Die Tricks von Cyberkriminellen werden immer besser. Doch die meisten Passwörter geraten immer noch mit vergleichsweise einfachen Angriffsformen wie dem Credential-Stuffing in falsche Hände. Wie das funktioniert und was Sie und Ihre Mitarbeiter:innen darüber wissen sollten, lesen Sie hier.
Auf über 200 Milliarden Euro schätzt der Branchenverband Bitkom den Schaden durch Cyberkriminalität 2022 allein in Deutschland. Viele dieser Angriffe erfolgen mit Schadsoftware, die über das Internet – zum Beispiel per E-Mail – an Computernutzer:innen versendet wird.
Millionen solcher Schadprogramme (Malware) gelangen so täglich in Unternehmensnetze. Zur Gefahr werden sie, wenn die Empfänger:innen diese Dateien öffnen und damit deren geheime Spionagefunktionen unbemerkt aktivieren. Die Programme schnüffeln beispielsweise nach Passwörtern, die sie dann direkt an ihre Programmierer versenden.
Doch immer häufiger brauchen Kriminelle gar keine versteckte Malware mehr, um an Passwörter von Nutzer:innen zu gelangen. Denn viele Passwörter und andere sensible Daten von Anwender:innen befinden sich bereits im Darknet. Die Kriminellen verkaufen sie dort an die Meistbietenden. Mit Credential-Stuffing werden diese Daten dann zur ernsten Gefahr.
Was ist Credential-Stuffing?
Der Begriff Credential-Stuffing beschreibt eine Hackingattacke, bei der Kriminelle gestohlene Zugangsdaten, sogenannte „Credentials“, aus einer bestimmten Quelle benutzen. Mit diesen Daten verschaffen sie sich die Diebe Zugriff auf weitere Nutzerkonten einer Person.
Hierfür erwerben Hacker:innen im Darknet Datenbanken mit Nutzerdaten und Passwörtern aus früheren erfolgreichen Hackingattacken. Anschließend probieren sie mithilfe automatisierter Anmeldeprogramme diese Zugangsdaten bei vielen weiteren Plattformen aus – in der Hoffnung, dass dieselben Nutzerdaten dort auch funktionieren. Dieser Vorgang wird auch als Stuffing (auf englisch: „stopfen“) bezeichnet, weil die gestohlenen Passwörter nacheinander in zahlreiche Anmeldeportale „gestopft” werden. Die Angreifer probieren die Zugangsdaten zum Beispiel für ein Download-Portal oder ein Social-Media-Konto oder bei bekannten Online-Auktionshäusern oder Webshops aus.
Haben die Kriminellen damit Erfolg, stehlen sie mithilfe dieser Zugangsdaten persönliche Informationen der Kontoinhaber:innen, beispielsweise Kreditkartendaten. Sie können aber beispielsweise auch mit den erbeuteten Nutzerdaten Waren und Dienstleistungen auf Kosten der Geschädigten bestellen.
Wie funktioniert ein Credential-Stuffing-Angriff?
Credential-Stuffing-Attacken profitieren von der großen Zahl an Nutzerkonten, die die meisten Anwender:innen mittlerweile haben. Dem gegenüber steht die Schwierigkeit, sich für jede Plattform ein anderes Passwort zu merken.
Viele Anwender:innen greifen heute im Tagesverlauf mit mehreren Endgeräten auf ihre Nutzerkonten zu und verwenden daher bewusst simple oder leicht zu merkende Passwörter, um sich schnell über jede dieser Plattformen anmelden zu können. In etwa jedem fünften Fall werden dieselben Anmeldenamen und Passwörter für verschiedene Benutzerkonten verwendet, hat eine Studie des Hasso-Plattner-Instituts ergeben.
Ein großer Teil der Internetnutzer:innen ist beispielsweise bei Social-Media-Plattformen, Streaming-Anbietern und Internet-Kaufhäusern registriert. Entsprechend hoch ist somit die Chance für Hacker:innen, solche Mehrfach-Nutzungen von Passwörtern durch bloßes Ausprobieren bei weiteren Plattformen aufzuspüren.
Hacker:innen verwenden hierfür sogenannte Bot-Netze, also Netzwerke aus physischen oder virtuellen Computern im Internet, deren Aufgabe es ist, die Passwörter auf vielen weiteren Plattformen auszutesten.
Die Werkzeuge für das automatische Ausprobieren von Nutzerdaten werden dabei immer leistungsfähiger. So täuschen einige Credential-Stuffing-Programme vor, sich im selben IP-Adressraum zu befinden wie die echten Inhaber:innen der Nutzerdaten. So verhindern sie, dass die betroffenen Plattformen verdächtige Anmeldeversuche aus dem Ausland oder verdächtigen Subnetzen erkennen und automatisiert sperren.
Eine Hochrechnung des Softwareanbieters Arkose Labs hat ergeben, dass Credential-Stuffing-Angriffe inzwischen knapp 30 Prozent aller Hackingangriffe ausmachen. Etwa jeder zwanzigste Anmeldeversuch steht im Verdacht, eine solche Hackingattacke per Credential-Stuffing zu sein.
Hacker:innen kaufen im Darknet gestohlene Anmeldedaten und testen diese über Botnetze auf anderen Plattformen aus.
Diese Branchen sind besonders betroffen
Credential-Stuffing als Angriffsform ist nicht auf bestimmte Branchen oder Unternehmen beschränkt, sondern funktioniert grundsätzlich übergreifend in allen passwortgesicherten Zugangssystemen. Trotzdem sind einige Branchen besonders betroffen. Im Einzelnen sind dies:
- Unternehmen, mit sehr vielen Kunden, die sich über Webportale anmelden. Dazu gehören beispielsweise die Gastronomie, sowie Banken und Finanzdienstleister, Online-Kaufhäuser und Vermietungsportale. Angreifer:innen können hier auf fremde Bankkonten zugreifen oder im Namen Dritter Waren einkaufen.
- Unternehmen, die ihre Waren und Dienstleistungen digital über das Internet anbieten, beispielsweise Softwarefirmen und Streaminganbieter. Hier können Angreifer:innen mit gestohlenen Accounts digitale Inhalte bestellen und herunterladen.
- Unternehmen, die ihren Mitarbeiter:innen mobiles Arbeiten ermöglichen und hierfür passwortgeschützte Zugänge in ihr Firmennetz einrichten. Hacker:innen können per Credential-Stuffing in diese Netze eindringen und Unternehmensdaten stehlen.
Credential-Stuffing vs. Brute-Force-Angriffe vs. Password-Spraying
Neben dem Credential-Stuffing wenden Hacker:innen auch andere Verfahren an, um Nutzerkonten zu knacken. Besonders verbreitete Angriffsvektoren sind die Brute-Force-Attacke und das Passwort-Spraying.
Brute-Force-Angriffe
Die Attacke per Brute-Force (auf englisch: „Brutale Gewalt“) basiert auf dem monotonen und sehr schnellen Ausprobieren zahlreicher möglicher Passwörter für ein einzelnes Nutzerkonto. Angreifer:innen verwenden hierfür Wörterbücher in der jeweiligen Landessprache und zusätzlich Listen beliebter Passwörter wie „Gott“, „Admin“, „qwertz“, „letmein“ oder „Passwort“.
Früher rieten Expert:innen daher oft, anstelle von gängigen Passwörtern aus dem Lexikon beispielsweise abweichende Schreibweisen hierfür zu verwenden. Besonders beliebt ist hierfür das sogenannte Leetspeak, das Buchstaben durch ähnlich aussehende Ziffern ersetzt, zum Beispiel das „E“ durch eine „3“, das „A“ durch eine „4“ und das „T“ durch eine „7“. Dabei wird das Wort „Passwort“ zu „P4ssw0r7“ und das Wort „Leetspeak“ zu „13375p34k“.
Inzwischen kennen Brute-Force-Programme aber auch die meisten dieser Tricks und können dank immer schnellerer Programmroutinen komplette Wörterbücher samt ihrer Leet-Varianten in nur wenigen Minuten durchprobieren.
Effizient sind Brute-Force-Attacken überall dort, wo sie in kurzer Zeit sehr viele Passwortvarianten durchprobieren können, ohne dass Websites nach einem dritten erfolglosen Anmeldeversuch das Benutzerkonto sperren oder sogenannte Captcha-Mechanismen als erweiterte Sicherheitsmechanismen zum Einsatz kommen. Hacker:innen verwenden hierfür Programme wie Medusa oder den Brutus-Password-Cracker, die Spezialist:innen auch bei Pentests einsetzen.
Passwort-Spraying
Während die Brute-Force-Attacke gezielt einzelne Anwenderkonten angreift, richtet sich das Passwort-Spraying gegen eine Vielzahl von Nutzerkonten gleichzeitig, geht dafür aber weniger in die Tiefe. So beschränkt es sich auf das Ausprobieren einer kleinen Anzahl besonders gängiger Passwörter, beispielsweise die auch bei der Brute-Force-Attacke zum Einsatz kommenden Wörter „Gott“, „Admin“ oder „Passwort“. Die angreifende Software testet aber keine ganzen Wörterbücher durch.
Das Passwort-Spraying funktioniert besonders gut auf Plattformen mit sehr vielen Nutzerkonten, die Benutzernamen nach festen Regeln bilden. Wenn Sie in Ihrem Unternehmen alle Benutzernamen nach der Regel Vorname.Nachname@Firmenname bilden, dann ist dies ein idealer Angriffspunkt für das Passwort-Spraying.
Entsprechende Software testet einfach alle gängigen Kombinationen aus Vor- und Nachnamen und testet diese mit gängigen Passwörtern. Die Chance ist hoch, dass mindestens eine Person im Unternehmen ein schwaches, bekanntes Passwort nutzt. Wenn Kriminelle dieses Benutzerkonto einmal hacken, können sie anschließend Schadsoftware ins gesamte Unternehmensnetz einspielen.
Schutzmaßnahmen für Unternehmen
Angriffe per Credential-Stuffing sind ein erhebliches Sicherheitsrisiko für Unternehmen. Denn Kriminelle können damit nicht nur an Kreditkartendaten gelangen oder im Namen Dritter Waren bestellen. Sie gelangen auf diesem Weg auch in Unternehmensnetze und können dort sensible Daten stehlen.
Wenn Wettbewerber oder ausländische Nachrichtendienste beispielsweise Geschäftsgeheimnisse per Advanced Persistent Threat (APT) aus Ihrem Firmennetz stehlen wollen, werden sie auch im Darknet gezielt nach Passwörtern von Führungskräften oder anderen Mitarbeiter:innen aus Ihrem Unternehmen suchen und diese Passwörter in Ihrem Netz ausprobieren.
Auch beim Spear-Phishing können Hacker:innen ihre Erfolgschancen erhöhen, wenn sie bereits über dank Credential-Stuffing über gültige Zugänge und Passwörter verfügen, über die sie dann weitere Mitarbeiter:innen Ihres Unternehmens von innen heraus kontaktieren.
Fatal hierbei: Anders als Attacken per Brute-Force oder Passwort-Spraying hinterlässt gezieltes Crendetial-Stuffing als Teil eines APT so gut wie keine Spuren in ihren Anmeldesystemen. Die meisten Brute-Force-Aufrufe können Sie beispielsweise im Dashboard Ihres Anmeldeservers sehen und gezielt unterbinden. Eine Credential-Stuffing-Anmeldung mit einem kompromittierten Passwort aus dem Darknet können Sie hingegen kaum von einem erlaubten Zugriff der echten Person unterscheiden.
Daher sollten Sie Ihr Unternehmensnetz gegen Credential-Stuffing besonders wirksam schützen. Diese Tipps helfen Ihnen dabei:
- Machen Sie Credential-Stuffing zum Thema in Ihren Sicherheitsschulungen. Viele Anwender:innen kennen die Gefahren dieser Attacke nicht und verwenden daher Passwörter mehrfach.
- Gestalten Sie Ihr Unternehmensnetzwerk ergonomisch. Wenn Ihre Mitarbeiter:innen sich nach der Anmeldung im Benutzerkonto noch einmal bei allen weiteren Anwendungen separat anmelden müssen, ist die Gefahr groß, dass sie dafür mit der Zeit immer dieselben Passwörter verwenden. Wird dann beispielsweise das Portal Ihres Mietwagen-Anbieters gehackt, werden einige der dort verwendeten Passwörter auch den Zugang zu Ihrem Firmennetz ermöglichen.
- Führen Sie alle Kommunikationsplattformen im Unternehmen mittels Unified Communications (UC) zusammen und verwenden Sie auch für mobile Endgeräte ein einheitliches Rechtemanagement über ein Unified Endpoint Management (UEM). Dies reduziert die Anzahl der notwendigen Anmeldevorgänge und Passwörter.
- Im Internet finden Sie Listen bekannter Passwortdiebstähle aus den vergangenen Jahren. Betroffen waren beispielsweise Firmen wie Adobe, Facebook oder die Marriot-Hotels. Beachten Sie, dass Kriminelle einmal gestohlene Passwörter auch nach vielen Jahren noch im Darknet handeln. Diese Passwörter sind damit für alle Zeiten unbenutzbar.
- Viele Unternehmen geben in ihren internen Passwort-Richtlinien vor, wie oft Mitarbeiter:innen ihre Passwörter ändern müssen. Doch der Zwang zu häufigem Wechsel kann auch gefährlich sein. Denn wenn sich Ihre Mitarbeiter:innen jeden Monat neue Passwörter ausdenken müssen, werden viele diese Passwörter nach festen Regeln bilden. Sie hängen beispielsweise fortlaufende Nummern an oder verändern jeweils nur einen Buchstaben im Passwort oder schreiben das Passwort auf einen Zettel, der unbeaufsichtigt am Arbeitsplatz liegt. Oder sie werden – um die Zahl der immer wieder neu zu merkenden Passwörter klein zu halten – diese auf verschiedenen Systemen wiederverwenden. Doch gerade dies erhöht die Gefahr erfolgreicher Credential-Stuffing-Attacken. Daher empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Grundschutz-Kompendium inzwischen keinen turnusmäßigen Wechsel des Passworts mehr. Stattdessen schlägt das BSI einen anlassbezogenen Passwortwechsel vor – beispielsweise beim Verdacht, dass es eine Hackingattacke gegeben haben könnte.
- Mithilfe eines Passwortmanagers und -generators können Ihre Mitarbeiter:innen individuelle und schwer zu knackende Passwörter für jeden Einsatzzweck erzeugen. Die unterschiedlichen Passwörter für die einzelnen Anwendungen werden dann im Passwortmanager verwahrt und der Zugriff hierauf mit einem einzelnen und somit leichter zu merkenden Masterpasswort geschützt. Idealerweise sollte das Passwortprogramm auf einer sicheren, verschlüsselten Plattform liegen, etwa in der Private Cloud Ihrer Firma. Ihre Mitarbeiter:innen sollten mit allen ihren Endgeräten auch von unterwegs darauf zugreifen können. Andernfalls ist die Gefahr groß, dass Team-Mitglieder einzelne Passwörter doch auf einen Zettel notieren und im Portemonnaie oder der Smartphonehülle ablegen.
- Richten Sie, wo immer dies möglich ist, eine Zwei-Faktor-Authentifizierung (2FA) ein. So können Angreifer:innen mit einzelnen gestohlenen Passwörtern noch nicht auf Ihre Systeme zugreifen. Ein sehr effizienter Schutz ist die Kombination von biometrischen Verfahren wie einem Fingerabdruckscan am mobilen Endgerät mit einer Passwortabfrage auf dem Notebook oder Desktop-PC. Die Wahrscheinlichkeit, dass Angreifer:innen gleichzeitig auf Ihren Arbeitsplatzrechner und Ihr Mobilgerät zugreifen können, ist sehr gering. Damit ist 2FA einer der besten Schutzmechanismen gegen Passwortdiebstahl und Credential-Stuffing.
Das Wichtigste zu Credential-Stuffing in Kürze
- Credential-Stuffing ist eine verbreitete Hackingattacke, die mit kompromittierten Passwörtern arbeitet.
- Die Angriffsform Credential-Stuffing kann alle Branchen betreffen. Besonders betroffen sind beispielsweise Unternehmen mit Webportalen.
- Credential-Stuffing ist verwandt mit Angriffsformen wie Brute-Force und Password-Spraying, aber es hinterlässt weniger Datenspuren in Ihren Systemen.
- Unternehmen können die Gefahren des Credential-Stuffing minimieren, indem sie ihre Mitarbeiter:innen entsprechend schulen und ihre Passwort-Richtlinien anpassen.
- Durch den Einsatz einer Zwei-Faktor-Authentifizierung reduzieren Sie die Gefahren von Hackingattacken auf Ihr Unternehmensnetz.
Quelle:
https://www.vodafone.de/business/featured/digitales-business/digitaler-arbeitsplatz/was-ist-credential-stuffing-und-wie-schuetzen-sie-ihr-unternehmen-davor/