Credential Stuffing: Wie die Angriffe zu Umsatzverlusten im Online-Business führen

Anbieter zum Thema

Marken-MEDIA Iji GmbH

Mithilfe geleakter Passwort-Datenbanken gelingt es Cyberkriminellen immer wieder, Nutzerkonten zu übernehmen. Zum Einsatz kommen dabei hochautomatisierte Werkzeuge. So kann bereits ein einziger Angriff per Credential Stuffing Tausende von Opfern nach sich ziehen.

Für Unternehmen im Online-Business sind Kontoübernahmen per Credential Stuffing durch Cyberkriminelle zu einem finanziellen Geschäftsrisiko geworden. Dies kann die Umsätze um bis zu neun Prozent schmälern, geht aus einer neuen Studie hervor, die die Strategieberatung Aberdeen im Auftrag von Nevis durchgeführt hat. Für die Untersuchung hat sich Aberdeen auf zehn ausgewählte B2C-Kategorien im EMEA-Raum konzentriert.

Neben Geschäftsbanken, Kreditgenossenschaften, Sparinstitute und Finanztechnologie wurden für die Studie Sach- und Unfallversicherungen untersucht. Zu den weiteren Branchen gehören Unterhaltungselektronik, Netzwerke von Anbietern von Gesundheitsfürsorgeleistungen, Online-Glücksspiele, Telekommunikation und Energieversorger. Die Studie zeigt, wie weit Angriffe per Credential Stuffing derzeit verbreitet sind. So gaben 76 Prozent der Befragten an, dass einige ihrer Online-Nutzer in den vergangenen zwölf Monaten Opfer von erfolgreichen Kontoübernahmen geworden seien.

Credential Stuffing: Cyberangriffe beeinträchtigen Rentabilität

Die Untersuchung macht auch das dramatische Ausmaß der dadurch entstehenden Schäden deutlich. Die Kosten erfolgreicher Cyberangriffe summieren sich rasch zu signifikanten Beträgen, die nicht einfach als unvermeidliche „Geschäftskosten“ abgetan werden können. So gehen bei Geschäftsbanken 3,4 bis 5,28 Prozent Umsatz durch Credential Stuffing verloren. Im Bereich Fintech sind es sogar zwischen 5,57 bis 8,96 Prozent. Auch Branchen außerhalb der Finanzwelt sind in vergleichbarem Maße betroffen. So belaufen sich die Umsatzverluste durch illegale Kontoübernahmen bei Healthcare-Providern auf 4,45 bis 5,79 Prozent. Selbst im streng reglementierten und daher auf Sicherheit bedachten Glücksspiel-Sektor schlagen die Verluste mit 5,02 bis 8,2 Prozent zu Buche.

Wie Cyberkriminelle bei Angriffen vorgehen

Steht der Zugang zu einem Nutzerkonto erst einmal offen, können das die Kriminellen für verschiedenste Zwecke ausnutzen. Nach der Studie von Aberdeen kommt es vor allem zu betrügerischen Transaktionen (39 Prozent), zur Erstellung von neuen Konten (34 Prozent) sowie zur fehlerhaften Ablehnung von Kartenzahlungen (34 Prozent). Weitere typische Folgen der Kontoübernahmen sind Rückbelastungen (18 Prozent). Außerdem der Transfer von Geldern oder anderen fungiblen Werten (11 Prozent), betrügerische Einkäufe (11 Prozent) und der Diebstahl von digitalen Inhalten und Dienstleistungen (11 Prozent). Neben diesen direkten Folgen drohen noch weitere indirekte Konsequenzen. Etwa ein Rückgang der aktiven User, die durch verstärkte Sicherheitsmaßnahmen abgeschreckt werden, oder die Abwanderung zu Wettbewerbern.

Auch der Frage, wie sich Unternehmen vor der steigenden Zahl von Attacken per Credential Stuffing zu schützen versuchen, ist Aberdeen nachgegangen: Dabei zeigt sich eine zunehmende Vermeidung sowohl des Nutzername-Passwort-Modells als auch von Multi-Faktor-Authentifizierungslösungen. So werden etwa Mobile Apps für die Multifaktor-Authentifizierung derzeit in 42 Prozent der befragten Unternehmen eingesetzt – aber nur 24 Prozent befürworten eine zukünftige Einführung. Ein starkes Innovationspotenzial sehen die Befragten dagegen bei passwortlosen Ansätzen, die sowohl benutzerfreundlich als auch für die Anbieter kosteneffizient sind. Bislang haben zwar nur 20 Prozent kennwortlose (adaptive, kontextbasierte, transparente) Verfahren eingeführt, doch 46 Prozent planen dies für die Zukunft.

Credential Stuffing bei Cyberkriminellen weiterhin beliebt

Für die Angreifer ist Credential Stuffing derzeit aus folgenden drei Gründen eine attraktive Methode:

• Erstens lassen sich im Darknet leicht Listen mit Anmeldeinformationen beschaffen, die durch Datenpannen oder Hacks an die Öffentlichkeit gelangt sind.

• Zweitens sind für alle Geschäftsbeziehungen, die auf digitalen Konten basieren, digitale Anmeldeinformationen notwendig. Sie sind also, sofern keine zusätzlichen Sicherheitsmaßnahmen getroffen wurden, durch Brute-Force-Angriffe wie das Credential Stuffing verwundbar.

• Drittens sind die Angriffe leicht automatisierbar: Die Täter müssen dafür nicht zwingend über Programmierkenntnisse verfügen, sondern können die benötigten Programme nach dem Software-as-a-Service-Prinzip im Darknet mieten.

  Jetzt Newsletter abonnieren

  Verpassen Sie nicht unsere besten Inhalte

  Geschäftliche E-Mail

  Bitte geben Sie eine gültige E-Mailadresse ein.

  Abonnieren

  Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

  Aufklappen für Details zu Ihrer Einwilligung

  Stand: 16.12.2025

  Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

  Einwilligung in die Verwendung von Daten zu Werbezwecken

  Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

  Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

  Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

  Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

  Recht auf Widerruf

  Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Verschwinden dürfte dieses lukrative Geschäftsmodell erst, wenn die Mehrzahl der Unternehmen ihre Nutzerkonten auf sichere Verfahren wie die Multi-Faktor-Authentifizierung und insbesondere die passwortlose Authentifizierung umstellt.
Das Lösungsportfolio von Nevis umfasst passwortfreie Logins, die sich intuitiv bedienen lassen und Nutzerdaten optimal schützen. In der Schweiz ist Nevis einer der Marktführer für Identity und Access Management und sichert über 80 Prozent aller E-Banking-Transaktionen. Nevis ist mit Standorten in der Schweiz, Deutschland und Ungarn vertreten. (sg)

Lesen Sie auch: IT-Security: 6 entscheidende Trends für 2022