Was ist Credential Stuffing? Wie können sich Unternehmen schützen?

Credential Stuffing-Attacken nehmen zu. Folgende Schutzmassnahmen haben sich bereits bewährt und wirken als zuverlässige Sicherheitsvorkehrung.

Feb 7, 2022 - 3 Min.
Picture of: Sebastian Ulbert
Sebastian Ulbert

Taucht das englische Wort „Stuffing“ allein auf, besteht durchaus Anlass zur Vorfreude. Schliesslich ist damit häufig eine Füllung im kulinarischen Sinne gemeint und Köstlichkeiten nicht weit entfernt. Kommt dasselbe Wörtchen allerdings in Begleitung von „Credential“ daher, ist Vorsicht angeraten. Denn hinter Credential Stuffing steckt eine Betrugsmasche, die sich bei Cyberkriminellen unangefochtener Beliebtheit erfreut. Allein im Jahr 2021 entfielen fünf Prozent des Datenverkehrs im Netzwerk von Arkose Labs, das Betrugsversuche mittels Künstlicher Intelligenz ermittelt, auf Credential Stuffing. Doch was genau verbirgt sich hinter dieser weit verbreiteten Angriffstaktik? Und wie können Unternehmen solche Attacken mit modernen Customer Identity and Access Management-Lösungen effizient ausbremsen? 

Credential Stuffing ist das automatisierte Ausprobieren von Benutzername-Passwort-Kombinationen bei unterschiedlichen Online-Diensten. Diese Art der Cyber-Attacke erfährt seit 2019 einen starken Aufwärtstrend, unter anderem als Folge grosser Datenlecks und -Diebstähle bei Anbietern wie Equifax, LinkedIn oder Marriott. Dabei erbeuteten Kriminelle unzählige Datensätze. Erschwerend kommt hinzu, dass 44 Prozent der deutschen Konsumenten ihre Passwörter nicht nur einmal, sondern für mehrere Accounts vergeben, wie aus dem Nevis Sicherheitsbarometer hervorgeht. Ein einmal geleaktes Passwort kann so zum „Generalschlüssel“ für weitere Konten bei anderen Anbietern werden. 

Insofern ist es nicht verwunderlich, dass Credential Stuffing bei Cyber-Kriminellen so beliebt ist. Allein in der ersten Jahreshälfte 2021 hat das Netzwerk von Arkose Labs 285 Millionen Credential Stuffing Angriffe aufgedeckt. Damit machte Credential Stuffing 29 Prozent aller Angriffe aus. Dies bedeutet gleichzeitig, dass schon hinter einem von 20 Logins ein Angriffsversuch stecken kann.

Was macht Credential Stuffing so beliebt – und so gefährlich? 

Für Kriminelle ist Credential Stuffing als Angriffsmethode so reizvoll, weil sie mit wenig Aufwand Erfolg haben können. Schon ein einziges kompromittiertes Konto zahlt sich für sie in barer Münze aus. Experten gehen von einer Erfolgsquote zwischen 0,5 und 3 Prozent aus. Credential Stuffing-Attacken beeinflussen das Kundenerlebnis bei Online-Diensten oder -Shops nicht nur unter Sicherheitsaspekten negativ. Da sie grossflächig und unvermittelt erfolgen, überlasten sie auch die Server der Seitenbetreiber. 

Als Folge eines erfolgreichen Credential-Stuffing-Angriffs können Cyber-Kriminelle zum Beispiel die Konten echter Kunden bei Finanzdienstleistern übernehmen und infolgedessen Geld auf kompromittierte Konten transferieren oder auch Schwarzgeld waschen. Des weiteren lassen sich Listen mit verifizierten Benutzer-Credentials gewinnbringend verkaufen. 

Der Schaden für Unternehmen beschränkt sich nicht allein auf die unmittelbaren Umsatzeinbussen. Es drohen auch finanzielle Einbussen durch erhöhte Betriebskosten und Imageschäden sowie Strafzahlungen, wenn gegen Datenschutzgesetze verstossen wird. 

Schutzmassnahme - Nummer 1: biometrische Identifikation

Mit Blick auf die zuvor genannten Gründe ist damit zu rechnen, dass Credential Stuffing Attacken für Kriminelle auch in Zukunft ein beliebtes Mittel sind, um daraus Kapital zu schlagen. Doch stehen den Anbietern von Online-Leistungen, die einen Kunden-Login und damit die Eingabe und das Speichern von Credentials erfordern, wirksame Schutzmassnahmen zur Verfügung. 

Ein Mittel, um Credential Stuffing zu vereiteln, ist die Verwendung biometrischer Merkmale während der Nutzer-Authentifizierung. Dies hat neben mehr Sicherheit einen weiteren Vorteil: Die Nutzer brauchen sich – anders als bei herkömmlichen Methoden – keine komplizierte Zeichenfolge zu merken und einzugeben, was besonders an Mobilgeräten umständlich und unbequem ist. Dass häufig unkomplizierte Passwörter mitunter für mehrere Online-Konten vergeben werden, hat schliesslich seinen Grund.

Bei der biometrischen Identifikation hat das Passwort ausgedient und ist als Risikofaktor Geschichte. Zum Einsatz kommen nämlich biometrische Verfahren wie der Iris-Scan, die Gesichtserkennung oder der Fingerabdruck-Scan. Sie stellen einzigartige Merkmale des Menschen dar, die obendrein nahezu fälschungssicher sind. Praktisch für die Anwender ist ebenfalls, dass sie ihren Identifikationsfaktor immer bei sich haben und die Überprüfung auf modernen Mobilgeräten in Sekundenschnelle von statten geht. Moderne Customer Identity and Access-Management-Lösungen, also Systeme zur Erfassung- und Verwaltung von Kundenprofil- und -Identitätsdaten, sollten in jedem Fall die Möglichkeit der biometrischen Identifikation bieten.

Schutzmassnahme Nummer 2: Multi-Faktor-Authentifizierung

Das Mass an Sicherheit steigt, wenn biometrische Verfahren im Rahmen der Multi-Faktor-Authentifizierung (MFA) mit weiteren Faktoren für die Identitätsüberprüfung kombiniert werden. Bei der Multi-Faktor-Authentifizierung sind zwei – dann wird von Zwei-Faktor-Authentifizierung (2FA) gesprochen – oder mehr Faktoren erforderlich, um die User-Identität zu überprüfen. Solche Faktoren können etwa sein, was der Nutzer weiss (zum Beispiel ein Passwort), was er ist (zum Beispiel biometrische Merkmale wie der Scan der Iris oder des Fingerabdrucks) oder was er hat (zum Beispiel sein Smartphone). 

In der Regel verfügen Online-Kriminelle, die gestohlene Credentials ausprobieren, nur über einen Faktor: das Passwort. Aus diesem Grund kann ihnen mit der Multi-Faktor-Authentifizierung wirksam Einhalt geboten werden. Ein noch wirksamerer Schutz lässt sich mit passwortfreien Methoden, die auf dem FIDO-Standard und biometrischen Merkmalen basieren, erreichen. Eine CIAM-Lösung vereint alle diese Möglichkeiten. 

Eine Investition in ein solches CIAM-System rechnet sich in jedem Fall, denn sie beläuft sich auf einen Bruchteil der Kosten, die ein erfolgreicher Credential Stuffing Angriff nach sich zieht. 

 

Was ist CIAM?