robsonphoto - stock.adobe.com

Credential Stuffing: Kontenübernahmen bleiben gefährlich

Beim Credential Stuffing missbrauchen Angreifer reguläre Anmeldedaten. Der Missbrauch von Konten betrifft alle Firmen, vermehrt richten sich die Angriffe gegen den Mittelstand.

Die Gesamtzahl der Sicherheitsvorfälle im Allgemeinen und die in Verbindung mit Benutzerkonten im Besonderen hat zugenommen. 263.109 Warnmeldungen wurden von den 16 CyberSOCs / SOCs der Orange Cyberdefense im Jahr 2019 registriert und 11,17 Prozent davon (29.391) als sicherheitsrelevante Vorfälle eingestuft.

Im Vorjahr lag diese Rate bei 8,31 Prozent, das heißt die Security Analysten verzeichneten einen Anstieg von 38 Prozent. Das ist deshalb auffällig, wenn man sich vor Augen hält, dass die Gesamtzahl der Security Alerts um lediglich drei Prozent gestiegen ist.

Diese Veränderung lässt sich teilweise durch eine bessere Feinabstimmung zur Vermeidung von Fehlalarmen erklären. Auf der anderen Seite lässt sich aber feststellen, dass die gesamte Anzahl der Sicherheitsvorfälle eher zu- als abgenommen hat.

Credential Stuffing nimmt zu

Ein genauer Blick auf die Sicherheitsvorfälle zeigt, dass 22 Prozent der Security Alerts durch Account-Anomalien ausgelöst wurden. Das bedeutet eine Zunahme von sieben Prozent gegenüber dem Vorjahr. Eine mögliche Erklärung dafür ist die ungewöhnliche Häufigkeit und das schiere Ausmaß der Datenlecks.

2019 wurden Hunderte von Millionen Konten und Zugangsdaten veröffentlicht und im Darknet verkauft. Dahinter steht, dass viele Passwörter mehrfach eingesetzt werden. Je häufiger die Passwörter geändert werden müssen, desto mehr scheinen Menschen dazu zu neigen die gleichen Passwörter für mehrere Accounts gleichzeitig oder im Wechsel zu benutzen.

Der Schlüsselbegriff lautet Credential Stuffing. Und der Anstieg bei dieser Form der Cyberbedrohung ist vielleicht nur die Spitze des Eisbergs, denn selbst Cyberkriminelle brauchen Zeit, um Daten in diesem Umfang zu verarbeiten und zu missbrauchen.

Bei Credential Stuffing handelt es sich um einen Cyberangriff, bei dem gestohlene Anmeldedaten verwendet werden, um sich unbefugten Zugang zu Benutzerkonten durch groß angelegte automatisierte Anmeldeanfragen zu verschaffen.

Zumeist sind sie gegen eine Webanwendung gerichtet. Der Angreifer automatisiert die Anmeldungen für eine Anzahl von zuvor entdeckten Credential-Paaren unter Verwendung von Standard-Web-Automatisierungs-Tools oder Tools, die speziell für diese Arten von Angriffen entwickelt wurden. Früher waren das unter anderem Sentry MBA, SNIPR, STORM, Blackbullet und Openbullet. Man kann sich diese Methode als das Nachmachen eines Schlüssels für eine Haustür vorstellen.

Klar getrennt davon ist Credential Cracking zu sehen. Bei dieser Variante wird mit automatisierten Brute-Force-Tools der Benutzername oder das Passwort einfach geknackt, indem eine große Anzahl verschiedener Werte für Benutzernamen und Passwörter getestet wird. Im Gegensatz zum Credential Stuffing wird hier nicht der Schlüssel nachgemacht, sondern das Türschloss einfach aufgebrochen.

Franz Haertl, Orange Cyberdefense

„Mehrfaktor-Authentifizierung, entsprechende Detection-Technologien und Security-Awareness-Schulungsmaßnahmen können zu einer Besserung der Lage beitragen.“

Franz Härtl, Orange Cyberdefense

Kontoübernahmen durch Cyberkriminelle schaden dem Image eines Unternehmens und können nach der DSGVO (Datenschutz-Grundverordnung) bei einem Abfluss von personenbezogenen Daten Strafen von bis zu vier Prozent des jährlichen Unternehmensumsatzes nach sich ziehen.

Wenn Daten abgeflossen sind und im Darknet zum Kauf angeboten werden, kann dies über Jahre hinweg zu Unannehmlichkeiten der Betroffenen führen. Wer einmal seine digitale Identität, zu der ein Benutzername und ein Passwort gehört, verliert, der hat es schwer diese wieder zurückzuerlangen.

Der Mittelstand im Fokus der Cyberkriminellen

Im Jahr 2019 konnte anhand der vorliegenden Daten ein dramatischer Anstieg der Angriffe auf mittelständische Unternehmen festgestellt werden. Im Jahr 2019 wurden 31 Prozent der Sicherheitsvorfälle in Unternehmen im Mittelstand verzeichnet, was einen deutlichen Anstieg gegenüber der 19 Prozent im Vorjahr bedeutet.

Gleichzeitig gingen die Sicherheitsvorfälle in großen Organisationen und Konzernen von 73 auf 58,8 Prozent zurück. Noch immer sind Konzerne das beliebteste Ziel der Cyberkriminellen, aber der Mittelstand rückt in den Fokus. Denn ganz offenbar haben die Kriminellen ihren Schwerpunkt teilweise verlagert und zielen nun auf mittelständische Unternehmen mit 1.000 bis 10.000 Mitarbeitern ab.

Credential Stuffing ist ein branchenunabhängiges Problem

Kontoanomalien wurden bei 24 Prozent der mittleren und bei 17 Prozent der großen Unternehmen festgestellt. Heruntergebrochen auf die einzelnen Branchen war diese Art von Sicherheitsvorfall bei 57 Prozent von Unternehmen aus dem Bildungssektor ein Thema. Unternehmen aus der Biotechnologie wurden am zweithäufigsten mit dieser Art von Angriff attackiert, nämlich 50 Prozent. An dritter Stelle folgen Behörden und Regierungseinrichtungen mit 42 Prozent.

Fazit

Der Missbrauch von Konten ist ungebrochen ein heikles Thema der IT-Sicherheit und zieht sich als Problem durch alle Branchen und Unternehmensgrößen. So lange sich zu viele Unternehmen auf komplizierte Passwörter und Passwortrichtlinien, die den Austausch nach einer bestimmten Anzahl von Tagen erfordern, verlassen, wird diese Form von Angriffen erfolgreich bleiben. Eine beträchtliche Verschiebung der Angriffe, die auf kleine und mittlere Unternehmen abzielen, deutet eindeutig darauf hin, dass der Mittelstand seine Sensibilität für Cybersecurity-Bedrohungen erhöhen sollte.

Mehrfaktor-Authentifizierung, entsprechende Detection-Technologien und Security-Awareness-Schulungsmaßnahmen können aber zu einer Besserung der Lage beitragen und die Statistiken verändern. Dafür jedoch bedarf es entsprechende Investments, die bei fehlendem Personal oder fehlenden Mitteln auch an Security Servicespezialisten ausgelagert werden können.

Über den Autor:
Franz Härtl ist Head of Global Content Marketing bei Orange Cyberdefense Germany.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Bedrohungen