Blog

Im InterNetX Blog erfahren Sie Neuigkeiten, Hintergründe und Innovationen
aus den Bereichen Domains, Server und SSL.

So schützen Sie Ihre Kunden vor Credential Stuffing

Eine aktuelle Studie offenbarte kürzlich, dass keine andere Branche so sehr von Credential Stuffing betroffen ist, wie der E-Commerce. Aber auch andere Branchen können sich nicht in Sicherheit wiegen. Wir sind der Meinung: Höchste Zeit, sich einmal genauer mit dem Begriff zu beschäftigen.


Falls Sie sich jetzt gerade fragen, was Credential Stuffing überhaupt ist – der Zweck, den Cyber-Kriminelle damit verfolgen, lässt sich in wenigen Worten zusammenfassen: Er beinhaltet den Missbrauch von Anmeldedaten. Mit Hilfe gestohlener Anmeldedaten – diese können zum Beispiel aus einem Leak stammen oder selbst gephisht worden sein – versuchen Hacker, Zugriff auf gleich mehrere Benutzerkonten zu erhalten. Ihre Hoffnung: Der betroffene Nutzer verwendet für mehrere Accounts dieselben Login-Daten. Auch wenn man den Begriff “Credential Stuffing” ins Deutsche übersetzt, wird die Vorgehensweise deutlich: Die Login-Oberflächen verschiedener Webseiten wird mit Anmeldedaten (“credential”) befüllt (“stuffing”). In den meisten Fällen geschieht das automatisiert, indem die Verursacher auf Bots zurückgreifen.

Ist das Credential Stuffing geglückt, spricht man in der Fachsprache von einem sogenannten Account Takeover. Die damit verfolgten Absichten erstrecken sich vom Diebstahl vertraulicher Daten über Geldtransaktionen bis hin zu betrügerischen Käufen.

Credential Stuffing zielt besonders auf Online Shops ab

Eine Studie kam zu dem Ergebnis, dass es in keiner anderen Branche so häufig zu Credential-Stuffing-Versuchen kommt wie im E-Commerce. Ganze 91 % des weltweiten Login-Traffics von Online-Shops werden demnach mittlerweile durch Hacker bzw. deren Bots verursacht. Auf Platz 2 und 3 befinden sich die Flug- (60 %) und die Bankenbranche (58 %).

Quelle: Statista

Warum es die Hacker vor allem auf diesen Bereich abgesehen haben, ist offensichtlich: Nirgendwo lauert so großes Betrugspotenzial wie im E-Commerce. Denn auf der einen Seite sind in den Benutzerkonten grundsätzlich jede Menge sensible Daten wie Zahlungsinformationen oder Adressen hinterlegt, auf der anderen Seite können die Hacker natürlich nach einem Account Takeover auch spielend einfach Käufe tätigen, um die erbeutete Ware danach beispielsweise gewinnbringend weiterzuverkaufen. Nichtsdestotrotz: Credential Stuffing kann im Prinzip jede Webseite mit Login-Möglichkeit betreffen.

Gibt es denn gar keinen Schutz? Doch – aber Fakt ist auch: Nicht jeder weiß auf Anhieb, welche Lösungen und Technologien sich im Kampf gegen Credential Stuffing eignen.

Zwei-Faktor-Authentisierung beugt Credential Stuffing vor

Glücklicherweise gibt es mit der Zwei-Faktor-Authentisierung eine Präventionsmaßnahme, mit der jeder noch so kleine Online Shop die Gefahr durch Credential Stuffing professionell eindämmen kann.

Das Konzept der Zwei-Faktor-Authentisierung ist schnell erklärt: Der Anmeldevorgang erfolgt nicht nur wie bei der typischen Passwortabfrage durch einen Faktor, sondern wird durch einen zweiten Faktor erweitert und gestaltet sich somit deutlich sicherer. Als zweiter Faktor können Wissen, Besitz oder Biometrie des Nutzers dienen. Weit verbreitet im Internet ist etwa die Verwendung einer Kombination aus Wissen und Besitz, bei der zunächst standardmäßig das Passwort abgefragt wird. Nachdem dieses erfolgreich eingegeben wurde, erhält der Nutzer eine SMS mit Faktor 2, einem Einmalkennwort. Wer sich also in das Konto einloggen will, muss nicht nur Kenntnis über das Passwort haben, sondern auch Zugriff auf das jeweilige Smartphone besitzen – im Falle eines Hackers ist das jedoch eher unwahrscheinlich.

Wussten Sie schon: Auch InterNetX setzt bei der Domain-Management-Plattform AutoDNS auf die Zwei-Faktor-Authentisierung.

Vorsorge ist die halbe Miete

Wir wollen an dieser Stelle nicht ungesagt lassen: Wer gute Vorarbeit leistet, der verhindert bestenfalls gänzlich, dass Anmeldedaten gestohlen werden – und lässt Credential Stuffing so erst gar keine Chance. Hierzu gehören beispielsweise die Verschlüsselung mittels SSL-Zertifikaten sowie das Aufsetzen von Passwortrichtlinien.

SSL-Verschlüsselung

An SSL-Verschlüsselung führt für Online Shops (und Webseiten im Allgemeinen) kein Weg mehr vorbei. Denn mit Hilfe von SSL-Zertifikaten können Sie gewährleisten, dass kein Unbefugter den Datenfluss zwischen Shop und Kunden mitlesen und sich so Zugriff auf sensible Informationen, wie zum Beispiel Login-Daten, verschaffen kann. Hinzu kommt, dass wichtige Internetpartner wie Google oder Trusted Shops SSL-Verweigerer mittlerweile bestrafen, indem sie deren Webseiten als “nicht sicher” kennzeichnen bzw. ihnen kein Gütesiegel ausstellen. Beim Erwerb von SSL-Zertifikaten haben Sie grundsätzlich die Wahl zwischen drei Verschlüsselungsstufen: Domain Validation (DV), Organization Validation (OV) und Extended Validation (EV). EV-Zertifikate, die in der Adressleiste an einem Schloss-Symbol und einer Grünfärbung des Unternehmensnamens erkennbar sind, bieten dabei den höchsten Schutz.

Unsere SSL-Zertifikate

Passwortrichtlinien

Passwörter wie “hallo”, “12345” oder “qwertz” werden leider auch heute noch viel zu gerne verwendet. Die Wahl des Passworts liegt natürlich allein in der Hand des Nutzers – mit entsprechenden Vorgaben beim Registrierungsprozess können Sie jedoch auch als Shop-Betreiber einen kleinen Beitrag zur Passwortsicherheit leisten. Experten raten beispielsweise zur Verwendung von Groß- und Kleinbuchstaben, Sonderzeichen sowie Zahlen und sprechen sich für eine Mindestlänge von acht, wenn nicht sogar zwölf Zeichen aus.

Abschließend möchten wir noch einmal betonen, dass Credential Stuffing natürlich nicht nur im E-Commerce ein großes Thema ist. Die Zwei-Faktor-Authentisierung bzw. entsprechende vorsorgliche Leistungen, wie die SSL-Verschlüsselung oder Passwortrichtlinien, machen überall Sinn, wo sich Benutzer einloggen können bzw. müssen.


InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken „Abonnieren” willige ich ein, dass meine E-Mail-Adresse elektr. erhoben und gespeichert wird.

Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft
per E-Mail datenschutz@internetx.com widerrufen.

Seit Einführung der ersten new gTLDs konnten schon sechs neue Domain-Endungen die Millionengrenze bei den Registrierungszahlen überschreiten....

Wenn von Digitalisierung die Rede ist, fällt auch häufig schnell der Begriff Cloud. Denn längst ist Cloud Computing keine Randerscheinung mehr,...

Der Faktor Mensch gilt als schwächstes Glied in der Sicherheitskette von Unternehmen. Diese Tatsache machen sich heute nicht wenige Cyber-Kriminelle...

Backlinks sind für die Qualität der eigenen Website und das Google-Ranking im Regelfall positiv. Handelt es sich jedoch um Spam-Backlinks, kann die...