Falls du dich jetzt gerade fragst, was Credential Stuffing überhaupt ist – der Zweck, den Cyber-Kriminelle damit verfolgen, lässt sich in wenigen Worten zusammenfassen: Er beinhaltet den Missbrauch von Anmeldedaten. Mit Hilfe gestohlener Anmeldedaten – diese können zum Beispiel aus einem Leak stammen oder selbst gephisht worden sein – versuchen Hacker, Zugriff auf gleich mehrere Benutzerkonten zu erhalten. Ihre Hoffnung: Der betroffene Nutzer verwendet für mehrere Accounts dieselben Login-Daten. Auch wenn man den Begriff “Credential Stuffing” ins Deutsche übersetzt, wird die Vorgehensweise deutlich: Die Login-Oberflächen verschiedener Webseiten wird mit Anmeldedaten (“credential”) befüllt (“stuffing”). In den meisten Fällen geschieht das automatisiert, indem die Verursacher auf Bots zurückgreifen.
Ist das Credential Stuffing geglückt, spricht man in der Fachsprache von einem sogenannten Account Takeover. Die damit verfolgten Absichten erstrecken sich vom Diebstahl vertraulicher Daten über Geldtransaktionen bis hin zu betrügerischen Käufen.
Credential Stuffing zielt besonders auf Online Shops ab
Eine Studie kam zu dem Ergebnis, dass es in keiner anderen Branche so häufig zu Credential-Stuffing-Versuchen kommt wie im E-Commerce. Ganze 91 % des weltweiten Login-Traffics von Online-Shops werden demnach mittlerweile durch Hacker bzw. deren Bots verursacht. Auf Platz 2 und 3 befinden sich die Flug- (60 %) und die Bankenbranche (58 %).
Quelle:Statista
Warum es die Hacker vor allem auf diesen Bereich abgesehen haben, ist offensichtlich: Nirgendwo lauert so großes Betrugspotenzial wie im E-Commerce. Denn auf der einen Seite sind in den Benutzerkonten grundsätzlich jede Menge sensible Daten wie Zahlungsinformationen oder Adressen hinterlegt, auf der anderen Seite können die Hacker natürlich nach einem Account Takeover auch spielend einfach Käufe tätigen, um die erbeutete Ware danach beispielsweise gewinnbringend weiterzuverkaufen. Nichtsdestotrotz: Credential Stuffing kann im Prinzip jede Webseite mit Login-Möglichkeit betreffen.
Gibt es denn gar keinen Schutz? Doch – aber Fakt ist auch: Nicht jeder weiß auf Anhieb, welche Lösungen und Technologien sich im Kampf gegen Credential Stuffing eignen.
Zwei-Faktor-Authentisierung beugt Credential Stuffing vor
Glücklicherweise gibt es mit der Zwei-Faktor-Authentisierung eine Präventionsmaßnahme, mit der jeder noch so kleine Online Shop die Gefahr durch Credential Stuffing professionell eindämmen kann.
Das Konzept der Zwei-Faktor-Authentisierung ist schnell erklärt: Der Anmeldevorgang erfolgt nicht nur wie bei der typischen Passwortabfrage durch einen Faktor, sondern wird durch einen zweiten Faktor erweitert und gestaltet sich somit deutlich sicherer. Als zweiter Faktor können Wissen, Besitz oder Biometrie des Nutzers dienen. Weit verbreitet im Internet ist etwa die Verwendung einer Kombination aus Wissen und Besitz, bei der zunächst standardmäßig das Passwort abgefragt wird. Nachdem dieses erfolgreich eingegeben wurde, erhält der Nutzer eine SMS mit Faktor 2, einem Einmalkennwort. Wer sich also in das Konto einloggen will, muss nicht nur Kenntnis über das Passwort haben, sondern auch Zugriff auf das jeweilige Smartphone besitzen – im Falle eines Hackers ist das jedoch eher unwahrscheinlich.
Wusstest du schon: Auch InterNetX setzt bei der Domain-Management-Plattform AutoDNS auf die Zwei-Faktor-Authentisierung.
Vorsorge ist die halbe Miete
Wir wollen an dieser Stelle nicht ungesagt lassen: Wer gute Vorarbeit leistet, der verhindert bestenfalls gänzlich, dass Anmeldedaten gestohlen werden – und lässt Credential Stuffing so erst gar keine Chance. Hierzu gehören beispielsweise die Verschlüsselung mittels SSL-Zertifikaten sowie das Aufsetzen von Passwortrichtlinien.
SSL-Verschlüsselung
An SSL-Verschlüsselung führt für Online Shops (und Webseiten im Allgemeinen) kein Weg mehr vorbei. Denn mit Hilfe von SSL-Zertifikaten kannst du gewährleisten, dass kein Unbefugter den Datenfluss zwischen Shop und Kunden mitlesen und sich so Zugriff auf sensible Informationen, wie zum Beispiel Login-Daten, verschaffen kann. Hinzu kommt, dass wichtige Internetpartner wie Google oder Trusted Shops SSL-Verweigerer mittlerweile bestrafen, indem sie deren Webseiten als “nicht sicher” kennzeichnen bzw. ihnen kein Gütesiegel ausstellen. Beim Erwerb von SSL-Zertifikaten hast du grundsätzlich die Wahl zwischen drei Verschlüsselungsstufen: Domain Validation (DV), Organization Validation (OV) und Extended Validation (EV). EV-Zertifikate, die in der Adressleiste an einem Schloss-Symbol und einer Grünfärbung des Unternehmensnamens erkennbar sind, bieten dabei den höchsten Schutz.
Passwortrichtlinien
Passwörter wie “hallo”, “12345” oder “qwertz” werden leider auch heute noch viel zu gerne verwendet. Die Wahl des Passworts liegt natürlich allein in der Hand des Nutzers – mit entsprechenden Vorgaben beim Registrierungsprozess kannst du jedoch auch als Shop-Betreiber einen kleinen Beitrag zur Passwortsicherheit leisten. Experten raten beispielsweise zur Verwendung von Groß- und Kleinbuchstaben, Sonderzeichen sowie Zahlen und sprechen sich für eine Mindestlänge von acht, wenn nicht sogar zwölf Zeichen aus.
Abschließend möchten wir noch einmal betonen, dass Credential Stuffing natürlich nicht nur im E-Commerce ein großes Thema ist. Die Zwei-Faktor-Authentisierung bzw. entsprechende vorsorgliche Leistungen, wie die SSL-Verschlüsselung oder Passwortrichtlinien, machen überall Sinn, wo sich Benutzer einloggen können bzw. müssen.
