Die Tricks von Cyberkriminellen werden immer besser. Doch die meisten Passwörter geraten immer noch mit vergleichsweise einfachen Angriffsformen wie dem Credential-Stuffing in falsche Hände. Wie das funktioniert und was Sie und Ihre Mitarbeiter:innen darüber wissen sollten, lesen Sie hier.
Auf über 200 Milliarden Euro schätzt der Branchenverband Bitkom den Schaden durch Cyberkriminalität 2022 allein in Deutschland. Viele dieser Angriffe erfolgen mit Schadsoftware, die über das Internet – zum Beispiel per E-Mail – an Computernutzer:innen versendet wird.
Millionen solcher Schadprogramme (Malware) gelangen so täglich in Unternehmensnetze. Zur Gefahr werden sie, wenn die Empfänger:innen diese Dateien öffnen und damit deren geheime Spionagefunktionen unbemerkt aktivieren. Die Programme schnüffeln beispielsweise nach Passwörtern, die sie dann direkt an ihre Programmierer versenden.
Doch immer häufiger brauchen Kriminelle gar keine versteckte Malware mehr, um an Passwörter von Nutzer:innen zu gelangen. Denn viele Passwörter und andere sensible Daten von Anwender:innen befinden sich bereits im Darknet. Die Kriminellen verkaufen sie dort an die Meistbietenden. Mit Credential-Stuffing werden diese Daten dann zur ernsten Gefahr.
Der Begriff Credential-Stuffing beschreibt eine Hackingattacke, bei der Kriminelle gestohlene Zugangsdaten, sogenannte „Credentials“, aus einer bestimmten Quelle benutzen. Mit diesen Daten verschaffen sie sich die Diebe Zugriff auf weitere Nutzerkonten einer Person.
Hierfür erwerben Hacker:innen im Darknet Datenbanken mit Nutzerdaten und Passwörtern aus früheren erfolgreichen Hackingattacken. Anschließend probieren sie mithilfe automatisierter Anmeldeprogramme diese Zugangsdaten bei vielen weiteren Plattformen aus – in der Hoffnung, dass dieselben Nutzerdaten dort auch funktionieren. Dieser Vorgang wird auch als Stuffing (auf englisch: „stopfen“) bezeichnet, weil die gestohlenen Passwörter nacheinander in zahlreiche Anmeldeportale „gestopft” werden. Die Angreifer probieren die Zugangsdaten zum Beispiel für ein Download-Portal oder ein Social-Media-Konto oder bei bekannten Online-Auktionshäusern oder Webshops aus.
Haben die Kriminellen damit Erfolg, stehlen sie mithilfe dieser Zugangsdaten persönliche Informationen der Kontoinhaber:innen, beispielsweise Kreditkartendaten. Sie können aber beispielsweise auch mit den erbeuteten Nutzerdaten Waren und Dienstleistungen auf Kosten der Geschädigten bestellen.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Credential-Stuffing-Attacken profitieren von der großen Zahl an Nutzerkonten, die die meisten Anwender:innen mittlerweile haben. Dem gegenüber steht die Schwierigkeit, sich für jede Plattform ein anderes Passwort zu merken.
Viele Anwender:innen greifen heute im Tagesverlauf mit mehreren Endgeräten auf ihre Nutzerkonten zu und verwenden daher bewusst simple oder leicht zu merkende Passwörter, um sich schnell über jede dieser Plattformen anmelden zu können. In etwa jedem fünften Fall werden dieselben Anmeldenamen und Passwörter für verschiedene Benutzerkonten verwendet, hat eine Studie des Hasso-Plattner-Instituts ergeben.
Ein großer Teil der Internetnutzer:innen ist beispielsweise bei Social-Media-Plattformen, Streaming-Anbietern und Internet-Kaufhäusern registriert. Entsprechend hoch ist somit die Chance für Hacker:innen, solche Mehrfach-Nutzungen von Passwörtern durch bloßes Ausprobieren bei weiteren Plattformen aufzuspüren.
Hacker:innen verwenden hierfür sogenannte Bot-Netze, also Netzwerke aus physischen oder virtuellen Computern im Internet, deren Aufgabe es ist, die Passwörter auf vielen weiteren Plattformen auszutesten.
Die Werkzeuge für das automatische Ausprobieren von Nutzerdaten werden dabei immer leistungsfähiger. So täuschen einige Credential-Stuffing-Programme vor, sich im selben IP-Adressraum zu befinden wie die echten Inhaber:innen der Nutzerdaten. So verhindern sie, dass die betroffenen Plattformen verdächtige Anmeldeversuche aus dem Ausland oder verdächtigen Subnetzen erkennen und automatisiert sperren.
Eine Hochrechnung des Softwareanbieters Arkose Labs hat ergeben, dass Credential-Stuffing-Angriffe inzwischen knapp 30 Prozent aller Hackingangriffe ausmachen. Etwa jeder zwanzigste Anmeldeversuch steht im Verdacht, eine solche Hackingattacke per Credential-Stuffing zu sein.
Schematische Darstellung eines Angriffs per Credential-Stuffing
Diese Branchen sind besonders betroffen
Credential-Stuffing als Angriffsform ist nicht auf bestimmte Branchen oder Unternehmen beschränkt, sondern funktioniert grundsätzlich übergreifend in allen passwortgesicherten Zugangssystemen. Trotzdem sind einige Branchen besonders betroffen. Im Einzelnen sind dies:
Unternehmen, mit sehr vielen Kunden, die sich über Webportale anmelden. Dazu gehören beispielsweise die Gastronomie, sowie Banken und Finanzdienstleister, Online-Kaufhäuser und Vermietungsportale. Angreifer:innen können hier auf fremde Bankkonten zugreifen oder im Namen Dritter Waren einkaufen.
Unternehmen, die ihre Waren und Dienstleistungen digital über das Internet anbieten, beispielsweise Softwarefirmen und Streaminganbieter. Hier können Angreifer:innen mit gestohlenen Accounts digitale Inhalte bestellen und herunterladen.
Unternehmen, die ihren Mitarbeiter:innen mobiles Arbeiten ermöglichen und hierfür passwortgeschützte Zugänge in ihr Firmennetz einrichten. Hacker:innen können per Credential-Stuffing in diese Netze eindringen und Unternehmensdaten stehlen.
Credential-Stuffing vs. Brute-Force-Angriffe vs. Password-Spraying
Neben dem Credential-Stuffing wenden Hacker:innen auch andere Verfahren an, um Nutzerkonten zu knacken. Besonders verbreitete Angriffsvektoren sind die Brute-Force-Attacke und das Passwort-Spraying.
Brute-Force-Angriffe
Was ist ein Captcha?
Captchas sind automatisch erzeugte kleine Bilder, in denen Sie verzerrte Buchstabenfolgen oder Bildinhalte wiedererkennen müssen, bevor Sie sich auf einer Website einloggen können. Solche Aufgaben sind für Computer nur schwer zu lösen, weshalb Betreiber:innen von Websites oder Portalen sie häufig nutzen, um echte Anwender:innen von unterwünschten Bot-Anmeldungen zu unterscheiden. Die Abkürzung steht für „Completely Automated Public Turing test to tell Computers and Humans Apart“ (auf Englisch: Automatisch erzeugter Turing-Test, um Menschen und Computer zu unterscheiden.
Die Attacke per Brute-Force (auf englisch: „Brutale Gewalt“) basiert auf dem monotonen und sehr schnellen Ausprobieren zahlreicher möglicher Passwörter für ein einzelnes Nutzerkonto. Angreifer:innen verwenden hierfür Wörterbücher in der jeweiligen Landessprache und zusätzlich Listen beliebter Passwörter wie „Gott“, „Admin“, „qwertz“, „letmein“ oder „Passwort“.
Früher rieten Expert:innen daher oft, anstelle von gängigen Passwörtern aus dem Lexikon beispielsweise abweichende Schreibweisen hierfür zu verwenden. Besonders beliebt ist hierfür das sogenannte Leetspeak, das Buchstaben durch ähnlich aussehende Ziffern ersetzt, zum Beispiel das „E“ durch eine „3“, das „A“ durch eine „4“ und das „T“ durch eine „7“. Dabei wird das Wort „Passwort“ zu „P4ssw0r7“ und das Wort „Leetspeak“ zu „13375p34k“.
Inzwischen kennen Brute-Force-Programme aber auch die meisten dieser Tricks und können dank immer schnellerer Programmroutinen komplette Wörterbücher samt ihrer Leet-Varianten in nur wenigen Minuten durchprobieren.
Effizient sind Brute-Force-Attacken überall dort, wo sie in kurzer Zeit sehr viele Passwortvarianten durchprobieren können, ohne dass Websites nach einem dritten erfolglosen Anmeldeversuch das Benutzerkonto sperren oder sogenannte Captcha-Mechanismen als erweiterte Sicherheitsmechanismen zum Einsatz kommen. Hacker:innen verwenden hierfür Programme wie Medusa oder den Brutus-Password-Cracker, die Spezialist:innen auch bei Pentests einsetzen.
Passwort-Spraying
Während die Brute-Force-Attacke gezielt einzelne Anwenderkonten angreift, richtet sich das Passwort-Spraying gegen eine Vielzahl von Nutzerkonten gleichzeitig, geht dafür aber weniger in die Tiefe. So beschränkt es sich auf das Ausprobieren einer kleinen Anzahl besonders gängiger Passwörter, beispielsweise die auch bei der Brute-Force-Attacke zum Einsatz kommenden Wörter „Gott“, „Admin“ oder „Passwort“. Die angreifende Software testet aber keine ganzen Wörterbücher durch.
Das Passwort-Spraying funktioniert besonders gut auf Plattformen mit sehr vielen Nutzerkonten, die Benutzernamen nach festen Regeln bilden. Wenn Sie in Ihrem Unternehmen alle Benutzernamen nach der Regel Vorname.Nachname@Firmenname bilden, dann ist dies ein idealer Angriffspunkt für das Passwort-Spraying.
Entsprechende Software testet einfach alle gängigen Kombinationen aus Vor- und Nachnamen und testet diese mit gängigen Passwörtern. Die Chance ist hoch, dass mindestens eine Person im Unternehmen ein schwaches, bekanntes Passwort nutzt. Wenn Kriminelle dieses Benutzerkonto einmal hacken, können sie anschließend Schadsoftware ins gesamte Unternehmensnetz einspielen.
Vodafone Cyber-Security-Services
Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.
Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.
Angriffe per Credential-Stuffing sind ein erhebliches Sicherheitsrisiko für Unternehmen. Denn Kriminelle können damit nicht nur an Kreditkartendaten gelangen oder im Namen Dritter Waren bestellen. Sie gelangen auf diesem Weg auch in Unternehmensnetze und können dort sensible Daten stehlen.
Wenn Wettbewerber oder ausländische Nachrichtendienste beispielsweise Geschäftsgeheimnisse per Advanced Persistent Threat (APT) aus Ihrem Firmennetz stehlen wollen, werden sie auch im Darknet gezielt nach Passwörtern von Führungskräften oder anderen Mitarbeiter:innen aus Ihrem Unternehmen suchen und diese Passwörter in Ihrem Netz ausprobieren.
Auch beim Spear-Phishing können Hacker:innen ihre Erfolgschancen erhöhen, wenn sie bereits über dank Credential-Stuffing über gültige Zugänge und Passwörter verfügen, über die sie dann weitere Mitarbeiter:innen Ihres Unternehmens von innen heraus kontaktieren.
Fatal hierbei: Anders als Attacken per Brute-Force oder Passwort-Spraying hinterlässt gezieltes Crendetial-Stuffing als Teil eines APT so gut wie keine Spuren in ihren Anmeldesystemen. Die meisten Brute-Force-Aufrufe können Sie beispielsweise im Dashboard Ihres Anmeldeservers sehen und gezielt unterbinden. Eine Credential-Stuffing-Anmeldung mit einem kompromittierten Passwort aus dem Darknet können Sie hingegen kaum von einem erlaubten Zugriff der echten Person unterscheiden.
Daher sollten Sie Ihr Unternehmensnetz gegen Credential-Stuffing besonders wirksam schützen. Diese Tipps helfen Ihnen dabei:
Machen Sie Credential-Stuffing zum Thema in Ihren Sicherheitsschulungen. Viele Anwender:innen kennen die Gefahren dieser Attacke nicht und verwenden daher Passwörter mehrfach.
Gestalten Sie Ihr Unternehmensnetzwerk ergonomisch. Wenn Ihre Mitarbeiter:innen sich nach der Anmeldung im Benutzerkonto noch einmal bei allen weiteren Anwendungen separat anmelden müssen, ist die Gefahr groß, dass sie dafür mit der Zeit immer dieselben Passwörter verwenden. Wird dann beispielsweise das Portal Ihres Mietwagen-Anbieters gehackt, werden einige der dort verwendeten Passwörter auch den Zugang zu Ihrem Firmennetz ermöglichen.
Führen Sie alle Kommunikationsplattformen im Unternehmen mittels Unified Communications (UC) zusammen und verwenden Sie auch für mobile Endgeräte ein einheitliches Rechtemanagement über ein Unified Endpoint Management (UEM). Dies reduziert die Anzahl der notwendigen Anmeldevorgänge und Passwörter.
Im Internet finden Sie Listen bekannter Passwortdiebstähle aus den vergangenen Jahren. Betroffen waren beispielsweise Firmen wie Adobe, Facebook oder die Marriot-Hotels. Beachten Sie, dass Kriminelle einmal gestohlene Passwörter auch nach vielen Jahren noch im Darknet handeln. Diese Passwörter sind damit für alle Zeiten unbenutzbar.
Viele Unternehmen geben in ihren internen Passwort-Richtlinien vor, wie oft Mitarbeiter:innen ihre Passwörter ändern müssen. Doch der Zwang zu häufigem Wechsel kann auch gefährlich sein. Denn wenn sich Ihre Mitarbeiter:innen jeden Monat neue Passwörter ausdenken müssen, werden viele diese Passwörter nach festen Regeln bilden. Sie hängen beispielsweise fortlaufende Nummern an oder verändern jeweils nur einen Buchstaben im Passwort oder schreiben das Passwort auf einen Zettel, der unbeaufsichtigt am Arbeitsplatz liegt. Oder sie werden – um die Zahl der immer wieder neu zu merkenden Passwörter klein zu halten – diese auf verschiedenen Systemen wiederverwenden. Doch gerade dies erhöht die Gefahr erfolgreicher Credential-Stuffing-Attacken. Daher empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Grundschutz-Kompendium inzwischen keinen turnusmäßigen Wechsel des Passworts mehr. Stattdessen schlägt das BSI einen anlassbezogenen Passwortwechsel vor – beispielsweise beim Verdacht, dass es eine Hackingattacke gegeben haben könnte.
Mithilfe eines Passwortmanagers und -generators können Ihre Mitarbeiter:innen individuelle und schwer zu knackende Passwörter für jeden Einsatzzweck erzeugen. Die unterschiedlichen Passwörter für die einzelnen Anwendungen werden dann im Passwortmanager verwahrt und der Zugriff hierauf mit einem einzelnen und somit leichter zu merkenden Masterpasswort geschützt. Idealerweise sollte das Passwortprogramm auf einer sicheren, verschlüsselten Plattform liegen, etwa in der Private Cloud Ihrer Firma. Ihre Mitarbeiter:innen sollten mit allen ihren Endgeräten auch von unterwegs darauf zugreifen können. Andernfalls ist die Gefahr groß, dass Team-Mitglieder einzelne Passwörter doch auf einen Zettel notieren und im Portemonnaie oder der Smartphonehülle ablegen.
Richten Sie, wo immer dies möglich ist, eine Zwei-Faktor-Authentifizierung (2FA) ein. So können Angreifer:innen mit einzelnen gestohlenen Passwörtern noch nicht auf Ihre Systeme zugreifen. Ein sehr effizienter Schutz ist die Kombination von biometrischen Verfahren wie einem Fingerabdruckscan am mobilen Endgerät mit einer Passwortabfrage auf dem Notebook oder Desktop-PC. Die Wahrscheinlichkeit, dass Angreifer:innen gleichzeitig auf Ihren Arbeitsplatzrechner und Ihr Mobilgerät zugreifen können, ist sehr gering. Damit ist 2FA einer der besten Schutzmechanismen gegen Passwortdiebstahl und Credential-Stuffing.
Identitätsprüfung leicht gemacht
Nicht sicher, ob eine Person die ist, für die sie sich ausgibt? Mit den Vodafone Identity Verification Services haben Cyber-Kriminelle beim Identitätsbetrug keine Chance.
Credential-Stuffing ist eine verbreitete Hackingattacke, die mit kompromittierten Passwörtern arbeitet.
Die Angriffsform Credential-Stuffing kann alle Branchen betreffen. Besonders betroffen sind beispielsweise Unternehmen mit Webportalen.
Credential-Stuffing ist verwandt mit Angriffsformen wie Brute-Force und Password-Spraying, aber es hinterlässt weniger Datenspuren in Ihren Systemen.
Unternehmen können die Gefahren des Credential-Stuffing minimieren, indem sie ihre Mitarbeiter:innen entsprechend schulen und ihre Passwort-Richtlinien anpassen.
Durch den Einsatz einer Zwei-Faktor-Authentifizierung reduzieren Sie die Gefahren von Hackingattacken auf Ihr Unternehmensnetz.
TLS-Verschlüsselung und ihre Einsatzgebiete einfach erklärt
Digitale Sicherheit ist in Zeiten von Cyberkriminalität und Datenschutzbestimmungen unverzichtbar. Transport Layer Security (TLS) ist eine Verschlüsselungslösung für Unternehmen und Privatpersonen für den vertraulichen Datenaustausch. Dieser Artikel gibt Ihnen einen Überblick und erläutert die Grundlagen.
Der Schutz sensibler Informationen vor unbefugten Zugriffen stellt für Unternehmen eine der größten Herausforderungen der digitalen Transformation dar. Eine zentrale Rolle kommt dabei der Transport Layer Security zu. Dieses Verschlüsselungsprotokoll gewährleistet die sichere Übertragung vertraulicher Daten im Internet – ob im internen Netzwerk oder im Austausch mit externen Stellen.
Doch wie funktioniert TLS genau? Wie steht es um die Vor- und Nachteile? Und in welchen Bereichen kommt die Verschlüsselungstechnologie zum Einsatz?
Datensicherheit: So schützen Sie digitale Informationen richtig
Cloud-Services, die Erfassung von Nutzungsdaten oder Bestellungen aus dem Online-Shop: Unternehmen arbeiten in ihren täglichen Geschäftsprozessen mit immer mehr Daten. Doch wegen der Gefahr von Cyberangriffen, Naturkatastrophen und Anwendungsfehlern ist die Datensicherheit mitunter schwierig zu gewährleisten. Dazu kommen die gesetzlichen Bestimmungen zum Datenschutz.
So manche Unternehmen beschäftigen sich jedoch erst dann intensiv mit Datensicherheit, wenn es zu spät ist: bei fahrlässigem Datenverlust oder als Opfer von Datendiebstahl. Dieser Leichtsinn kann sich rächen: Schon die erste große Datenpanne kann für ein Unternehmen existenzgefährdend sein.
Wenn Daten in falsche Hände gelangt sind, ist es schwierig, den Schaden wiedergutzumachen: Neben dem Ausfall von Geschäfts- und Produktionsprozessen drohen Klagen auf Schadensersatz von Geschädigten, deren Daten kompromittiert wurden. Daneben kommen auf Sie als Verursacher einer Datenpanne rechtliche Konsequenzen durch den Gesetzgeber zu.
Der beste Schutz gegen den Verlust und Diebstahl Ihrer Unternehmensdaten ist ein lückenloses Datensicherheitskonzept. Doch was bedeutet Datensicherheit konkret? Worauf sollten Sie achten und wie sollte ein solches Konzept aussehen, damit es auch in der Praxis funktioniert und künftigen Schaden von Ihrem Unternehmen abwendet?
Verschlüsseln? Aber sicher! Vom Bitcoin bis zum sicheren Surfen per HTTPS – ohne asymmetrische Verschlüsselung wäre das Internet von heute kaum vorstellbar. Doch wie funktionieren Kryptosysteme wie RSA, DH und ECC – und sind sie tatsächlich unknackbar? Und was sollten Sie unbedingt beachten, wenn Sie Kryptographie für Ihr eigenes Business nutzen?
Asymmetrische Verschlüsselungsverfahren haben die Welt der Kryptographie verändert. Sie können viel mehr, als nur Texte sicher zu verschlüsseln. Alles fing vor 40 Jahren mit ein paar unlösbaren mathematischen Problemen an.
Heute basieren unzählige Anwendungen und Dienste im Internet auf der asymmetrischen Verschlüsselung. Blockchain-Technologien und sicher signierte E-Mails beispielsweise wären ohne die Verschlüsselung über sogenannte asymmetrische Schlüsselpaarungen kaum möglich.
IT-Sicherheit im Überblick: Definition, Bereiche, Ziele
In einer fortschreitend vernetzten Welt sind Ihre geschäftskritischen IT-Systeme und Ihre wertvollen Daten permanent Cyber-Bedrohungen ausgesetzt. Daher ist eine solide IT-Sicherheitslösung eine entscheidende Investition für den Schutz Ihres Unternehmens. Wir geben einen Überblick über die verschiedenen Bereiche, in denen IT-Sicherheit in Ihrem Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen schützen kann.
Die fortschreitende Digitalisierung bringt zwar viele Vorteile, stellt Unternehmen aber auch vor neue Herausforderungen im Bereich IT-Sicherheit. Der Schutz sensibler Daten und Systeme vor Cyber-Angriffen ist zu einer der wichtigsten Aufgaben geworden. Eine solide IT-Sicherheitsstrategie ist der Schlüssel, um Datenverluste, Ausfallzeiten und finanzielle Schäden zu vermeiden. Erfahren Sie, wie Sie Ihre Unternehmensdaten und Systeme effektiv vor den ständig wachsenden Cyber-Bedrohungen schützen können.
Brute-Force-Angriffe einfach erklärt: Das steckt dahinter
Moderne Brute-Force-Angriffe sind in der Lage, über koordinierte Massenanfragen Tausende von Passwörtern pro Sekunde auszuprobieren. Jeden Monat treffen solche Angriffe kleine Unternehmen, Mittelständler und Großunternehmen sowohl aus der Privatwirtschaft als auch aus dem Gesundheitssektor: Die beteiligten Hackergruppen schrecken im Grunde vor nichts zurück. Hier erfahren Sie, was hinter diesen Angriffen steckt – und wie Sie die Webseiten und die Webapps Ihres Unternehmens effektiv schützen.
Der Begriff „Brute Force“ bedeutet direkt übersetzt „brutale Gewalt“. Ein Brute-Force-Angriff (Englisch: Brute Force Attack) zielt üblicherweise auf eine Anwendung, einen Passwort-Hash oder ein verschlüsseltes Passwort, um unbefugten Zugang zu geschützten Systemen, Konten oder Daten zu erlangen.