:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Was gegen Credential Stuffing hilft Tschüss Passwort, hallo Biometrie!
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Credential Stuffing verheißt für Cyberkriminelle viel Ertrag mit wenig Aufwand: Es genügen eine Liste gestohlener Passwörter und ein Tool, das diese Login-Daten mithilfe rotierender Proxys über mehrere Dienste hinweg testet. Den Rest erledigt die statistische Wahrscheinlichkeit, denn zu viele Nutzer verwenden für verschiedene Onlinedienste immer wieder dasselbe Passwort. Dagegen gibt es wirksame Strategien.
Credential Stuffing, also das automatisierte „Durchprobieren“ von Benutzername-Passwort-Kombinationen in verschiedenen Online-Diensten, hat seit 2019 einen starken Aufschwung erlebt: Ursache sind große Data Breaches etwa bei Marriott, Equifax oder LinkedIn, durch die eine Vielzahl an Login-Daten in die Hände von Kriminellen gelangten. Schwerer wiegt aber, dass rund 52 Prozent der User ihre Passwörter nicht nur einmal vergeben, sondern wiederverwenden – so Zahlen des Verizon Data Breach Investigations Report 2020. Ein einmal gestohlenes Passwort kann so als „Generalschlüssel“ zu verschiedensten Diensten fungieren.
Nutzergewohnheiten, die sich teils über Jahrzehnte eingeschliffen haben, erleichtern den Kriminellen ihr Handwerk zusätzlich. Noch immer bilden „123456“, „password“ und „abc123“ die unrühmlichen Top drei der beliebtesten und gleichzeitig unsichersten Passwörter weltweit. Auch, wer mehr Wert auf Sicherheit legt, greift oft daneben: Rund 32 Prozent der User vertrauen auf Fantasiewörter und 21 Prozent auf Geburtsdaten – leider sind gerade diese Kombinationen besonders leicht zu knacken. Den Expertenrat, ganze Sätze und damit möglichst viele Zeichen als Passwort zu nutzen, beherzigen mit gerade einmal elf Prozent viel zu wenige Menschen.
Welche Goldgräberstimmung unter Cyberkriminellen herrscht, lässt sich auch mit einem Blick auf die Zahl der erfolgreichen Cyberattacken 2020 ermessen: Über 80 Prozent erfolgten mittels gestohlener Login-Daten oder Brute Force; bevorzugtes Angriffsziel waren mit mehr als 90 Prozent Web-Applikationen (vgl. Verizon Data Breach Investigations Report 2020). Tiefere Technik- oder Programmierkenntnisse müssen die Täter dabei nicht mitbringen: Geleakte Passwortlisten sind teils frei zugänglich oder lassen sich im Darknet käuflich erwerben. Ebenso einfach gestaltet sich der Zugang zu Tools fürs Credential Stuffing.
Credential Stuffing im Detail
Einschlägige Toolsets bringen bereits alles mit, um mit geringem Aufwand großen Schaden anzurichten. Optimierte Voreinstellungen für unterschiedliche Angriffsziele ermöglichen einen automatisierten Angriff auf Knopfdruck – dabei können Bankkonten, Cloudspeicher oder E-Commerce-Accounts ebenso das Ziel sein wie die Websites von Airlines und Hotels, Datingportalen oder Gaming- und Gambling-Anbietern.
Ob und wo ein Login mit den gestohlenen oder gekauften Anmeldedaten möglich ist, testen die Kriminellen mit Hilfe eines rotierenden Proxys, der Hunderttausende von Anmelde-Informationen über mehrere Dienste hinweg ansteuert. Der zeitliche Aufwand liegt selbst für eine groß angelegte Attacke bei wenigen Minuten – das unterstreicht die Gefahr, die von Credential Stuffing ausgeht.
Eine Modellrechnung zeigt das Ausmaß möglicher Schäden: Bereits bei einer durchschnittlichen Größe von einer Million gestohlener Logindaten und der konservativ geschätzten Erfolgsquote von 0,5 bis drei Prozent ergeben sich 5.000 bis 30.000 Accounts, auf die sich die Kriminellen im Verlauf einer einzigen Credential-Stuffing-Attacke Zugriff verschaffen können.
Die Hürden für Endanwender
Keine Frage: Der Gebrauch unsicherer Passwörter und ihre Mehrfachnutzung sind ein schwerwiegendes Problem. Doch den Nutzern die alleinige Schuld an der Passwort-Misere zuzuschieben, führt in die Irre. Warum aber agieren Anwender immer wieder so scheinbar sicherheitsvergessen?
- Die Zahl der Anbieter von Waren und Dienstleistungen im Netz ist seit den Anfängen des Internets exponentiell gewachsen. Mittlerweile verfügt ein Anwender über bis zu 130 digitale Benutzerkonten. Für jedes ein individuelles Passwort zu vergeben – und es sich sicher zu merken! – ist für viele schlicht nicht praktikabel.
- Schon jetzt verbringen Anwender statistisch zwölf Tage ihres Lebens mit der Suche nach Benutzernamen und Passwörtern.
- Weltweit wird eine von drei Online-Transaktionen aufgrund fehlender Benutzernamen und Passwörter abgebrochen.
Benutzername und Passwort sind also gerade deshalb ein Sicherheitsrisiko, weil sie beim Endanwender ein nicht zu unterschätzendes Frustpotenzial entfalten – das schließlich in einer gefährlichen Lethargie in Sicherheitsfragen mündet. Das Security and Privacy Institute (CyLab) der Carnegie Mellon University hat das daraus resultierende Nutzerverhalten nach einer Datenpanne analysiert. Die Ergebnisse sind alarmierend: Nur 33 Prozent der Nutzer änderten tatsächlich ihre Passwörter, nachdem sie über eine Datenschutzverletzung informiert wurden, und das jeweils nur für die jeweilige Plattform oder den betroffenen Account. Die Wahrscheinlichkeit, dass diese Nutzer ihr Passwort für alle Konten mit denselben Anmeldedaten ändern, dürfte noch weitaus geringer ausfallen.
Klar ist: Die meisten Nutzer wünschen sich bequeme Alternativen zum konventionellen Passwort, die gleichzeitig hohe Sicherheitsstandards erfüllen. Aber welche Verfahren bieten sich hier an? Eines ganz sicher nicht: Die beliebte SMS-TAN.
Die SMS-Falle
Die SMS als Teil einer Zweifaktor-Authentifizierung wird noch immer häufig eingesetzt. Wie schnell sich dieses System aushebeln lässt, hat jüngst ein Test mit der Software Sakari durch die Website Motherboard ergeben: Das eigentlich fürs Unternehmensmarketing gedachte Tool ermöglicht den massenhaften SMS-Versand. Dabei lassen sich jedoch beliebige Mobilfunknummern hinterlegen – und sogar die an diese Nummern gerichteten SMS empfangen. Hacker können das nutzen, um die SMS eines Zweifaktor-Systems abzufangen, ohne dass der eigentliche Adressat dies bemerkt.
Der Grundfehler des Systems liegt damit offen zutage: De facto existieren keine Standards und Sicherheitsprotokolle für das (Re-)Routing von SMS. Eine weitere Nutzung im Rahmen von Zweifaktor-Authentifizierungen sollte unbedingt vermieden werden.
Passwörter abschaffen: So geht’s
Dabei existiert mittlerweile ein Verfahren, das Passwörter vollständig durch eine biometrische Authentisierung ersetzt und sowohl die Benutzerfreundlichkeit als auch die Sicherheit verbessert: Die sogenannte passwortfreie Authentisierung.
Dreh- und Angelpunkt sind die biometrischen Sensoren, die in modernen Smartphones verbaut sind und die eine eindeutige Authentifizierung des Nutzers anhand seiner Gesichtszüge oder Fingerabdrücke ermöglichen – ohne dass sensible Daten jemals das Gerät verlassen.
Beispiel Face ID
Biometrische Merkmale bieten prinzipbedingt eine große Sicherheit. Beispiel Face ID: Bei der Einrichtung scannt das Gerät das Gesicht des Nutzers und erstellt eine Art „Landkarte“ der Physiognomie mit ihren einzigartigen physiologischen Merkmalen. Diese unverwechselbaren Kennzeichen werden als Datenpunkte in Form eines verschlüsselten 3D-Bildes direkt auf dem Mobilgerät gespeichert. Sobald diese einzigartigen Identifizierungsmerkmale im Speicher abgelegt sind, erkennt das Smartphone den Nutzer sofort, wenn er einen Blick auf das Display wirft.
Face ID registriert darüber hinaus potenzielle Veränderungen der Gesichtszüge, die im Laufe der Zeit auftreten können – wie Falten oder Tränensäcke unter den Augen – und „erlernt“ diese leicht veränderten biometrischen Merkmale mittels Machine Learning. Auch ein paar schlaflose Nächte machen den Nutzer also nicht für das System unkenntlich.
Passwortfrei per App
Die passwortfreie Zweifaktor-Authentifizierung per App nutzt den hohen Sicherheitsstandard der biometrischen Daten: Das verwendete FIDO UAF Protokoll basiert auf asymmetrischer Verschlüsselung, wobei der private Schlüssel immer auf dem Endgerät des Benutzers verbleibt und in einem speziell abgesicherten Chip-Set, der Secure Enclave, abgespeichert wird. Die biometrischen Merkmale wie Gesicht und Fingerabdruck werden lediglich zur Entsperrung des privaten Schlüssels verwendet und verbleiben daher ebenfalls immer auf dem Endgerät. Dieser Ansatz ermöglicht sehr hohe Sicherheit und zudem die Wahrung der Privatsphäre des Benutzers.
Insgesamt verspricht die Nutzung der passwortfreien Authentifizierung einen gewaltigen Sprung in der End-to-End-Sicherheit bei gleichzeitiger Verbesserung des Kundenerfahrung. Eine flächendeckende Durchsetzung des Verfahrens wird entscheidend dazu beitragen, großangelegte Betrugsmanöver wie das Credential Stuffing in Zukunft wirksam auszubremsen.
Über den Autor: Stephan Schweizer ist seit 2020 Chief Executive Officer der neu gegründeten Nevis Security AG, einem Spin-off der AdNovum Informatik AG.
(ID:47463625)
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937658/original.jpg "Dank verschlüsseltem Log-in lässt sich bei FIDO2 ein Anmeldevorgang nur mit dem zuvor registrierten Gerät entsperren, wodurch ein deutlich höheres Sicherheitslevel erreicht wird. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1882800/1882828/original.jpg "Der Report „Psychologie der Passwörter“ von Lastpass zeigt die Diskrepanz zwischen dem Sicherheitsbewusstsein vieler Internetnutzer und der gelebten Praxis. (Vitalii Vodolazskyi - stock.adobe.com)")