Credential Stuffing: Wie die Angriffe zu Umsatzverlusten im Online-Business führen

Für Unternehmen im Online-Business sind Kontoübernahmen per Credential Stuffing durch Cyberkriminelle zu einem finanziellen Geschäftsrisiko geworden. Dies kann die Umsätze um bis zu neun Prozent schmälern, geht aus einer neuen Studie hervor, die die Strategieberatung Aberdeen im Auftrag von Nevis durchgeführt hat. Für die Untersuchung hat sich Aberdeen auf zehn ausgewählte B2C-Kategorien im EMEA-Raum konzentriert.

Neben Geschäftsbanken, Kreditgenossenschaften, Sparinstitute und Finanztechnologie wurden für die Studie Sach- und Unfallversicherungen untersucht. Zu den weiteren Branchen gehören Unterhaltungselektronik, Netzwerke von Anbietern von Gesundheitsfürsorgeleistungen, Online-Glücksspiele, Telekommunikation und Energieversorger. Die Studie zeigt, wie weit Angriffe per Credential Stuffing derzeit verbreitet sind. So gaben 76 Prozent der Befragten an, dass einige ihrer Online-Nutzer in den vergangenen zwölf Monaten Opfer von erfolgreichen Kontoübernahmen geworden seien.

Credential Stuffing: Cyberangriffe beeinträchtigen Rentabilität

Die Untersuchung macht auch das dramatische Ausmaß der dadurch entstehenden Schäden deutlich. Die Kosten erfolgreicher Cyberangriffe summieren sich rasch zu signifikanten Beträgen, die nicht einfach als unvermeidliche „Geschäftskosten“ abgetan werden können. So gehen bei Geschäftsbanken 3,4 bis 5,28 Prozent Umsatz durch Credential Stuffing verloren. Im Bereich Fintech sind es sogar zwischen 5,57 bis 8,96 Prozent. Auch Branchen außerhalb der Finanzwelt sind in vergleichbarem Maße betroffen. So belaufen sich die Umsatzverluste durch illegale Kontoübernahmen bei Healthcare-Providern auf 4,45 bis 5,79 Prozent. Selbst im streng reglementierten und daher auf Sicherheit bedachten Glücksspiel-Sektor schlagen die Verluste mit 5,02 bis 8,2 Prozent zu Buche.

Wie Cyberkriminelle bei Angriffen vorgehen

Steht der Zugang zu einem Nutzerkonto erst einmal offen, können das die Kriminellen für verschiedenste Zwecke ausnutzen. Nach der Studie von Aberdeen kommt es vor allem zu betrügerischen Transaktionen (39 Prozent), zur Erstellung von neuen Konten (34 Prozent) sowie zur fehlerhaften Ablehnung von Kartenzahlungen (34 Prozent). Weitere typische Folgen der Kontoübernahmen sind Rückbelastungen (18 Prozent). Außerdem der Transfer von Geldern oder anderen fungiblen Werten (11 Prozent), betrügerische Einkäufe (11 Prozent) und der Diebstahl von digitalen Inhalten und Dienstleistungen (11 Prozent). Neben diesen direkten Folgen drohen noch weitere indirekte Konsequenzen. Etwa ein Rückgang der aktiven User, die durch verstärkte Sicherheitsmaßnahmen abgeschreckt werden, oder die Abwanderung zu Wettbewerbern.

Auch der Frage, wie sich Unternehmen vor der steigenden Zahl von Attacken per Credential Stuffing zu schützen versuchen, ist Aberdeen nachgegangen: Dabei zeigt sich eine zunehmende Vermeidung sowohl des Nutzername-Passwort-Modells als auch von Multi-Faktor-Authentifizierungslösungen. So werden etwa Mobile Apps für die Multifaktor-Authentifizierung derzeit in 42 Prozent der befragten Unternehmen eingesetzt – aber nur 24 Prozent befürworten eine zukünftige Einführung. Ein starkes Innovationspotenzial sehen die Befragten dagegen bei passwortlosen Ansätzen, die sowohl benutzerfreundlich als auch für die Anbieter kosteneffizient sind. Bislang haben zwar nur 20 Prozent kennwortlose (adaptive, kontextbasierte, transparente) Verfahren eingeführt, doch 46 Prozent planen dies für die Zukunft.

Credential Stuffing bei Cyberkriminellen weiterhin beliebt

Für die Angreifer ist Credential Stuffing derzeit aus folgenden drei Gründen eine attraktive Methode:

• Erstens lassen sich im Darknet leicht Listen mit Anmeldeinformationen beschaffen, die durch Datenpannen oder Hacks an die Öffentlichkeit gelangt sind.
• Zweitens sind für alle Geschäftsbeziehungen, die auf digitalen Konten basieren, digitale Anmeldeinformationen notwendig. Sie sind also, sofern keine zusätzlichen Sicherheitsmaßnahmen getroffen wurden, durch Brute-Force-Angriffe wie das Credential Stuffing verwundbar.
• Drittens sind die Angriffe leicht automatisierbar: Die Täter müssen dafür nicht zwingend über Programmierkenntnisse verfügen, sondern können die benötigten Programme nach dem Software-as-a-Service-Prinzip im Darknet mieten.

Verschwinden dürfte dieses lukrative Geschäftsmodell erst, wenn die Mehrzahl der Unternehmen ihre Nutzerkonten auf sichere Verfahren wie die Multi-Faktor-Authentifizierung und insbesondere die passwortlose Authentifizierung umstellt.
Das Lösungsportfolio von Nevis umfasst passwortfreie Logins, die sich intuitiv bedienen lassen und Nutzerdaten optimal schützen. In der Schweiz ist Nevis einer der Marktführer für Identity und Access Management und sichert über 80 Prozent aller E-Banking-Transaktionen. Nevis ist mit Standorten in der Schweiz, Deutschland und Ungarn vertreten. (sg)

Lesen Sie auch: IT-Security: 6 entscheidende Trends für 2022