Akamai hat einen neuen Forschungsbericht vorgestellt: Unternehmen verlieren durchschnittlich vier Millionen US-Dollar pro Jahr durch Credential-Stuffing-Angriffe. Credential Stuffing setzt darauf, dass Nutzer für verschiedene Konten, Anwendungen und Services dieselbe Kombination aus Nutzername und Passwort verwenden.
Cyberkriminelle nutzen gestohlene Kontodetails von einer Plattform und setzen Bots ein, um sich mit diesen Daten bei unzähligen anderen Plattformen anzumelden. Haben sie es einmal geschafft, nutzen die Kriminellen das Konto solange aus, bis der Besitzer es bemerkt. So kaufen sie beispielsweise Waren im Namen des echten Nutzers oder stehlen vertrauliche Informationen.
Die Ergebnisse des Ponemon Institute zeigen, dass Umfang und Schwere von Credential Stuffing zunehmen. So erleben Unternehmen heute durchschnittlich elf Credential-Stuffing-Attacken pro Monat. Jeder dieser Angriffe zielt im Durchschnitt auf 1.041 Nutzerkonten ab und kann teure Anwendungsausfälle, Kundenverlust und gesteigerten Aufwand für IT-Sicherheitsteams bedeuten.
Dadurch kommt es jährlich zu Schäden in Millionenhöhe: Für die Bereiche Anwendungsausfälle und erhöhte IT-Aufwände entstehen pro Unternehmen jeweils durchschnittlich 1,2 Millionen US-Dollar Verlust. Der Kundenverlust führt im Schnitt pro Unternehmen zu einem Schaden von 1,6 Millionen US-Dollar. Hinzu kommen die direkten Kosten, die durch die Betrugsversuche selbst entstehen.
„Wir sind daran gewöhnt, dass Listen gestohlener Nutzer-IDs und Passwörter im Dark Web kursieren“, erklärt Jay Coley, Senior Director for Security Planning and Strategy bei Akamai Technologies. „Doch die ständige Zunahme von Credential-Stuffing-Angriffen zeigt, wie groß die Gefahr wirklich ist. Cyberkriminelle setzen vermehrt auf Botnets, um die Listen mit Anmeldedaten auf den Login-Seiten anderer Unternehmen zu testen, und erweitern so den Umfang ihrer Attacken. Es liegt an den Unternehmen, diese Angriffsmethode zu unterbinden, um nicht nur Kunden und Mitarbeiter, sondern letztlich auch ihre Umsätze zu schützen.“
Bewältigung der Komplexität
Die meisten Unternehmen bieten eine komplexe Angriffsfläche für den Missbrauch von Anmeldedaten. Wie die Ergebnisse zeigen, setzen Unternehmen durchschnittlich 26,5 kundengerichtete Websites in ihrer Produktionsumgebung ein, die allesamt als Einstiegspunkt für Bots dienen können.
Das Problem wird dadurch verstärkt, dass Unternehmen für verschiedene Clienttypen – darunter Kunden an Desktops oder Laptops (87 %), mobile Browser (65 %), Drittanbieter (40 %) und App-Nutzer (36 %) – unterschiedliche Login-Methoden bereitstellen müssen.
Die Komplexität der Angriffsfläche ist ein Grund dafür, dass nur ein Drittel der Unternehmen angibt, über ausreichend Transparenz hinsichtlich Credential-Stuffing-Attacken zu verfügen (35 %), und der Meinung ist, Angriffe auf ihre Websites schnell erkennen und beheben zu können (36 %).
Coley: „Moderne Websites sind weit verzweigt, können Hunderte oder sogar Tausende Seiten umfassen und unterstützen verschiedenste Client- und Traffic-Arten. Um sich erfolgreich vor Credential Stuffing zu schützen, müssen Unternehmen ihre Website-Architektur kennen und wissen, wie Clients zwischen den verschiedenen Seiten und Login-Endpoints navigieren.“
Identifizierung der Betrüger
Unternehmen bereitet es Probleme, die Betrüger zu erkennen. So stimmen 88 Prozent der Befragten zu, dass es schwierig sei, echte Mitarbeiter und Kunden von kriminellen Eindringlingen zu unterscheiden. Diese Herausforderung wird durch den Mangel an klarer Verantwortlichkeit im Unternehmen noch erschwert: Über ein Drittel (37 %) der Teilnehmer gibt an, dass bei ihnen keine zentrale Stelle für die Erkennung und Verhinderung von Credential-Stuffing-Angriffen verantwortlich sei.
Coley führt fort: „Bots lassen sich am besten besiegen, indem wir sie als das behandeln, was sie sind: nicht menschlich. Die meisten Bots verhalten sich nicht annähernd wie echte Menschen, doch ihre Methoden werden immer raffinierter. Deshalb brauchen Unternehmen Bot-Management-Tools, mit denen sie das Verhalten der Bots überwachen und Bots von echten Anmeldeversuchen unterscheiden können.“
„Statt standardmäßiger Login-Systeme, die nur überprüfen, ob Nutzername und Passwort übereinstimmen, benötigen sie Lösungen, die Muster bei der Tastatureingabe, Mausbewegungen und sogar die Ausrichtung mobiler Geräte berücksichtigen. Angesichts der möglichen Kosten in Millionenhöhe war es nie wichtiger, Bots zu erkennen und sie aufzuhalten.“