Problematisch an der Sache ist vor allem, dass viele Unternehmen Credential-Stuffing-Angriffe (noch) nicht ernst nehmen. Zumindest solange, bis es zu sp\u00e4t ist.<\/p>\n

Effektiver Schutz vor Brute-Force-Angriffen<\/h3>\n

Daher hier unser dringender Appell: Machen Sie es anders und k\u00fcmmern sich fr\u00fch genug um die IT-Sicherheit<\/a> Ihres Unternehmens. Wie genau Sie das anstellen? Sicherheitsexperten empfehlen die folgenden Schutzma\u00dfnahmen f\u00fcr Nutzer und Unternehmen, um das Risiko derartiger Angriff zu minimieren:<\/p>\n